TOP

LA AGENCIA DE PROTECCIÓN DE DATOS DE MADRID SOMETE A LOS NUEVOS CENTROS, DE GESTIÓN PRIVADA, A UN PLAN DE INSPECCIÓN

La Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) ha sometido a los nuevos hospitales de la región, de gestión privada, a un plan de inspección para que toda la actividad que se realice en ellos que requiera la utilización de datos person

La apertura de los nuevos hospitales en la región ha supuesto la creación de 9 nuevos ficheros informatizados de datos personales por centro, lo que supone un total de 54 nuevos ficheros informatizados en la región, según informa la Agencia de Protección de Datos de la Comunidad de Madrid. Estos ficheros cuentan con datos "especialmente protegidos en materia de salud, origen racial y vida sexual".

La entrada en funcionamiento del hospital del Norte en San Sebastián de los Reyes, Hospital de Vallecas, Hospital del Sureste, el del Henares, el Hospital del Tajo y el Hospital Infanta Cristina no ha supuesto la creación de ningún fichero manual nuevo, aunque seis de ellos de cada hospital son mixtos.

No obstante, la Agencia de Protección de Datos, preocupada por los ficheros manuales de las historias clínicas, ha aprobado una recomendación sobre custodia, archivo y seguridad de los datos de carácter personal de las historias clínicas no informatizadas y ha desarrollado en los últimos años 403 acciones formativas en este ámbito a las que han acudido 10.938 profesionales, y ha realizado campañas de divulgación.

En el caso de los nuevos hospitales, la Agencia está llevando a cabo las labores necesarias para la coordinación entre los responsables de gestión de datos de todos los hospitales de la región.

Además, está estudiando diversos aspectos jurídicos relacionados con la protección de datos, ya que la historia clínica es, junto con el testamento vital y las voluntades anticipadas, uno de los temas que más ha centrado la atención de médicos y juristas por las dudas sobre la titularidad de esta y sus diferentes niveles de acceso.

La Agencia destaca que la Ley Orgánica de Protección de Datos (LOPD) permite que cualquier tratamiento que deba llevar a cabo un responsable de ficheros pueda encargarlo a un tercero, como ocurriría en el caso de los nuevos hospitales al tener una gestión privada, si se respetan determinadas garantías impuestas por la normativa de Protección de Datos para garantizar la seguridad y confidencialidad de los datos.

En este sentido, en el caso de que se encargue el tratamiento a un tercero es necesario, con carácter previo a la firma, comunicárselo a la Agencia para que haga las observaciones que considere necesarias para asegurar la confidencialidad y seguridad de los datos personales.

Además, la APDCM afirma que el acceso a la historia clínica por parte de las terceras personas, como es el caso de los nuevos hospitales de la región en manos de empresas privadas, tiene que partir del reconocimiento del derecho a la intimidad y a la protección de los datos de la salud de los pacientes, lo que, según señala, impide inicialmente su conocimiento por los demás.

En esta línea, la agencia indica que la inclusión de los nuevos centros en la planificación general de las actuaciones de la Agencia supone declarar ficheros de videovigilancia en los centros que dispongan de ellos, la promoción de la regulación de los ficheros de captación de imágenes en el ámbito de la telemedicina y el análisis del diseño y contenido de los partes inter-consulta para garantizar el cumplimiento del principio de la calidad de la Ley de Protección de Datos.

Además, es necesario el análisis de la prestación de servicios de atención telefónica en los servicios de urgencia y la implantación de las nuevas obligaciones en materia de seguridad que introduce el nuevo Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos.

Así, en el proceso de apertura de los nuevos hospitales, que acabó el pasado mes de febrero, la Consejería de Sanidad transmitió a la Agencia el contrato con la empresa adjudicataria del mantenimiento y soporte de las aplicaciones informáticas de los centros dependientes de ella, tras lo que la Agencia emitió un informe destacando la completa adecuación a la normativa vigente.

FICHEROS DE DATOS PERSONALES

En el año 2007 había inscritos en el registro de Ficheros de Datos Personales de la Agencia de Protección de Datos de la Comunidad de Madrid 2.843 ficheros de titularidad de centros, órganos y unidades dependientes de la Consejería de Sanidad. De ellos, 1.271 son informatizados y 1.572 manuales.

Además, la Agencia Madrileña de Protección de Datos tiene registrados, como ficheros de titularidad de los centros sanitarios públicos de su ámbito territorial, más de la mitad de todos los ficheros de carácter sanitario declarados en España.

Frente a los 2.843 ficheros declarados en el ámbito sanitario público en Madrid, Galicia ha declarado 444 ficheros, Castilla y León, 380; Canarias, 213; Cataluña, 326; Andalucía, 200; Comunidad Valenciana, 150; Castilla la Mancha, 115; Murcia,120; Aragón, 88; País Vasco, 294; y Extremadura, 64.

ARTEMI RALLO DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS 'LAS INFRACCIONES MULTADAS SON LA PUNTA DEL ICEBERG'

Sus datos, lector, resultan muy valiosos. Saber qué compra, cuánto gana o dónde enviarle publicidad supone un caramelo demasiado suculento para algunas empresas dispuestas a estirar las reglas. ¿Cómo conseguir que las compañías que disponen de información

'La información tiene un valor económico obvio. Lo tiene la base de clientes de una empresa o una lista de personas a quienes enviar publicidad. Esto es legítimo, porque nuestro sistema económico funciona así y no hay nada que objetarle. Lo que hay que hacer es que cumplan la ley', resume.

En Euskadi constaban a finales de abril un total de 42.357 ficheros informáticos de tratamiento de datos personales declarados en manos de entidades privadas: 21.559 en Vizcaya, 14.460 en Guipúzcoa y 6.338 en Álava. Suponen apenas el 4% del total a nivel nacional. 'Las empresas suelen tener sus sedes en Madrid y Barcelona, por eso está todo muy concentrado', dice Rallo.

La agencia estatal abrió el año pasado un total de 41 expedientes sancionadores en Euskadi, un 36,6% más que el año anterior. La cifra no incluye los expedientes a la Administración, vigilada por la Agencia Vasca de Protección de Datos. En 2006, se registraron 30 denuncias sobre un total de 1.193 en el conjunto de España. Los infractores tuvieron que pagar 24,4 millones en multas. 'Estas cifras no dejan de ser un ejemplo anecdótico. Sabemos que hay comportamientos empresariales que infringen en mayor alcance la protección de datos. Esto sólo es la punta del iceberg'.

Las sanciones a empresas pueden ir de los 600 hasta los 600.000 euros. La Vital por ejemplo, una de las firmas multadas en 2007, tuvo que pagar 60.000 euros por acceder irregularmente a los datos de un funcionario, que llegaron a sus manos por los servicios que presta al Gobierno vasco. Aguas de Guipúzcoa fue multada con 6.000 euros por el despiste de un empleado, que se dejó una caja con datos personales de varios clientes en un solar al alcance de cualquier curioso. El caso más notorio y reciente es el de la clínica Lasaitasuna, que filtró a través del programa de intercambio de archivos e-mule los historiales de miles de pacientes. Pagó 150.000 euros por el descuido.

'Es uno de los casos más escabrosos que he conocido hasta la fecha. Es inexcusable tener un programa así activado en un ordenador con material tan sensible', resalta Rallo sobre este último incidente. 'Es un buen ejemplo de la encrucijada en que estamos por la revolución tecnológica. El error humano y el desconocimiento en el uso de tecnologías pueden causar daños irreparables a las víctimas', añade.

Internet es el gigante que costará cada vez más domar. 'En Youtube, se vuelcan miles de horas de vídeo cada segundo. No hay control previo de ese material y sería muy difícil llevarlo a cabo a día de hoy', razona rememorando los múltiples casos de agresiones que terminan siendo perpetuadas en vídeos colgados en la web. ¿El dilema estaría entonces entre elegir amputar una herramienta de enorme potencial o aceptar el daño que puede causar a los afectados? 'El ejemplo es el mismo que con la libertad de expresión. Cuando se publica alguna injuria o inexactitud, el daño ya está hecho. Lo que queda por hacer es paliarlo con la correspondiente rectificación y reprimirlo si llega a tener alcance penal', sentencia.

AMONESTAN A LA GUARDIA CIVIL POR OLVIDAR DATOS DE OPERACIONES EN EL ORDENADOR DE UN 'NARCO' PROTECCIÓN DE DATOS CONSIDERA QUE COMETIÓ UNA «INFRACCIÓN MUY GRAVE», PERO NO LE IMPONE MULTA

Importante tirón de orejas. La Agencia de Protección de Datos ha reclamado a la Guardia Civil una mayor diligencia en la custodia de sus datos confidenciales. Y lo ha hecho negro sobre blanco, al «declarar que la Dirección General de la Policía y la Guardi

Porque en este caso hay varias partes afectadas. La Agencia de Protección de Datos abrió una investigación en diciembre de 2005. Todo tras la denuncia de EL MUNDO, en la que se desvelaba que la Guardia Civil había olvidado informes confidenciales de narcos en un ordenador que se le devolvió a un contrabandista.

Es una «infracción muy grave», que no acarrea multa pero sí una clara y seria advertencia. Además, la Agencia requiere a esta misma institución «que adopte las medidas de orden interno que impidan que en un futuro pueda producirse una nueva infracción» similar a la que ahora ha sido sancionada. La resolución la firmó el director del ente, Artemi Rallo, el pasado 14 de abril, y ahora ha sido notificada a las partes afectadas.

El dueño del ordenador había sido detenido en 2001 por el servicio fiscal de la Guardia Civil de Tarragona en el marco de la llamada operación Mediterráneo, contra una trama de contrabando. Joaquín fue uno de los detenidos. Se le intervino un ordenador de sobremesa y otro portátil, además de otros enseres. Fue condenado a un año de cárcel como cómplice de un delito contra la salud pública. Cumplió su condena y, tras una difícil carrera judicial, en 2005 logró que la Guardia Civil le devolviera sus ordenadores. Y fue en ese momento cuando comprobó que su portátil había sido utilizado durante aquel tiempo por el Instituto Armado; en concreto, por la Unidad Orgánica de la Policía Judicial de la Comandancia de Almería. Joaquín denunció los hechos ante la Justicia. En su ordenador había gran cantidad de fotografías de seguimientos policiales y de detenidos; resúmenes sobre intervenciones telefónicas... Entre otra documentación, en el portátil había datos muy precisos de varias operaciones de la Guardia Civil contra tramas dedicadas al narcotráfico.

La Agencia de Protección de Datos abrió ese mismo año una investigación y pidió explicaciones al Instituto Armado. En su resolución detalla los pasos seguidos para comprobar la denuncia. Los representantes de la Comandancia de Almería admitieron a la Agencia que el material informático incautado a este contrabandista estuvo en su poder. La Guardia Civil «tenía intención de solicitar de la autoridad judicial» permiso para utilizar provisionalmente los ordenadores.

En su descargo, la Guardia Civil aseguró a la Agencia que realizó «un formateado lógico del contenido de los discos duros» antes de devolver los ordenadores. Sí certificó que los datos que figuraban en el ordenador se correspondían a los que obraban en causas judiciales.

La Agencia decidió en octubre del año pasado iniciar un procedimiento sancionador contra la Guardia Civil, que culmina ahora. Recuerda que la ley dispone, en su artículo 10, que «el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional». Y ésta es la acusación contra la Instituto Armado. «Se trata de una información que no puede ser facilitada a terceros. Queda acreditado que, por parte de la Guardia Civil, se vulnera el deber de secreto garantizado por la ley al haber posibilitado que un tercero tuviese acceso a datos personales sin el consentimiento de los afectados».

ENTREVISTA A ARTEMI RALLO EN “EL MUNDO”

Todo sobre la Agencia Española de Protección de Datos con su director. Artemi Rallo charla sobre temas de su competencia como el spam, la videovigilancia, la seguridad de los datos en Internet, la protección de la intimidad o el telemarketing. Conozca sus
Helas.MVC4.Models.Shared.FileViewModel

Artemi Rallo


1. Buenos días Sr. Rallo. ¿Podría explicar brevemente cuáles son las principales tareas de la Agencia Española de Protección de Datos y si cualquier ciudadano puede acudir a ella y cómo? Gracias.
La misión de la Agencia es velar porque se garantice el derecho de la protección de datos, lo que significa recibir las denuncias de cualquier ciudadano, investigarlas y sancionarlas si corresponde. Además, a la Agencia le corresponde asesorar no sólo a los ciudadanos sino al conjunto de las administraciones públicas sobre cómo garantizar el derecho.

2. Buenos días. Mi pregunta es: Últimamente se oye mucho hablar de biometría. Pasaportes biométricos, DNIs biométricos, etc... ¿Como afecta la LOPD a los datos biométricos? Son tratados como datos personales? ¿Que nivel de seguridad deben tener?
Los datos biométricos son datos personales y la regla básica de su tratamiento es la proporcionalidad. Sólo deben usarse y tratarse para obtener fines proporcionados a su sentido. En general, no son datos especialmente protegidos, tienen que tener un nivel básico de protección en términos LOPD.

3. ¿Si tuviera que elegir o preferir alguna de ellas, está a favor de la libertad personal o de la seguridad de los ciudadanos? Un saludo desde Morella.
Otro saludo de un morellano ausente. En la duda, siempre por los derechos. En todo caso, las exigencias de seguridad de la sociedad actual deben encontrar satisfacción y justo equilibrio con la garantía de los derechos de los ciudadanos.

4. Hola Sr. Rallo. La gente cuando pierde su tarjeta de crédito en un lugar público inmediatamente acude o llama a su banco para solucionar el problema. Análogamente, no existe desconfianza del usuario cuando ofrece datos personales bancarios en internet al ejecutar alguna compra. ¿No cree que existe una desinformación hacia el usuario con su seguridad de datos, quién los recibe, qué se hace con ellos?. Gracias
El último sondeo del CIS elaborado en febrero confirma que la desconfianza de los ciudadanos ante la posibilidad de ceder sus datos personales bancarios o de su tarjeta de crédito por Internet es muy alta. Los ciudadanos tienen desconfianza y la desconfianza también se justifica en base al alto grado de fraude que sigue existiendo en Internet. Es imprescindible que los ciudadanos tengan más información pero que también mejoren los sistemas en la Red.

5. ¿Es legal publicar las notas de un examen en un tablón a la vista de todo el mundo? ¿No debería tratarse como información privada y ser comunicada de un modo personal ahora que hay medios suficientes (correo-e p.ej)? Gracias por su respuesta. Reciba un saludo.
Hoy es legal porque así lo permite la Ley Orgánica de Universidades. Ahora bien, sería mucho más deseable y ajustado a los principios de protección de datos un acceso limitado a dicha información académica mediante intranet y uso de contraseñas individuales que solo posibiliten el acceso a quien es titular de esa información.

6. Soy un webmaster de una página de juegos para niños y quisiera saber cómo puedo asegurarme de que los niños tengan la edad que dicen tener al darse de alta en mi sitio web.
A partir de los 14 años y en el proceso progresivo de implantación del DNI electrónico el medio idóneo será éste para obtener una fiabilidad máxima. En tanto no se produzca esa implantación generalizada y para edades inferiores a los 14 años deberían utilizar técnicas que le posibiliten tener una cierta certeza sobre la edad. Por ejemplo, preguntas de ámbito escolar, un casillero relativo a la fecha de nacimiento, etc.

7. Hola Artemi. Tengo un par de preguntas. ¿La iglesia católica tiene una base de datos fidedigna de sus fieles? ¿Porque resulta tan difícil apostatar?, y ¿Puede un ente (como el ayuntamiento de Rivas) facilitar la exclusión de las listas de la iglesia católica?
La Iglesia católica niega tener una base de datos única y general de sus fieles. La cancelación de los datos personales que constan en los libros de bautismo requerida por la Agencia se está verificando en casi todo el territorio nacional y sólo es recurrida por las diócesis de Valencia y Madrid. La información que tenemos por los medios indica que el Ayuntamiento de Rivas se limita a informar a los ciudadanos que lo requieren de cómo ejercer el derecho de cancelación en los libros de bautismo.

8. Enhorabuena por hacernos ver que tras las siglas AEPD hay vida. ¿Qué valoración hace del tiempo que lleva en la AEPD?¿Qué pasa en la web de la Agencia que históricamente es lenta y mal organizada (aunque ahora ha mejorado sensiblemente)?¿Piensan hacer algo al respecto?
Gracias a usted por sus palabras. Estos últimos meses en la Agencia me permiten valorar por un lado los riesgos que la realidad ofrece para la privacidad, pero también los múltiples instrumentos de que disponemos para reaccionar frente a estas amenazas. Estamos con la web y espero que en poco tiempo su valoración sea más positiva.

9. Para que mi empresa de telefonía móvil meta mis datos en un fichero de morosos, basta con que ellos digan que les debo dinero. Sin embargo para borrar mis datos de estos ficheros, soy yo quien ha de demostrar documentalmente la extinción de la deuda. ¿Por qué la ley de tratamiento automatizado de datos no se aplica extensivamente a estos ficheros donde, todos sabemos, que la mayoría de la gente entra por pequeñas deudas que la mayoría de las veces son injustificadas?
La LOPD se aplica a todo tipo de ficheros y ninguna deuda, grande o pequeña, puede ser incluida en un fichero de morosos si no es cierta, vencida y exigible; sin pleito adicional sobre su cuantía. La carga de la prueba corresponde a las empresas y responsables de los ficheros, que deben notificarle su intención de incluirlo en uno de ellos.

10. Buenas tardes; soy una peluquera que no tiene fichas de clientes sólo dos empleadas. ¿Qué tengo que hacer para cumplir con la Ley? Me vienen empresas a meterme miedo y a querer cobrarme 300€ por el servicio. Gracias.
Es muy fácil. Entre en la página web de la Agencia (www.agpd.es) y encontrará toda la información que necesita- Básicamente, solo necesita hacer dos cosas. Primero: rellenar un documento de seguridad en términos sencillos y segundo: notificar la existencia de ese fichero por vía Internet. Todo gratis.

11. En multitud de ocasiones, cuando nos solicitan datos personales a los ciudadanos desde alguna administración pública como centros de salud, policía, etc., no se nos informa de nuestros derechos de acceso, rectificación, etc., ni si los datos van a ser transferidos a otros organismos, etc. ¿Que podemos hacer los ciudadanos en estos casos?
Hay supuestos legales en los que la policía no tiene porque facilitar dicha información. Desde luego, centros de salud, educativos u otros sí que deben informarle cumplidamente sobre el destino de sus datos y los derechos que usted puede ejercer.

12. ¿Cómo puede concebirse que una empresa reciba unas sanción de la inspección de trabajo de 30.000€ por un accidente grave (descarga eléctrica con hospitalización posterior) de un trabajador y, por enviar una carta comercial a alguien (sin su consentimiento) pueda ser sancionada con, mínimo, 60.000€ ? ¿Qué vale más? Yo creo que la salud del trabajador.
Las multas que impone la AEPD son las estrictamente previstas por el legislador y responden a la voluntad de éste, que a su vez expresa la de los ciudadanos.

13. ¿ No se puede hacer nada ante la agresividad de las campañas publicitarias por teléfono por las que se reciben multitud de llamadas sin ningún tipo de restricción en cuanto a horarios o festivos ? ¿No se está vulnerando el

4.000 HISTORIAS CLÍNICAS DE ABORTOS SE FILTRAN EN LA RED A TRAVÉS DE EMULE

Protección de Datos sanciona con 150.000 euros a un centro médico de Bilbao . Descargarse música o películas desde el ordenador del trabajo a través de un programa de intercambio de archivos puede tener efectos trágicos y no calculados, causados por quien

El desconocimiento tecnológico de algún empleado de una clínica ginecológica pudo llevarle a poner a disposición del programa eMule (el más popular de intercambio de archivos entre particulares), y por lo tanto al alcance de millones de personas, todos estos datos, contenidos en una carpeta del disco duro de su ordenador. No se sabe con exactitud quién ha sido el culpable, ni las razones de la filtración, pero la Agencia Española de Protección de Datos (AEPD) acaba de sancionar a la clínica, el centro médico Lasaitasuna, en Bilbao, con 150.000 euros. Todavía están en plazo para recurrir la resolución.

No es un caso único. Es el tercero que sanciona Protección de Datos, que tiene abiertos, además, otros 19 expedientes por asuntos similares. Éste es especialmente grave. Se trata de datos médicos ginecológicos y de urología y, en 4.000 casos, son historias clínicas relacionadas con interrupciones voluntarias del embarazo, extremadamente sensibles y cuya divulgación afecta a la intimidad de las mujeres. El centro médico ha declinado hacer declaraciones, pero sus responsables afirmaron ante la Agencia de Protección de Datos que desconocían cómo el fichero había acabado en Internet a la vista de cualquiera. No sabían si había sido el error de un empleado o algo premeditado por alguna persona.

La Policía Local de Ourense fue la que encontró las historias clínicas en el eMule . Estos agentes se han convertido en una especie de guardianes de la protección de datos en la Red. Ellos han sido quienes han dado la voz de alarma en todos los expedientes abiertos en Protección de Datos en 2007 por denuncias relacionadas con el hallazgo de ficheros con datos de carácter personal en redes p2p (peer to peer, o entre iguales).

Una vez conocido el problema, Protección de Datos abrió una inspección. En el centro médico bilbaíno encontraron un fichero de gestión de pacientes igual que el que se había hallado en Internet. En el mismo se podía acceder a datos de las consultas de ginecología, vasectomías e interrupciones de embarazo por aspiración y por píldora. Los registros aparecían asociados a pacientes y a su historia clínica.

La clínica implantó de inmediato en su sistema informático medidas de seguridad de nivel alto. Pero por la filtración de los datos ha sido sancionada por 'infracción muy grave' con una multa de 150.000 euros. La sanción podía haber sido mayor -la Ley de Protección de Datos castiga este tipo de infracciones con multas de 300.000 a 600.000 euros-, pero se moderó por la colaboración mostrada por la titular del centro a lo largo del procedimiento, que desarrolló 'una extensa actividad para evitar la comisión de infracciones en materia de protección de datos de carácter personal', según la resolución de la agencia.

'En este caso se trata de un error inexcusable de la clínica, que no tenía las medidas de seguridad necesarias para evitar que se produzca una gravísima filtración de estas características', explica el director de la Agencia de Protección de Datos, Artemi Rallo. 'Pero hay que hacer un llamamiento global, lo más alto y claro posible, a todas las empresas, hospitales, bancos, guarderías, colegios, para que extremen las garantías y las cautelas y revisen sus sistemas. Hay que hacer una política activa de formación, información y concienciación. La sociedad de la información tiene ciertos riesgos que deben controlarse, y con estos casos quedan en evidencia las limitaciones de muchos ciudadanos a la hora de usar correctamente las herramientas tecnológicas', añade.

Los consejos de Protección de Datos para evitar estos casos son los siguientes: en primer lugar, que la empresa, centro o administración analice si es estrictamente necesario, por razón de los trabajos que se desempeñan, que sus equipos informáticos tengan un software de intercambio de archivos. Si no son necesarios, deben bloquearse . En segundo lugar, habría que establecer medidas adicionales de seguridad para limitar el acceso de los trabajadores a datos tan delicados como los relativos a salud o a los menores.

Protección de Datos ha abierto 21 expedientes en 2007 por filtraciones de datos personales a Internet. Uno de los ficheros encontrados contenía datos de los miembros y directivos de una comunidad religiosa; otro hablaba de solicitantes de adopciones internacionales; otro, de miembros de un sindicato. Cinco se referían a datos de clientes de la empresa, tres a historias clínicas filtradas a la Red y otras cinco a datos personales de recursos humanos.

'Las administraciones públicas, que son las que promueven la sociedad de la información, tienen que promover en paralelo políticas de concienciación y prevención', concluye Artemi Rallo. 'Éstos son errores fatales que se pueden evitar con información suficiente. Los ciudadanos tienen que ser conscientes de que a las descargas en Internet las carga el diablo'.