NOTICIA AGPD

La AEPD lanza un espacio web con consejos para evitar recibir publicidad no deseada.

Hemos elegido esta noticia ya que nos ha parecido interesante porque todos hemos sufrido que nos invadan el correo con publicidad indeseada.

Como curiosidad la AEPD inició 282 expedientes por spam y 414 por publicidad realizada mediante otros medios en 2016.

Para evitar recibir llamadas publicitarias o publicidad a través de otros medios la Agencia recomienda en primer lugar inscribirse en la Lista Robinson, el único fichero común de exclusión publicitaria que existe en España y que está gestionado de forma independiente por la Asociación Española de Economía Digital. En este servicio, gratuito para el ciudadano.

Hemos buscado mas información y añadimos que es algo que puede indicarse al teleoperador que te llama y tiene la obligación de incluirte en esta lista y no llamarte más durante un tiempo prolongado.

En el caso de que queráis suscribiros os dejamos el enlace a continuación:

https://www.listarobinson.es/

DOCUMENTO DE SEGURIDAD

Documento de seguridad

El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal, (LOPD) establece en su punto 1 que "el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural".

El Real Decreto 1720/2007, de 21 de diciembre, aprobó el Reglamento de desarrollo de la LOPD que, en su Título VIII, establece las medidas de índole técnico y organizativo que los responsables de los tratamiento o los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.

Entre estas medidas, se encuentra la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

Con el objeto de facilitar a los responsables de ficheros y a los encargados de tratamientos de datos personales la adopción de las medidas de seguridad establecidas en el Reglamento de la LOPD, la Agencia Española de Protección de Datos pone a su disposición esta Guía de Seguridad que incluye

- Guía Modelo del Documento de Seguridad, - Cuadro Resumen de Medidas de Seguridad y - Relación de comprobaciones para la realización de la Auditoria de Seguridad.

AVISO IMPORTANTE:

Debe entenderse, en cualquier caso, que siempre habrá que atenerse a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD y en el resto de previsiones relativas a la protección de datos de carácter personal, y que la utilización de esta guía debe, en todo caso, tener en cuenta los aspectos y circunstancias aplicables en cada caso concreto, sin prejuzgar el criterio de la Agencia Española de Protección de Datos en el ejercicio de sus funciones.

Modelo de documento de seguridad

https://www.dropbox.com/s/x817kvj97qrr7tm/modelo_doc_seguridad%20%281%29.doc?dl=0

DEBERES DE LOS TRABAJADORES QUE ACCEDEN A DATOS PERSONALES DE OTROS

Deberes de los trabajadores que acceden a datos personales de otros.

El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Ambos principios resultan necesarios y constituyen una garantía para el derecho fundamental a la protección de datos. El secreto y la confidencialidad aseguran que los datos personales sólo sean conocidos por el afectado o interesado y por aquellos usuarios de la organización cuyo perfil les atribuye competencia para usar, consultar, modificar o incluir los datos en los sistemas de información.

 La empresa debe disponer de políticas de cumplimiento de estos dos principios, ya que con ellas no sólo se garantiza un derecho fundamental sino que además se ofrece confianza y seguridad al público. Además, con la implementación de medidas de seguridad se protegen activos que son importantes para la empresa como los datos de sus clientes y proveedores.

Para el adecuado cumplimiento de estos dos deberes resulta ineludible disponer de políticas de gestión de personal en los que se definan de modo muy claro los perfiles funcionales de cada puesto, y de procedimientos de formación del personal. No es extraño por tanto que el RDLOPD ordene de modo específico ambos aspectos.

1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.
2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. 

LEY DE PROTECCIÓN DE DATOS: CONTROLES EMPRESARIALES

Controles basados en el uso de tecnologías 

Cuando para el desarrollo de la función empresarial de control se utilizan las tecnologías de la información, las posibilidades de repercusión en los derechos del trabajador se multiplican. La aplicación de este tipo de técnicas se manifiesta de muy diversos modos. 

Pueden citarse entre otros, los controles biométricos como la huella digital, la videovigilancia, los controles sobre el ordenador, -como las revisiones, el análisis o la monitorización remota, la indexación de la navegación por Internet, o la revisión y monitorización del correo electrónico y/o del uso de ordenadores-, o los controles sobre la ubicación física del trabajador mediante geolocalización.

En la mayor parte de estos supuestos existen tratamientos de datos personales y, en consecuencia es necesario cumplir con los principios de protección de datos. La Agencia Española de Protección 26 Controles empresariales de Datos y la jurisprudencia de los tribunales han venido indicando distintos supuestos en los que tales tratamientos son admisibles y las condiciones para su realización. 

Por otro lado, el uso de tecnologías de la información multiplica las posibilidades de control empresarial y obliga a tener en cuenta el respeto a los derechos fundamentales de los trabajadores, a adoptar medidas de control que sean proporcionales y respeten su dignidad, su derecho a la protección de datos y su vida privada. 

Existe por tanto, un conjunto de principios cuyo respeto resulta recomendable cuando no prácticamente ineludible. 

- La legitimación para el tratamiento deriva de la existencia de la relación laboral y, por tanto, de acuerdo con el art. 6.2 LOPD, no se requiere del consentimiento.  

- A la hora de decidir adoptar una medida de control que comporte un tratamiento de datos personales debe aplicarse el principio de proporcionalidad. 

- Debe existir una finalidad que, en este caso, no puede ser otra que la establecida por el art. 20.3 ET de «verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales». 

- Los datos que se obtengan y almacenen deberán ser exactos y puestos al día y no podrán conservarse más tiempo del necesario. Se recomienda a los empleadores fijar un plazo de conservación. 

- Debe cumplirse con el deber de información a los trabajadores. Este deber resulta particularmente relevante cuando se trate de controles sobre el uso de Internet y/o del correo electrónico. En este caso es muy recomendable que la información a los trabajadores sea clara en lo que respecta a la política de la empresa en cuanto a utilización del correo electrónico e Internet, describiendo de forma pormenorizada en qué medida los trabajadores pueden utilizar los sistemas de comunicación de la empresa con fines privados o personales. Así como que incluya la finalidad de la vigilancia, y cuando pueda repercutir sobre medios que el trabajador utiliza normalmente una información sobre las medidas de vigilancia adoptadas. Por otra parte, en la medida en la que este tipo de controles inciden sobre el conjunto de la empresa puede ser muy recomendable informar también a los representantes de los trabajadores de las políticas adoptadas en esta materia. No se trata en absoluto de que el trabajador conozca el detalle de políticas de seguridad que pueden afectar a ámbitos que la empresa necesita proteger. Sin embargo, es indispensable que conozca por ejemplo si puede recibir mensajes privados, o depositar fotografías en determinados espacios en su ordenador o en un servidor corporativo. La información previa y su prueba es esencial, ya que estos tratamientos no requieren el consentimiento del trabajador y son manifestación de los poderes de control del empresario. 

Controles sobre el absentismo laboral

El Estatuto de los Trabajadores faculta a las empresas para realizar controles en los supuestos de enfermedad o accidente de trabajo que motivan faltas de asistencia. Este control se realizará mediante reconocimiento médico y la norma establece las posibilidades de actuación del trabajador ante la negativa a someterse al reconocimiento. 

Por otra parte hay que tener en cuenta dos elementos que se han señalado con anterioridad en esta Guía: 

- El tratamiento de datos de salud requerirá del consentimiento expreso del trabajador o de la existencia de una previsión legal que exima del mismo. La LOPD contiene un régimen específico cuando se trata de la prestación de asistencia sanitaria que no resulta en absoluto aplicable a este caso. 

- Las posibilidades de acceso de la empresa a estos datos de salud y su utilización para fines distintos para los que fueron recabados resulta imposible ya que, como antes se señaló la empresa únicamente puede conocer las condiciones de aptitud. 

- La incorporación de datos de salud a un fichero con la única finalidad de realizar controles del absentismo resulta desproporcionada. 
El control del absentismo adquiere una relevancia particular cuando se realiza mediante la contratación de un prestador de servicios ya que, además de cumplir con las obligaciones propias de un encargado del tratamiento, debe atenerse a ciertas condiciones: 

- La información al trabajador debe ser muy precisa e indicar que se trata de un control laboral. Como indica el art.5 una de las informaciones que deben facilitarse en su caso se refiere a la obligación de facilitar datos y las consecuencias de la negativa a suministrarlos. 

- Para poder incorporar sus datos de salud a una historia clínica se requerirá el consentimiento expreso del trabajador. . No existe obstáculo a que se persiga la doble finalidad de verificar el estado de salud del trabajador y controlar el absentismo. Pero, si existe un tratamiento relacionado con la salud deberá obtenerse el consentimiento expreso del trabajador. 

- En el caso de que el prestador externo desarrolle servicios de vigilancia en la salud debería articular procedimientos que garanticen el cumplimiento de los principios de protección de datos, y en particular el deber de información, el principio de finalidad y la garantía del consentimiento en cada uno de los tratamientos. 

- Por último no debe olvidarse que para este tipo de servicios el prestador externo tiene la condición de encargado del tratamiento y deben de cumplirse las previsiones del artículo 12 de la LOPD.

LEY DE PROTECCIÓN DE DATOS: GESTIÓN DE PERSONAL

Modalidades del tratamiento de la información

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: 

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. 

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. 

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. 

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. 

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. 

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. 

3. No será necesaria la información a que se refieren las letras b, c y d del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban». 


En el ámbito de la gestión de personal las organizaciones deben ser particularmente cuidadosas tanto en el procedimiento que se escoja para la información como en el momento en el que se proceda a la captación de datos personales. 


Selección de personal

El primer tratamiento de datos personales puede producirse cuando el futuro trabajador sea un simple candidato a un puesto. Para ello deben tenerse en cuenta algunas cautelas:

- Es conveniente, cuando los recursos lo permitan, disponer de modelos de impresos tipo para la formalización del currículo y de un procedimiento de formalización y entrega de los mismos por los candidatos, ya que permite no sólo informar sino definir con precisión el tipo de datos a tratar, establecer las medidas de seguridad etc. 

- Si para la selección de personal se realiza algún tipo de anuncio o convocatoria pública debería incluirse en ella la información del art. 5 LOPD.

- Si el currículo se presenta directamente por el candidato sin habérsele solicitado deben fijarse procedimientos de información que supongan algún acuse o confirmación de conocer las condiciones en las que se desarrollará el tratamiento. 
No debe olvidarse que el Reglamento de desarrollo de la Ley Orgánica de protección de datos indica que el deber de información deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado. 

- En casos de grupos de empresas o de cualquier otra fórmula de colaboración empresarial debe tenerse en cuenta que la cesión de los datos contenidos en el currículum, o del propio documento debe contar con el consentimiento del candidato

En la contratación

El contrato de trabajo es un medio adecuado para informar al trabajador respecto del tratamiento que se realizará respecto de sus datos. No obstante: 

- No debe confundirse la información con la manifestación del consentimiento. Por ello, el contrato de trabajo constituye un medio adecuado para ofrecer información sobre los tratamientos directamente relacionados con la prestación laboral. No así para otros tratamientos.
Ej. Una empresa formaliza un convenio gracias al cual el trabajador obtiene ventajas para ciertas compras pero requiere que la primera le confirme la identidad del beneficiario. Tratándose de decisiones de consumo ajenas a la relación contractual, el contrato de trabajo resulta un instrumento ineficaz para obtener el consentimiento. 

- No exime del deber información sobre todos aquellos nuevos tratamientos de datos personales que la empresa decida realizar con carácter posterior al nacimiento de la relación laboral.

El desarrollo de sus funciones

Las relaciones laborales son dinámicas y pueden a estar sujetas a cambios sobrevenidos tanto desde el punto de vista del trabajador como desde la perspectiva de la empresa. 
Ej. Un trabajador que inicialmente no se acogió a la posibilidad de descontar de su nómina la cuota sindical se afilia y lo solicita. La empresa instala un nuevo sistema de control de presencia basado en el uso de instalaciones de videovigilancia. 

Por ello será necesario informar al trabajador en todos aquellos casos en los que se produzcan cambios que afecten al tratamiento de los datos personales como la aparición de nuevas finalidades o de nuevos tratamientos. 

Qué es el whistleblowing

Estos sistemas se suelen configurar mediante la creación de buzones internos a través de los cuales los empleados de la compañía, generalmente mediante un procedimiento online, ponen de manifiesto la existencia de conductas contrarias a la Ley o a las normas internas de conducta de la empresa, llevadas a cabo por empleados o auditores de las empresas. Ej.: Los empleados pueden denunciar mediante estos sistemas conductas a través de las cuales se “soborna” a los auditores para que maquillen las cuentas de una empresa o aquellas en que un directivo de la firma facilita información reservada a terceros.

CREATIVE COMMONS: CAUSAS, TIPOS DE LICENCIAS Y OTROS PUNTOS

Causas/razones por las que surge el Creative Commons

Para reducir la desigualdad, para facilitar el compartir el conocimiento y para reducir costos administrativos.

Tipos de licencias.

Hay 6 tipos de licencias Creative Commons:

1.- RECONOCIMIENTO (BY)

Se permite cualquier explotación de la obra, incluyendo una finalidad comercial, así como la creación de obras derivadas, la distribución de las cuales también está permitida sin ninguna restricción.

2.- RECONOCIMIENTO – NOCOMERCIAL (BY-NC)

Se permite la generación de obras derivadas siempre que no se haga un uso comercial. Tampoco se puede utilizar la obra original con finalidades comerciales.

3.- RECONOCIMIENTO – NOCOMERCIAL – COMPARTIRIGUAL (BY-NC-SA)

No se permite un uso comercial de la obra original ni de las posibles obras derivadas, la distribución de las cuales se debe hacer con una licencia igual a la que regula la obra original.

4.- RECONOCIMIENTO – NOCOMERCIAL – SINOBRADERIVADA (BY-NC-ND)

No se permite un uso comercial de la obra original ni la generación de obras derivadas.

5.- RECONOCIMIENTO – COMPARTIRIGUAL (BY-SA)

Se permite el uso comercial de la obra y de las posibles obras derivadas, la distribución de las cuales se debe hacer con una licencia igual a la que regula la obra original.

6.- RECONOCIMIENTO – SINOBRADERIVADA (BY-ND)

Se permite el uso comercial de la obra, pero no la generación de obras derivadas.

CREATIVE COMMONS: QUÉ ES, POR QUÉ NACE Y COMO SE CREA

¿ Qué es el creative commons?

Es una organización sin fines de lucro dedicada a promover el acceso y el intercambio de cultura. Desarrolla un conjunto de instrumentos jurídicos de carácter gratuito que facilitan usar y compartir tanto la creatividad como el conocimiento.

¿Por qué nace?

Surge en el 2002 con el objetivo de crear una serie de licencias libres sobre los derechos de autor. El proyecto se inspira en las licencias de la Fundación para el Sofware Libre, cuya filosofía se basa en la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar, cambiar y mejorar el software


¿Cómo se crea?

• Visita la web de Creative Commons: http://es.creativecommons.org/

• Haz clic en la opción de menú Licencias.

• Pulsa en el enlace Escoger una licencia.

• En la pregunta ¿Quiere permitir usos comerciales de su obra? marca la opción deseada. Por ejemplo: No.

• En la pregunta ¿Quiere permitir modificaciones de su obra? señala una respuesta. Por ejemplo: Sí, mientras se comparta de la misma manera.

• En la lista desplegable Jurisdicción de su licencia elige el país de procedencia. También es posible añadir información adicional de la obra pero en este caso no lo haremos.

• De la combinación de las respuestas emitidas surgirá la licencia antes descrita como: Reconocimiento-No comercial-Compartir Igual.

• Clic en el botón Escoja una licencia.

• Selecciona el modelo de icono que deseas incluir en tu página HTML. Observa que debajo se muestra la vista previa que tendrá la licencia.

• Clic derecho sobre el cuadro que muestra el código HTML y elige Copiar.

• Ahora vamos a crear en el blog un gadget en la barra lateral que muestre la licencia elegida a los lectores.

• Desde el Escritorio de administración del blog elige la opción Diseño en la columna izquierda.

• Haz clic en el enlace Añadir un gadget correspondiente a la barra lateral.

• Clic en el botón Añadir (+) para incorporar a la barra lateral un gadget del tipo HTML/Javascript.

• En el cuadro de diálogo Configurar HTML/Javascript introduce como Título el texto Licencia Creative Commons y en el cuadro Contenido haz clic derecho y selecciona Pegar para pegar el código HTML copiado desde Creative Commons. En este código puedes modificar el texto: “Esta obra …” por “Este blog…”

• Clic en el botón Guardar.

• Si deseas modificar de posición arriba/abajo del gadget basta con pulsar y arrastrar uno respecto al otro sobre la edición de la barra lateral.

• Clic en el botón Guardar disposición que se muestra en la esquina superior derecha de gestión del blog.

• Para ver el resultado final haz clic en el botón Ver blog. En la columna lateral se mostrará un gadget con el icono del tipo de licencia elegido.

• Cuando el lector hace clic en el icono o en el enlace textual se mostrará la página de Creative Commons con las condiciones de la licencia elegida.