#49 Buenas de nuevo. Es obligatoriedad forma parte de la normativa europea. Todas las webs del ámbito de la UE que recogen información mediante cookies, están obligadas a informar de una forma u otra.
#47 Pensaba que había respondido. Sobre el tiempo de actuación, pues generalmente de parte, pero también hay inspecciones de oficio por parte de la AEPD. Lo que no entiendo es la otra pregunta: ¿Están todas las páginas registradas por un español obligadas a tenerlas o solo las .es? : Tenerlas ¿qué?. Saludos.
#41 No estoy del todo de acuerdo. Cuando la norma dice que hay que proteger la información y los datos, se refiere a todo tipo de estructuras. El problema viene cuando se quiere hacer creer que un procedimiento determinado, sirve para cualquier empresa o entidad. Por fuerza ha de ser un traje a medida y requiere de estudio y conocimiento de los procesos dentro de cada entidad o empresa. Cuando la norma dice que se haga un backup cada semana, lo hace para todos, pero no será el mismo procedimiento en una carpintería metálica que en un laboratorio farmacéutico. El autentico problema ha sido dar a entender que esto es sota, caballo y rey, y ahí la culpa la tenemos los consultores. Gracias por la consulta.
#42 Es cierto que el cambio va a ser significativo, sobre todo en lo que respecta a la profesionalización del sector. La aparición de una figura como la del Delegado de Protección de Datos, abre una puerta a estandarizar la profesión. Aunque, obviamente, seguirá habiendo quien minusvalore esta figura. Esta por ver todavía que perfil ha de tener y la formación. En cuanto al reglamento en si, habrá cambios importantes en cuanto al enfoque: se pretende que la seguridad se implante desde el principio de los proyectos, el famoso Privacy by Default. Los requerimientos técnicos tendrán unos requisitos algo más concretos, pero (y es mi opinión), los procedimientos de gestión se vuelven un poco más laxos, aunque hay más obligación de control. Veremos que tal.
#37 Principalmente, el beneficio del cumplimiento es el inventariado de la información. Para un buen cumplimiento LOPD, es preciso conocer en detalle que información se gestiona y como y quien accede a ella. De esta forma se pueden procedimentar los accesos y establecer controles, responsabilidades, etc. Parece increíble, pero la mayoría de entidades no conocen realmente que información manejan. También se genera un clima de confianza hacía el usuario, que tiene constancia de que su información está en buenas manos. Cada vez más, los usuarios estamos sensibilizados con el tema de la privacidad y cada vez más se buscan proveedores que nos aporten, además del servicio que buscamos, esa confianza en el tratamiento de nuestros datos. Gracias por su consulta.
#38 Cierto. Esperemos que se ponga un poco de control a todo esto. He visto incluso proyectos de desarrollo de app android pagados con los fondos de formación. Terrible.
#33 Lo que está comentando es muy grave.
La empresa tiene la obligación de determinar los niveles de acceso en función a los puestos de trabajo y evitar que nadie puede acceder a información de la que no es interesada. La empresa tiene la obligación de establecer las medidas de seguridad y evitar esos accesos. Y además formar al personal para que se conciencie de la importancia de la información que tratan. Tratándose de datos de salud, estamos hablando de infracciones muy graves que se pueden saldar con sanciones muy importantes.
Las aplicaciones que gestionen datos de nivel alto (como es el caso), tienen que mantener un registro de los accesos y actividades de los usuarios a los mismos. El derecho de acceso, que es el que comenta, puede ejercerlo para saber donde y como está almacenada la información que la empresa tiene de Ud. Faltaría ver si el detalle de esa información, incluye quién ha tenido acceso.
En todo caso, lo que está comentado es un caso de libro de infracción muy grave de la norma.
#32 Nadie está a salvo de una intrusión, eso de entrada. Lo que se tiene que evitar es que el daño que esta pueda producir, afecte a terceros. Si uno ha puesto todas las medidas posibles, los procedimientos están bien dimensionados, hay buenas herramientas para respuesta ante la incidencia, etc., pues evidentemente la sanción no será la misma que si hemos descuidado todo lo relacionado con la norma. Según apreciación del inspector, del daño causado, etc., la Agencia de Protección de Datos aplicará la sanción en función a la gravedad de la infracción. En muchos caso, cuando se demuestra que se ha cumplido todo lo previsto, pero ha sido un accidente, se salda con el apercibimiento. Gracias por la consulta.
#30 La caducidad de la información que se gestiona, tiene que determinarla la entidad. En el caso de los registros de acceso a datos de nivel alto y registros de backup, la norma si que regula que se han de guardar dos años. Se puede tomar como referencia para otros tipos de registros. Gracias por la pregunta.
En realidad el procedimiento de cancelación es sencillo, lo que ocurre es que la empresa no tendrá bien desarrollados sus procedimientos ni bien identificados los tratamientos de datos que gestiona y por eso no ha borrado todos los datos. Si la empresa ha certificado que se han borrado, deberían desaparecer todos salvo los que estén por ley obligados. Entre ellos, no están los datos del usu/pass, ni el perfil.
Mi recomendación es que se dirija de nuevo a la empresa y si no obtiene una respuesta aceptable, pues curse denuncia ante la AEPD. Pero lo mejor siempre es contactar con la empresa antes. Gracias por su consulta.
#26 Gracias por asumir que soy una persona con poder. De lo diré a mi mujer para ver si me hace más caso. Respecto al comentario sobre las leyes, siento disentir, pero en el caso que nos ocupa la norma lo que prevé es la garantía y salvaguarda de nuestra información más intima y creo que esto es importante que lo asumamos. No es perfecta claro está, de hecho ya una modificación substancial de la norma en marcha, a la que se han podido presentar alegaciones y correcciones a nivel particular hace hace pocas semanas. Tenemos en marcha un nuevo reglamento adecuado a la realidad actual y no a lo que existía hace 10 años y cada vez más sensibilidad. Creo que vamos por buen camino.
#23 Absurdo o no, a día de hoy es una obligación legal. Pero con la nueva modificación del Reglamento Europeo de Privacidad Electrónica, se está trabajando en sistemas que permitan una gestión más transparente de los permisos otorgados a las cookies por parte de los navegadores. Lo que, de facto, significaria que se eliminaría la obligación de informar. Pero a día de hoy, la obligación existe. De todas formas, no está de más leer la info de las cookies y/o la información de privacidad de las webs.. nos evitariamos más de una sorpresa. Yo lo recomiendo siempre. Gracias por tu pregunta.
#20 El importe de la sanción depende del grado de incumplimiento, a valoración del inspector y de la directora de la Agencia de Protección de Datos. Cualquier web que recoja información personal (en la práctica todas desde el momento en que hay un form de contacto o una inscripción en un boletín de noticias), debería cumplir tanto la LOPD en lo que se refiere a tratamiento de datos, como la LSSICE en cuanto a identificación del propietario y otros datos, como las cookies. Gracias.
#21 La contraseña es un dato personal, con lo que no debería estar al alcance de terceros no autorizados. Lo correcto sería usar algún sistema que no almacene el pass en texto plano. Gracias por la pregunta.
#17 Estamos en el mismo caso. Se tiene que acreditar interés. Otra cosa sería si el usuario se da de alta y no recibe la información necesaria para dar su consentimiento, por ejemplo. En ese caso, si se podría aducir que no se ha cumplido la norma y por tanto podría ser parte. Gracias.
En realidad la norma, no establece parámetros técnicos en cuanto a encriptación. La norma hace referencia a que los datos sensibles o de nivel alto, estarán encriptados para que no puedan ser conocidos por terceros no autorizados. Mi recomendación, en todo caso, es seguir el estado de la tecnología en cada momento y adecuar la seguridad al día a día de la entidad. Gracias por tu pregunta.
#13 Las denuncias ante la AEPD no pueden ser anónimas, porqué el denunciante tiene que ser interesado. Ten en cuenta que estamos hablando de derechos fundamentales y por tanto se tiene que acreditar la relación. Gracias.
#11 No es que sea absurda. Lo que pasa es que los profesionales que nos dedicamos a ello no hemos sabido explicarla bien ni mostrar realmente a las empresas, las ventajas de su cumplimiento. Hemos puesto el foco en el mensaje del miedo a la sanción, pero nos ha faltado pedagogía para hacer ver a las empresas que el cumplimiento de la norma, es mucho más que un acto administrativo. Pero creo, salvo excepciones, que vamos mejorando en el tema.
#9 Si te parece, empezaré por el final. Soy ingeniero informático por formación, aunque mi carrera profesional se ha dedicado a la gestión y la consultoría. Mi labor como consultor la he desarrollado siempre en el marco de procedimientos y adecuación LOPD. El tema de auditoría técnica pura y dura, la dejo a quién sabe mucho más de esto que yo. Bastante trabajo me da ya la parte de procedimientos, je.
Sobre el tema de los "chanchullos", como bien los llamas, ¿pues que decir?. Somos muchos los profesionales que llevamos muchos años peleando contra estos temas, que lo único que hacen es minusvalorar la profesión y al profesional. Constantemente me encuentro con clientes o potenciales clientes que les han vendido proyectos pasando por la bonificación a través de la Fundación Tripartita de los costes de la consultoría, cosa que desde hace casi 6 años, es sabido que es ilegal y está denunciado. Es un lacra, pero también es cierto que las empresas que entran en ese juego, no tienen más interés por los temas de privacidad que el de cumplir con un trámite burocrático, sin preocuparse por las autenticas implicaciones de la norma. Una pena, pero los que nos gusta el tema, seguimos creyendo en que esta norma es una ventaja para las empresas, que les permite diferenciarse ofreciendo confianza y seguridad a los clientes.
#6 No te puedo responder a eso, porqué no tengo el consentimiento de mi primo para desvelar detalles de su vida privada. Gracias por el interés de todas formas.
#5 Eso dependería si la cebolla se considera o no dato personal. Quizás por si sola no lo es, pero puesta en relación con otros datos si que pueda identificar claramente a una persona en concreto; por el olor de su aliento, quizás.
Generalmente las denuncian vienen de parte, pero si que existen actuaciones de oficio que la AEPD lleva a cabo de forma regular. Lo más común sin embargo son las denuncias de parte, como digo.
#1 Buenas tardes. No se si el procentaje del 95% es correcto o no, solo se que se acerca bastante a la realidad. Lo que sucede realmente es que la mayoría de infracciones por las que se sancionan a las web, están mas relacionadas con la falta de información en la recogida de información a traves de cookies que en otro sentido. Casi todas las web, cuentan con alguna versión del famoso "he leído y acepto..", por lo que en primera instancia cumplen con el requisito legal de informar. Aunque si rascamos un poco, veremos que o bien no se ajustan a lo que la norma requiere o simplemente son corta-pega de alguna otra web, con lo que la validez de esos clausulados, en realidad es bien poca.