El Tribunal Supremo ratificó la Sentencia de la Audiencia Provincial de Palma de Mallorca que condenó a 2 años, 6 meses y un día de prisión a un médico para acceder ilegalmente, hasta 25 veces, en la base de datos del Servicio de Salud de las Islas Baleares, y consultar las historias clínicas de 5 compañeros. Recordemos que el Código Penal tipifica como delito (artículo 197) el descubrimiento y revelación de secretos; con penas de prisión de uno a cuatro años; y multas de doce a veinticuatro meses. El hecho punitivo, fue anexado con el agravante que se cometió por un funcionario público.

El funcionario en cuestión empleó su nombre de usuario y contraseña «sin autorización y sin haber relación asistencial» para consultar las historias clínicas de cinco compañeros entre enero de 2010 y febrero de 2011. Al exceder de los dos años, el condenado deberá ingresar en prisión para llevar a cumplimiento la pena impuesta. (más…)

El pasado 6 de octubre podemos decir que será un antes y un después en el marco de las transferencias internacionales de datos de carácter personal. Lo que sucedió fue que el Tribunal de Justicia de la Unión Europea, invalidó el acuerdo que permitía transferir datos de usuarios europeos a servidores ubicados en EEUU, en base al acuerdo de puerto seguro o Safe Harbor, pues se considera que no garantiza un nivel de seguridad deseado.

Recordemos que la Directiva 95/46 / CE, dispone que en principio sólo se pueden transferir datos a un tercer país, si éste garantiza un nivel de protección adecuado. La Decisión 2000/520/CE de la Comisión, de 26 de julio, del año 2000; establecía una serie de principios relativos a la protección de datos personales que las empresas estadounidenses podían suscribirse voluntariamente. La adhesión al Convenio Safe Harbor por parte de las empresas con tratamiento de datos en EEUU; permitía el flujo de datos entre los dos continentes. La relevancia, reside por el gran número de empresas que se encontraban adheridas, y lo que supone la invalidez de este acuerdo.

(más…)

Luz verde por parte de la Agencia Española de Protección de Datos para el uso de las plataformas cloud de Microsoft, así se podría titular la Resolución de declaración de adecuación de garantías para las transferencias Internacionales de datos a los Estados Unidos como motivo de la prestación de Servicios de computación en nube.

La extrema rigidez del marco normativo en referencia a las transferencias internacionales de datos supone un obstáculo para la contratación de servicios en la nube; pues bien, Microsoft Corporation mediante la firma de cláusulas contractuales tipos entre exportador e importador (artículo 70.2 del RLOPD) legaliza su tratamiento de datos, pero qué son estas cláusulas contractuales tipo? Es formalizar un acuerdo de garantías entre el importador (cliente) y exportador de los datos (Microsoft Corporation), con la autorización y visto y aprobado de la Agencia Española de Protección de Datos (AEPD), es decir; Microsoft ha facilitado un modelo de contrato (cláusulas contractuales adoptadas por la Comisión Europea en su decisión 2010/87/UE, y un acuerdo suplementario de tratamiento de datos en la nube) porque la AEDP lo valide y permita la transmisión de datos internacionales, evitando el escollo de la autorización de caso a caso para el tratamiento de los datos. Así, Microsoft presenta a la AEPD un modelo de contrato para su validación que firmarán todos y cada uno de los clientes, y que lo reproducirá con análogas garantías con todo tercero que subcontrate. (más…)

En el marco del Mobile World Congress, la Autoridad Catalana de protección de datos llevó a cabo el 25 de febrero la jornada: ¿Cómo gestionamos nuestra privacidad en las aplicaciones móviles?

En un mundo cada vez más applificado, y donde las apps acontecen un negocio (ver la última compra de whatsApp por Facebook) la jornada presentó varios retos en referencia a su privacidad. Estas implican a todas las partes que intervienen, ya sea desarrollador, propietarios de las aplicaciones, fabricantes de sistemas operativos, tiendas de aplicaciones, como los propios usuarios, todo ello a pesar de que a menudo no somos conscientes. (más…)

El pasado 10 de septiembre la Autoridad Catalana de protección de datos (APDCAT) presentó la Recomendación 1/2013 sobre el uso del correo electrónico en el ámbito laboral (en adelante R 1/2013). El objetivo reside en dar pautas para que las empresas puedan regular y controlar el uso del correo electrónico en el ámbito laboral, en cuanto que en los últimos tiempos era uno de los temas más recurrentes y presentaba fuerzas interrogantes. (más…)

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y comercio electrónico, modificada por el Real Decreto-ley 13/2012, de 30 de marzo, para adecuarlo a las Directivas comunitarias, ha establecido las obligaciones y usos de las cookies a nivel nacional. Uno de los retos a los que se enfrenta tanto el legislador como las autoridades de control es el desconocimiento en la materia; pues las cookies suponen la descarga de un archivo o dispositivo en el terminal del usuario con el fin de almacenar y recuperar datos cuando éste accede a determinado website, teniendo implicaciones importantes en la relación a la privacidad y muy directamente, en proporción a la publicidad online. (más…)