bookmark_borderOportunismo y nuevo reglamento LOPD

AEPDHe recibido en mi correo electrónico una oferta de un prestigioso centro de formación sobre un seminario sobre “cómo elaborar una política integral de protección, privacidad y seguridad de datos”.

Cuando sigo leyendo veo que se afirma que está “adaptado al nuevo Reglamento LOPD”.

Y me pregunto, ¿cómo es posible, si aún no ha sido aprobado y publicado? ¿cómo pueden afirmar que este seminario está adaptado a algo que no se ha publicado?

Están proliferando los cursos y seminarios sobre este “misterioso” nuevo reglamento, mientras que la Agencia Española de Protección de Datos no se ha dignado en difundirlo. ¿Por qué?

En la web de la AEPD aparece una nota informativa donde su Director, D. José Luis Piñar Mañas, afirma en cuanto a este reglamento que “se ha retrasado la aprobación del texto, pero ha sido por contar con la opinión de los sectores afectados, porque se trata de aprobar un reglamento que a todos nos va a afectar como ciudadanos, responsables o encargados”

¿Cuándo se ha contado con la opinión de los sectores afectados? Algo me he debido perder. Me he vuelto loco buscando en la web… y no he visto ninguna apertura de período de consulta pública, ni ningún resultado o informe final que resuma las inquietudes y observaciones de “ciudadanos, responsables y encargados”

A pesar de que algún miembro que otro de la Agencia está más tiempo dando conferencias sobre este nuevo y futuro reglamento que en su puesto de trabajo.

Aún no se han dignado en colocar un borrador en la página web, a hacerlo público… Y sin embargo, este borrador ha pasado a manos de entidades privadas de formación, “prestigiosos” aplicadores de la LOPD, y demás fauna ibérica. De alguna parte ha salido: o de la misma Agencia, o del Ministerio de Justicia.

Quizá sale más rentable así, pero es de dudosa ética. O a mí me lo parece.

bookmark_borderPrestación de servicios y medidas de seguridad

candadoAcabo de leer una interesante Sentencia (Sentencia de la Audiencia Nacional, Sala de lo Contencioso-Administrativo, de 16 de marzo de 2006) donde se confirma una sanción de 300.000 euros a Iberia impuesta por la Agencia Española de Protección de Datos. Aparece extraviado en el aeropuerto de El Prat (Barcelona) un listado con nombres de pasajeros a los que había que entregar su equipaje, que previamente Iberia había perdido. La encargada de hacer esto es una empresa subcontratada, que es la que perdió este listado.

Al no incluirse en el contrato de prestación de servicios las previsiones del artículo 12 LOPD, la Agencia Española de Protección de Datos sancionó a Iberia: no se garantizaron las medidas de seguridad, y se consideró el tratamiento de la tercera empresa como una cesión no consentida por los titulares.

Esto me hace pensar en las empresas de mensajería que acceden a la identificación del destinatario del paquete/carta, y a su dirección postal, siendo esto es necesario para prestar su servicio.

La LOPD las considera encargadas del tratamiento (artículo 12, acceso a datos por cuenta de terceros). Se deben responsabilizarse de las medidas de seguridad que corresponden a los datos que reciben para el cumplimiento de su servicio. Datos a los que corresponde el nivel de seguridad básico.

Entre otras cosas se ha de evitar su pérdida, pero…¿no es este el riesgo más alto que corre una empresa de paquetería, los extravíos de paquetes o cartas? Tratando un grandísimo volumen de envíos, mayor es el porcentaje de riesgo que asumen.

¿Qué ocurre si no se incluyen las condiciones que marca el artículo 12 en el contrato de prestación de servicios? La consecuencia es que se les tratará igual que a Iberia, quien era responsable de la seguridad de los datos que cede para que le presten el servicio.

¿No debieran tener una especial diligencia estas empresas de paquetería en el tratamiento de datos? Debieran observar por sí mismas las medidas de seguridad. De lo contrario, con no firmar el contrato que impone el artículo 12 LOPD, o no marcar sus estipulaciones en el contrato de prestación de servicios, quedarán exentas de responsabilidad en caso de extravío de datos personales. Y esto no es lógico.