Boletín LOPD Noviembre 2012
Almacenamiento de la documentación en formato papel, presupuesto, facturas, albaranes, etc.

Los dispositivos utilizados para el almacenamiento de los documentos que contengan datos personales deben disponer de mecanismos que obstaculicen su apertura a las personas no autorizadas para acceder a dicha documentación.
Es decir, se debe almacenar dicha documentación (los archivadores con las facturas, albaranes, nóminas, etc.), en armarios, cajoneras, etc. que dispongan de cerradura con llave u otro dispositivo similar.

Obviamente, solo deben disponer de la llave las personas autorizadas a acceder a dicha documentación y los dispositivos deben permanecer cerrados mientras no sea necesario acceder a los documentos almacenados en ellos.

¿Y qué hacemos si los armarios no disponen de cerradura?

En este caso, la normativa nos indica que si las características físicas no permiten adoptar esta media, el responsable del fichero adoptará medidas que impidan el acceso de personas no autorizadas.

Estas medidas pueden ser trasladar toda esta documentación a un recinto aparte cerrado con llave, u otra similar, que garantice que los documentos no van a ser accedidos por  alguien no autorizado.

 

Sanción por compartir fichero con datos por eMule

En la resolución R/02437/2012 de la AEPD se puede ver la sanción que puede sufrir una empresa por no tener implantadas las medidas de seguridad que exige la LOPD.

Con fecha 16 de julio de 2007, tuvo entrada en la AEPD un correo electrónico de la Policía Local del Concello de Ourense, en el que manifiesta que el día 10 de ese mes han encontrado y descargado un archivo de un usuario de Internet, en entorno compartido Emule, siendo el nombre del archivo “PONFERRADA AFILIADOS FIA BIERZO ACCESS 2000.MDB”.

En fecha 10/7/2007 a las 16:21 horas se identificó la IP del usuario de emule que compartía el citado archivo, resultando ser la ***IP.1.
Una vez realizada la inspección de la AEPD, se verifica que la base de datos se compone de diferentes tablas entre las que se encuentran las denominadas “AFILIADO” y “EMPRESAS”, verificando que la primera se compone de 2.890 registros. Dicha base de datos corresponde a una aplicación informática utilizada para la gestión del fichero que se encuentra alojada en un servidor ubicado en la propia secretaría de la organización sindical donde se realiza la inspección.

El problema se ocasionó porque un usuario permitió que el archivo pudiera ser compartido por otros a través de eMule, aunque no está probado que el mismo lo hiciera conscientemente y con la intención de dar a conocer o difundir este archivo, ni que con ello pretendiera perju-dicar a los afiliados o a la organización sindical FIA-UGT de la comarca del Bierzo.
Resultado: Sanción de 6.000€ a la FEDERACIÓN ESTATAL DE INDUSTRIAS AFINES DE LA UNIÓN GENERAL DE TRABAJADORES por una infracción del artículo 9.1 de la LOPD, tipificada como grave.

 

Cambio de sexo y protección de datos

El informe 0268/2011 de la  AEPD resuelve la consulta planteada sobre el modo en que deberán aplicarse las previsiones de la LOPD, y su Reglamento de desarrollo, en el  supuesto en que una persona que ha sido sometida a un tratamiento de transexualidad ha solicitado la rectificación de sus datos, de forma que aparezcan recogidos en la historia clínica de la paciente con su nuevo nombre. En particular, se plantea si debería modificarse el nombre de la paciente en los datos relacionados con episodios de la historia clínica acaecidos mientras la paciente era hombre.

De dicho informe jurídico se extrae lo siguiente:

a) La necesidad de que los datos relacionados con el paciente aparezcan en la historia clínica en su situación actual, de forma que la información aparezca vinculada con la misma.
b) No obstante, los episodios contenidos en la historia deberán conservarse con la debida exactitud e integridad, a fin de poder garantizar una adecuada asistencia sanitaria al paciente a tenor de toda la información sanitaria disponible, teniendo particularmente en cuenta las peculiaridades que pudieran derivarse, en relación con determinadas dolencias, del sexo del paciente, dado que en la consulta se señala que “el modo de enfermar es diferente en función del género”, existiendo además determinadas dolencias vinculadas exclusivamente a un género determinado.

Consecuencia de todo ello será que si bien la información contenida en la historia clínica deberá figurar en su denominación bajo el nombre de la paciente, los concretos episodios contenidos en la misma deberán conservar la información necesaria que garantice el conocimiento por los facultativos que accedan a la historia de que la paciente en el  momento de desarrollarse dicho episodio era del género masculino.

 

¿Qué son las etiquetas RFID y qué relación tienen con la protección de datos personales?

La Identificación por Radio Frecuencia o RFID es una tecnología que permite identificar un objeto gracias a una onda emisora incorporada en el mismo que transmite por radiofrecuencia los datos identificativos del objeto (etiquetas de seguridad, chips, carnet biblioteca, tarjeta de control de trabajadores, pulseras chip, etc.).
Si bien esta tecnología mejora la eficiencia y comodidad de los sistemas de uso diario, a veces plantea riesgos para la seguridad y la privacidad de los usuarios.

En los casos en los que las etiquetas contengan información personal o asociada a personas físicas, serán de aplicación las normas sobre protección de datos personales, en concreto, la LOPD.

Los usuarios deben conocer la tecnología, interesarse por el uso que se va a hacer de ella, conocer el modo de ejercer sus derechos y trasladar a los responsables del uso de estas tecnologías la necesidad de respetar su derecho fundamental a la protección de datos en los procesos de diseño de nuevos servicios de RFID.