Archivo de la etiqueta: datos de caracter personal

5 Claves para cumplir con la LOPD en tu empresa

Posted on por
Responder

Como ya he comentado en otras ocasiones, los datos de carácter personal son derechos especialmente protegidos, y se encuentran dentro de la categoría de derechos fundamentales de la Constitución.

La privacidad de estos datos deber ser tomada muy en serio por las empresas y organizaciones, pues éstas gestionan información personal que, de ser conocida por terceros, puede causar perjuicios graves para los particulares, además de generar denuncias a la AEPD o demandas para éstas.

Sin perjuicio de que siempre recomendaré que un experto con conocimientos jurídico-técnicos en LOPD valore y audite cada empresa de forma independiente antes de implantar cualquier política de protección de datos, a continuación indico las claves básicas para dar un cumplimiento mínimo a la LOPD.

1.- Inscripción de los diferentes ficheros en la Agencia Española de Protección de Datos.

No se trata simplemente de inscribir un fichero genérico en el que caben todo tipo de datos. Se debe hacer un estudio previo de las diferentes formas en los que un empresa recaba datos de carácter personal para así organizarlos en diferentes ficheros. Por ejemplo, si los datos se recaban a través de un formulario web, conviene crear un fichero exclusivo para estos datos, si se recogen imágenes de una cámara de seguridad se debe crear otro fichero diferente, si se trata de proveedores otro, de curriculums otro, de personal y nóminas otro diferente, otro para clientes, etc. De esta manera, los datos estarán organizados, localizables y mejor protegidos según sus características, pues obviamente no es lo mismo tener información de enfermedades de una persona, que tener simplemente su e-mail.

Otra cosa importante es, por supuesto, poner esto en práctica y crear estos ficheros física o virtualmente de forma ordenada, y mantenerlos en buenas condiciones junto con las medidas técnicas adecuadas en función de si se trata de datos con una protección de grado básico, medio o alto.

2.- Elaboración de una política de privacidad y de cookies.

Tanto si tu empresa tiene una web como si no, la LOPD indica que se ha de elaborar una política de privacidad en la que se informará a los clientes o aquellas personas de las que se recaben sus datos de cual será el uso de los mismos, cómo pueden ejercitar los derechos ARCO (acceso, cancelación, rectificación y oposición), a dónde deben dirigirse los usuarios, titularidad del o los ficheros y otra información relevante que cada empresa quiera o deba facilitar a sus clientes.

Además, esta política se debe implementar en el propio seno de la empresa, y funcionar tal y como se indica a los clientes. Es decir, conviene que haya un responsable del fichero, un responsable de atender a los clientes que ejerciten sus derechos ARCO, etc. No es suficiente informar de nuestra política de privacidad si internamente la empresa no funciona como tal, ni se lleva ningún control sobre los datos.

3.- Elaborar el Documento de seguridad.

Un Documento de seguridad es donde se anotan protocolos de seguridad, medidas técnicas y organizativas para la protección de los datos, se indica quienes son los responsables de las diferentes funciones y ficheros, listado de personas con acceso a los datos, se archivan documentos firmados con terceros en relación con acceso a datos, contratos de confidencialidad con los trabajadores, etc. En definitiva, se trata de un documento «vivo», que se deberá actualizar con cada cambio y por ello es necesario que alguien se responsabilice del mismo.

Paradójicamente, el Documento de seguridad es el gran olvidado de las empresas, cuando en realidad es el documento más importante y el que, en caso de inspección por denuncia (de momento no hay inspecciones de oficio propiamente dichas) se requerirá. Hemos de tener en cuenta que las inspecciones suelen producirse por denuncia, normalmente de trabajadores pero cada vez los casos son más variados.

Actualmente, como digo, no existe la figura del inspector de protección de datos de carácter personal, pero hemos de tener en cuenta que un Inspector de trabajo también podrá solicitar el Documento de seguridad, ya que suele contener datos de carácter laboral, o curriculums, y aunque no se sancionará en caso de no tenerlo en condiciones, sí se anota en el acta de inspección.

Además, para muchas certificaciones ISO, el estar en cumplimiento de la LOPD es un requisito básico.

4.- Firma de Contratos con proveedores, clientes y trabajadores.

Otro gran olvido de las empresas u organizaciones es firmar los correspondientes documentos con aquellos proveedores, clientes u otras personas que tengan acceso a los datos o dependencias de éstas.

En estos contratos las partes implicadas se deben comprometer a hacer el uso correcto y necesario de los datos a los que acceden, además de guardar confidencialidad. Sin estos contratos, los datos  corren el peligro de ser utilizados para otras cuestiones.

5.- Mantenimiento.

Por último, y muy importante, es que las empresas deben concienciarse de que la LOPD es una de las leyes más estrictas y específicas que Europa nos impone, y que para dar un buen cumplimiento es necesario trabajar sobre los datos obtenidos de forma continua, establecer medidas técnicas adecuadas, auditarse y mantener unos estándares de protección y calidad adecuados de forma continuada, y por tanto tras la implantación de protección de datos, se deben proceder al mantenimiento correcto de todos los protocolos de cara a evitar sanciones importantes.

 

Contrato de desarrollo a medida de programas de ordenador

Posted on por
Responder

Aquí debemos tener claro si estamos regulando una prestación de servicios o un arrendamiento de obra, ya que se puede pedir un resultado concreto.

Se pueden dar dos situaciones:

1.- Cliente que quiere que una empresa tecnológica desarrolle un software desde cero y  específico para él.

2.- Cliente que quiere que una empresa tecnológica desarrolle un software ya creado.

En ambos casos, se adapta al cliente y se produce un resultado que crea un software, o modifica o añade algo al software existente.

Por tanto la empresa tecnológica ha de producir un resultado, y en este sentido debemos partir de unas bases:

1.- ¿Qué queremos que haga el software?

2.- ¿Es un arrendamiento de obra o de servicios, o la mezcla de ambos?

3.- Si es un software a medida, tener en cuenta que el análisis funcional y el analista son básicos.

En cuanto al objeto del contrato, es importante definirlo con el máximo de detalles, sobre todo a nivel técnico. Esto beneficia a ambas partes:

A la empresa tecnológica porque así tiene claro su objetivo y hasta dónde debe realizar su trabajo sin que se le pueda exigir más allá por un precio cerrado.

Al cliente porque así sabe qué es exactamente lo que se le va a desarrollar y lo que puede exigir conforme al precio pactado.

Si se solicita más de lo acordado, lo más adecuado es crear un anexo o incluso un nuevo contrato que regule todas las nuevas circunstancias.

La empresas de consultoría nos podrán ayudar a realizar este análisis funcional, sobre todo si el software se crea desde cero.

También conviene regular un calendario de Fases de realización del objeto / proyecto en cuestión. Se trata de hitos y pautas para controlar el trabajo y los plazos.

Hay 2 sistemas básicamente:

1.- Las fases se van aceptando una a una mediante actas. Si defiendes al cliente, esta es la mejor opción.

2.- Se aceptan tácitamente si en el plazo de X días ninguna de las partes se manifiesta. Si defiendes a la empresa tecnológica, esta es la mejor opción.

Muy importante: Según el Código civil, lo entregado y pagado, se entiende por aceptado.

Es común igualmente establecer Penalizaciones si los hitos o plazos de entrega no se cumplen a tiempo. Se puede realizar mediante tablas orientativas sobre hito/plazo/penalización, que irá en aumento cuanto mayor sea el retraso, pudiendo incluir un plazo máximo de retraso que da lugar a la extinción del contrato por incumplimiento.

Aquí es importante regular los casos en los que las partes no se ponen de acuerdo, regular el escalado de la cuestión de los jefes de proyecto a los responsables superiores, etc, para evitar la terminación del contrato con lo que todo ello conlleva (gastos, indemnizaciones, pleitos…).

Siempre se debe regular la Confidencilidad y la protección de datos de carácter personal, tanto para una parte como para la otra.

Garantía y RC: Se suele otorgar un periodo de garantía o de prueba de un año o dos, en el que la empresa tecnológica debe velar por el buen funcionamiento del software, solucionando posibles incidencias.

Desplazamiento del personal: Es muy común en estos contratos que el personal de la empresa tecnológica se tenga que desplazar habitualmente a la sede del cliente, por lo que es muy conveniente dejar bien claro que la relación es exclusivamente mercantil, y nunca laboral, por las implicaciones que esto podría tener para el cliente, sobre todo. Igualmente conviene cuidar a tu analista si eres la empresa tecnológica, y evitar la “fuga” de talentos al cliente.

Se debe evitar la cesión ilegal de trabajadores, por tanto, en el contrato siempre hablaremos de “perfiles”, no de personal, o de trabajadores, e indicando que las instrucciones de trabajo las recibe su empresa tecnológica, no del cliente.

Responsabilidad: En el sector está muy aceptada la limitación de responsabilidad a una cuantía determinada. Los pactos pueden variar mucho. Por ejemplo: precio del contrato.

Propiedad intelectual e industrial

Si no se regula o no se pacta nada, se entiende que la propiedad intelectual es para la parte que realiza el esfuerzo creativo (en este caso la empresa tecnológica). Por tanto, si quieres adquirir esta propiedad como cliente, deberás pactarlo expresamente.

En este punto pueden producirse 3 casos básicamente:

1.- Si se trata de un software ya creado y standard, la empresa tecnológica conserva la propiedad intelectual.

2.- Si es un software ya creado pero con modificaciones, la empresa tecnológica podría conservar la propiedad intelectual, pero ceder o no las modificaciones realizadas para que el cliente continúe desarrollando su programa.

2.- Si hay desarrollo integral o adicionales, puede que el cliente desse adquirir la propiedad intelectual, o incluso ser compartida por las partes, y que luego ambas desarrollen el software por caminos diferentes.

Aquí, la empresa tecnológica tratará de proteger su “know-how”, obviamente.

Aunque el trabajo lo realiza la empresa tecnológica, conviene también regular ciertas obligaciones del cliente, que no se reducen al pago. En este caso hablamos de efectiva colaboración, que permita el acceso a información , instalaciones, documentación, etc…

Consejo: Intentar que el jefe de proyecto o analista del mismo no abandonen durante la ejecución del contrato, puesto que son los “directores de orquesta” del proyecto. Se puede establece que en caso de abandono, el contrato se extinga, sin perjuicio de la indemnización que por daños y perjuicios al cliente le pudiera corresponder.

El «cloud computing» y la Administración Pública

Posted on por
Responder

Tras un pequeño análisis , desde mi punto de vista me gustaría comentar ciertos puntos «controvertidos» del uso de las TIC´s por parte de la Administración y formular unas conclusiones claras:

1) Como antecedente al uso de las TIC´s en la Administración, ya encontramos en la primera versión de la Ley 30/1992 de 26 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, artículo, 45, el impulso al empleo y aplicación de las técnicas y medios electrónicos, informáticos y telemáticos, por parte de la Administración al objeto de desarrollar su actividad y el ejercicio de sus competencias y de permitir a los ciudadanos relacionarse con las Administraciones, además de la Ley 24/2001 de 27 de diciembre al permitir el establecimiento de registros telemáticos para la recepción o salida de solicitudes, escritos y comunicaciones por
medios telemáticos, y la Ley General Tributaria de 2003 que prevé expresamente la actuación administrativa automatizada o la imagen electrónica de los documentos.

2) Que continuando con el marco legal, se refuerza esta intención del uso de las TIC´s por parte de la Administración en la comentada Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

3) Que es claro el avance y la línea que va a seguir la Administración en el uso de las TIC´s por las ventajas que supone: reducción de costes a largo plazo, inmediatez, comodidad, mejor comunicación Administración-ciudadano, etc., PERO por otro lado se deben tener en cuenta las desventajas de este nuevo medio. Creo que la más relevante es la llamada «brecha digital«, o el NO acceso a estas tecnologías de personas de cierta edad o que no están familirizadas con las nuevas tecnologías. Por este motivo, es clave que las Administraciones impartan formaciones a estos grupos sociales, y, sobre todo, por ahora se mantengan los medios «tradicionales»: presencial y papel.

4) Otro punto muy discutido ha sido el de la seguridad de nuestros datos de carácter personal en «la nube«. Creo que este «miedo» es más producto de la novedad del medio que un riesgo real. Como comentaba anteriormente, el acceso a nuestros datos puede ser vulnerado igualmente aunque nuestros datos estuvieran, como aún están, en muchos archivos en papel, por lo que la preocupación o riesgo, en realidad creo que no tiene mucho fundamento. Es más, en muchos aspectos, creo que nuestros datos custodiados por una máquina que encripta la información están más seguros que en papel. Obviamente esto no obsta para que igualmente puedan surgir atentados contra nuestros datos, en cuyo caso para eso tenemos una Ley Orgánica que protege estos derechos fundamentales reconocidos en nuestra Constitución, y una Agencia de Protección de Datos a nivel estatal más las Autoridades de protección de datos a nivel autonómico.

Una vez comentado esto, mis conclusiones serían las soguientes:

1) Las TIC´s y la Administración deben seguir combinándose no sólo porque haya una Ley que lo contemple, sino porque es una realidad social que los ciudadanos cada vez más exigen el uso de esta tecnología que proporciona más ventajas que inconvenientes.

2) Que obviamente se ha de trabajar en la seguridad de nuestros datos de carácter personal en la «nube«.

3) Que se ha de trabajar en cerrar la brecha digital, y que esta función corresponde a la Administración, aunque a medio plazo, por el mero paso del tiempo, ésta desaparecerá. No hay más que ver a qué edad los niños empiezan a usar Internet actualmente.

4) No podemos negarnos a la evolución tecnológica, aunque el «miedo» a los riesgos sea una reacción lógica por su vertiente de desconocimiento técnico que la mayoría tenemos. De ser así, las Administraciones a día de hoy seguirían usando máquinas de escribir…

5) Además, si atendemos a la Ley 11/2007, constatremos que, en sus artículo 3 y 4 ya contempla parte de lo debatido:

Facilitar el acceso por medios electrónicos de los ciudadanos a la información y al procedimiento administrativo, con especial atención a la eliminación de las barreras que limiten dicho acceso (brecha digital). Crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y en especial los relacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos (medidas de seguridad). Contribuir a la mejora del funcionamiento interno de las Administraciones Públicas, incrementando la eficacia y la eficiencia de las mismas mediante el uso de las tecnologías de la información, con las debidas garantías legales en la realización de sus funciones (eficacia, inmediatez, transparencia).

Todo esto, sin perjuicio de los principios básicos que la Ley establece:

– El respeto al derecho a la protección de datos de carácter personal, así como a los derechos al honor y a la intimidad personal y familiar.
– Principio de igualdad (evitar la brecha digital).
– Principio de accesibilidad a la información y a los servicios por medios
electrónicos por medios seguros.
– Principio de legalidad en cuanto al mantenimiento de la integridad de las
garantías jurídicas.
– Principio de cooperación en la utilización de medios electrónicos por las
Administraciones Públicas.
– Principio de seguridad en la implantación y utilización de los medios
electrónicos por las Administraciones Públicas.
– Principio de proporcionalidad.
– Principio de responsabilidad y calidad en la veracidad y autenticidad de las
informaciones y servicios ofrecidos por las Administraciones Públicas a través
de medios electrónicos.
– Principio de neutralidad tecnológica y de adaptabilidad al progreso de las
técnicas y sistemas de comunicaciones electrónicas.
– Principio de simplificación administrativa.
– Principio de transparencia y publicidad del procedimiento administrativo.

6) Por tanto, en mi opinión, son muchas las ventajas y muy pocos los inconvenientes que, además, tratan de ser paliados de una forma contundente con las Leyes y principios antes comentados.

7) Por último, y en relación con el punto 6 anterior, resumiría las ventajas e inconvenientes de la siguiente manera:

VENTAJAS:
a) Rapidez y comodidad.
b) Eficiencia en la burocracia.
c) Mayor participación ciudadana y mejor comunicación Administración – ciudadano.

INCONVENIENTES:
a) Brecha digital (es un inconveniente que se irá reduciendo paulatinamente).
b) Más que seguridad, yo hablaría de falta de confianza en la tecnología, una reacción lógica y propia del ser humano ante lo «desconocido».

 

Ver artículo sobre «nubes particulares».

LOPD y derechos fundamentales

Posted on por
Responder

En cuanto al Derecho de protección de datos de carácter personal, a modo de introducción debemos tener claros varios puntos:

1.- Sólo aplica sólo a persona físicas (no afecta a personas jurídicas – empresas-).

2.- Es un derecho fundamental protegido por la Constitución española de una forma «indirecta», y que básicamente versa sobre el control de MI información y MI vida. Por tanto es un derecho autónomo.

3.- Cualquier límite a este derecho se debe interpretar de forma restrictiva.

4.- Para solventar un problema de protección de datos, hay que acudir no sólo a la LOPD, sino a todas las disposiciones que dependerán del ámbito de cada caso (mercantil, laboral…).

5.- La titularidad de los datos siempre es del individuo, de la persona física. Jamás del responsable del fichero o de quien lo gestiona (encrgdo del fichero).

6.- No es tan importante qué tipo de dato es, como el uso que le van a dar si lo cedo, y el por qué de esa comunicación de los datos.

7.- La protección de datos no es algo exclusivo de las nuevas tecnologías, ni es una novedad jurídica como veremos.

Todos los derechos y libertades fundamentales están conectados con el derecho a la protección de datos de carácter personal, y su dimensión es amplísima: no se reduce a nombre y apellidos, dirección, email o teléfono, sino que incluye datos relativos a la religión, informes médicos, correspondencia, diarios, dibujos, fotografías, canciones, etc…

Antecedentes.

Un hito importante es el caso del Censo que se creó en Alemania en los ochenta en el que se solictó a todos los ciudadanos datos de carácter personal tan íntimos como la religión. Teniendo en cuenta lo ocurrido años antes con el Holocausto, esto provocó la queja de la sociedad alemana ante esta desprotección, solictando la «autodeterminación informativa». Es decir, «mi información personal yo la controlo y la comparto con quien quiero«.

En USA pronto se advirtió que las autoridades controlaban a sus ciudadanos través de las bibliotecas, donde quedaban registrados los libros que se prestaban y a qué persona. De esta manera la CIA podía saber si alguien era comunista, disidente del sistema o hacerse una idea muy aproximada de su carácter, y por tanto se entendía que esto atentaba contra la libertad de cada uno. Es, hablando mal y pronto, el derecho «a que me dejen en paz».

En conexión con esto, encontramos el «derecho al olvido». Hace poco salía una noticia en televisión en la que un hombre que hace 20 años cometió un supuesto crimen del que además salió absuelto, el cual si ponía su nombre en el buscador Google lo primero que salía era el delito que no cometió junto a su nombre y fotografía. Esto afecta a su reputación y uno debe tener el derecho a que ciertos datos de su vida queden cancelados, por inciertos o por su caracter personal y por tanto fundamental, que afectan a su vida y a su persona, a su honor, a su reputación, a su intimidad personal…

En España, es el artículo 18.4 de la Constitución española junto con las Directivas Comunitarias transpuestas, las que dan pie al desarrollo del derecho a la protección de datos de carácter personal: «La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.»

Tres derechos dan sustento a la protección de datos de carácter personal:

1.- Dignidad

2.- Libertad

3.- Libre desarrollo de la personalidad.

Lectura recomendada: Caso Olaverri. Este hombre sólo quería saber de qué datos personales disponía el Gobierno Vasco y peleó en los Tribunales hasta conseguir una Sentencia favorable cuando aún no existía la LOPD. Se valió de la Constitución española y tratados internacionales. Al ser un derecho fundamental, es de ejercicio directo para llevarlo a los Juzgados y Tribunales, lo que demuestra que efectivamente se trata de un derecho fundamental.