Un lugar donde someterse a preguntas
28 meneos
1529 clics
Soy consultor LOPD desde hace 17 años. ¿Tienes alguna duda?

Soy consultor LOPD desde hace 17 años. ¿Tienes alguna duda?

Llevo trabajando como consultor en materia desde el año 2000. Si tienes alguna duda respecto al cumplimiento de la norma, no dudes en preguntarme. Responderé todas las consultas.

| etiquetas: lopd , privacidad , lssice
Hola, tengo la sensación de que el 95% de las webs que ahí en España no cumplen con la LOPD. Y que aún así, no se multa a nadie, ni se da un toque de atención. ¿Es así?
#1 Buenas tardes. No se si el procentaje del 95% es correcto o no, solo se que se acerca bastante a la realidad. Lo que sucede realmente es que la mayoría de infracciones por las que se sancionan a las web, están mas relacionadas con la falta de información en la recogida de información a traves de cookies que en otro sentido. Casi todas las web, cuentan con alguna versión del famoso "he leído y acepto..", por lo que en primera instancia cumplen con el requisito legal de informar. Aunque si rascamos un poco, veremos que o bien no se ajustan a lo que la norma requiere o simplemente son corta-pega de alguna otra web, con lo que la validez de esos clausulados, en realidad es bien poca.
#3 ¿Cuánto es la multa por esto? ¿Quién lo fiscaliza? ¿actúan de oficio o en base a denuncias de terceros? ¿Están todas las páginas registradas por un español obligadas a tenerlas o solo las .es?
#20 El importe de la sanción depende del grado de incumplimiento, a valoración del inspector y de la directora de la Agencia de Protección de Datos. Cualquier web que recoja información personal (en la práctica todas desde el momento en que hay un form de contacto o una inscripción en un boletín de noticias), debería cumplir tanto la LOPD en lo que se refiere a tratamiento de datos, como la LSSICE en cuanto a identificación del propietario y otros datos, como las cookies. Gracias.
#24 gracias por responder!

Puedes responder a las otras dos preguntas?

¿actúan de oficio o en base a denuncias de terceros? ¿Están todas las páginas registradas por un español obligadas a tenerlas o solo las .es?

Gracias!
#47 Pensaba que había respondido. Sobre el tiempo de actuación, pues generalmente de parte, pero también hay inspecciones de oficio por parte de la AEPD. Lo que no entiendo es la otra pregunta: ¿Están todas las páginas registradas por un español obligadas a tenerlas o solo las .es? : Tenerlas ¿qué?. Saludos.
#48 disculpa, se me olvidó comentar que me refería al disclaimer de las cookies
#49 Buenas de nuevo. Es obligatoriedad forma parte de la normativa europea. Todas las webs del ámbito de la UE que recogen información mediante cookies, están obligadas a informar de una forma u otra.
#3: El problema es que la normativa es compleja de entender. Cuando la gente viaja en ascensor normalmente se encuentra una botonera con los pisos bien marcados y hasta en relieve para ciegos, no unos cables pelados en su extremo para juntar entre si para subir o bajar. ¿Por qué la ley no sigue ese mismo criterio de dar facilidad de uso a todo el mundo por igual?

Por eso muchos optan por el copia-pega.
#41 No estoy del todo de acuerdo. Cuando la norma dice que hay que proteger la información y los datos, se refiere a todo tipo de estructuras. El problema viene cuando se quiere hacer creer que un procedimiento determinado, sirve para cualquier empresa o entidad. Por fuerza ha de ser un traje a medida y requiere de estudio y conocimiento de los procesos dentro de cada entidad o empresa. Cuando la norma dice que se haga un backup cada semana, lo hace para todos, pero no será el mismo procedimiento en una carpintería metálica que en un laboratorio farmacéutico. El autentico problema ha sido dar a entender que esto es sota, caballo y rey, y ahí la culpa la tenemos los consultores. Gracias por la consulta.
Para que te multen por no cumplir LOPD , ¿debe existir una denuncia previa o la agencia de protección de datos puede actuar de oficio?
Generalmente las denuncian vienen de parte, pero si que existen actuaciones de oficio que la AEPD lleva a cabo de forma regular. Lo más común sin embargo son las denuncias de parte, como digo.
Desde un punto de vista legal atendiendo a la LOPD ¿La tortilla española con cebolla o sin cebolla?
#5 Eso dependería si la cebolla se considera o no dato personal. Quizás por si sola no lo es, pero puesta en relación con otros datos si que pueda identificar claramente a una persona en concreto; por el olor de su aliento, quizás.
Qué tal tu primo Rubén?
#6 No te puedo responder a eso, porqué no tengo el consentimiento de mi primo para desvelar detalles de su vida privada. Gracias por el interés de todas formas.
¿Qué opinas de todos los "chanchullos" que se hacen en torno a la LOPD: documentos de seguridad corta/pega unos de otros, auditorias sin pisar las oficinas del cliente, nulo cumplimiento y conocimiento sobre las medidas técnicas de protección en materia de seguridad de la información sobre ficheros de tratamiento automatizado, uso de fundación tripartita para pasar procesos de consultoría/auditoría por formación, ...? ¿Has participado o participas de algunas de las estrategias para vender "LOPD" como el que vende "churros"?

Por otra parte, ¿cuál es tu formación y perfil? ¿Haces auditoría técnica o únicamente de cumplimiento legal en el marco organizativo/procedimental?
#9 Si te parece, empezaré por el final. Soy ingeniero informático por formación, aunque mi carrera profesional se ha dedicado a la gestión y la consultoría. Mi labor como consultor la he desarrollado siempre en el marco de procedimientos y adecuación LOPD. El tema de auditoría técnica pura y dura, la dejo a quién sabe mucho más de esto que yo. Bastante trabajo me da ya la parte de procedimientos, je.

Sobre el tema de los "chanchullos", como bien los llamas, ¿pues que decir?. Somos muchos los profesionales que llevamos muchos años peleando contra estos temas, que lo único que hacen es minusvalorar la profesión y al profesional. Constantemente me encuentro con clientes o potenciales clientes que les han vendido proyectos pasando por la bonificación a través de la Fundación Tripartita de los costes de la consultoría, cosa que desde hace casi 6 años, es sabido que es ilegal y está denunciado. Es un lacra, pero también es cierto que las empresas que entran en ese juego, no tienen más interés por los temas de privacidad que el de cumplir con un trámite burocrático, sin preocuparse por las autenticas implicaciones de la norma. Una pena, pero los que nos gusta el tema, seguimos creyendo en que esta norma es una ventaja para las empresas, que les permite diferenciarse ofreciendo confianza y seguridad a los clientes.
#9, algún día el tema de la Fundación Tripartita va a salir en todos los telediarios y todos correremos en círculos con los brazos en alto. Hay mucha gente ahí viviendo del cuento.
#38 Cierto. Esperemos que se ponga un poco de control a todo esto. He visto incluso proyectos de desarrollo de app android pagados con los fondos de formación. Terrible.
#11 No es que sea absurda. Lo que pasa es que los profesionales que nos dedicamos a ello no hemos sabido explicarla bien ni mostrar realmente a las empresas, las ventajas de su cumplimiento. Hemos puesto el foco en el mensaje del miedo a la sanción, pero nos ha faltado pedagogía para hacer ver a las empresas que el cumplimiento de la norma, es mucho más que un acto administrativo. Pero creo, salvo excepciones, que vamos mejorando en el tema.
#23 Absurdo o no, a día de hoy es una obligación legal. Pero con la nueva modificación del Reglamento Europeo de Privacidad Electrónica, se está trabajando en sistemas que permitan una gestión más transparente de los permisos otorgados a las cookies por parte de los navegadores. Lo que, de facto, significaria que se eliminaría la obligación de informar. Pero a día de hoy, la obligación existe. De todas formas, no está de más leer la info de las cookies y/o la información de privacidad de las webs.. nos evitariamos más de una sorpresa. Yo lo recomiendo siempre. Gracias por tu pregunta.
#26 Gracias por asumir que soy una persona con poder. De lo diré a mi mujer para ver si me hace más caso. Respecto al comentario sobre las leyes, siento disentir, pero en el caso que nos ocupa la norma lo que prevé es la garantía y salvaguarda de nuestra información más intima y creo que esto es importante que lo asumamos. No es perfecta claro está, de hecho ya una modificación substancial de la norma en marcha, a la que se han podido presentar alegaciones y correcciones a nivel particular hace hace pocas semanas. Tenemos en marcha un nuevo reglamento adecuado a la realidad actual y no a lo que existía hace 10 años y cada vez más sensibilidad. Creo que vamos por buen camino.
#12 ¿puedes hacer un breve resumen, o poner algún ejemplo, de cuáles son esas ventajas de su cumplimiento?
#37 Principalmente, el beneficio del cumplimiento es el inventariado de la información. Para un buen cumplimiento LOPD, es preciso conocer en detalle que información se gestiona y como y quien accede a ella. De esta forma se pueden procedimentar los accesos y establecer controles, responsabilidades, etc. Parece increíble, pero la mayoría de entidades no conocen realmente que información manejan. También se genera un clima de confianza hacía el usuario, que tiene constancia de que su información está en buenas manos. Cada vez más, los usuarios estamos sensibilizados con el tema de la privacidad y cada vez más se buscan proveedores que nos aporten, además del servicio que buscamos, esa confianza en el tratamiento de nuestros datos. Gracias por su consulta.
¿En las denuncias ante la LOPD los datos del denunciante son anónimos? ¿El denunciado tiene derecho o puede conocer quién le denuncia?
#13 Las denuncias ante la AEPD no pueden ser anónimas, porqué el denunciante tiene que ser interesado. Ten en cuenta que estamos hablando de derechos fundamentales y por tanto se tiene que acreditar la relación. Gracias.
#15 Me refiero a una denuncia genérica respecto a una web que no cumple la ley, sin llegar a ser perjudicado.
#17 Estamos en el mismo caso. Se tiene que acreditar interés. Otra cosa sería si el usuario se da de alta y no recibe la información necesaria para dar su consentimiento, por ejemplo. En ese caso, si se podría aducir que no se ha cumplido la norma y por tanto podría ser parte. Gracias.
#18 Vamos, que para poder denunciar tengo que ser víctima; si veo que la web no cumple la ley y me niego a dejar mis datos no puedo hacer nada y dejar que otros incautos piquen. Pues vaya leyes que tenemos en este país.
¿Cual es la mínima encriptación que debe tener una contraseña almacenada en una base de datos? md5('contraseña'); es suficiente, aunque débil o se necesita más para no correr riesgos con LOPD?

Gracias.
En realidad la norma, no establece parámetros técnicos en cuanto a encriptación. La norma hace referencia a que los datos sensibles o de nivel alto, estarán encriptados para que no puedan ser conocidos por terceros no autorizados. Mi recomendación, en todo caso, es seguir el estado de la tecnología en cada momento y adecuar la seguridad al día a día de la entidad. Gracias por tu pregunta.
#16 Hace poco me registré en una web y descubrí que si le doy a recuperar contraseña me la mandan descifrada por correo, con lo que utilizan un algoritmo reversible.

¿Dice algo la LOPD sobre eso?
#21 La contraseña es un dato personal, con lo que no debería estar al alcance de terceros no autorizados. Lo correcto sería usar algún sistema que no almacene el pass en texto plano. Gracias por la pregunta.
#21 "con lo que utilizan un algoritmo reversible"

Alma cándida...
#45 Según ellos si, que les mandé un correo preguntando, pero tienes razón, igual me estoy fiando demasiado.
#46 utilizan los algoritmos reversibles insert into y select from :troll:

Supongo que si te molestas en cifrarlo para guardarlo más seguro, no lo haces con un algoritmo reversible, la opción más razonable es pensar que no lo están cifrando de ninguna manera, es más habitual de lo que pensamos, por desgracia
Hace poco a una tienda online española en la que no llegué a hacer compra les escribí un email pidiendo que borraran mis datos personales, como no me lo confirmaron rellené el modelo de cancelación que hay en la web de la agencia y se lo envié por carta certificada. Me contestan que proceden a la cancelación de mis datos en su fichero (sin especificar cual) y dicen que no recibiré más ofertas comerciales, pruebo a entrar en la web con la cuenta de usuario que había creado y sigue funcionando. Y me pregunto:

¿En el caso de que tengan varios ficheros dados de alta, me deberían dar de baja en todos ellos o lo pueden hacer a su libre albedrio? ¿No es demasiado complicado conseguir que borren unos datos personales?
En realidad el procedimiento de cancelación es sencillo, lo que ocurre es que la empresa no tendrá bien desarrollados sus procedimientos ni bien identificados los tratamientos de datos que gestiona y por eso no ha borrado todos los datos. Si la empresa ha certificado que se han borrado, deberían desaparecer todos salvo los que estén por ley obligados. Entre ellos, no están los datos del usu/pass, ni el perfil.
Mi recomendación es que se dirija de nuevo a la empresa y si no obtiene una respuesta aceptable, pues curse denuncia ante la AEPD. Pero lo mejor siempre es contactar con la empresa antes. Gracias por su consulta.
¿Cuanto tiempo debe guardar los logs del servidor de correo una administración? Gracias por su atención.
#30 La caducidad de la información que se gestiona, tiene que determinarla la entidad. En el caso de los registros de acceso a datos de nivel alto y registros de backup, la norma si que regula que se han de guardar dos años. Se puede tomar como referencia para otros tipos de registros. Gracias por la pregunta.
Tengo una micropyme de informática con una página web de venta de productos hecha con PrestaShop. Tengo muchas dudas, pero principalmente, una. Si hago lo humanamente posible por asegurar la información y me hackean la web y sacan los datos, ¿me pueden sancionar?
#32 Nadie está a salvo de una intrusión, eso de entrada. Lo que se tiene que evitar es que el daño que esta pueda producir, afecte a terceros. Si uno ha puesto todas las medidas posibles, los procedimientos están bien dimensionados, hay buenas herramientas para respuesta ante la incidencia, etc., pues evidentemente la sanción no será la misma que si hemos descuidado todo lo relacionado con la norma. Según apreciación del inspector, del daño causado, etc., la Agencia de Protección de Datos aplicará la sanción en función a la gravedad de la infracción. En muchos caso, cuando se demuestra que se ha cumplido todo lo previsto, pero ha sido un accidente, se salda con el apercibimiento. Gracias por la consulta.
Gracias por prestarte a Menéame.
Trabajo en una Mutua de Accidentes de Trabajo y Enfermedades Profesionales y el diagnóstico médico de todas las bajas laborales es visible para todos los trabajadores.
En muchas ocasiones me he enterado de gente que mira los diagnósticos por chafardear. Al preguntar a la empresa, ésta se escuda en que la responsabilidad recae sobre la propia persona que está consultando esos datos.
Tengo entendido que estoy en mi derecho de solicitar a la empresa la trazabilidad del acceso a mi historia clínica.
¿Qué métodos existen para registrar los accesos a los datos?

Muchas gracias
#33 Lo que está comentando es muy grave.
La empresa tiene la obligación de determinar los niveles de acceso en función a los puestos de trabajo y evitar que nadie puede acceder a información de la que no es interesada. La empresa tiene la obligación de establecer las medidas de seguridad y evitar esos accesos. Y además formar al personal para que se conciencie de la importancia de la información que tratan. Tratándose de datos de salud, estamos hablando de infracciones muy graves que se pueden saldar con sanciones muy importantes.

Las aplicaciones que gestionen datos de nivel alto (como es el caso), tienen que mantener un registro de los accesos y actividades de los usuarios a los mismos. El derecho de acceso, que es el que comenta, puede ejercerlo para saber donde y como está almacenada la información que la empresa tiene de Ud. Faltaría ver si el detalle de esa información, incluye quién ha tenido acceso.

En todo caso, lo que está comentado es un caso de libro de infracción muy grave de la norma.

Gracias por su pregunta.
#35 Soy consciente de la gravedad. De hecho estoy contemplando la posibilidad de denunciarlo a la Agencia de Protección de Datos.
Muchas gracias por su respuesta
Hola #0 ¿para alguien de tu sector la GDPR de entrada en vigor en Mayo 2018 significa más negocio?

He oído que en España no va a cambiar mucho aparte del importe de las multas y también lo contrario. En especial en cuanto a cifrado de datos de carácter personal, derecho al olvido, etc
#42 Es cierto que el cambio va a ser significativo, sobre todo en lo que respecta a la profesionalización del sector. La aparición de una figura como la del Delegado de Protección de Datos, abre una puerta a estandarizar la profesión. Aunque, obviamente, seguirá habiendo quien minusvalore esta figura. Esta por ver todavía que perfil ha de tener y la formación. En cuanto al reglamento en si, habrá cambios importantes en cuanto al enfoque: se pretende que la seguridad se implante desde el principio de los proyectos, el famoso Privacy by Default. Los requerimientos técnicos tendrán unos requisitos algo más concretos, pero (y es mi opinión), los procedimientos de gestión se vuelven un poco más laxos, aunque hay más obligación de control. Veremos que tal.
comentarios cerrados

menéame