En 2011 habrá nueva normativa europea de protección de datos

La Comisión Europea quiere reforzar las normas de protección de datos en la Unión Europea y tener lista una nueva propuesta legislativa para el año que viene. Ya se ha puesto manos a la obra con el objetivo en mente de reforzar los derechos de las personas al tiempo que se reduce la burocracia para las empresas y se garantiza la libre circulación de datos en la UE. Éstas son sus líneas maestras:

• Reforzar los derechos de las personas, de modo que la recogida y uso de los datos personales se limite al mínimo necesario. Deberá informarse claramente y de forma transparente a las personas sobre quién recoge y usa sus datos y sobre cómo, con qué fines y por cuánto tiempo lo hace. Los ciudadanos deberían poder dar su consentimiento fundamentado para que se procesen sus datos personales, por ejemplo, al navegar por la red, y deberían tener el «derecho a ser olvidados» cuando sus datos dejen de ser necesarios o cuando deseen que se borren.

• Potenciar la dimensión del mercado único mediante la reducción de los trámites burocráticos para las empresas y la garantía de la igualdad de condiciones para las mismas. Las actuales diferencias en la aplicación de las normas de protección de datos personales y la falta de claridad en lo que se refiere a qué país tiene la jurisdicción competente en materia de normas de protección de datos personales perjudican el libre flujo de estos datos en el interior de la UE y elevan los costes.

• Revisar las normas de protección de datos en el ámbito de la policía y de la justicia penal, de modo que se protejan los datos personales también en estas áreas. En la actualidad, el Tratado de Lisboa otorga a la UE la posibilidad de establecer normas exhaustivas y coherentes sobre protección de datos en todos los ámbitos, incluidos los de la policía y de la justicia penal. No obstante, se tendrán en cuenta las especificidades y necesidades de estos ámbitos. De acuerdo con la revisión, los datos retenidos a fines de mantenimiento del orden público deben también estar cubiertos por el nuevo marco jurídico. La Comisión está revisando también la Directiva sobre retención de datos de 2006, que obliga a las empresas a conservar datos del tráfico de comunicaciones durante un periodo de entre seis meses y dos años.

• Garantizar niveles elevados de protección para los datos enviados fuera de la UE mediante la mejora y simplificación de los procedimientos de transferencia internacional de datos. La UE debería intentar alcanzar los mismos niveles de protección en materia de cooperación con terceros países y fomentar niveles elevados de protección de datos a nivel mundial.

• Una aplicación más eficaz de las normas, reforzando y armonizando aún más el papel y los poderes de las autoridades de protección de datos. La mejora de la cooperación y de la coordinación es también muy necesaria para garantizar una aplicación más coherente de las normas de protección de los datos a lo largo y ancho del mercado único.

La Comisión Europea ha abierto periodo de consultas, hasta el próximo 15 de enero, durante el cual el público en general puede aportar sus ideas al respecto  (las contribuciones pueden enviarse a través del sitio Internet de consultas públicas de la Comisión). Una vez finalizado el periodo de consultas, la Comisión presentará propuestas para un nuevo marco legal de protección de datos en 2011, que a continuación deberá ser negociado y adoptado por el Parlamento Europeo y el Consejo.

El Tribunal Supremo declara nulos varios artículos del R.D. 1720/2007

El pasado 27 de julio, el Tribunal Supremo dio a conocer tres sentencias (sobre los recursos contenciosos administrativos 23/2008, 25/2008 y 26/2008) en que se declaran nulos, por ser contrarios a derecho, los artículos 11, 18, 38. 2, y 123.2 así como de la última frase del artículo 38.1.a), del Real Decreto 1720/2007 de 21 de diciembre (en adelante RLOPD), por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD).

El Tribunal considera que el artículo 11 del RLOPD que permitía la verificación por las Administraciones Públicas de datos en solicitudes formuladas por los ciudadanos sin requerir consentimiento de estos, habilita una cesión de datos al margen de los supuestos autorizados por los artículos 6 y 11 de la LOPD. La declaración de nulidad del precepto conlleva una garantía de protección de los datos de personas físicas ante la gestión de las Administraciones Públicas, pero también una incomodidad para el ciudadano, que deberá volver a declarar los datos personales de que se trate o acreditar su autenticidad. Este problema podría resolverse incorporando en los formularios que rellenen los ciudadanos una autorización expresa para la verificación o comunicación de datos por parte de la Administración correspondiente.

El Tribunal declara nulo el artículo 18 del RLOPD (“Acreditación del cumplimiento del deber de información”) por imponer al responsable del fichero, ilegítimamente y sin respaldo en la LOPD, la obligación de la constancia documental o acreditación del deber de información al afectado. El Supremo expresa que la LOPD “ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.) (…). En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma”. La Sentencia suprime, con este artículo, dos obligaciones: la de informar por un medio que permita acreditarlo, y la de conservar el soporte en el que conste el cumplimiento del deber de informar.

En el artículo 38 (sobre requisitos para la inclusión de los datos en ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado) se expresa que es requisito para esa inclusión la “existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada”. Se elimina la frase “y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”. La supresión de esta frase, por defectuosa redacción e inconcreción de su contenido (ya que permite considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero), afecta a la defensa del ciudadano ante las prácticas de empresas que ante una deuda incluyen los datos de sus “deudores” en un fichero de morosos por deudas sobre cuya existencia o cuantía puede haber discrepancia.

La declaración de nulidad del artículo 38.2 beneficia a las empresas y demás responsables de fichero, ya que este párrafo trasladaba a estos la carga de la prueba de la concurrencia de los requisitos del artículo 38.1 en términos que originan una inseguridad jurídica que podría dar lugar a apertura de expedientes sancionadores. Sin embargo, para el ciudadano aumenta la desprotección, ya que no puede combatir la presunción del declarante. Deberá seguir observándose el derecho a la impugnación de las valoraciones (art. 13 LOPD), “Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad”, debiendo admitir las empresas titulares de ficheros de solvencia patrimonial la impugnación de las deudas inscritas y del acceso de entidades a los datos, por ejemplo, para decidir la denegación de crédito.

Por último, el artículo 123.2 (“Personal competente para la realización de actuaciones previas”) trata la potestad de designación del Director de la AEPD en relación con supuestos excepcionales no delimitados, con una falta de concreción que supone una libertad de designación incompatible con el limitado y específico de la encomienda de gestión de los artículos 35, 37 y 40 de la LOPD.

INTECO lanza la herramienta gratuita de seguridad CONAN

30/04/2010

La aplicación ayuda a incrementar el nivel de protección del ordenador escaneado

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), en su labor de fomento de la seguridad de la información, pone a disposición de los usuarios una nueva herramienta gratuita de creación propia, denominada CONAN (CON-figuración y AN-álisis).

La aplicación, no intrusiva y pensada como complemento a otras herramientas de protección y seguridad en Internet, ha sido desarrollada por INTECO-CERT (Computer Emergency Response Team, Equipo de Respuesta ante Incidentes Informáticos), el equipo de profesionales responsable de la prestación de servicios preventivos y reactivos ante incidencias de seguridad en la Red.

Este servicio de seguridad es capaz de analizar y detectar posibles configuraciones de riesgo a partir de las cuales genera al usuario un informe que se envía a INTECO y al propio internauta, y que está enfocado a prevenir posibles fallos de seguridad, identificando situaciones de riesgo e identificando los elementos que pueden causar el problema, y ofreciendo finalmente a su vez recomendaciones de seguridad y posibles soluciones. De este modo, internautas y pymes pueden obtener un informe inmediato del nivel de seguridad de sus PCs, lo que podrá posibilitar un incremento en la protección del equipo de una manera rápida y sencilla.

Informe de seguridad

Para facilitar su comprensión a todos los usuarios, una vez realizado el análisis, CONAN muestra un informe que contiene de manera resumida el nivel de seguridad del ordenador escaneado.

En el cuadro resumen que ofrece esta nueva herramienta, se destacan los elementos de riesgo así como las recomendaciones y posibles soluciones para corregir y elevar el nivel de seguridad del PC. Asimismo, enlaza a la Oficina de Seguridad del Internauta y el Catálogo de Empresas y Soluciones de Seguridad TIC donde el usuario puede encontrar las recomendaciones adecuadas para los diferentes problemas de seguridad detectados, actualización de sistemas operativos, y herramientas de seguridad, entre otros.

Para una mejora continua en la valoración de los elementos de riesgo del sistema, INTECO-CERT tiene en cuenta diversas fuentes. Por un lado están las evaluaciones internas del propio equipo técnico del Instituto y las de fuentes externas (organismos o fabricantes). Por otro lado, los usuarios tienen la posibilidad de valorar los elementos de su propio entorno en función de su criterio, declarando así la confiabilidad de los mismos o no, dejando a INTECO la labor de aportar su experiencia en la materia.

Otras funcionalidades

CONAN también ofrece la posibilidad de un resumen extendido donde se puede consultar en detalle cada uno de los elementos. Asimismo, permite realizar análisis específicos de ficheros. Por último es capaz de recoger un histórico de los diferentes análisis realizados sobre los PCs devolviendo así al usuario un informe de su estado de seguridad en el tiempo.

La herramienta se puede descargar gratuitamente desde la página https://conan.cert.inteco.es, para ello es necesario registrarse en la misma web para utilizarla. De esta manera, INTECO-CERT puede dar un trato personalizado a cada incidencia y facilitar al usuario el seguimiento de los análisis realizados en el PC.

Del mismo modo, INTECO-CERT ha habilitado un foro donde los usuarios pueden plantear cualquier duda relacionada con la herramienta e incluso ofrecer sus sugerencias de mejora.

 Fuente: INTECO