Categorías
Artículos Formación LOPD

El usuario empleado por cuenta ajena y la LOPD

Consecuencias por el incumplimiento sus obligaciones en materia de protección de datos.

Cuando el usuario que trata los datos es un empleado del responsable del fichero el incumplimiento de las obligaciones que impone la normativa de protección de datos (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su reglamento de desarrollo, Real Decreto 1720/2007, de 21 de diciembre) puede ser considerado un quebranto de la buena fe contractual que puede ocasionar según su trascendencia (gravedad y consecuencias) una falta que queda sometida al poder disciplinario del empresario sancionable según su gravedad incluso con el despido, conforme a lo establecido en los artículos 58 y 54 del Estatuto de los Trabajadores (Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores).

El artículo 58 del Estatuto de los Trabajadores establece que Los trabajadores podrán ser sancionados por la dirección de las empresas en virtud de incumplimientos laborales, de acuerdo con la graduación de faltas y sanciones que se establezcan en las disposiciones legales o en el convenio colectivo que sea aplicable.”  y el artículo 54 determina que “El contrato de trabajo podrá extinguirse por decisión del empresario, mediante despido basado en un incumplimiento grave y culpable del trabajador.»

Así, si un usuario puede pone en riesgo la disponibilidad de la información, por ejemplo al no realizar las copias de seguridad que se le indicó que realizara, puede ser objeto de estos tipos de sanciones de carácter laboral.

De igual forma e independientemente de las consecuencias en el ámbito laboral que puedan desencadenarse y en el supuesto de mediar intencionalidad en su realización puede conllevar en su caso la atribución de responsabilidad civil por los daños y perjuicios causados, conforme al artículo 1.101 del Código Civil: “Quedan sujetos a la indemnización de los daños y perjuicios causados los que en el cumplimiento de sus obligaciones incurrieren en dolo, negligencia o morosidad, y los que de cualquier modo contravinieren al tenor de aquéllas.” circunscrito en ámbito de la responsabilidad contractual y de forma residual y subsidiaria el relativo a la responsabilidad extracontractual tal como determina el artículo 1.902 del Código Civil: “El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado.”

Siguiendo con el ejemplo anterior, si la pérdida de disponibilidad de la información ocasiona daños y perjuicios (por ejemplo, con ocasión de reclamaciones de afectados por el tratamiento que no pueden ser atendidas por falta o pérdida de datos) el empleado podría responder de ello si ocasiona una responsablidad al responsable del fichero y ello deriva de un incumplimiento de una obligación que se impuso al usuario (por ejemplo, imaginemos que el usuario borra por error información de clientes y no ha realizado correctamente las copias de seguridad que se le había encomendado).

Por último, si el incumplimiento de las obligaciones del trabajador fuera de carácter doloso podrían ocasionar incluso la intervención del Derecho Penal, así por ejemplo, la cesión o comunicación a terceros de datos de carácter personal de clientes del responsable del fichero sin consentimiento de éste, es una conducta que puede ser constitutiva de una revelación de secreto tipificada en los artículos 197 y siguientes del Código Penal, siendo en todo caso de una vulneración del deber de secreto establecida en el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Por ello, además de estar claramente definidas y documentadas en el documento de seguridad, tal como indica el artículo 89 en su apartado 1, del Reglamento de desarrollo de la LOPD, por los motivos expuestos es tan importante que todos los usuarios que traten datos de carácter personal tengan la información y la formación adecuada, porque no hay que olvidar que es una obligación impuesta por el mismo artículo 89 en su apartado 2: “El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.”

Ponemos de forma gratuita en nuestra tienda una guía para los usuarios donde se exponen los conceptos básicos de la normativa legal y reglamentaria de protección de datos, un resumen explicativo de las medidas de seguridad que debe aplicar en su puesto de trabajo y lo más destacable: se incorpora un DECÁLOGO DEL USUARIO con las diez normas básicas y elementales de lo que se debe y no se debe hacer para no incurrir en incumplimientos graves contra la normativa de protección de datos de carácter personal.

 

Guía para usuarios

Categorías
Administración Electrónica Artículos TICs

Guiños a las TICs en la Ley de emprendedores …

Menciones a las tecnologías de información y comunicación en la Ley 14/2013, de 27 de septiembre, de apoyo a los emprendedores y su internacionalización

 

Como viene siendo habitual los nuevos textos normativos incorporan en su articulado menciones al empleo de las tecnologías para la información y comunicación (lo que algunos siguen denominando «nuevas tecnologías») Sin perjuicio de un mayor análisis posterior veamos lo más destacado del texto legal.

Desde mi punto de vista estas referencias son incipientes e insuficientes, y tímidas, ya que ¿por que no se habla clara y directamente de Administración Electrónica (eAdministración) y de tratamientos automátizados y tipos de soportes informáticos en lugar de documentos y formatos «electrónicos»? La informática hace tiempo que sustituyó a la «electrónica» …

Artículo 19 Organización de los Registros

[ … ]

Los Registros de la Propiedad, Mercantiles y de Bienes Muebles se llevarán en formato electrónico mediante un sistema informático único en la forma que reglamentariamente se determine. Dicho sistema informático deberá permitir que las Administraciones Públicas y los órganos judiciales, en el ejercicio de sus competencias y bajo su responsabilidad, tengan acceso a los datos que consten en los Registros de la Propiedad, Mercantiles y de Bienes Muebles, si bien, en el caso de las Administraciones Públicas, respetando las excepciones relativas a los datos especialmente protegidos. Dichos accesos se efectuarán mediante procedimientos electrónicos y con los requisitos y prescripciones técnicas que sean establecidos dentro de los Esquemas Nacionales de Interoperabilidad y de Seguridad.

Disposición adicional decimotercera Llevanza electrónica de los Registros de la Propiedad, Mercantiles y de Bienes Muebles

La obligación de llevanza en formato electrónico de los Registros de la Propiedad, Mercantiles y de Bienes Muebles, de conformidad con el artículo 19 de esta Ley, será efectiva en el plazo de un año desde la entrada en vigor de la Ley.

Artículo 40 Libro de Visitas electrónico de la Inspección de Trabajo y Seguridad Social

Se modifica el apartado 3 del artículo 14 de la Ley 42/1987, de 14 de noviembre, Ordenadora de la Inspección de Trabajo y Seguridad Social, que queda redactado de la siguiente forma:

«3. La Autoridad Central de la Inspección de Trabajo y Seguridad Social pondrá a disposición de las empresas, de oficio y sin necesidad de solicitud de alta, un Libro de Visitas electrónico por cada uno de sus centros de trabajo, en el que los funcionarios actuantes, con ocasión de cada visita a los centros de trabajo o comprobación por comparecencia del sujeto inspeccionado en dependencias públicas que realicen, extenderán diligencia sobre tal actuación.

Mediante Orden del Ministerio de Empleo y Seguridad Social se determinarán los hechos y actos que deban incorporarse al Libro de Visitas electrónico, así como los obligados, la forma de remisión a los mismos y los sistemas de verificación electrónica de su integridad. Asimismo, se establecerán los supuestos excepcionados de llevar Libro de Visitas electrónico, el medio sustitutivo al mismo y el régimen transitorio de aplicación de esta medida.»

Artículo 41 Apoderamientos electrónicos Los apoderamientos y sus revocaciones, otorgados por administradores o apoderados de sociedades mercantiles o por emprendedores de responsabilidad limitada podrán también ser conferidos en documento electrónico, siempre que el documento de apoderamiento sea suscrito con la firma electrónica reconocida del poderdante. Dicho documento podrá ser remitido directamente por medios electrónicos al Registro que corresponda.

 

Disposición adicional tercera Colaboración con otros sistemas electrónicos para la constitución de sociedades

1. Los Ministerios de Justicia y de Industria, Energía y Turismo establecerán el uso de la agenda electrónica notarial para la constitución telemática de sociedades de responsabilidad limitada y cualquier otra forma jurídica que se incorpore reglamentariamente en el Documento Único Electrónico regulado en la disposición adicional tercera del texto refundido de la Ley de Sociedades de Capital, aprobado por Real Decreto Legislativo 1/2010, de 2 de julio.

2. El uso de la agenda electrónica notarial será de obligado cumplimiento para el notario, de manera que las citas que se establezcan mediante la misma tendrán efectos en el cómputo de los plazos establecidos en los artículos 15 y 16 de esta Ley.

3. Reglamentariamente se establecerán medidas sancionadoras por los incumplimientos de lo establecido en los apartados anteriores.

 

Disposición final sexta Modificación del texto refundido de la Ley de Sociedades de Capital, aprobado por Real Decreto Legislativo 1/2010, de 2 de julio

Se modifica la disposición adicional tercera del texto refundido de la Ley de Sociedades de Capital, aprobado por Real Decreto Legislativo 1/2010, de 2 de julio, que queda redactada de la siguiente manera:

«Disposición adicional tercera Documento Único Electrónico (DUE)

1. El Documento Único Electrónico (DUE) es aquel en el que se incluyen todos los datos referentes que, de acuerdo con la legislación aplicable, deben remitirse a los registros jurídicos y las Administraciones Públicas competentes para:

  • a) La constitución de sociedades de responsabilidad limitada.
  • b) La inscripción en el Registro Mercantil de los emprendedores de responsabilidad limitada.
  • c) El cumplimiento de las obligaciones en materia tributaria y de Seguridad Social asociadas al inicio de la actividad de empresarios individuales y sociedades mercantiles.
  • d) La realización de cualquier otro trámite ante autoridades estatales, autonómicas y locales asociadas al inicio o ejercicio de la actividad, incluidos el otorgamiento de cualesquiera autorizaciones, la presentación de comunicaciones y declaraciones responsables y los trámites asociados al cese de la actividad.

Se excluyen de lo dispuesto en el párrafo anterior las obligaciones fiscales y de la Seguridad Social durante el ejercicio de la actividad, así como los trámites asociados a los procedimientos de contratación pública y de solicitud de subvenciones y ayudas.

2. Las remisiones y recepciones del DUE se limitarán a aquellos datos que sean necesarios para la realización de los trámites competencia del organismo correspondiente.

Reglamentariamente o, en su caso, mediante la celebración de los oportunos convenios entre las Administraciones Públicas competentes, se establecerán las especificaciones y condiciones para el empleo del DUE para la constitución de cualquier forma societaria, con pleno respeto a lo dispuesto en la normativa sustantiva y de publicidad que regula estas formas societarias y teniendo en cuenta la normativa a la que se hace mención en el apartado 6 de la disposición adicional cuarta.

3. La remisión del DUE se hará mediante el empleo de técnicas electrónicas, informáticas y telemáticas de acuerdo con lo dispuesto por las normas aplicables al empleo de tales técnicas, teniendo en cuenta lo previsto en las legislaciones específicas.

4. Los socios fundadores de la sociedad de responsabilidad limitada podrán manifestar al notario, previamente al otorgamiento de la escritura de constitución, su interés en realizar por sí mismos los trámites y la comunicación de los datos incluidos en el DUE o designar un representante para que lo lleve a efecto, en cuyo caso no será de aplicación lo establecido en la presente disposición adicional en lo relativo a la constitución de la sociedad.

5. El DUE será aprobado por el Consejo de Ministros a propuesta del Ministro de Industria, Energía y Turismo, previo informe de los demás ministerios competentes por razón de la materia, y estará disponible en todas las lenguas oficiales del Estado español.

6. Los Puntos de Atención al Emprendedor serán oficinas pertenecientes a organismos públicos y privados, así como puntos virtuales de información y tramitación telemática de solicitudes.

Los Puntos de Atención al Emprendedor se encargarán de facilitar la creación de nuevas empresas, el inicio efectivo de su actividad y su desarrollo, a través de la prestación de servicios de información, tramitación de documentación, asesoramiento, formación y apoyo a la financiación empresarial, según se establezca en los oportunos convenios, y en ellos se deberá iniciar la tramitación del DUE.

7. El Ministerio de Industria, Energía y Turismo, oído el Ministerio de Hacienda y Administraciones Públicas, podrá celebrar convenios de establecimiento de Puntos de Atención al Emprendedor con otras Administraciones Públicas y entidades privadas.

8. Las Administraciones Públicas establecerán al efecto procedimientos electrónicos para realizar los intercambios de información necesarios.»

 

Disposición final tercera Modificación de la Ley 58/2003, de 17 de diciembre, General Tributaria

Se modifica el apartado 8 de la disposición adicional quinta, que queda redactado de la siguiente manera:

«8. Las sociedades en constitución y los empresarios individuales que presenten el documento único electrónico para realizar telemáticamente sus trámites de constitución e inicio de actividad, de acuerdo con lo previsto en la Ley 14/2013 de Apoyo a los Emprendedores y su Internacionalización, quedarán exoneradas de la obligación de presentar la declaración censal de alta, pero quedarán obligadas a la presentación posterior de las declaraciones de modificación o de baja que correspondan en la medida en que varíe o deba ampliarse la información y circunstancias contenidas en dicho documento único electrónico en caso de que el emprendedor no realice estos trámites a través de dicho documento.»

Categorías
Artículos

La prueba documental digital. Introducción y definición (I)

Introducción

Cuentan las malas lenguas que en los albores de la Ley de Enjuiciamiento Civil 1/2000 un funcionario de justicia en algún Juzgado (digamos siempre el nombre del pecado, no de los pecadores) intentó grapar un CD con la vista del juicio al expediente … Supongo que su razonamiento sería: “esto habrá que incorporarlo de alguna forma al expediente”. Esta manera de pensar podría haber sido lógica y comprensible hasta el siglo XIX (fecha de publicación de nuestra anterior ley rituaria) ya que una de las principales garantías es la del proceso debido, cuya máxima reza en el brocardo jurídico: “lo que no está en el expediente no está en el mundo” y nadie le explicaría cómo incorporar al expediente un video digital en el que constaba la celebración de un acto procesal y que se conservaba en un soporte informático.

Si nos damos cuenta, los juristas del siglo XXI, y no solamente los informáticos, hemos de emplear términos tales como: digital o soporte informático. Hace unos años el instrumento más valorado en un despacho era una buena máquina de escribir pues las copias se presentaban mecanografiadas, más adelante el instrumento mejor considerado en el despacho era una buena fotocopiadora para realizar esa labor, y hoy en día (no mañana ni pasado mañana, sino hoy) el mejor instrumento a tener en cuenta es un scaner para digitalizar los documentos. De las copias pasamos a las fotocopias y de éstas a los documentos digitales.

Definición

Antes de definir lo que es la prueba documental digital hemos de recordar lo que es una fuente de prueba y lo que es un medio de prueba. Con la expresión fuente de prueba nos estamos refiriendo a un concepto extrajurídico, a una realidad anterior e independiente al proceso, y un medio de prueba alude a un concepto jurídico, ya que solamente existen en el proceso en cuanto nacen y se desarrollan en dicho proceso. Las fuentes de prueba son los elementos que existen en la realidad, y los medios de prueba consisten en las actividades que es preciso desplegar para incorporar estas fuentes al proceso.

Entre las fuentes de prueba figuran los documentos, siendo un documento el instrumento que contiene la relación o constatación de un hecho o circunstancia relativas a hechos y personas. Algunos autores distinguen entre documentos electrónicos y documentos digitales, especificando que los documentos electrónicos son los que representan una manifestación de voluntad o representación de un hecho que se ha obtenido a través de medios electrónicos y audiovisuales y que los documentos digitales son aquellos en los que la información está registrada en un soporte digitalizado (que proviene de la terminología informática, al constituirse el documento en dígitos, ceros y unos, que conforman el código binario también llamado código máquina) necesitando dicho soporte digitalizado un dispositivo informático o hardware (PC, tablet o smartphone, por ejemplo) y un software (procesador de textos, hoja de cálculo o visualizador de textos, por ejemplo) para su consulta y/o tratamiento. Así, todo documento digital es un documento electrónico pero no todo documento electrónico es digital.

Personalmente considero esta distinción algo desfasada (la tecnología siempre irá por delante de la normativa) pues tanto el video como el sonido, los únicos documentos electrónicos en estricto sentido que pueden enumerarse (y que la Ley de Enjuiciamiento Civil menciona como medios de reproducción de la palabra, del sonido y de la imagen) tenderán a incorporarse en soportes digitales: el video vendrá en un formato .avi o .mp4 y el sonido en un formato .mp3, con lo que será residual tanto el concepto de documento electrónico como la necesidad de los reproductores electrónicos (video o reproductor de sonido) para este tipo de documentos.

Lo más que se aproxima el legislador al concepto de documento electrónico o digital es cuando define en el artículo 299 de la LEC como un medio de prueba “los instrumentos que permiten archivar y conocer o reproducir palabras, datos, cifras y operaciones matemáticas”. Personalmente y de lege ferenda definiría la prueba documental digital más que como un instrumento, como aquel documento que ha sido digitalizado por un software y que se aporta al proceso como prueba documental, pública o privada, en el caso de contener datos, cifras y operaciones matemáticas (terminología de la LEC) y como otro tipo de prueba (por ejemplo dictamen pericial) en el caso de contener palabras, sonidos o imágenes (otra vez terminología de la LEC).

Desde mi punto de vista considero que la prueba documental digital sólo es una forma de aportar medios de prueba al proceso utilizando medios informáticos. Nada más y nada menos.

Artículo publicado en la Revista Calle de Letrados del Ilustre Colegio de Abogados de Córdoba.  http://www.icacordoba.com/revista/index.html

Categorías
Formación LOPD

Conceptos generales en la normativa de protección de datos de carácter personal

Dato de carácter personal

Cualquier información (numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo) concerniente a personas físicas identificadas o identificables.

Tipo de datos

Datos identificativos (nombre y apellidos, DNI, número de teléfono, dirección, edad, estado civil, profesión, datos bancarios, propiedades, etc …) sensibles (infracciones administrativas o penales o que sirvan para evaluar la personalidad) y especialmente protegidos (ideología, creencias, religión, afiliación sindical, salud, vida sexual, origen racial y actos de violencia de género)

Fichero

Conjunto organizado de datos personales cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. La organización puede ser automatizada (ficheros automatizados) o no automatizada (ficheros manuales) estructurada conforme a criterios específicos.

Tratamiento de datos

Operaciones y procedimientos técnicos de carácter automatizado o no, que implique la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Niveles de protección

Al tratamiento de cada tipo de datos le corresponde un grado de protección, que puede ser BÁSICO, MEDIO o ALTO. A cada nivel de protección le corresponden unas medidas de seguridad determinadas.

Medidas de seguridad

Medidas para garantizar la seguridad, integridad y confidencialidad de los datos en los tratamientos automatizados o manuales realizados, aplicables conforme al nivel de protección que corresponda. Son de carácter acumulativo.

Medidas de nivel básico, aplicables a datos meramente identificativos

Funciones y obligaciones del personal
Procedimiento de gestión de incidencias
Control de acceso
Gestión de soportes y documentos
Identificación y autenticación
Copias de respaldo y restauración de datos
Criterios de archivo
Almacenamiento de la información
Custodia de soportes

Medidas de nivel medio, aplicables a datos sensibles

Responsable de seguridad
Auditoría
Registro de entrada y salida de soportes
Limitación de identificación y autenticación
Control de acceso físico

Medidas de nivel alto, aplicables a datos especialmente protegidos

Cifrado de soportes
Almacenamiento reservado de copias de seguridad
Registro de accesos
Cifrado de telecomunicaciones
Almacenamiento reservado de información
Seguridad en el traslado de documentación
Control de copia o reproducción de documentos
Control de acceso a la documentación

Responsable del fichero o tratamiento

Persona física o jurídica, de naturaleza pública o privada, que decide sobre la finalidad, contenido y uso del tratamiento. También puede tratarse de entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados (comunidad de bienes, comunidad de vecinos, herencias yacentes, etc …)

Afectado o interesado

Es la persona física titular de los datos que son objeto del tratamiento.

Encargado del tratamiento por cuenta de tercero

Es la persona física o jurídica, pública o privada, que sólo o conjuntamente con otros, trata datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula al mismo y delimita su ámbito de actuación para la prestación de un servicio.

Consentimiento

Manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de los datos personales que le conciernen.

Derechos ARCO (acceso, rectificación, cancelación u oposición)

Son derechos personalísimos, independientes (el ejercicio de ninguno de ellos es requisito previo para el ejercicio de otro) y gratuitos.

  • Derecho de acceso: derecho a solicitar y obtener información de los datos personales sometidos a tratamiento, la finalidad del tratamiento, la información sobre el origen de los datos y las comunicaciones realizadas o que se prevean realizar.
  • Derecho de rectificación: derecho a modificar los datos que resulten inexactos o incompletos.
  • Derecho de cancelación: derecho a suprimir los datos inadecuados o excesivos.
  • Derecho de oposición: derecho a que no se lleve a cabo el tratamiento de sus datos personales o se cese en el tratamiento cuando no sea necesario su consentimiento para el tratamiento, se trate de ficheros para realizar actividades de publicidad y prospección comercial o el tratamiento tenga por finalidad la adopción de una decisión referida al afectado basada únicamente en el tratamiento automatizado de sus datos de carácter personal.
Categorías
Seguridad Informática

¿Cómo sabes que tu contraseña es segura?

El sistema de autenticación de usuarios más generalizado es el de sistema de contraseñas. Las contraseñas pueden ser averiguadas o descubiertas por programas realizando combinaciones «por fuerza bruta» es decir, probar una y otra vez hasta que dan con la clave adecuada.

En la pagina www.howsecureismypassword.net se ofrece información de la seguridad de tu contraseña, indicando en cuánto tiempo se puede averiguar y dando también consejos para tener una más segura.

Como hacer una contraseña segura

Los consejos básicos son esencialmente que se emplen caracteres en mayúsculas y minúsculas, números, si es posible símbolos … ¿Pero no es complicado de recordar?

Le damos un pequeño consejo. Utilice un patrón en la elaboración de su contraseña, por ejemplo su comida favorita: «PolloFrito» y cambie según donde la emplee, por ejemplo para el banco «$Pollo_BK_Frito02» con el simbolo $ se sabe que es para el banco, entre los guiones la abreviatura del banco y el número final el mes en el que estamos. Así sí es posible cambiar las contraseñas sin tener que guardarlas y no volverse loco para recordarlas.