¿Qué son las etiquetas RFID y qué relación tienen con la protección de datos personales?

La Identificación por Radio Frecuencia o RFID es una tecnología que permite identificar un objeto gracias a una onda emisora incorporada en el mismo que transmite por radiofrecuencia los datos identificativos del objeto (etiquetas de seguridad, chips, carnet biblioteca, tarjeta de control de trabajadores, pulseras chip, etc.).

Si bien esta tecnología mejora la eficiencia y comodidad de los sistemas de uso diario, a veces plantea riesgos para la seguridad y la privacidad de los usuarios.

En los casos en los que las etiquetas contengan información personal o asociada a personas físicas, serán de aplicación las normas sobre protección de datos personales, en concreto, la LOPD.

Los usuarios deben conocer la tecnología, interesarse por el uso que se va a hacer de ella, conocer el modo de ejercer sus derechos y trasladar a los responsables del uso de estas tecnologías la necesidad de respetar su derecho fundamental a la protección de datos en los procesos de diseño de nuevos servicios de RFID.

El INTECO ha editado una guía sobre la tecnología RFID y sus implicaciones en la normativa de protección de datos que puede descargarse desde aquí.

A TENER EN CUENTA

Antes de utilizar una nueva tecnología hay que ponderar sus beneficios contra las implicaciones que tiene de cara a la privacidad

Las Autoridades Europeas de Protección de Datos concluyen su investigación sobre la nueva política de privacidad de Google

Fuente: www.agpd.es

Puede acceder desde este enlace:
http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2012/notas_prensa/common/octubre/121016_NP_conclusiones_Google.pdf

Cambio de sexo y protección de datos

El informe 0268/2011 de la AEPD resuelve la consulta planteada sobre el modo en que deberán aplicarse las previsiones de la LOPD, y su Reglamento de desarrollo, en el supuesto en que una persona que ha sido sometida a un tratamiento de transexualidad ha solicitado la rectificación de sus datos, de forma que aparezcan recogidos en la historia clínica de la paciente con su nuevo nombre. En particular, se plantea si debería modificarse el nombre de la paciente en los datos relacionados con episodios de la historia clínica acaecidos mientras la paciente era hombre. 

De dicho informe jurídico se extrae lo siguiente:

a) La necesidad de que los datos relacionados con el paciente aparezcan en la historia clínica en su situación actual, de forma que la información aparezca vinculada con la misma.

b) No obstante, los episodios contenidos en la historia deberán conservarse con la debida exactitud e integridad, a fin de poder garantizar una adecuada asistencia sanitaria al paciente a tenor de toda la información sanitaria disponible, teniendo particularmente en cuenta las peculiaridades que pudieran derivarse, en relación con determinadas dolencias, del sexo del paciente, dado que en la consulta se señala que “el modo de enfermar es diferente en función del género”, existiendo además determinadas dolencias vinculadas exclusivamente a un género determinado.

Consecuencia de todo ello será que si bien la información contenida en la historia clínica deberá figurar en su denominación bajo el nombre de la paciente, los concretos episodios contenidos en la misma deberán conservar la información necesaria que garantice el conocimiento por los facultativos que accedan a la historia de que la paciente en el momento de desarrollarse dicho episodio era del género masculino.

A TENER EN CUENTA

Cuando se tratan datos de personales relativos a la salud hemos de ser extremadamente cautos.

Sanción por compartir fichero con datos por eMule

En la resolución R/02437/2012 de la AEPD se puede ver la sanción que puede sufrir una empresa por no tener implantadas las medidas de seguridad que exige la LOPD.
Con fecha 16 de julio de 2007, tuvo entrada en la AEPD un correo electrónico de la Policía Local del Concello de Ourense, en el que manifiesta que el día 10 de ese mes han encontrado y descargado un archivo de un usuario de Internet, en entorno compartido Emule, siendo el nombre del archivo “PONFERRADA AFILIADOS FIA BIERZO ACCESS 2000.MDB”. En fecha 10/7/2007 a las 16:21 horas se identificó la IP del usuario de emule que compartía el citado archivo, resultando ser la ***IP.1.
Una vez realizada la inspección de la AEPD, se verifica que la base de datos se compone de diferentes tablas entre las que se encuentran las denominadas “AFILIADO” y “EMPRESAS”, verificando que la primera se compone de 2.890 registros. Dicha base de datos corresponde a una aplicación informática utilizada para la gestión del fichero que se encuentra alojada en un servidor ubicado en la propia secretaría de la organización sindical donde se realiza la inspección. El problema se ocasionó porque un usuario permitió que el archivo pudiera ser compartido por otros a través de eMule, aunque no está probado que el mismo lo hiciera conscientemente y con la intención de dar a conocer o difundir este archivo, ni que con ello pretendiera perjudicar a los afiliados o a la organización sindical FIA-UGT de la comarca del Bierzo.
Resultado: Sanción de 6.000€ a la FEDERACIÓN ESTATAL DE INDUSTRIAS AFINES DE LA UNIÓN GENERAL DE TRABAJADORES por una infracción del artículo 9.1 de la LOPD, tipificada como grave.

Los usuarios han de ser formados en el uso adecuado de la informática

IMPORTANTE

No deben instalarse aplicaciones para compartir archivos en equipos utilizados para el tratamiento de datos personales.

Almacenamiento de la documentación en formato papel (facturas, albar., etc.)

Los dispositivos utilizados para el almacenamiento de los documentos que contengan datos personales deben disponer de mecanismos que obstaculicen su apertura a las personas no autorizadas para acceder a dicha documentación.
Es decir, se debe almacenar dicha documentación (los archivadores con las facturas, albaranes, nóminas, etc.), en armarios, cajoneras, etc. que dispongan de cerradura con llave u otro dispositivo similar. Obviamente, solo deben disponer de la llave las personas autorizadas a acceder a dicha documentación y los dispositivos deben permanecer cerrados mientras no sea necesario acceder a los documentos almacenados en ellos.
¿Y qué hacemos si los armarios no disponen de cerradura?
En este caso, la normativa nos indica que si las características físicas no permiten adoptar esta media, el responsable del fichero adoptará medidas que impidan el acceso de personas no autorizadas.
Estas medidas pueden ser trasladar toda esta documentación a un recinto aparte cerrado con llave, u otra similar, que garantice que los documentos no van a ser accedidos por alguien no autorizado.

A TENER EN CUENTA

Las medidas de seguridad descritas en el Documento de Seguridad deben cumplirse.

Sanción por no atender requerimiento de la AEPD

En el procedimiento sancionador PS/00101/2012 se puede ver la sanción que puede sufrir una empresa por no atender debidamente el ejercicio de los derechos de los ciudadanos, máxime, cuando la AEPD lo ha requerido para ello.

Con fechas 4 y 13 de enero de 2012, tuvieron entrada la AEPD escritos de Don B.B.B. (en lo sucesivo el enunciante), en los que denuncia que Don A.A.A. (en lo sucesivo el denunciado) no ha cumplido el requerimiento del Director de esta AEPD, relativo a la Resolución de la tutela de derechos nº TD/00706/2010, por la que se estimaba su reclamación y se instaba al denunciado para que en el plazo de diez días facilitase el acceso a sus datos sanitarios contenidos en sus ficheros o, en su defecto, denegase motivada y fundamentadamente dicho acceso.

En fecha 2 de abril de 2012, se intentó la notificación del citado acuerdo de inicio de procedimiento sancionador al denunciado, por medio del servicio de correos, con el resultado de “Ausente en reparto”. Se envió para su notificación el citado acuerdo de inicio de procedimiento sancionador al denunciado, mediante su exposición en el Tablón de edictos del Ayuntamiento de Valencia. El edicto estuvo expuesto en el Tablón de edictos del Ayuntamiento de Madrid desde el 25 de abril al 15 de mayo de 2012. El 27 de abril de 2012 se publicó en el Boletín Oficial del Estado, otorgándose al denunciado plazo para efectuar alegaciones a dicho acuerdo.

La falta de atención al requerimiento del Director de la AEPD al imputado en este procedimiento, establece la base de facto para fundamentar la imputación de la infracción.

Resultado: Sanción de 5.000€ por infrac-ción del art. 37.1.a) de la LOPD.

El afectado, si no se atienden sus derechos, puede pedir tutela a la AEPD

IMPORTANTE

Es sumamente importante atender los derechos de los ciudadanos en tiempo y forma para evitar problemas futuros.

El Blog descansa por vacaciones

Inmersos en pleno verano, echamos temporalmente el candado al Blog para disfrutar de unas merecidas vacaciones. Esto nos ayudará a regresar (más aún si cabe) con las pilas bien cargadas. Un buen descanso en el momento adecuado implica un retorno reforzado.

En breve volveremos a abrir las puertas de par en par de este espacio y estaremos de nuevo disponibles y enteramente a la disposición de nuestros clientes y amigos, ofreciendo como siempre los mejores servicios y las últimas novedades de nuestro sector.

Dicho esto, desde INPD os deseamos un feliz verano y os esperamos a la vuelta.


Imagen: freedigitalphotos.net