Día mundial de la protección de datos de carácter personal

La LOPD en la encrucijada

Hoy celebramos el Día de Protección de Datos, os adjunto un artículo elaborado por el actual Director de la Agencia Vasca de Protección de Datos, D. Iñaki Pariente de Prada, que se pronuncia sobre la evolución experimentando los riesgos sobre el tratamiento de los datos de carácter personal, en estos 30 años; desde la aprobación el Convenio de Europa y los nuevos retos que se presentan en el tratamiento de la información con el uso masivo de redes sociales.

Me parece un artículo interesante que nos hace recordar y reflexionar sobre la necesidad de establecer mecanismos de control normalizado y de auto-control por las propias entidades suficientes para garantizar que se realiza un tratamiento adecuado de nuestros datos personales.

Acceso a contraseñas de un/a trabajador/a (I)

Recientemente me han consultado una duda en relación al acceso a la password de acceso al sistema de cada trabajador/a de una empresa. La trabajadora en cuestión no se podía creer lo que con gran desparpajo le había solicitado el área de recursos humanos, sin dar a los trabajadores de esta entidad ninguna justificación.

Pues bien, tras consultar a la Agencia Española de Protección de Datos esta resuelve lo siguiente: “En contestación a su consulta se le informa que el articulo 93 del Real Decreto 1720/2007, Reglamento de que desarrolla la Ley Orgánica 15/1999, dispone lo siguiente:

Artículo 93.- Identificación y autenticación.1.- El responsable del fichero o tratamiento deberá establecer las medidas que garanticen la correcta identificación y autenticación de los usuarios

2.- El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que esté autorizado.

3.- Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

4.- El documento de seguridad determinará la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que mientras estén vigentes se almacenarán de forma ininteligible.

A la vista de lo anterior no es conforme a la normativa que las contraseñas las conozcan personal distinto de su titular ni personas ajenas a la empresa. Tampoco que las conozcan los Administradores de Sistemas”.

Esperemos que esta respuesta deje bastante claro a los responsables de fichero que los deberes de sigilo y confidencialidad con respecto a la información de su tituaridad también son de aplicación ad intra, no sólo de cara al exterior. Y que son los responsables de garantizar que el tratamiento de información es gestionada únicamente por el personal autorizado, y que la identificación/autenticación de estos usuarios segura (quié accede/a qué tiene puede acceder un usuario) de tal forma que se permita guardar una trazabilidad fiable, en su caso, de los accesos realizados.

Servicio médico de vigilancia de la salud versus intimidad de un cliente!!

Ha vuelto a ocurrir, a pesar de los muchos informes, noticias y distintas resoluciones de las distintas autoridades de control y profesionales especializados en la materia. El caso es que se han vulnerado varios principios normativos de un plumazo y provocando la comisión de varias infracciones legales: el principio de calidad de los datos del trabajador (datos inexactos), el deber del debido sigilo, la cesión de datos especialmente protegidos a un tercero distinto del interesado (de otra persona)…. en fin… un sin sentido provocado por un servicio médico del que se presupone un escrupuloso respeto al sigilo de la información de la salud y de la intimidad de sus pacientes (los trabajadores de las empresas cliente).Por no hablar del incumplimiento de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales:Art. 22.3. Los resultados de la vigilancia a que se refiere el apartado anterior serán comunicados a los trabajadores afectados. 4. El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.

Un compañero mío recibió el sobre con los resultados del reconocimiento médico que le había efectuado el servicio médico ajeno contratado por nuestra empresa para  realizar la vigilancia de nuestra salud. Y lo recibió como mandan los cánones: en mano y en sobre cerrado.

El problema es que este compañero se percató al abrir el sobre y comprobar alarmado que tenía nuevas dolencias hasta ese momento insospechadas. Y es que, a pesar de que sus datos identificativos eran correctos, los resultados de la anámnesis y de los análisis y pruebas realizadas, correspondían a los de otro compañero con el que acudió el mismo día al reconocimiento. Menos mal que existe la comunicación informal en la empresa, estos dos compañeros se llevan bien y se conocen… y pudieron enseguida identificar la errata….