Archive for the ‘Currículum vitae’ Category
August 26th, 2010
Introducción.
Otra vez hacemos referencia a una denuncia por cesión inconsentida de datos de carácter personal desde una empresa hacia una Administración Publica en el marco de un concurso público (PS/00180/2008, R/01402/2008), similar a la analizamos hace unos días en la entrada “Cesión de currículum vitae de empresa de seguridad a Universidad (E/00998/2009)”. Read the rest of this entry »
August 24th, 2010
Antecedentes.
La denunciante en este proceso (AAPP/00029/2007, R/01317/2007) manifiesta que en junio de 2006 procedió al envío (vía email) de su currículum vitae a un Ayuntamiento con la finalidad de solicitar un puesto de trabajo. Read the rest of this entry »
August 21st, 2010
El diario Heraldo de Aragón publica la siguiente noticia “Roban datos de trabajadores del Provincial”, información que un particular pone en conocimiento de la AGPD, la que inicia las investigaciones que finalizan con la declaración de dos infracciones graves (falta de seguridad y falta de creación del fichero) como se expone en la AP/00018/2010, R/01436/2010 de 2-07-2010.
Durante la visita de la inspección de la AGPDA realizada al Hospital, se constata que entre los objetos sustraídos, figura un dispositivo de almacenamiento usb de 1gb capacidad, color blanco y marca que se desconoce, conteniendo en su interior un fichero con los datos personales y de la nómina del citado hospital, lápiz de memoria que fue proporcionado por el servicio de informática al servicio de personal del hospital.
¿Que contenia el usb robado?.
En el momento del robo, la información contenida en el mencionado soporte consistía en diversos datos de carácter personal:
1.- un fichero con la nómina del personal, cuyo destino era la entidad bancaria que realiza los pagos de dicha nómina, con el nombre, los apellidos, el código de cuenta corriente y el salario. El motivo de que se llevase dicho soporte al banco es que anteriormente dicha transferencia de información se realizaba en disquetes, que frecuentemente resultaban dañados en los arcos de seguridad de la sucursal bancaria. Aclaran igualmente que el código de cuenta corriente figuraba codificado.
2.- un fichero de trienios, conteniendo la información acerca de las personas que tenían un trienio recientemente reconocido y que había que comenzar a pagar. El contenido concreto del fichero era el nombre, la categoría profesional, la fecha del trienio y el importe.
3.- un fichero de costes, utilizado para la realización de estudios de costes, conteniendo: nombre, gfh (grupo funcional homologado) y coste asociado.
El servicio de informática dispone del software TrueCrypt para el cifrado de soportes, a disposición de aquellos usuarios que lo soliciten. Actualmente se utiliza únicamente en el Servicio de Informática.
El hospital toma medidas de seguridad … pero despues del robo.
Durante la visita de inspección los representantes del mismo informan ademas de las medidas adoptadas a raíz del robo:
a.- Instalación de un sistema de alarma y videovigilancia.
b.- Transmisión telemática de los datos de nóminas a la entidad bancaria.
c.- Deshabilitación de los puertos USB en todos los equipos excepto en aquellos en que se solicite habilitación, de forma expresa.
Exponen los representantes del Hospital que el documento de seguridad se encuentra en desarrollo y que tampoco disponen del registro de incidencias ni del registro de soportes.
¿Y el documento de seguridad? … en fase de creación.
En el Acta de inspección consta que el documento de seguridad está en elaboración, y que no tienen registro de soportes ni registro de incidencias, aunque si dos documentos estableciendo las funciones del personal que trabaja con ficheros que contienen datos de carácter personal:
a.- Funciones y obligaciones específicas de cada usuario.
b.- Obligaciones de los usuarios de ficheros con datos de carácter personal.
El primero de ellos debe ser firmado por los nuevos usuarios del sistema de información del Hospital, a quienes se les entrega en el mismo acto una copia del segundo documento.
Los representantes del Hospital aportan copias de los documentos mencionados.
Las comprobaciones de los inspectores de la AGPD.
Los inspectores de la Agencia realizaron las siguientes comprobaciones:
a. Se accedió al ordenador del Jefe de Servicio, donde tras insertar un lápiz de memoria en un puerto USB se verificó que el sistema requiere permisos de administrador para la instalación del mismo.
b. Se accedió a los ordenadores de los dos jefes de sección con que cuenta el Servicio, verificando que en uno de ellos el sistema operativo requiere la instalación de un software que precisa de privilegios de administrador, mientras que el segundo tiene habilitado el acceso, manifestando su usuaria que dicha habilitación se solicitó al tener que trasladar copia de la información de un concurso a un ordenador portátil para ser usado en la Mesa de Valoración.
c. Se accedió a tres ordenadores seleccionados al azar entre el resto de los equipos del Servicio, comprobando que en dos de ellos está habilitado el uso de dispositivos de memoria extraíbles, mientras que en el tercero de ellos no lo está. (Folios 24 y 25).
El deber de seguridad, segun la LOPD.
En referencia al deber de seguridad la LOPD –art. 9- impone al responsable del fichero la adopción de medidas de seguridad que eviten accesos no autorizados, por lo que el mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.
¿Y que dice la normativa especifica en materia de seguridad?
En referencia a las infracciones objeto de análisis, el Real Decreto 1720/2007 establece lo siguiente:
Artículo 90. Registro de incidencias.
Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
Artículo 92. Gestión de soportes y documentos.
1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.
2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.
3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitarla sustracción, pérdida o acceso indebido a la información durante su transporte.
4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
5. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas”.
Al final, dos infracciones graves.
Se constata la infracción de dos obligaciones:
a.- la primera la de dictar la preceptiva disposición de creación del fichero o de los ficheros del Hospital, lo que supone una vulneración del artículo 20 de la LOPD.
b.- la segunda (art. 9 LOPD) la de mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen (el RD 1720/2007).
© Ramon Arnó Torrades, 2010, Lleida.
August 18th, 2010
En esta resolución de la AGPD (PS/00046/2007, R/00998/2007) se analiza el caso de una persona (la denunciante) que envía su curriculum vitae por correo electronico a una empresa y más tarde ésta incluye sus datos personales (asi como el currículum) en una relación nominal de personal que aporta para presentarse a un concurso público, todo ello sin consentimiento de la denunciante.
La afectada acredita que nunca habia trabajado para esa empresa (de hecho aporta un informe de vida laboral) y que tampoco consintió en que se llevara a cabo ese tratamiento ni la cesión de sus datos personales.
La empresa por su parte se defiende manifestando lo siguiente:
a.- La denunciante autorizó de forma expresa y verbal el tratamiento por parte de la empresa y la cesion de sus datos personales.
b.- Además existía entre ambos una relación precontractual con objeto de incorporar a la afectada a la plantilla de la empresa, lo que finalmente no se produjo.
La AGPD explica en su resolución que no se ha acreditado la existencia de relación laboral con la denunciante, ni la existencia de precontrato entre ambas partes, así como cualquier otro tipo de prestación de servicios efectuada, ni por tanto consentimiento para la cesión de datos personales, con lo la AGPD impone dos sanciones a la empresa:
a.- La primera por falta de consentimiento, lo que supone una multa de 60.101,21 € (infracción del artículo 6.1 en relacion con el artículo 44.3.d).
b.- La segunda por cesion inconsentida, con una sanción de 300.506,05 € (infracción del artículo 11.1 en relacion con el artículo 44.4.b).
© Ramon Arnó Torrades, 2010, Lleida.
August 11th, 2010
Un empleado que trabaja en una empresa de seguridad privada la denuncia ante la AGPD, ya que la empresa ha cedido a una Universidad sus datos personales sin consentimiento.
En el expediente incoado por la AGPD (E/00998/2009), se explica que el trabajador aportó a la empresa de seguridad los datos necesarios para formalizar el habitual proceso de contratación laboral, elaborando aquélla la ficha de personal (con el DNI, el nombre, los apellidos, el domicilio, el teléfono, la fecha de nacimiento, el nombre del padre y de la madre, el teléfono móvil, la dirección de correo electrónico, la fecha de expedición del DNI y la experiencia laboral).
Más tarde la empresa de seguridad en la quetrabaja el denunciante cede sus datos personales a la Universidad, al resultar adjudicataria la empresa de seguridad del concurso de seguridad y vigilancia.
El trabajador ante ello ejerce un derecho de acceso ante la Universidad (que le responde facilitándole su ficha de personal) y además presenta una denuncia ante la AGPD contra la empresa.
La Agencia explica que concurre en este caso una excepción al deber de obtener el consentimiento por parte la empresa a su trabajador para ceder sus datos personales, ya que existe una relación contractual entre la Universidad y la empresa de seguridad para cuyo cumplimiento es necesario que la empresa de seguridad facilite datos personales a la Universidad de los trabajadores que van a prestar sus servicios, y que además concurre otra circunstancia importante y es que la cesión de datos personales está prevista en el contrato entre la Universidad y la empresa de seguridad, ya que en el pliego que regula el concurso (apartado 4.2.) se contempla precisamente la cesión de datos personales:
“Elección y sustitución del personal de seguridad y vigilancia …. La empresa adjudicataria proporcionará, como requisito previo a la prestación del servicio, el currcuílum de los vigilantes nuevos propuestos a fin de poder seleccionar aquellos que considere en mejores condiciones para el desempeño de las funciones. Deberá incluir la relación nominativa –con identificación fotográfica- del personal adscrito a la prestación del servicio. A este respecto la UPV/EHU podrá recabar cuanta información y documentación estime pertinente …”.
La AGPD finalmente archiva la denuncia.
© Ramon Arnó Torrades, 2010, Lleida.
