ü Quins drets tenim???
ü Llei Orgànica de protecció de dades de caràcter
personal
ü Configuració de Seguretat
ü Configuració de Seguretat
Qualsevol recollida de
dades personals s'ha d'efectuar amb el consentiment de la persona afectada,
d'acord amb el tenor literal de la LOPD que tot seguit us reproduïm.
Qualsevol persona té el dret de
conèixer, en qualsevol moment, què es fa amb les seves dades personals.
En concret, en el moment de la recollida
de les dades s'ha d'informar la persona, d'una manera clara, sobre els aspectes
següents (article 5 de la LOPD):
§
L'existència d'un fitxer o tractament de dades de caràcter personal.
.jpg)
§
La finalitat de la recollida.
§
Els destinataris de la informació.
§
La identitat i la direcció de la persona responsable del tractament.
§
La possibilitat d'exercir els drets d'accés, rectificació, cancel·lació i
oposició (coneguts per l'abreviaturaARCO).
§
Si és obligatori o no respondre a les preguntes que es demanen.
§
Les conseqüències de proporcionar aquestes dades i les conseqüències de no
proporcionar-les.
Quan les dades es recullen en
formularis, aquests aspectes s'han d'incloure en el mateix formulari, de manera
clarament llegible.
Per tal d'informar les persones
afectades, en cas de recollir dades personals a través de formularis, se sol
recórrer a la inclusió d'una llegenda sobre política de protecció de dades.
Exemple de llegenda de
l'apdcat
Protecció de dades de caràcter personal
Dades recollides a través de formularis
En el cas que faciliteu les vostres dades personals a través d'aquesta seu
electrònica, el tractament que se'n pot derivar se sotmet a les previsions de
la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter
personal, i la resta de normativa aplicable.
L'Autoritat només tracta les dades personals de les persones usuàries de la
seu electrònica que resulten adequades, pertinents i no excessives per al
compliment de la finalitat d'atendre correctament les persones usuàries i amb
relació a l'exercici de les funcions de l'Autoritat, als efectes del que
disposa el principi de qualitat (article 4 de la LOPD).
Si voleu exercir els drets d'accés, rectificació, cancel·lació o oposició
(drets ARCO) amb relació a les vostres dades de caràcter personal tractades per
l'Autoritat, en els termes i les condicions previstes en el títol III de la LOPD,
us podeu adreçar a:
Autoritat Catalana de Protecció de Dades
C. de la Llacuna, 166, 7a planta
08018 Barcelona
C. de la Llacuna, 166, 7a planta
08018 Barcelona
D'acord amb el que disposa l'article 24 del Reglament de la LOPD, també
podeu formular les vostres sol·licituds d'accés, rectificació, cancel·lació o
oposició utilitzant altres mitjans, sempre que aquests permetin acreditar
l'enviament i la recepció de la sol·licitud, i que aquesta sol·licitud
contingui els elements especificats en l'article 25.1 del RLOPD.
Font: Avís legal de l'Autoritat Catalana de
Protecció de Dades -
El control sobre les nostres dades
personals s'exerceix a través dels anomenats drets ARCO o drets d'habeas data, que donen a la persona la potestat de protegir aquesta informació i
d'exercir-hi un control efectiu.
El tractament de dades personals
requereix el consentiment previ de la persona titular de les dades, excepte en
els casos legalment previstos, cosa que sol passar en bona part de les
intervencions de les administracions públiques. La persona que ha donat el seu
consentiment té dret a revocar-lo d'una manera senzilla i gratuïta.
Que les administracions públiques molt sovint no necessitin el consentiment
de les persones afectades per recollir i tractar les seves dades no vol dir que
no hagin de complir la resta de drets, començant pel d'informació.
Qualsevol persona té dret a saber de
forma gratuïta:
§
Si hi ha fitxers i tractaments de les seves dades personals.
§
Quina finalitat tenen.
§
La identitat de la persona responsable del fitxer o del tractament.
La persona afectada pot impugnar els
actes administratius o les decisions privades que impliquin una valoració del
seu comportament basats únicament en un tractament automatitzat de les seves
dades personals amb la finalitat d’avaluar determinats aspectes de la seva
personalitat.
La persona afectada
pot sol·licitar que no es dugui a terme el tractament de les seves dades
mitjançant l’exercici del dret d’oposició.
És el dret d’una
persona a ser indemnitzada quan pateix una lesió o un dany en els seus béns o
drets a causa d’un incompliment de la normativa de protecció de dades per part
de la persona responsable del fitxer o encarregada del tractament.
Aquesta indemnització s’ha de
sol·licitar a l’Administració pública o als jutges i tribunals.
§
Sol·licituds davant l’Administració pública:
Si qui ha infringit la llei és una entitat pública (o privada que fa tasques per compte d’una entitat pública), la indemnització s’ha de sol·licitar a l’Administració pública, d’acord amb la legislació que regula el règim de responsabilitat de les administracions públiques.
Si qui ha infringit la llei és una entitat pública (o privada que fa tasques per compte d’una entitat pública), la indemnització s’ha de sol·licitar a l’Administració pública, d’acord amb la legislació que regula el règim de responsabilitat de les administracions públiques.
§
Sol·licituds davant jutges i tribunals ordinaris:
Si qui ha infringit la llei és una entitat privada, la indemnització s’ha de sol·licitar davant els jutges i tribunals.
Si qui ha infringit la llei és una entitat privada, la indemnització s’ha de sol·licitar davant els jutges i tribunals.
La llei orgànica 15/1999 de protecció de dades de caràcter personal (LOPD) és una llei orgànica que té com objectiu garantir i protegir les dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i especialment la seva intimitat i privadesa personal i familiar. Fou aprovada a les Corts espanyoles el 13 de desembre del 1999. Aquesta llei es desenvolupa fonamentada en l'article 18 de la Constitució espanyola de 1978, sobre el dret a la intimitat familiar i personal; i el secret de les comunicacions.
Aquesta llei afecta a totes les dades que fan referència a persones físiques registrades sobre qualsevol suport, informàtic o no. Queden exempts del compliment d'aquesta normativa aquelles dades recollides per a ús domèstic, les matèries classificades de l'estat i aquells fitxers que recullen dades sobre terrorisme i altres formes de delinqüència organitzada (no simple delinqüència).
A partir d'aquesta llei es varen formar l'Agència Espanyola de Protecció de Dades, d'àmbit estatal, i l'Agència Catalana de Protecció de Dades, en l'àmbit de Catalunya, que vetllen pel compliment d'aquesta normativa.
Nivells de la LOPD
Les dades de caràcter personal s'estructuren en diferents nivells que classifiquen els registres en tres nivells de seguretat. Ho són:
· noms i cognoms de persones físiques vives
· números de DNI, NIF i passaport
· adreces físiques que s'hi associïn o s'hi puguin associar a través del tractament informàtic
· telèfons i adreces de correu electrònic que s'hi associïn o s'hi puguin associar a través del tractament informàtic
· fotografies on es pugui reconèixer clarament algú
· veu a través de la qual es pugui reconèixer algú
· dades genètiques i mèdiques associades a persones concretes
· dades biomètriques
· dades referides a creences, filiació política o sindical
· dades referides a la raça
· qualsevol dada que permeti identificar algú (la llei no opta per una enumeració tancada, sinó per la definició anteriorment exposada; per tant, la intenció és atorgar el màxim de protecció possible atesos els continus avenços de la ciència i la tècnica)
Nivell bàsic
· Identificatiu.
· Personal.
· Circumstàncies socials.
· Acadèmics i professionals.
· Detall d'empleats.
· Informació comercial
· Econòmic-financer i d'assegurances
· Transacció
Nivell mitjà
· Infraccions administratives o penals.
· Hisenda pública.
· Serveis Financers.
· Solvència patrimonial i crèdits.
· Avaluació de la personalitat.
Nivell alt
· Ideologia.
· Creences.
· Origen racial.
· Salut.
· Vida sexual.
Principals elements derivats de la legislació espanyola
Conceptes legals previs
La Constitució Espanyola de 1978 fa referència en 3 articles al tractament de les dades,[1] tot i que la jurisprudència reconeix que no es pronuncia clarament:
· Article 18.4: El legislador va deixar clar que la llei ha de limitar l'ús de la informàtica per tal de garantir l'honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets.
· Article 20.1: Dret a comunicar o rebre lliurement informació.
S'ha de tenir en compte, que al regular un dret fonamental segons la Constitució [1] la seva aprovació ha de ser per llei orgànica, el que suposa tenir la majoria absoluta al Congrés dels Diputats
Àmbit d'Aplicació
La LOPD estableix, en línies generals, que la llei és aplicable a totes aquelles empreses i administracions que donin servei a ciutadans dins del territori espanyol (Per exemple afectaria a una empresa que donés servei a ciutadans espanyols des de qualsevol lloc del món).
Per contra la llei no afecta a:
· Fitxers mantinguts per persones físiques en exercici exclusivament personal o domèstic.
· Fitxers de matèries classificades.
· Fitxers establerts per a la investigació de terrorisme i de delictes greus relacionats amb la delinqüència organitzada.
· Persones ja mortes.
Objecte
L'article 1 de la Llei Orgànica 15/99 de Protecció de dades estableix: "La present Llei Orgànica té per objecte garantir i protegir, en allò referent al tractament de les dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i especialment del seu honor i intimitat personal i familiar".
En l'article 2 de la citada Llei se n'estableix la competència i àmbit d'aplicació. La manca de concreció de la pròpia llei ha fet que es generin molts dubtes al voltant de determinades definicions i aspectes normatius de la mateixa. En tot cas resulta evident la necessitat que té el legislador de protegir les dades personals, en el sentit de desenvolupar i garantir el dret fonamental a la intimitat així com establir una legislació de control sobre el tràfic i gestió de les dades personals dels ciutadans.
Conceptes bàsics
· Dada Personal: qualsevol informació del tipus que sigui que permeti identificar o faci identificable la persona física (no la persona jurídica).
· Afectat: persona identificada o identificable a qui corresponen les dades personals.
· Fitxer: Tot conjunt organitzat de dades de caràcter personal, que permeti accés a les dades amb criteris determinats, qualsevol que sigui la forma o modalitat de creació, enregistrament, organització, tractament i accés.
· Responsable del fitxer: persona física o jurídica de naturalesa pública o privada a qui pertany el fitxer, amb independència que executi o no materialment el tractament.
· Sistema de Tractament: qualsevol forma o modalitat que permeti l'ús i gestió de les dades, des que es registren fins que s'eliminen.
· Encarregat de Tractament: pot ser el responsable del fitxer o qualsevol altra persona física o jurídica de naturalesa privada o pública que tracti per encàrrec del responsable les dades de caràcter personal dels fitxers. Alhora, aquest encarregat de tractament pot fer-ho sol o conjuntament i en cada cas estan tots els agents implicats obligats a la normativa de confidencialitat desenvolupada.
· Usuari: qualsevol persona que tingui accés a les dades personals que componen el o els fitxer/s del responsable.
· Responsable de Seguretat: persona o persones físiques o jurídiques que tenen la funció de vetllar pel compliment, aplicació i manteniment del document de seguretat.
· Document de seguretat: recull de normativa i processos per a l'aplicació dels aspectes regulats en matèria de protecció de dades que tot Responsable de Fitxer ha de tenir obligatòriament.
· Comunicació de dades: qualsevol cessió de les dades personals del responsable del fitxer a tercers. Tota comunicació o cessió de dades entre parts s'ha de donar en un marc regulat entre les parts de confidencialitat estricta i s'han de garantir l'aplicació de les mesures de seguretat corresponents així com que les dades seran tractades per a la finalitat amb que van ser registrades, amb l'excepció dels requeriments de determinades administracions públiques relacionades amb les funcions policials, de justícia i sanitat.
Fitxer de dades personals
És el punt de partida de la normativa. Un fitxer serà qualsevol conjunt organitzat de dades personals, de propietat pública o privada, qualsevol que sigui la seva forma d'enregistrament i tractament amb una finalitat determinada. No ha estat fins al RDLOPD que s'ha concretat que el sistema de tractament en paper constitueix també un fitxer. Per tant, tota entitat de dret públic o privat té fitxers que contenen dades personals registrades per a diferents finalitats. Cal identificar-los i classificar-los per funcionalitat i naturalesa i registrar-los públicament.
Totes les mesures de seguretat que es desenvolupen s'han d'aplicar sobre els fitxers en funció del seu sistema de tractament. Són així l'element central en matèria de protecció de dades personals, ja que són el conjunt de dades registrades i tractades per a una o diverses finalitats concretes. En qualsevol suport. I és propietat del responsable del fitxer, que és qui ha d'assumir l'aplicació de la normativa corresponent sobre els fitxers.
Qualitat de la dada i nivells de seguretat
L'article 4.1 de la LOPD estableix que: les dades de caràcter personal només es podran recollir pel seu tractament, així com sotmetre'ls al citat tractament, quan siguin adequades, pertinents i no excessives en relació amb l'àmbit i les finalitats determinades, explícites i legítimes per les que s'hagin obtingut.
La LOPD defineix quina és la qualitat de la dada, en base a la qual s'estableixen els nivells de seguretat que sobre el seu tractament cal aplicar i que desenvolupa el RDLOPD. Això tindrà implicacions respecte al sistema de tractament i també respecte als usuaris (control d'accessos, registre, identificació, autenticació, compromís de confidencialitat del personal, etc.). En tot cas, els nivells es defineixen en tres nivells:
· Nivell Bàsic: qualsevol fitxer que contingui dades personals de qualsevol tipus que facin identificable la persona: nom, imatge, adreça, etc.
· Nivell Mitjà: fitxers que continguin, a més de les anteriors, dades relatives a la comissió d'infraccions administratives o penals, hisenda pública, serveis financers i aquells corresponents a la prestació de serveis de solvència i crèdit. Generalment, però s'entén que estarem davant dades de nivell mitjà quant aquestes permetin fer una valoració d'entorn social i psicològic de la persona, més enllà de la seva simple identificació.
· Nivell Alt: fitxer que contingui dades personals sobre ideologia, religió, creences, origen racial, salut o vida sexual o els registrats per a fins policials sense consentiment. Aquestes són les dades que han de ser especialment protegides.
En funció del nivell de dades registrades en el fitxer amb un o altre sistema de tractament, caldrà aplicar unes mesures de seguretat concretes que es desenvolupen al RDLOPD per a cada un dels nivells. Igualment, el règim sancionador és diferent en funció de la qualitat de la dada implicada en la infracció. De manera que la normativa protegeix especialment les dades qualificades com a nivell alt, que tenen una especial relació amb els drets fonamentals de les persones.
Registre de fitxers
Tot responsable de fitxer haurà de registrar a L'Agència Espanyola de Protecció de Dades tants fitxers com tingui identificats. No tenir els fitxers registrats és una primera infracció. Això té nombroses implicacions i obligacions concretes per als responsables de fitxer i alhora suposa una garantia mínima de qualitat per la persona respecte de les seves dades personals. El registre de fitxers és d'accés públic [2] i el que es comunica a l'agència és la identificació del fitxer, el contingut de les dades (la seva qualitat) així com la finalitat i cessions que se'n facin i la identificació de tercers implicats en la gestió i/o tractament de les dades. No es comuniquen les dades concretes, sinó la seva composició per a cada un dels fitxers. I es fa a través de l'aplicació informàtica única que l'agencia disposa públicament.
Consentiment informat i drets
Aquest és un altre element cabdal de la legislació, regulat en l'article 6 de la LOPD. En el moment que es recull la dada de caràcter personal el responsable del fitxer ha de fer-ho obtenint el consentiment informat de l'afectat. Alhora, ha d'informar la persona afectada, com a mínim, dels següents aspectes:
· Identitat del Responsable del Fitxer i advertència de l'existència de fitxer on seran registrades les dades.
· Dels drets que assisteixen l'afectat respecte de les seves dades personals: accés, rectificació, cancel·lació i oposició.
· De la finalitat amb què són recollides i de l'ús que se'n donarà, així com de possibles cessions a tercers.
Nombrosos procediments sancionadors s'han iniciat per incompliments d'aquests elements que recullen els articles 5 i 6 de la LOPD, bàsicament per cessions de dades no informades o per l'ús de finalitats diferents per a les que es van registrar i no informades en el moment de recollida de la dada, ni tampoc captat el consentiment necessari per a la cessió. Són moltes les implicacions que es poden derivar d'aquesta obligació i molts els casos en que es vulnera, com es pot comprovar sobre el total de procediments sancionadors que disposa públicament l'agència espanyola de protecció de dades [3] on identifica l'article o articles concrets que s'han vulnerat.
A la pràctica, els responsables de fitxer han optat per incloure clàusules generals en formularis de recollida de les dades personals. Que en un o altre moment verifiquen que l'afectat hagi signat o acceptat de forma explícita o tàcita.
La llei però també estableix una sèrie d'excepcions en les que no és necessari demanar consentiment informat:
· Quan la llei digui el contrari.
· Quan el destinatari sigui el Defensor del poble, el Ministeri fiscal espanyol o la judicatura, el Tribunal de comptes, el Síndic de Greuges, la Sindicatura de Comptes, etc.
· Quan la cessió de dades sigui entre administracions llevat que el motiu pel qual es van recollir sigui diferent al motiu pel qual es cedeixen.
· Quan la cessió de dades de salut sigui per motiu d'urgència.
· Quan es refereixi a persones vinculades per una relació comercial, laboral o administrativa i siguin necessàries pel manteniment de les relacions o quan el tractament respongui a la lliure i legítima acceptació d'una relació, el desenvolupament, compliment i control de la qual impliqui necessàriament la connexió d'aquest tractament amb fitxers de tercers.
Comunicació i cessió de dades personals a tercers
Una altra obligació fonamental per al responsable del fitxer la trobem en la cessió i comunicació de dades i es desprèn dels articles 11 i 12 de la LOPD. La cessió també ha de tenir el coneixement i consentiment de l'afectat i això no sempre és així. Aquesta obligació adquireix especial rellevància en el context actual de subcontractació de serveis per les entitats. De manera que podria ser que la dada fos recollida per un responsable del fitxer i que després fos cedida a un tercer per a un tractament específic. Per exemple, les dades d'uns treballadors passades al servei contractat d'assessoria laboral, sense coneixement ni consentiment dels afectats, podrien ser posteriorment utilitzades per enviar-los publicitat comercial de serveis.
En qualsevol comunicació o cessió de dades, per a tractament o no, hi ha d'haver un contracte entre el responsable del fitxer i aquest tercer encarregat del tractament on s'estableixin quines són les finalitats del tractament i on l'encarregat del tractament es comprometi a complir amb la normativa vigent en matèria de protecció de dades. Resulta doncs una garantia força important per a l'afectat i en el recull de processos sancionadors de l'Agència Espanyola trobem importants sancions econòmiques per cessió il·legal de dades. L'article 9 de la LOPD estableix que el responsable del fitxer i en el seu cas l'encarregat del tractament seran els responsables d'aplicar les mesures de seguretat en les dades.
Confidencialitat del personal
Una altra de les implicacions normatives a tenir molt present i que és fonamental per al correcte tractament de les dades personals és la que es desprèn de l'article 10 de la LOPD, que estableix: "El responsable del fitxer i aquells que intervinguin en qualsevol fase del tractament de les dades de caràcter personal resten obligats al secret professional respecte dels mateixos i al deure de guardar-los, obligacions que subsistiran encara després de finalitzar les seves relacions amb el titular del fitxer o, en el seu cas, amb el responsable del mateix."
Resulta aquest un altre dels articles la vulneració del qual se centra una bona part dels processos sancionadors que instrueix l'agència espanyola.[3] Doncs implica una diversitat molt extensa d' àmbits i és una obligació general que recau sobre qualsevol usuari que tingui accés a les dades de qualsevol fitxer del responsable o encarregat del tractament. És la prova de la responsabilitat en aplicar les mesures de seguretat al fitxer no només per part de l'entitat responsable sinó també pel seu personal i càrrecs, així com pels possibles encarregats de tractament.
També en aquest cas els responsables del fitxer han anat optant majoritàriament per establir clàusules generals d'obligació a la confidencialitat en els contractes laborals del personal, amb col·laboradors, tercers, etc.
Règim sancionador
El règim sancionador establert per la legislació espanyola és més estricte en comparació amb altres de països veïns. Dependrà en tot cas de la infracció comesa i especialment de la qualitat de la dada implicada, però el nivell econòmic de les sancions se situa, en funció del grau de la infracció, en:
· Sanció per infracció lleu: de 900 € a 40.000 €
· Sanció per infracció greu: de 40.001 € a 300.000 €
· Sanció per infracció molt greu: de 300.001 € a 600.000 €
Això no obstant, el procediment sancionador no és el mateix per a les entitats de dret privat que per a l'administració pública. En cas que sigui l'administració la que cometi una infracció el procediment passarà per una investigació que pot concloure amb sancions disciplinàries sobre l'òrgan i els càrrecs infractors, però no amb sanció econòmica. Té això cert sentit doncs els diners sortirien de la hisenda pública per anar a parar a la hisenda pública. Però no cal passar per alt que segons la qualificació de les dades que fa la pròpia llei, és precisament l'administració la que posseeix dades de major qualitat: serveis sanitaris, educatius, tributaris, etc.. Per aquesta raó seria desitjable que la normativa s'adaptés de forma immediata, per garantir els drets dels afectats.
El Títol VII de la LOPD configura tant la naturalesa de la infracció com el procediment i sancions disposades en la matèria, tot establint una distinció en quant al procés sancionador si la infracció és comesa per entitats de dret públic, administracions públiques, o de dret privat, la resta. De manera que en el primer cas parlarem d'amonestacions i procediments disciplinaris i en el segon de sancions econòmiques. A més, cal pensar que, com es desprèn de l'article 44 que defineix els tipus i gravetat de les infraccions, a l'analitzar el conjunt de resolucions dels procediments, en la majoria dels casos ens trobem davant una infracció que com a mínim serà greu i que partirà doncs d'una sanció econòmica mínima de 60.101,21 €.
Document de Seguretat
És el document que tot responsable de fitxer ha de elaborar i disposar on es reculli el processos que donen compliment internament a la normativa. On figuri un responsable de seguretat, la identificació i registre dels fitxers, la normativa aplicable, el registre d'usuaris, de suports, l'inventari de sistemes d'informació i aplicacions, i tot allò relacionat amb la implantació a l'entitat de la normativa. És un document de garantía mínima de compliment amb les obligacions derivades de la normativa que tota entitat hauria de disposar, però que per si mateix no implica el compliment de les mesures de seguretat.
Implicacions i futur
El desenvolupament a través de la Llei Orgànica del conjunt de drets i deures que suposa la garantia legal de protecció de les nostres dades personals té nombroses implicacions. En primer lloc hem de veure tot aquest marc normatiu com a un conjunt de garanties respecte de l'ús de les dades personals per part dels responsables del fitxer. En el sentit que hem d'estar informats de per a què es recullen les nostres dades i de quin serà el destí de les mateixes, alhora de garantir-nos l'exercici dels drets d'accés, rectificació, cancel·lació i oposició de les mateixes.
Igualment, el règim sancionador disposat a la llei suposa una amenaça clara per a les empreses, tot i que desigual. Doncs no distingeix entre una gran corporació que fa transferència il·legal de dades per a benefici comercial d'entre una petita o mitjana empresa, per la qual cosa el fet que es té en compte en imposar la sanció es la infracció i no la posició del responsable del fitxer. Això provoca que determinades corporacions empresarials amb potencial i capital suficient puguin destinar una partida del seu pressupost anual al pagament de les possibles sancions en protecció de dades, donat que el rendiment econòmic que les seves infraccions en l'àmbit de l'acció comercial serà superior al import de les eventuals sancions. Mentre que una entitat privada sense aquesta posició es veurà greument afectada.
Tanmateix, en el context de la societat del coneixement i amb el desenvolupament i implantació al món professional de les TIC no es poden obviar les obligacions respectives dels proveïdors de serveis tecnològics i del comerç electrònic. Més encara si sabem que les cessions de dades són constants, especialment en consideració a la subcontractació de serveis de hosting, de còpies de seguretat, de processos de reconstrucció, d'assistència a distància, i un llarg etc. Per això resulta interessant vincular l'estudi de la normativa en matèria de protecció de dades amb la Llei 34/2002, d'11 de juliol, de Serveis de la Societat de la Informació i Comerç Electrònic (LSSI-CE)..[4] Especialment important per a l'aplicació de la normativa en matèria de comerç electrònic i d'usos d'Internet. És aquest un àmbit encara per descobrir i no cal dir que al legislador se li escapa de les mans, tot i que, en qualsevol cas, són creixents els procediments sancionadors de l'Agencia Espanyola de Protecció de Dades on aquesta llei i matèria son objecte de sanció.
La regulació en matèria de Protecció de Dades Personals suposa unes garanties de drets dels afectats i alhora imposa unes obligacions als responsables dels fitxers, les mesures de seguretat a aplicar sobre els fitxers així com la garantia que tot usuari o encarregat de tractament tindrà coneixement de l'existència de la normativa i adquirirà un compromís de confidencialitat. Però si s'analitza al detall tota la regulació, que des del RDLOPD és quelcom més concreta, cal adonar-se que el seu compliment íntegre es pràcticament impossible. I, donat que el règim sancionador disposat és molt dur, no és d'estranyar que l'aparició d'aquesta normativa hagi suposat una nova quota de mercat per a empreses de serveis d'assessorament i consultoria que, arrel de la preocupació que genera aquesta qüestió i afegint l'exigència dels estàndards de qualitat internacionals, no pot fer més que créixer. Igualment, també el creixement de serveis destinats a la destrucció de documentació, gestió d'arxius, allotjament de dades remots, serveis de reconstrucció, etc.
I és que la protecció de dades entesa de forma global afectat tots els tipus d'activitat i el seu àmbit d'aplicació és constant i creixent, doncs les dades personals són la base de les relacions de servei. Al mateix ritme, per tant, es van desenvolupant tot un seguit de novetats tecnològiques i de formació per a professionals al respecte. No podem separar la Protecció de Dades de l'ús de les Tecnologies de la Informació i la Comunicació, de la Signatura digital, del Certificat digital, ús d'Internet, entre altres eines avui habituals en el marc laboral i sobre les quals la protecció de dades té una significació molt important. En un entorn de e-administració creixent i de serveis online en creixement exponencial, la Protecció de Dades Personals jugarà un paper transcendental en els propers anys. Especialment si tenim en compte que el percentatge d'entitats, responsables de fitxer, públics i privats, que tenen fitxers registrats (primer pas per al compliment de la normativa) a les agencies és insignificant encara avui.
Una de les millors formes per adonar-se de la importància creixent que aquest àmbit normatiu està prenent és comprovar les resolucions de l'agència espanyola [3] on es pot verificant la diversitat de processos sancionadors, la diversitat d'entitats implicades i la multitud de possibilitats d'infringir la norma, tanmateix per ésser conscients de fins a quin punt podem exercir els nostres drets a la intimitat i correcta gestió de les nostres dades, no deixant impune qualsevol infracció.
Enllaços externs
Configuració de Seguretat
Pots
gestionar la configuració de seguretat del teu dispositiu si vas a 
Configuració >
Personal > Seguretat.
Configuració >
Personal > Seguretat.
·
Seguretat de la
pantalla. Gestiona les opcions de bloqueig de la
pantalla.
·
Encriptació. Encripta les dades del telèfon o de la tauleta.
·
Bloqueig de
targeta SIM. Configura un PIN per bloquejar la
targeta SIM del dispositiu (pot ser que no estigui disponible en tots els
dispositius).
·
Contrasenyes. Fes que les contrasenyes estiguin visibles, de
manera que et resulti més fàcil introduir una contrasenya més complexa i, per
tant, més segura.
·
Administració de
dispositius. Gestiona els administradors de
dispositius, permet que s'instal·lin aplicacions d'orígens que no siguin Play
Store i selecciona que es verifiquin les aplicacions de tots els orígens.
·
Emmagatzematge de
credencials. Gestiona, instal·la o esborra
certificats dels dispositius.
Consell: Toca Informació de propietari per
introduir informació que es mostri a la pantalla de bloqueig. Et resultarà
útil en cas que perdis el dispositiu.
Sobre la verificació d'aplicacions
Hi ha aplicacions que poden ser perjudicials per a tu o per al
teu dispositiu. Pots verificar aplicacions per evitar que s'instal·li
programari perjudicial al dispositiu.
Si proves d'instal·lar una aplicació des de qualsevol origen amb
la verificació d'aplicacions activada, és possible que el dispositiu enviï
informació a Google per identificar l'aplicació.
Si l'aplicació és maliciosa, pot ser que Google t'avisi perquè
no la instal·lis o que en bloquegi la instal·lació completament. Google també
farà anàlisis periòdiques per veure si hi ha aplicacions malicioses que ja
estan instal·lades. En cas que hi hagi una aplicació potencialment maliciosa,
rebràs una notificació en què se't recomanarà que la desinstal·lis. Si hi ha la
certesa que una aplicació és perjudicial, Google la suprimirà del dispositiu.
Quan verifiques una aplicació, Google rep informació del
registre, els URL relacionats amb l'aplicació i informació general sobre el
dispositiu, com ara l'identificador del dispositiu, la versió del sistema
operatiu i l'adreça IP.
Els dispositius Android que
tenen Google Play instal·lat tenen l'opció d'utilitzar Google com a verificador
d'aplicacions. La verificació d'aplicacions està activada de manera
predeterminada, però no s'envia cap dada a Google si no acceptes permetre-ho
quan t'ho demani el diàleg que apareix abans d'instal·lar la primera aplicació
d'una font que no sigui Google Play.
Per gestionar la
verificació d'aplicacions, vés al menú d'aplicacions del dispositiu i toca Configuració Google >
Verifica les aplicacions. Toca el quadre que hi ha al costat de
l'opció per verificar aplicacions. La configuració s'activa quan apareix la marca
de verificació. Si el teu dispositiu funciona amb Android 4.2 o una versió
posterior, també pots anar a Configuració
> Seguretat > Verifica les aplicacions.
La verificació d'aplicacions està disponible quan tries
instal·lar aplicacions de fonts que no siguin Google Play. Per instal·lar
aplicacions d'altres fonts, vés a Configuració
> Seguretat i,
a continuació, toca el quadre que hi ha al costat de Fonts desconegudes.
Si proves d'instal·lar una aplicació que pugui ser perjudicial,
és possible que vegis un d'aquests diàlegs:
·
La instal·lació d'aquesta
aplicació pot ser perjudicial per al teu dispositiu. És
possible que l'aplicació sigui perjudicial per al dispositiu o per a la teva
informació personal.
·
La instal·lació s'ha bloquejat. L'aplicació
és maliciosa i no es pot instal·lar.
Anàlisi
d'aplicacions malicioses
Quan s'activa l'opció "Verifica les aplicacions",
Google fa anàlisis periòdiques per veure si hi ha aplicacions potencialment
malicioses que ja estan instal·lades.
Quan s'hagi analitzat una aplicació, és possible que vegis un
dels missatges següents:
·
Google recomana que
desinstal·lis immediatament aquesta aplicació.
L'aplicació és potencialment maliciosa per al teu dispositiu i s'ha de
desinstal·lar immediatament.
·
Per protegir-te, Google ha
desinstal·lat aquesta aplicació. L'aplicació és perjudicial i
s'ha desinstal·lat automàticament per protegir el teu dispositiu.
Desactivació de la
verificació d'aplicacions
Si en algun moment vols
deixar de verificar les aplicacions, vés a Configuració
Google > Verifica les aplicacions i, a continuació, toca el quadre per
suprimir la marca de verificació. Per als dispositius que funcionin amb Android
4.2 o versions posteriors, també pots anar a Configuració
> Seguretat > Verifica les aplicacions.
Definició del bloqueig de pantalla
En funció de com utilitzis el dispositiu, és possible que
vulguis definir alguna mena de bloqueig automàtic de la pantalla per evitar
l'accés no autoritzat. Si has definit un bloqueig, la pantalla es bloquejarà quan
entri en repòs.
Per ajustar la configuració de bloqueig:
1.
Vés a Configuració
> Personal > Seguretat > Bloqueig de pantalla.
2.
Toca el tipus de bloqueig que vulguis i segueix les instruccions
de la pantalla.
Si, prèviament, has definit un bloqueig, cal que introdueixis el
patró, el PIN o la contrasenya per desbloquejar la configuració de bloqueig.
Pots triar entre aquestes opcions de bloqueig, que apareixen en
ordre aproximat de nivell de seguretat:
·
Lliscament del dit no ofereix cap protecció, però et permet anar
ràpidament a la pantalla d'inici o a Google Now.
·
Desbloqueig facial et permet desbloquejar el dispositiu
mirant-lo. Aquesta és l'opció de bloqueig menys segura.
·
Patró et permet dibuixar un patró senzill amb el dit
per desbloquejar el dispositiu.
·
PIN requereix quatre números o més. Els PIN més
llargs acostumen a ser més segurs.
·
Contrasenya requereix quatre o més lletres o números.
Aquesta és l'opció més segura, sempre que facis servir una contrasenya segura.
Consell: Després de configurar el Desbloqueig facial,
consulta Configuració
> Personal > Seguretat per
descobrir dues opcions de configuració addicionals: Millora la coincidència facial iComprovació de moviment.
Fes-les servir perquè el Desbloqueig facial sigui més fiable i segur.
Consells per a contrasenyes: Per a una seguretat màxima, especifica una contrasenya que
·
Tingui almenys vuit caràcters.
·
Contingui una barreja de números, lletres i símbols especials.
·
No contingui paraules ni frases que es puguin reconèixer.
Configuració
relacionada
Per canviar quan entra en
repòs el dispositiu, toca Configuració > Dispositiu > Pantalla > Repòs.
Per veure les contrasenyes
en escriure-les, toca Configuració > Personal > Seguretat > Fes que les contrasenyes siguin
visibles.
Pots encriptar totes les dades del dispositiu: comptes
de Google, dades de les aplicacions, música i altres fitxers multimèdia,
informació baixada, etc. Si ho fas, hauràs d'introduir un PIN numèric o una
contrasenya cada vegada que engeguis el dispositiu. Si ja has configurat un
bloqueig de pantalla, has de fer servir el mateix PIN o la mateixa contrasenya.
No pots tenir dos PIN o dues contrasenyes.
Advertiment: L'encriptació no es pot desfer. L'única manera
de tornar a un dispositiu sense encriptar és dur a terme un restabliment de les
dades de fàbrica, un procediment que esborra totes les dades.
L'encriptació proporciona protecció addicional en cas
que et robin el dispositiu, i és possible que es requereixi o que es recomani
en algunes organitzacions. Consulta amb l'administrador del sistema abans
d'activar-la. En molts casos, l'administrador del sistema controla el PIN o la
contrasenya que estableixes per a l'encriptació.
Abans d'activar l'encriptació, cal seguir aquests
preparatius:
1. Establir un PIN o una contrasenya de bloqueig de
pantalla.
2. Carregar la bateria.
3. Connectar el dispositiu.
4. Programar almenys una hora per al procés
d'encriptació: no pots interrompre'l; si ho fas, perdràs una part o la
totalitat de les dades.
Quan estiguis preparat per activar l'encriptació:
1. Toca Configuració > Personal > Seguretat >
Encriptació > Encripta la tauleta o bé Encripta el
telèfon.
2. Llegeix la informació sobre l'encriptació amb cura.
El botó Encripta la
tauleta o Encripta el telèfon apareix atenuat si la
bateria no està carregada o bé si el dispositiu no està connectat. Si
canvies d'opinió pel que fa a encriptar el dispositiu, toca el botó Enrere.
Advertiment: Si interromps el procés d'encriptació, perdràs
dades.
3. Toca Encripta la tauleta o bé Encripta
el telèfon.
5. Torna a tocar Encripta la tauleta o
bé Encripta el telèfon.
El procés d'encriptació comença i se'n mostra el
progrés. L'encriptació pot durar almenys una hora, temps durant el qual el
dispositiu es pot reiniciar diverses vegades.
Quan l'encriptació hagi finalitzat, hauràs d'introduir
el PIN o la contrasenya.
Més endavant, hauràs d'introduir el PIN o la
contrasenya cada vegada que engeguis el dispositiu, per desencriptar-lo.
Tota aquesta informació o bé una part s'aplica només als
dispositius que funcionin amb Android 4.3 i versions posteriors.
Pots utilitzar els
certificats digitals per identificar el dispositiu amb diferents finalitats,
com ara l'accés a la xarxa VPN o Wi-Fi i l'autenticació a servidors
d'aplicacions com el correu electrònic o Chrome. Si vols fer servir certificats
per autenticar la Wi-Fi, assegura't que selecciones l'opció Wi-Fi del menú que es descriu a continuació. Normalment,
l'administrador del sistema proporciona aquests certificats perquè els
instal·lis a l'emmagatzematge de credencials de confiança del dispositiu.
Android admet els certificats X.509 codificats amb DER desats a
fitxers amb l'extensió de fitxer .crt o .cer. Si el fitxer de certificat té una
extensió .der o una altra, cal que la canviïs a .crt o .cer o no el podràs
instal·lar.
Android també admet els certificats X.509 desats a fitxers de
magatzem de claus PKCS#12 amb l'extensió .p12 o .pfx. Si el magatzem de claus
té una altra extensió, cal que la canviïs per .p12 o per .pfx o no el podràs
instal·lar. Quan instal·les un certificat d'un magatzem de claus PKCS#12,
Android també instal·la els certificats de clau privada o d'autoritat
certificadora d'acompanyament.
Instal·lar els
certificats de client i de CA
Per instal·lar un certificat des de l'emmagatzematge intern del
dispositiu:
1.
Copia el certificat o el magatzem de claus de l'ordinador a
l'arrel de l'emmagatzematge intern del dispositiu (és a dir, no el copiïs en
una carpeta).
2.
Vés a Configuració
> Personal > Seguretat > Emmagatzematge de credencials > Instal·la
des de l'emmagatzematge.
3.
Toca el nom del fitxer del certificat o del magatzem de claus
per instal·lar-lo. Només es mostren els certificats que encara no has
instal·lat.
4.
Si se't demana, introdueix la contrasenya del magatzem de claus
i toca D'acord.
5.
Introdueix un nom del certificat i tria VPN i aplicacions,
o bé Wi-Fi al menú d'ús de credencials i tocaD'acord.
Normalment, s'instal·la alhora un certificat de CA inclòs amb un
certificat de client. També pots instal·lar certificats de CA addicionals amb
els mateixos passos.
Si encara no has establert cap patró, PIN o contrasenya per al
dispositiu, se't sol·licita que n'estableixis un. És possible que
l'administrador del sistema determini prèviament quin tipus de bloqueig és
acceptable.
Un cop s'instal·la un certificat correctament, se'n suprimeix la
còpia que hi ha a l'emmagatzematge.
Important: les aplicacions com ara el
correu electrònic i el navegador que admeten certificats et permeten instal·lar
certificats directament des de l'aplicació. Per obtenir-ne els detalls,
consulta l'Ajuda o altres instruccions que se subministren amb l'aplicació.
Ús dels certificats
de CA
1.
Toca Configuració
> Personal > Seguretat > Emmagatzematge de credencials >
Certificats de confiança. La pantalla de credencials de
confiança té dues pestanyes:
A Sistema es mostren els certificats d'autoritat certificadora (CA) que
estan permanentment instal·lats a la memòria ROM del telèfon.
A Usuari es mostra qualsevol
certificat de CA que hagis instal·lat; per exemple, durant el procés
d'instal·lació d'un certificat de client.
2.
Per examinar els detalls del certificat de CA, toca'n el nom.
Els detalls es mostren en una pantalla de desplaçament.
3.
Per eliminar o desactivar un certificat de CA, desplaça't a la
part inferior de la pantalla dels detalls i toca Desactiva per als certificats del sistema o Elimina per als certificats d'usuari.
En desactivar un certificat
de CA del sistema, el botó que hi ha a la part inferior de la pantalla dels
detalls canvia a Activa, de manera que, si és necessari, puguis tornar a activar el
certificat. En suprimir un certificat de CA instal·lat per l'usuari, desapareix
permanentment i, si el vols recuperar, cal que el tornis a instal·lar.
4.
Al diàleg de confirmació que apareix, toca D'acord.
Android
adopta un enfocament multicapa pel que fa a la seguretat:
Evita. Les aplicacions de Google Play
s'analitzen contínuament per bloquejar aplicacions perjudicials i infractors de
la política. També pots triar que les aplicacions s'instal·lin des d'altres
orígens verificats.
Controla. La "zona de proves" de les
aplicacions impedeix que les aplicacions accedeixin a altres parts del sistema
operatiu de la tauleta o de l'una a l'altra tret que els en donis permís en el
moment de la instal·lació.. L'encriptació i el bloqueig de pantalla ajuden a
impedir l'accés no autoritzat a tota la tauleta.
Defensa. Un cop identificades, les aplicacions
perilloses es poden eliminar de manera remota.
No hay comentarios:
Publicar un comentario