Esta ley es una reforma de la Ley reguladora de la jurisdicción contencioso-administrativo, y en uno de sus apartados fija el límite en el que no procederá recurso de casación ante el Supremo sentencias de cualquier materia cuyo asunto no exceda de 600.000 euros, que es la sanción máxima que puede imponer la AEPD. Anteriormente este límite estaba fijado en 150.000 euros.

Este límite implica a las sanciones que eran graves y muy graves que ahora pierden esta posibilidad de recurso. Esto no implica que no se puedan recurrir las sanciones de la AEPD, sino que tenemos un órgano judicial menos para hacerlo. De todas formas no es lo habitual llegar en los recursos hasta el Tribunal Supremo, aunque en los casos en los que se ha llegado ha servido para tener una interpretación más clara de la ley.

Vía | Blog Samuel Parra
En Tecnología Pyme | Conceptos básicos de la LOPD (IX): infracciones y sanciones
Imagen | mconnors

Algo tan sencillo como enviar correos a toda nuestra libreta de direcciones en la empresa puede acarrear multas de entre 600 y 3.000 euros, por revelar datos privados de clientes o de personas que facilitan su dirección de correo electrónico con fines informativos. Por lo tanto no es cuestión de no tomar en serio esta cuestión.

Esta cuestión se soluciona utilizando la opción de CCO, Con Copia Oculta, en el correo de manera que cuando enviamos el mensaje a un usuario no le aparecerán las direcciones de correo del resto de los destinatarios a los que también hemos remitido dicho correo. Esta precaución, que en el caso del correo personal es poco habitual, en el caso de correos corporativos fuera de la empresa o de relación con los clientes se convierte en básica para cumplir con el artículo 10 de la LOPD.

En este sentido debemos mantener separados nuestros ámbitos laborales y particulares en nuestro trabajo. Es recomendable no mezclarlos para no llevarnos sorpresas desagradables en este sentido. Una cuestión con la que debemos tener especial cuidado son los correos en cadena, que aunque cada vez son menos frecuentes, todavía se reenvían por distintas empresas y por supuesto sin la precaución básica del envío con Copia oculta.

Vía | Pymes y Autónomos
En Tecnología Pyme | Cinco consejos para gestionar el email en la Pyme

Ya vimos que uno de los sectores en los que la actividad de la Agencia Española de Protección de Datos (AEPD) ha aumentado espectacularmente sus actuaciones es la videovigilancia. Sin embargo, según los datos ofrecidos por la Memoria correspondiente al años 2008, no es este el único sector en el que la AEPD ha puesto el ojo, sino que también destaca el aumento de inspecciones y sanciones alrededor de las comunicaciones electrónicas, especialmente vía fax o correo electrónico.

Es evidente que el desarrollo tecnológico conlleva en el tiempo una curva de adopción por el mercado que abarata los costes de cualquier servicio permitiendo un uso masivo. Así, por ejemplo, si enviar un fax tuvo en su tiempo un precio que hacía muy costoso plantear una campaña masiva de comunicación o publicidad por ese medio, hoy día, con las tarifas planas telefónicas, el coste ha disminuido tanto que se da la paradoja de que le cuesta más al receptor que al emisor, pues es el primero quien ha pagado la tinta y el papel en el que se imprime el mensaje.

A esta circunstancia se une una confusión de orden legal: ya que la Ley Orgánica de Protección de Datos (LOPD) se refiere exclusivamente a los datos de carácter personal, y quedan fuera de su ámbito los de tipo empresarial, se tiende a pensar que los datos de fax y correo electrónico de una empresa se pueden utilizar libremente para campañas comerciales sin que tal acción suponga riesgo legal alguno.

Aquí es donde es conveniente recordar que el asunto de la protección de datos no se limita a la LOPD, sino que el manejo de datos está ya tan extendido en nuestra sociedad que son varias las leyes que por fuerza han de regular en una medida u otra el uso y manejo de este tipo de información. Y lo que es más importante: la AEPD está normativamente dotada para sancionar la vulneración de cualquiera ley relativa a la protección de datos.

Quizás el ejemplo más claro y el que tiene mucho que ver con el asunto de las comunicaciones comerciales y el spam sea la Ley de Servicios de la Sociedad de la Información (LSSI). Es fundamental recordar que en la LSSI no se da esa limitación de la LOPD de referirse únicamente a datos de particulares, sino que los de tipo empresarial están igualmente protegidos, por lo que será necesario disponer del consentimiento de los afectados para poder enviarles comunicaciones de tipo comercial.

En el caso de que utilices el fax para acciones comerciales ¿estás seguro de disponer del consentimiento inequívoco de los afectados? Y al revés, ¿recibes en tu fax de empresa comunicaciones comerciales no solicitadas (spam)?

Foto l Leonid Mamchenkov
Más información l LSSI
En Tecnología Pyme | Importante incremento en las sanciones por videovigilancia
En Tecnología Pyme | Guías prácticas de la LOPD (I): el spam y el P2P

Una de las razones para realizar una campaña como esta es tratar de poner un freno al uso de software ilegal o pirata en la empresa en esta época de crisis, que según apuntan en las estadísticas tiende a aumentar, sobre todo en las pymes con cifras en torno al 43%. Y es que es muy fácil caer en la tentación de buscar un programa y saltarse la licencia. Pero es que además no sale gratis, pero todo esto tiene un coste.

Si en este blog hemos analizado como el software gratuito no sale gratis en este caso no es tan fácil como parece. En primer lugar, siempre gastaremos unos recursos en encontrar el software adecuado así como las claves para el mismo. En segundo lugar, nunca estaremos seguros de que el software que nos estamos instalando está libre de virus o programas espías, troyanos y demás programas maliciosos. Y por último, si lo que hacemos es instalarnos un sistema operativo pirata siempre podemos tener una problema con alguna de sus actualizaciones.

Uno de los problemas que la campaña contra el software ilegal quiere atajar es el de la destrucción de puestos de trabajo debido al uso ilegal de programas. En este caso, yo estoy de acuerdo ya es que es algo que crea una mala cultura empresarial. Se trata de apropiarte del trabajo de otro para lucrarte con él. No estamos hablando de un uso privado del mismo del que no se obtiene beneficio, en el caso de las empresas, su objetivo es generar dichos beneficios.

Pero también se generan una serie de puestos de trabajo en reparación y mantenimiento de equipos informáticos por el uso de software pirata. Cada vez que Microsoft ha incluido algún programa tipo ventajas de Windows Original pues esa semana ha habido avalancha de trabajo para estas empresas intentando recuperar y en el peor de los casos reinstalando sistemas o programas.

Todo esto genera un coste para la empresa, económico porque tenemos que llamar a una empresa que nos arregle el problema, y de tiempo, porque el tiempo que no estamos trabajando no estamos sacando adelante el trabajo en nuestra empresa y no estamos generando el trabajo adecuado. Por todo ello es aconsejable que antes de instalar cualquier tipo de software ilegal os lo penséis dos veces.

Por último, pero no menos importante, tendréis que tener en cuenta las sanciones que os pueden caer en caso de que os realicen una inspección y detecten software ilegal en vuestra empresa. No estamos hablando precisamente de una multa de la zona azul, sino que puede poner en riesgo la viabilidad de vuestra empresa. Es necesario saber a que os exponéis si os denuncian, que para ello es tan fácil como rellenar un formulario de la BSA (Business Software Alliance).

Por último me gustaría hacer mención a la colección de software de código abierto a la que hacen reseña en la página del ministerio donde nos ofrecen alternativas libres a una gran variedad de programas. El software libre puede ser una alternativa legal a ese programa que necesitas pero por el que no puedes pagar su coste. Es cuestión de evaluarlo antes de tomar la decisión de apostar por él o no y documentarnos acerca de sus posibilidades. Desde luego es una alternativa mucho más lógica que optar por el software pirata, que a corto plazo puede resolvernos la papeleta pero a la larga no nos generará más que problemas.

Más Información | Todos con software legal
Foto | dogbomb
En Tecnología Pyme | Los costes ocultos del software “pirata”

Resulta obvio que la ofimática ha supuesto un enorme avance en la manera en la que incluso una empresa muy pequeña puede llegar a procesar información en grandes volúmenes, pero al tiempo nos obliga a ser precavidos ya que sus automatismos también aumentan los riesgos de vulnerar la legislación sobre protección de datos.

Es fundamental resaltar el hecho de que como ya señalaba en la nota anterior todos estos ejemplos proceden de Resoluciones (sanciones) publicadas en la página web de la Agencia Española de Protección de Datos (AEPD), es decir, son circunstancias que ya han ocurrido y nos deben servir para aprender en piel ajena. Y también que no basta con que estos procedimientos se entiendan a nivel de gerencia en una pyme, sino que cualquier empleado con acceso a datos de carácter personal ha de mantener el mismo tipo de precauciones. Así que si el lector resulta ser un usuario avanzado y algunos de estos errores le resultan demasiado “básicos”, le conviene preguntarse: ¿saben esto mis empleados?

• Correos electrónicos con direcciones al descubierto. Si tenemos que enviar un correo electrónico a varias personas (salvo que obviamente todas sean internas de la compañía o pertenezcan a un mismo grupo) nunca debemos poner todas las direcciones en la casilla “para”, puesto que en ese caso cada uno de los destinatarios verá las direcciones del resto y se considerará una vulneración del deber de secreto (artículo 8 de la LOPD). Se debe usar la casilla CCO (con copia oculta).


• Equipos sin medidas básicas de seguridad. En uno de los procedimientos presenciales de los inspectores de la AEPD se decía con sorpresa: “con sólo pulsar una tecla cualquiera se tenía acceso completo al disco duro del equipo informático”, es decir, que en ese ordenador ni siquiera se había activado una medida tan básica como la contraseña de acceso que conlleva cualquier sistema operativo. De nada sirve “blindar” el acceso a nuestro servidor y cumplir todos los requisitos de seguridad informática si después cualquier equipo desprotegido puede suponer una fuga de información o un acceso no autorizado.


• Soportes con copias de seguridad. CD, DVD, discos duros externos, pendrive… Son muchos los sistemas que podemos emplear tanto para realizar copias de seguridad (obligatorias también según el Reglamento de Medidas de Seguridad de la LOPD) como para transportar información. En este último caso, independientemente de las medidas técnicas implantadas para evitar accesos no autorizados o del encriptamiento de los datos, hay que activar un medida tan poco tecnológica como “estar más atento”. Resulta sorprendente (pero ocurre) los casos en los que “se pierden” soportes con información sensible.


• Máquina de ensobrar. Si su empresa realiza campañas de mailing y dispone de una práctica máquina de ensobrar haga el siguiente experimento: golpee suavemente un sobre sobre una mesa y compruebe si a través de la ventanilla se ven más datos personales que los imprescindibles para su distribución postal. Dejar al descubiertos expresiones como “recibo devuelto” o “deuda pendiente” ha causado ya varias sanciones.


• Fax. Cuando se envía una comunicación por fax no tenemos ningún control sobre quién es la o las personas que van a tener acceso a esa información en el momento de su recepción. Su uso no es aconsejable cuando se trate de transmitir datos de carácter personal.

Continuaremos la serie con un análisis de la problemática que puede suponer la contratación de servicios externos que tienen relación con la protección de datos, como son la videovigilancia, servicios informáticos, backup remotos, formularios web y tiendas virtuales, etc…

En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos

En la página web de la Agencia Española de Protección de Datos (AEPD) se publican, en la sección Resoluciones, todos aquellos procedimientos sancionadores iniciados por la AEPD, tanto los que terminan en sanción como los que son archivados.

Cada uno de estos procedimientos, además de fundamentar jurídicamente la resolución señalando los preceptos legales vulnerados, “cuenta una historia” y de sus detalles se aprende que los mayores riesgos de una sanción no proceden de errores documentales o de la falta de determinados contratos, sino del uso diario de la información y los datos de carácter personal que toda empresa maneja. Riesgo en ocasiones agravado por el uso de algunos avances tecnológicos.

Veamos ejemplos de los errores “tecnológicos” más habituales que han causado en algunos casos sanciones de muy elevada cuantía, para que de esta manera aprendamos lo que no hay que hacer y estemos más vigilantes ante algunas prácticas aún muy extendidas en las empresas.

• Spam (mail, fax, SMS): sin duda el número 1 por la cantidad de sanciones. Se denomina “spam” a todo tipo de comunicación de carácter comercial no solicitada, realizada por vía electrónica, y esta vía incluye no sólo el correo electrónico, sino también el fax o un SMS. Hay que tener en cuenta que en este ámbito además de la Ley Orgánica de Protección de Datos (LOPD) aparece también la Ley de Servicios de la Sociedad de la Información (LSSI) que no distingue entre personas físicas y jurídicas, de manera que los datos electrónicos de las empresas están tan protegidos como los de los particulares y no pueden ser utilizados sin consentimiento de sus destinatarios. La sanción habitual en caso de denuncia oscila la primera vez entre 1.000 euros y 3.000 euros, aunque en caso de reincidencia puede llegar a los 60.000 euros.
• Datos personales que aparecen en el eMule: por desgracia un asunto que se está convirtiendo en una plaga. Son ya decenas los casos de empresas e instituciones sancionadas por aparecer datos de clientes, trabajadores o alumnos en redes P2P, especialmente el eMule. En la mayor parte de los casos se trata del error involuntario de un empleado que aprovecha los ratos muertos para descargarse algo de música y configura el programa de forma que en vez de dar acceso a una carpeta determinada lo hace a todo el disco duro. Hay que tener en cuenta la especial gravedad del asunto, puesto que ya no se solamente trata de la vulneración de un derecho fundamental (intimidad), sino que además se produce con los datos de muchas personas y queda en Internet al alcance de cualquiera, incluyendo las secciones de delitos telemáticos de las fuerzas de orden público, que suelen ser quienes inician con su denuncia este tipo de procedimientos. Uno de los ejemplos más graves lo podemos ver en el caso de la pequeña clínica en la que los datos de miles de mujeres que se habían sometido legalmente a una interrupción voluntaria del embarazo aparecieron en el emule causando para la doctora (autónoma) dueña de la clínica una sanción de 150.000 euros.

En los siguientes posts de la serie veremos otros ejemplos causados por el envío de correos electrónicos con direcciones al descubierto, el uso de videovigilancia, los formularios de páginas web, los backup remotos, etc.

En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos