Prestación de servicios y medidas de seguridad

On 6 July 2006 · Leave a Comment · In Empresas, Protección de datos, Seguridad

Acabo de leer una interesante Sentencia (Sentencia de la Audiencia Nacional, Sala de lo Contencioso-Administrativo, de 16 de marzo de 2006) donde se confirma una sanción de 300.000 euros a Iberia impuesta por la Agencia Española de Protección de Datos. Aparece extraviado en el aeropuerto de El Prat (Barcelona) un listado con nombres de pasajeros [...]

Medidas de SeguridadAcabo de leer una interesante Sentencia (Sentencia de la Audiencia Nacional, Sala de lo Contencioso-Administrativo, de 16 de marzo de 2006) donde se confirma una sanción de 300.000 euros a Iberia impuesta por la Agencia Española de Protección de Datos. Aparece extraviado en el aeropuerto de El Prat (Barcelona) un listado con nombres de pasajeros a los que había que entregar su equipaje, que previamente Iberia había perdido. La encargada de hacer esto es una empresa subcontratada, que es la que perdió este listado.

Al no incluirse en el contrato de prestación de servicios las previsiones del artículo 12 LOPD, la Agencia Española de Protección de Datos sancionó a Iberia: no se garantizaron las medidas de seguridad, y se consideró el tratamiento de la tercera empresa como una cesión no consentida por los titulares.

Esto me hace pensar en las empresas de mensajería que acceden a la identificación del destinatario del paquete/carta, y a su dirección postal, siendo esto es necesario para prestar su servicio.

La LOPD las considera encargadas del tratamiento (artículo 12, acceso a datos por cuenta de terceros). Se deben responsabilizarse de las medidas de seguridad que corresponden a los datos que reciben para el cumplimiento de su servicio. Datos a los que corresponde el nivel de seguridad básico.

Entre otras cosas se ha de evitar su pérdida, pero…¿no es este el riesgo más alto que corre una empresa de paquetería, los extravíos de paquetes o cartas? Tratando un grandísimo volumen de envíos, mayor es el porcentaje de riesgo que asumen.

¿Qué ocurre si no se incluyen las condiciones que marca el artículo 12 en el contrato de prestación de servicios? La consecuencia es que se les tratará igual que a Iberia, quien era responsable de la seguridad de los datos que cede para que le presten el servicio.

¿No debieran tener una especial diligencia estas empresas de paquetería en el tratamiento de datos? Debieran observar por sí mismas las medidas de seguridad. De lo contrario, con no firmar el contrato que impone el artículo 12 LOPD, o no marcar sus estipulaciones en el contrato de prestación de servicios, quedarán exentas de responsabilidad en caso de extravío de datos personales. Y esto no es lógico.

 

Empresario Gran Hermano

On 17 May 2006 · Leave a Comment · In Internet, Seguridad, Tecnología

En noticiasdot.com acabo de leer la noticia con el siguiente titular: “La otra cara del día de Internet: empresas españolas ya bloquean el acceso de sus empleados”. No es nueva la discusión sobre si el acceso a Internet en el trabajo debe estar permitido sin limitaciones; limitado para ciertos usos, o bloqueado. Según una consultora [...]

Gran HermanoEn noticiasdot.com acabo de leer la noticia con el siguiente titular: “La otra cara del día de Internet: empresas españolas ya bloquean el acceso de sus empleados”.

No es nueva la discusión sobre si el acceso a Internet en el trabajo debe estar permitido sin limitaciones; limitado para ciertos usos, o bloqueado. Según una consultora citada en el artículo, el tiempo que un empleado utiliza en dispersarse utilizando medios para sus propios fines, puede costarle a una empresa hasta 584,77€ anuales, o unas 8,71 jornadas laborales al año. Como es obvio esta consultora vende soluciones de control de horarios y de producción, entre otras, y estos datos son un buen argumento para la venta. Otras consultoras hablan de responsabilidad del trabajador, pero me ha gustado particularmente la posición de Fujitsu, que ha optado por concienciar a los trabajadores sobre el problema, para que éstos sean capaces de racionalizar el tiempo de trabajo.

Los medios de trabajo han evolucionado, y ellos las formas de evasión del trabajador. Antes se disponía sólo del teléfono para evadirse (el que lo tenía), pero ahora hay un instrumento más… y muy controlable. No tendríamos esos datos de “pérdidas de tiempo” tan precisos si el acceso a un PC y lo que se hace en él no fuera sencillo. Seguro que no. Un trabajador puede estar grabado por videocámara, con el PC intervenido desde el departamento de informática de su empresa sabiendo hasta qué teclas pulsa, y por dónde navega, si es que puede navegar. El empresario convertido en Gran Hermano.

Hace poco tuve una conversación en mi empresa sobre el mismo tema. Nuestra conclusión fue que es mejor dejar que se utilice libremente, porque de lo contrario, la sensación del trabajador de estar bajo vigilancia empeoraría el ambiente de trabajo. Nos decantamos por la concienciación, caso de tomar alguna medida.

Este panorama lleva a los empresarios a elegir en la terna control-permisión total-bloqueo. ¿Les gustaría un trabajador permanentemente vigilado, con los tiempos de trabajo?¿Rendiría igual en su puesto?…

Espero que se tome la solución de la concienciación, ya que las imposiciones nunca tienen buenos resultados.