PROTECCIÓN DE DATOS vs PREVENCIÓN DE BLANQUEO DE CAPITALES

Artículo publicado por nuestro compañero Víctor Altimira en la revista argentina  Pensamiento Penal

Este artículo pretende reflejar las relaciones entre dos normativas que en principio no tienen nada en común, pero que están llamadas a entenderse. Y tienen que entenderse, bien porque así lo decide el legislador, bien porque es esencial para el buen funcionamiento del negocio del sujeto obligado (1).

Ni la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) ni su Reglamento desarrollador (Real Decreto 1720/2007, de 21 de diciembre, en adelante RLOPD) hacen mención alguna, ni de forma directa ni indirecta, a los datos que provienen de la prevención del blanqueo de capitales ni de la financiación del terrorismo.

Es en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (en adelante LPBCYFT), donde encontramos las referencias a la normativa de protección de datos de carácter personal.

Concretamente los artículos 15,  32 y 33 de esta norma obligan a:

  • Crear un fichero o ficheros para las finalidades establecidas en la normativa de prevención de blanqueo de capitales y la financiación del terrorismo e inscribirlo en la Agencia Española de Protección de Datos. Recordemos que según el artículo 5.1k) del RLOPD por fichero entendemos “todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.”
  • La creación de un único fichero o de varios será discrecional, a tenor de si el sujeto obligado desea dividir su contenido entre datos de personas con responsabilidad pública y resto de personas, o no.
  • El fichero o ficheros creados deberán cumplir con las medidas de seguridad de nivel alto, previstas en la normativa de protección de datos de carácter personal. Es decir, que la LPCYFT amplía el artículo 81.3 del RLOPD y estos ficheros se equiparan a los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, así como los que contienen o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas, y aquellos que contengan datos derivados de actos de violencia de género.
  • El sujeto obligado no tendrá la obligación de informar al cliente o posible cliente conforme a la normativa de protección de datos para incluirle en dichos ficheros. Por tanto, en esta ocasión aplicamos lo dispuesto en el artículo 6.1 de la LOPD que dispone que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. Está claro que la LPBCYFT ha dispuesto otra cosa.
  • El sujeto obligado podrá recabar la información disponible sobre personas con responsabilidad pública sin contar con el consentimiento de éstas, aunque esta información no se encuentre disponible en fuentes accesibles al público. En esta ocasión, el sujeto obligado para cumplir con la famosa obligación del KYC (Know Your Customer) puede acudir a cualquier fuente de información aunque no sean públicas.(2)
  • Tampoco tendrá la obligación de tener el consentimiento del cliente o cliente potencial para ceder sus datos personales a la autoridad competente en materia de lucha contra el blanqueo de capitales o financiación del terrorismo. En esta ocasión debemos acudir a lo dispuesto en el artículo 11.1 de la LOPD: “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”, si bien el consentimiento no será necesario, conforme al artículo 11.2 a) “en caso de que la cesión se encuentre amparada en una norma con rango de Ley”. Es por ello que no se requiere el consentimiento en estos casos. (3)
  • Los sujetos obligados podrán intercambiar información entre otros sujetos obligados y ficheros centralizados de prevención del fraude, relativa a las operaciones referidas en los artículos 18 y 19 de la LPBCYFT, “….. cuando de las características u operativa del supuesto concreto se desprenda la posibilidad de que, una vez rechazada, pueda intentarse ante otros sujetos obligados el desarrollo de una operativa total o parcialmente similar a aquélla”.

De la lectura de los dos artículos citados se desprenden dos consecuencias en relación al contenido de las operaciones respecto de las cuales se podrá producir el intercambio de la información:

1)      Debe tratarse, en todo caso, de operaciones que hayan sido objeto de comunicación al SEPBLAC, Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias. Lo que en Argentina viene siendo la UIF.

2)      La comunicación únicamente podrá referirse, de entre las operaciones descritas, a aquéllas respecto de las que pueda ser previsible el intento de comisión reiterada ante otro sujeto obligado, coincidiendo la operativa llevada a cabo por el supuesto infractor en ambos casos.

Huelga comentar que, en este caso, también prevalece la excepción del consentimiento del afectado comentado en el punto anterior.

  • En cuanto al ejercicio de los derechos de acceso, rectificación, cancelación y oposición, que puedan ejercitar las personas incluidas en estos ficheros, los sujetos obligados no deberán aplicar la LOPD y se limitarán a poner de manifiesto lo dispuesto en el artículo 32 de la LPCYFT. También se regula este aspecto en el artículo 33.5 del mismo cuerpo legal. Los conocidos derechos ARCO, se regulan tanto en la LOPD (artículos 15 a 17) como en el RLOPD (a los que se les dedica todo el Título III). No obstante, el afectado siempre podrá, y así se le tendrá que comunicar en la denegación del derecho ARCO que corresponda, ejercitar el derecho de tutela ante la Agencia Española de Protección de Datos (artículo 18 LOPD).
  • Únicamente podrán utilizar los datos contenidos en dichos ficheros para el cumplimiento de las medidas reforzadas de diligencia debida previstas en la LPBCYFT.  Este punto debemos ampliarlo con lo dispuesto en el artículo 33 de la misma Ley sobre el intercambio de información entre sujetos obligados y ficheros centralizados de prevención del fraude. Concretamente cuando se refiere en su apartado cuarto a que “el acceso a los datos a los que se refiere este precepto deberá quedar limitado a los órganos de control interno previstos en el artículo 26, con inclusión de las unidades técnicas que constituyan los sujetos obligados.” Para analizar este punto, debemos tener en consideración la Sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011 cuando regula el efecto directo del artículo 7 f) de la Directiva 95/46/CE, según el cual “Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si (…) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”.

Dicha Sentencia, en su apartado 38, indica que el precitado artículo 7 f) de la Directiva “establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito, a saber, por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, y, por otra parte, que no prevalezcan los derechos y libertades fundamentales del interesado” y, en relación con la citada ponderación, el apartado 40 recuerda que la misma “dependerá, en principio, de las circunstancias concretas del caso particular de que se trate y en cuyo marco la persona o institución que efectúe la ponderación deberá tener en cuenta la importancia de los derechos que los artículos 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea confieren al interesado”.

Por todo ello, para valorar si existe o no un interés legítimo por parte del responsable del fichero o del tratamiento en estos casos, debemos tener en consideración lo manifestado en el Informe Jurídico 0404/2011 de la Agencia Española de Protección de Datos:

–          El intercambio de información queda limitada a las operaciones de los artículos 18 y 19 de la LPBCYFT, y teniendo en cuenta lo apuntado anteriormente de “….. cuando de las características u operativa del supuesto concreto se desprenda la posibilidad de que, una vez rechazada, pueda intentarse ante otros sujetos obligados el desarrollo de una operativa total o parcialmente similar a aquélla”.

–          El tratamiento quedará limitado expresamente a la única y exclusiva finalidad de “prevenir o impedir operaciones relacionadas con el blanqueo de capitales o la financiación del terrorismo”.

–          Desde el punto de vista del acceso a los datos, el mismo deberá quedar limitado, conforme al artículo 33.4 LPBCYFT, a “los órganos de control interno previstos en el artículo 26 del mismo cuerpo legal, con inclusión de las unidades técnicas que constituyan los sujetos obligados “.

En cuanto a la conservación de documentación se establece la obligación de conservar -durante un período mínimo de diez años- la documentación en que se formalice el cumplimiento de las obligaciones establecidas en la LPBCYFT. Con las excepciones que se determinen por vía reglamentaria, se podrán almacenar las copias de los documentos de identificación en soportes ópticos, magnéticos o electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación  y si adecuada conservación y localización.

Para concluir con este artículo quería poner de manifiesto que el Grupo de Trabajo del Artículo 29 desarrolló el Dictamen 14/2011, versado sobre la incidencia de la protección de datos personales en aspectos relacionados con la prevención del blanqueo de capitales y financiación del terrorismo, en el que hace constar su inquietud en estas materias. Al no disponer la LPBCYFT todavía de desarrollo reglamentario, nos preguntamos… ¿se reflejarán estas recomendaciones en el futuro reglamento o bien conllevarán la modificación de esta Ley? Todo parece indicar que en breve saldremos de dudas pues, según ha comunicado el propio Ministerio de Interior, el Reglamento verá la luz antes de lo que imaginamos.

 

VÍCTOR ALTIMIRA ÁVALOS

Presidente de INBLAC (Instituto de Expertos en Prevención de Blanqueo de Capitales y Financiación del Terrorismo)

Vocal Responsable de Privacidad de la Sección de Derecho de las Tecnologías de la Información y de la Comunicación del Ilustre Colegio de Abogados de Barcelona de (2010 a 2013).

Abogado de Logic Data Consulting, S.L.

 

(1) El listado completo de los sujetos obligados se encuentra en el art. 2 de la LPBCYFT.

(2)Fuentes accesibles al público: El artículo 3 letra j) de la LOPD define así la fuentes accesibles al público: “Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.” El artículo 7 del RLOPD extiende y aclara: 1. A efectos del artículo 3, párrafo j) de la Ley Orgánica 15/1999, se entenderá que sólo tendrán el carácter de fuentes accesibles al público:

a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre.
b) Las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica.
c) Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse colegiado, fecha de incorporación y situación de ejercicio profesional.

d) Los diarios y boletines oficiales.

e) Los medios de comunicación social.

2. En todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación

(3) para más información sobre las cesiones de datos en materia de prevención del blanqueo de capitales y financiación del terrorismo ver Informe Jurídico 0517/2010 de la Agencia Española de Protección de Datos.

RESUMEN NOTICIAS ENERO 2014

PRIMERA SANCIÓN DE LA AEPD A DOS WEBS ESPAÑOLAS POR VIOLAR LA NORMATIVA SOBRE ‘COOKIES’. De acuerdo con la resolución de la Agencia, los sitios web sancionados no informaban de qué cookies utilizaban, no definían qué son, ni el tipo utilizado, ni la procedencia, sino que se referían de forma vaga y genérica a ellas, por lo que las dos empresas españolas titulares de los sitios web fueron sancionadas 3.000€ y 500€ respectivamente por infracción del artículo 22.2 de la LSSI. 

FRANCIA TAMBIÉN MULTA CON 150.000€ A GOOGLE POR INCUMPLIR LA LEY DE PROTECCIÓN DE DATOS. Después de la sanción de la AEPD por valor de 900.000€, Google vuelve a ser sancionada; esta vez por la Comisión de Informática y Libertades francesa al no ajustar sus sistemas de almacenamiento de información a las leyes locales. Entre otras infracciones, la CINL señala que Google no informa suficientemente a los usuarios, ni solicita su consentimiento para, por ejemplo, el uso de las cookies, cosa que ha llevado a la imposición de la mencionada sanción.

LA AUDIENCIA PROVINCIAL DE PALMA DE MALLORCA CONDENA A FRANCE TELECOM ESPAÑA POR VULNERAR LOS DERECHOS FUNDAMENTALES A LA PROTECCIÓN DE DATOS Y AL HONOR DE UNA PERSONA. France Telecom cedió los datos de una persona a los ficheros de morosos de Asnef y Badexcug, asociándolos a una deuda incierta de 268,81 euros por tres facturas de línea de teléfono impagadas. La Audiencia entiende que France Telecom no empleó la diligencia debida, lo que originó un tratamiento de datos sin consentimiento de su titular al que asoció una deuda no existente y cuyos datos remitió a los ficheros de morosos, lo que supuso su vulneración de su derecho al honor fijando una indemnización de 12.000€.

LA SALA DE LO CONTENCIOSO-ADMINISTRATIVO DE LA AUDIENCIA NACIONAL  HA ANULADO LA OBLIGACIÓN DE QUE LOS VIGILANTES DE SEGURIDAD PRIVADA DEBAN IDENTIFICARSE CON SU NÚMERO DE DNI: Los magistrados de la Sección Quinta de la Sala de lo Contencioso-Administrativo han anulado en consecuencia la orden emitida en febrero de 2011 por el Ministerio del Interior  sobre personal de seguridad privada, que estableció que el número de tarjeta de identificación profesional debía coincidir con el número de DNI o con el Número de Identificación de Extranjero, al entender que supone una infracción del deber de secreto amparado por la legislación de protección de datos.

 

 

 

RESUMEN NOTICIAS DICIEMBRE 2013

LA AEPD AMONESTA AL AYUNTAMIENTO DE CUENCA POR NO MANTENER LOS DATOS ACTUALIZADOS. En su resolución, la AEPD resuelve que la administración municipal infringió el artículo 44.3 de la LOPD al no haber hecho un buen uso de los datos de carácter personal del denunciante, por no haberlos utilizado de manera diligente y por no haber subsanado el error a pesar de las reclamaciones. En concreto, la administración municipal facturó durante tres años los recibos del Impuesto de Bienes Inmuebles (IBI), de un ciudadano fallecido, a otro con el mismo nombre.

 

LA ACADEMIA DE CINE PODRÍA LLEGAR A SER SANCIONADA CON 300.000€. Durante las dos últimas ediciones de los Premios Goya, el sitio web de la Academia del Cine se quedó sin servicio, en lo que se atribuyó a un golpe del grupo Anonymous, quien presuntamente difundió por toda la Red varios documentos con datos personales, tales como correos electrónicos y teléfonos. La AEPD decidió abrir un expediente por el ataque y la filtración de datos y recriminó a la Academia del Cine que su sitio web tenía graves brechas de seguridad que habían facilitado la intrusión informática. Por lo tanto, la AEPD ha requerido a la Academia que adopte las medidas de seguridad efectivas en el plazo de un mes. Si el requerimiento no fuera atendido, la Academia del Cine sería sancionada con una multa entre 40.001 euros y 300.000 euros.

LA NUEVA EXPEDICIÓN DEL DNI FACILITA LA VERIFICACIÓN DE LA EDAD DE MENORES DE 14-18 AÑOS QUE UTILICEN REDES SOCIALES. Un cambio en la expedición del DNI, publicado en el Boletín Oficial del Estado (BOE), permite comprobar si la edad que un menor declara tener es cierta o no y, por tanto, ofrecer ciertos contenidos en la web, recibir promociones o registrarse en una red social con la seguridad de que el menor tiene más de 14 años, la edad legal para poder ceder datos sin necesitar el consentimiento paterno. A partir de ahora, el DNI de los menores incluirá un certificado de autenticación, para evitar que los menores hagan uso de redes sociales y otro tipo de sitios web sin que haya un control fehaciente.

LA AEPD HA SANCIONADO A GOOGLE ESPAÑA POR COMETER TRES INFRACCIONES GRAVES DE LA LOPD EN UNA SANCIÓN QUE SUMA 900.000 EUROS: La resolución considera que Google debe informar adecuadamente a sus usuarios de qué tipo de información recoge sobre el uso que hacen de sus páginas, con qué fin, durante cuánto tiempo conserva esos datos y cómo se puede pedir que se cancelen y se borren cosa que no está haciendo actualmente. Dichas condiciones son las que actualmente se exige a cualquier página web que funcione para el territorio español.

COMERCIO ELECTRÓNICO Y DELITOS INFORMÁTICOS

LA POLICIA NACIONAL DETIENE A UNA PERSONA POR USAR LA CLAVE INFORMÁTICA DE SU EX PAREJA: Al parecer el detenido utilizó la clave informática de su ex pareja para anular la solicitud de matriculación de ella en la Universidad. El imputado se enfrenta a la tipificación de su actividad como un delito de descubrimiento y revelación de secreto y por lo tanto a penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

ATENCIÓN A LAS TRES ESTAFAS MÁS COMUNES DURANTE LA ÉPOCA NAVIDEÑA EN EL COMERCIO ON LINE: La primera de ellas son las notificaciones procedentes de servicios de mensajerías y entrega de paquetes, enviando correos electrónicos en nombre de reputadas empresas de mensajería en los que muestran facturas y solicitan todo tipo de confirmaciones. Seguidamente, las ofertas o gangas de artículos de lujo son una trampa para los internautas en esta época. Y por último, las tarjetas navideñas fraudulentas. Las postales navideñas adulteradas son otro de los intentos de estafa más populares.

PREVENCIÓN DE BLANQUEO DE CAPITALES

EL SERVICIO EJECUTIVO DE PREVENCIÓN DE BLANQUEO DE CAPITALES (SEPBLAC) PUBLICA SU MEMORIA DE LA COMISIÓN DE PREVENCIÓN DEL BLANQUEO DE CAPITALES. En ella se ha comprobado que crece el número de comunicaciones, recibiendo 3.058 en 2012, casi un 3% más que en 2011. También crece el número de actas por control de movimientos de capitales, ya que se elevaron a 13.379 por un importe total de 3.421,5 millones de euros (el doble que el año anterior). Así mismo, también se han visto aumentados en número los procesos judiciales, la cuantía de las multas y las penas por blanqueo,  llegando a 70 millones de euros la sanción máxima (frente a 46 millones el año anterior) y los procesos judiciales por blanqueo finalizados ascendieron a 75 (el doble que en 2011).

 

RESUMEN NOTICIAS NOVIEMBRE 2013

LA AUTORITAT CATALANA DE PROTECCIÓ DE DADES (APDCAT) DECIDE INVESTIGAR LOS ARCHIVOS DEL “CASO CESICAT” a raíz de la filtración de expedientes del Centre de Seguretat Informàtica de Catalunya (Cesicat) con seguimientos de activistas sociales en Internet. Ya que la elaboración de dichos expedientes podría violar el artículo 7 de la Ley de Protección de Datos al estar «prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología».

LA SALA DE LO CONTENCIOSO DE LA AUDIENCIA NACIONAL AVALA QUE SE PUEDAN APORTAR DATOS PERSONALES SIN CONSENTIMIENTO DEL TITULAR EN EL EJERCICIO DE SU DEFENSA al confirmar la decisión de la Agencia de Protección de Datos de no incoar procedimiento sancionador contra un abogado que en un pleito civil aportó datos bancarios de la recurrente sin su consentimiento. En base al artículo 11.2 de la LOPD, el cual exime de la necesidad de consentimiento del titular de los datos personales, cuando estos datos son proporcionados a los jueces, en el ejercicio de las funciones que tienen atribuidas.

LA AEPD SANCIONA A PEPEPHONE CON 3.000€ AL AUTO DENUNCIARSE POR NO UTILIZAR LA COPIA OCULTA (CC): El pasado mes de abril PepePhone mostró por error la dirección de todos los destinatarios en un mailing publicitario. Inmediatamente, la empresa se autodenunció ante la AEPD por la mala gestión de sus correos lo que conllevó a una rebaja considerable de la sanción por infracción grave al entender que quedó acreditada la ausencia de intencionalidad. De no haber sido considerado el atenuante, Pepephone se hubiera enfrentado a sanciones de 40.001 a 300.000 euros.

TWITTER IMPLEMENTA NUEVAS MEDIDAS PARA LA SEGURIDAD DE LOS DATOS DE CARÁCTER PERSONAL QUE POSEE agregando una nueva capa de seguridad llamada Perfect Forward Secrecy para proteger los datos que los usuarios quieran mantener ocultos. Este sistema de seguridad se centra básicamente en endurecer el cifrado de datos para evitar el espionaje en línea, es decir, si un tercero se encuentra grabando el tráfico cifrado de todos los usuarios de Twitter, y más tarde hackean o roban las claves privadas de Twitter, no deberían ser capaces de usar esas claves para descifrar el tráfico registrado.

 

 COMERCIO ELECTRÓNICO Y DELITOS INFORMÁTICOS

PROLIFERACIÓN DE SITIOS WEB DE ‘PHISHING‘ A RAÍZ DE LAS CAMPAÑAS NAVIDEÑAS. Expertos en seguridad en internet han comprobado que los dispositivos iOS son los que están sufriendo un mayor incremento en los ataques a través de webs fraudulentas. Ya que de eso se trata el phishing, de emular páginas de bancos, tiendas online..etc. para así captar datos bancarios de los usuarios. La manera de evitar esta práctica es atender a los siguientes puntos: identificar completamente al comerciante (verificar que el portal cuenta con una política de privacidad, aviso legal y política de cookies correspondiente), realizar siempre los pagos mediante pasarelas de pago seguras, desconfiar de portales que ofrezcan productos a precios muy por debajo de los del mercado y observar comentarios de otros usuarios sobre ese comercio en foros o redes sociales.

 PREVENCIÓN DE BLANQUEO DE CAPITALES

EL TRIBUNAL SUPREMO CONFIRMA LA MULTA DE MAPFRE VIDA POR INFRACCIONES GRAVES DE LA NORMATIVA EN PREVENCIÓN DEL BLANQUEO DE CAPITALES. Dichas infracciones se basan en el incumplimiento de la obligación de examinar con especial atención cualquier operación, con independencia de su cuantía. El  Tribunal Supremo en su sentencia, insiste en que dichas operaciones eran de riesgo, dado que eran superiores a 30.000 euros y existía un peligro asociado a las primas, aportaciones o prestaciones porque se realizaron mediante pago en cheque y cuyo carácter fraccionado podrían dar a entender que se intentaba eludir su comunicación.

 

RESUMEN NOTICIAS OCTUBRE 2013

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS CONDENA A UNA ENTIDAD BANCARIA POR FALTA DE DILIGENCIA EN LA GESTIÓN DE DATOS. La entidad bancaria retuvo, por error, más de 2.000 euros a una clienta en cuya cuenta cargaron un embargo judicial que no iba dirigido a la denunciante y del que ella no tenía conocimiento. Dicho error fue cometido por un empleado al introducir el número del DNI al realizar el cargo. La AEPD sanciona con 10.000 euros a la entidad por una infracción grave. No obstante, la infracción ha sido atenuada por la reacción de la entidad bancaria al subsanar los errores cometidos.

EL INSTITUTO FEDERAL DE ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS (IFAI – México) Y LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) FIRMAN UN CONVENIO PARA FORMALIZAR LOS LAZOS DE COOPERACIÓN EN MATERIA DE PRIVACIDAD. El Convenio tiene como objetivo iniciar una etapa de colaboración y coordinación institucional entre las partes, para promover la difusión del derecho a la protección de datos personales, fomentar la elaboración de estudios e investigaciones en la materia e intercambiar experiencias de interés mutuo.

LA AEPD LANZA EL PORTAL “TÚ DECIDES”, DIRIGIDO A FOMENTAR LA CONCIENCIACIÓN DE LOS MENORES EN EL USO ADECUADO Y RESPONSABLE DE LA INFORMACIÓN QUE PUBLICAN EN INTERNET. La iniciativa, orientada a jóvenes de entre 10 y 15 años, proporciona una plataforma de consulta y apoyo tanto para los menores como para los educadores, padres y profesores. Mediante las diferentes modalidades, los menores tendrán que responder preguntas vinculadas a estos temas, dilemas cuya contestación indicará cómo se enfrentarían a situaciones de riesgo tanto en Internet (redes sociales o mensajería instantánea) como en el mundo offline.

EL TRIBUNAL CONSTITUCIONAL DICTA SENTENCIA A FAVOR DEL CONTROL DEL EMPRESARIO SOBRE EL CORREO ELECTRÓNICO DEL TRABAJADOR. El supuesto de hecho de esta sentencia es el acceso, por parte de la empresa, al correo electrónico del trabajador, al sospechar que éste transmitía información empresarial reservada. El empresario, en virtud del artículo 20.3 del Estatuto de los Trabajadores, puede ejercer el control sobre las herramientas informáticas, a los efectos de vigilar el cumplimiento de la prestación laboral. No obstante se deben cumplir una serie de requisitos para que este derecho no viole el de la intimidad del trabajador. Para más información:http://www.diariojuridico.com/opinion/ultimas-consideraciones-legales-en-la-vigilancia-del-correo-electronico-del-trabajador.html

DELITOS INFORMÁTICOS

EL TURISMO ES EL SECTOR MÁS SUSCEPTIBLE PARA LA COMISIÓN DE DELITOS INFORMÁTICOS. Según fuentes de la Ertzantza, durante el pasado verano se registró una notable actividad de delitos informáticos en el sector de la hostelería, específicamente en casos relacionados con reservas fraudulentas de paquetes turísticos con destino en el norte de España. Entre las estafas más comunes se encuentran: reservas duplicadas o “fantasma” de vuelos, alojamiento o alquiler de coches, cobros online en origen por servicios y eventos gratuitos en destino o el robo de datos bancarios vía centrales de reserva falsas.

COMERCIO ELECTRÓNICO

EL CONSEJO DE MINISTROS HA APROBADO ESTE MES EL PROYECTO DE LEY PARA LA DEFENSA DE LOS CONSUMIDORES Y USUARIOS. Entre las novedades, la ley prevé que se amplíe la información a los usuarios en contratos a distancia. El empresario deberá facilitar esa información, que deberá ser clara, antes de la firma del contrato. Se amplía también el derecho de desistimiento a un plazo mínimo de 14 días, pero si no se informa al usuario de este derecho, el tiempo se amplía a cuatro meses. El formulario de desistimiento será común en toda Europa y se entregará al consumidor junto con la información previa a la firma del contrato.

 PREVENCIÓN DE BLANQUEO DE CAPITALES

EL PLENO DEL PARLAMENTO EUROPEO  APRUEBA EL VETO A CARGOS PÚBLICOS A CONDENADOS POR CORRUPCIÓN. con la finalidad de  proteger a la economía europea de delitos financieros que, según datos de la Comisión Europea, mueven cerca de 120.000 millones de euros al año en la Unión Europea, es decir el 1 % del PIB comunitario. Además para alejar a los corruptos de los cargos y contratos públicos, los eurodiputados plantean que se ponga fin al secreto bancario, establecer las herramientas informáticas necesarias para permitir la trazabilidad de los movimientos financieros y la detección de los casos delictivos, crear un programa europeo eficaz de protección para quienes colaboran con la justicia y denuncian a los corruptos, entre otras medidas.

RESUMEN NOTICIAS SEPTIEMBRE 2013

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) ABRE EL PRIMER PROCEDIMIENTO SANCIONADOR A UNA EMPRESA POR INCUMPLIR LA NORMATIVA DE COOKIES. Desde el 1 de abril de 2012, el artículo 22.2 de la LSSI indica que se podrán utilizar cookies en equipos de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información; junto a dicha modificación, la AEPD realizó una Guía para el uso de cookies en la cual se establecía la manera de recabar dicho consentimiento. El proceso sancionador abierto por la AEPD puede implicar una multa de hasta 150.000 euros, dependiendo de la gravedad del incumplimiento, al instalar las cookies antes de que el usuario pueda dar su consentimiento.

LA AUTORITAT CATALANA DE PROTECCIÓN DE DATOS (APDCAT) FIRMA UN CONVENIO CON LA ASOCIACIÓN INTERCOLEGIAL DE COLEGIOS PROFESIONALES DE CATALUNYA. Con la finalidad de llegar a un mejor conocimiento y cumplimiento de la legislación vigente en materia de protección de datos de carácter personal, ambas entidades han firmado un convenio con el que se pretende la organización conjunta de actividades formativas en materia de protección de datos de carácter personal y la elaboración, por parte de la APDCAT, de una guía práctica de protección de datos para colegios profesionales.

CHAOS COMPUTER CLUB ‘HACKEA’ EL SENSOR DE HUELLAS DEL IPHONE 5S. Lo han conseguido mediante un sistema que consiste en hacer una fotocopia de la huella dactilar del dueño del teléfono. Para obtenerla, lo primero que hace falta hacer es realizar una fotografía de la huella en alta resolución. Una vez obtenida la imagen resultante se limpia, se invierte y se imprime en una lámina transparente con un ajuste para tóner espeso, creando así un molde que se aplicará encima de una capa de cola blanca o de látex. Al secarse y despegarse con cuidado del molde, se obtiene una réplica de la huella digital original y a su vez el acceso al terminal.

DELITOS INFORMÁTICOS

CIBERATAQUES A LAS SUCURSALES DE LOS BANCOS BARCLAYS Y SANTANDER DE LONDRES. La policía británica ha detenido en Londres a 8 personas acusadas de robar en total 3 millones de euros a través del sistema operativo del banco Barclays, y a 4 personas por intentarlo en el banco Santander. El modus operandi era introducir un dispositivo hardware, que facilita la visualización del teclado del ordenador del banco, medida que les permitía obtener datos de éste y controlar los demás ordenadores de la oficina de forma remota.

COMERCIO ELECTRÓNICO

APOYO PARA QUE LAS PYMES UTILICEN EL COMERCIO ELECTRÓNICO COMO HERRAMIENTA VÁLIDA PARA SU NEGOCIO. El Ministerio de Economía y Hacienda ha firmado un convenio de colaboración con la Cámara de Comercio e Industria de Madrid para el diseño, implantación y gestión del Portal de Comercio de la Comunidad de Madrid, una herramienta que pretende convertirse en una referencia en la difusión y la promoción del comercio electrónico entre las PYMES de la región.

 PREVENCIÓN DE BLANQUEO DE CAPITALES

LA COMPAÑÍA LAS VEGAS SANDS, PROMOTORA DEL PROYECTO EUROVEGAS EN MADRID, ENTREGARÁ 47 MILLONES DE DÓLARES A EEUU POR UN CASO DE BLANQUEO DE CAPITALES. La empresa alcanzó un acuerdo con las autoridades federales para zanjar una investigación criminal de la que era objeto, ante las evidencias de que no cumplió con las leyes que regulan las actividades de los casinos tras recibir dinero en circunstancias sospechosas. Dichas circunstancias fueron propiciadas por Zhenli Ye Gon, que en aquel entonces era el jugador que más grandes sumas de dinero en efectivo había depositado en el casino, y que fue acusado posteriormente de narcotráfico en el Distrito de Columbia.

 

RESUMEN NOTICIAS AGOSTO 2013

LA SALA DE LO CONTENCIOSO DE LA AUDIENCIA NACIONAL DESESTIMA EL RECURSO DE LIBERBANK CONTRA LA RESOLUCIÓN DE LA AEPD QUE IMPONÍA A CAJA CANTABRIA UNA MULTA DE 50.000 EUROS al considerar probado que Caja Cantabria facilitó a la entidad encargada del fichero de solvencia una información relativa a datos personales de un particular, infringiendo el principio de calidad de los datos, pues lo hizo sin haber requerido previamente el pago al deudor y sin haberle advertido de que, en caso de no pagar, los datos correspondientes al impago podrían ser comunicados a ficheros de datos de solvencia económica.

IBERDROLA SANCIONADA CON 40.000 EUROS POR VULNERACIÓN DEL DEBER DE SECRETO EN PROTECCIÓN DE DATOS. La Audiencia Nacional ha sancionado a la empresa eléctrica con 40.000 euros por incumplir el deber de guardar secreto del (art. 44.3 d de la LOPD). IBERDROLA emitió a una murciana un contrato con su nombre, DNI y datos bancarios sin su firma ni consentimiento, de un inmueble que no era de su propiedad, llegándole hasta dos facturas cuyo importe, entre las dos, superaba los 200 euros.

INCUMPLIMIENTO DEL AYUNTAMIENTO DE ALICANTE DE LA LOPD EN LA INSTALACIÓN DE 41 CÁMARAS EN PARQUES Y COLEGIOS. La videovigilancia contra el vandalismo en Alicante controlada en la ciudad por un total de 41 cámaras de seguridad incumple la normativa vigente contra la protección de datos y la privacidad, según la Agencia Española de Protección de Datos. La AEPD insta al Ayuntamiento de Alicante a retirar las cámaras instaladas en tres parques públicos y dos colegios de la ciudad por atentar contra la privacidad de los viandantes y no tener permiso gubernamental. La agencia entiende que se vulnera la Ley Orgánica de Protección de Datos (LOPD) al no contar ese tipo de cámaras con autorización del Gobierno y por su amplio radio de captación.

TRÁFICO FACILITARÁ A LAS COMPAÑÍAS DE TRANSPORTE QUE LO PIDAN LA INFORMACIÓN SOBRE LOS PUNTOS DE SUS TRABAJADORES . Tráfico permitirá que las empresas de trasportes, o las que tengan coches de empresa, puedan saber con certeza si sus empleados han perdido la vigencia del carné de conducir tras realizar la consulta a la DGT. Desde 2010 la ley de seguridad vial obliga a los propietarios de los coches a impedir circular con su vehículo a quienes no tengan carné de conducir. La nueva medida arbitrada por Tráfico permitirá así al empresario estar al corriente de la situación de sus empleados, ya que pudiera darse el caso de que alguno omitiese que carece de puntos del carné para evitar un despido. Tráfico deja claro en la instrucción que el precepto no vulnera de ninguna manera la ley de protección de datos.

DELITOS INFORMÁTICOS

IMPUTADA UNA MENOR POR DIFUNDIR SU PROPIA FOTO SEMIDESNUDA . La Guardia Civil ha detenido a cuatro menores como presuntos autores de un delito de tenencia y distribución de pornografía infantil al haber reenviado a varios jóvenes de localidades del norte de la provincia de Cáceres, una imagen de una menor con el cuerpo desnudo. Asimismo, la menor protagonista de la imagen ha sido imputada por este mismo delito, ya que el hecho de ser menor la incapacita para difundir imágenes propias de contenido sexual. Se trataba de una fotografía tomada por la propia menor, quién de manera voluntaria la había difundido a través de whatsapp a un joven de su confianza. Fue reenviada a varios de sus amigos, quienes reconocieron haberla hecho extensivas a varios jóvenes de localidades del norte de la provincia de Cáceres.

COMERCIO ELECTRÓNICO

EL ÉXITO DEL COMERCIO ELECTRÓNICO ESTÁ EN LA EDUCACIÓN . Según José Antonio Álvarez, profesor de la asignatura aplicaciones informáticas de formación profesional en el centro Nicolás Larburu de Barakaldo “es necesario que los alumnos comiencen a aprender las nociones básicas de software y programación a edades más tempranas”, de esta forma van a tener más salidas el día de mañana en el mercado laboral. Además, tener conocimientos de programación abren diferentes campos en los que introducirse, como el comercio electrónico. Según Carlos Sánchez, director de la Asociación Bilbao Digital, antes de comenzar a trabajar en la red hay que asesorarse bien, para saber si la idea que se va a llevar a la práctica va a tener viabilidad o no. Además, es importante el asesoramiento jurídico, ya que el comercio electrónico, aunque atractivo para el vendedor, puede ser causa de quebraderos de cabeza si no está bien regulado.

PREVENCIÓN DE BLANQUEO DE CAPITALES

LA PROMOTORA DE EUROVEGAS PAGA 47 MILLONES DE DÓLARES POR UN CASO DE BLANQUEO DE DINERO: La compañía Las Vegas Sands, promotora del proyecto Eurovegas en Madrid, pagará 47 millones de dólares a las arcas públicas de EE UU para evitar un juicio por un caso de blanqueo de capitales relacionado con uno de sus clientes. Los hechos tienen como protagonista a Zhenli Ye Gon que era el jugador que más grandes sumas de dinero en efectivo había depositado en el casino Venetian en la historia del grupo Las Vegas Sands. Entre febrero de 2005 y marzo de 2007, Ye Gon transfirió 45 millones de dólares a los casinos de Las Vegas Sands y realizó depósitos valorados en 13 millones de dólares a través de cheques. Los capitales llegaban desde dos bancos y siete casas de cambio en México, en algún caso el dinero pasaba antes por una empresa subsidiaria de Las Vegas Sands en Hong Kong antes de llegar a sus cuentas en EE UU. Los casinos aceptaron el dinero incluso aunque había irregularidades a la hora de determinar los beneficiarios.