//
Archivos

Archivos para

Sanción a un gimnasio por enviar un fichero adjunto al correo con datos de 9.293 personas

La AEPD ha sancionado a un gimnasio (O2 CENTRO WELLNESS PLENILUNIO, S.L.) por enviar un correo electrónico enviado a 334 destinatarios con un fichero adjunto que contenía los datos personales de 9.293 personas, incluidos los datos del denunciante.

El fichero contenía el nombre y apellidos, domicilio, teléfono (línea fija y móvil o celular), dirección email, NIF y sexo.

El gimnasio, una vez detectado el error, realizó un envío de un correo pidiendo disculpas por el error producido e indicando que la empresa cumple con la ley de protección de datos personales.

Aunque la empresa tenía establecido una política de confidencialidad y protección de datos, una empleada de la misma, que tenía firmado el compromiso de confidencialidad, realizó el envío de la comunicación como parte de una campaña de marketing contra la BBDD de clientes del gimnasio, que previamente habían consentido en ceder sus datos de contactos con estos fines.

La AEPD abrió procedimiento sancionador por vulneración del deber de secreto, y, según consta en el PS/00559/2011, son hechos probados los siguientes:

* Mayo del 2011 se realizó una campaña de marketing.

* Dentro de esa campaña, se realizó el envío del correo con el fichero adjunto que ha motivado la denuncia.

* La denunciante está incluida en el listado adjunto en ese correo.

* Que el gimnasio envió un correo de disculpas por el error en el envío.

* Que la empresa tiene establecida una política de confidencialidad y que la trabajadora que realizó el envío tenía firmado el parte de confidencialidad.

El artículo 10 de la LOPD dispone:
“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

La disposición final quincuagésima sexta “cuatro” de la Ley 2/2011, de 4 de marzo, de Economía Sostenible (BOE 5-3-2011), ha añadido un nuevo apartado 6 al artículo 45 de la LOPD, en lugar del existente hasta su entrada en vigor, del siguiente tenor:

“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

No obstante, en el presente caso, atendida la naturaleza de los hechos, no se estima aplicable la previsión contenida en el mismo, considerando el número de afectados incluidos en el listado de abonados (9293 afectados) y la difusión realizada del mismo (334 destinatarios del correo electrónico que adjuntó el fichero en cuestión).

En vista de estos hechos probados, la AEPD impone sanciona por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.d. de dicha norma, una multa de 3.000€.

Este procedimiento sancionador pone sobre la mesa la realidad del riesgo que corre toda entidad o responsable de ficheros que traten datos de carácter personal. No solo es necesario establecer una política de protección de datos correcta o legal, sino que es necesario ir mas allá, es decir, es necesario analizar adecuadamente los riesgos que el tratamiento de la información comporta: cuáles son las amenazas, cuáles las vulnerabilidades del sistema, cuales serían los impactos y, a partir de aquí, establecer las medidas de seguridad y las contramedidas suficientes para garantizar la integridad, disponibilidad y confidencialidad de la información de la cuál somo garantes por imperativo legal.

No hay que olvidar que la mayor parte de los errores o incidencias de seguridad, son producidas conscientes o inconcientemente por los usuarios del sistema. Por tanto, el factor humano es el principal causante de estos incidentes de seguridad. ¿Qué nos dice esto?

1.- Que no es suficiente con establecer medidas de seguridad físicas o perimetral, siendo estas obligatorias.

2.- No es suficiente con formar al personal en materia de seguridad de la información y protección de datos. Aunque esta sea una obligación que el legislador imponga al responsable del fichero sobre los usuarios que traten datos personales, en el supuesto de que se hubiera realizado las acciones formativas precisas.

3.- Es vital, no solo realizar los pasos anteriores, aspectos previstos en la Ley 15/1999 y su reglamento de desarrollo RD 1720/20007, sino ir mas allá. En esto la norma ISO 27001 lo encontramos en el punto de control 8.2, en especial el 8.2.2., ya que este punto de control establece que durante el empleo hay que concienciar, formar y entrenar sobre la seguridad de la información. Es evidente que este control no se puede limitar a una sola acción formativa, en el caso que se hubiera hecho en el caso comentado de este gimnasio. Tampoco se puede limitar a la simple firma de un protocolo o pacto de confidencialidad, en el que  el responsable del fichero comunique al usuario que hay establecida una política de seguridad y que éste deberá cumplirla.

Este punto de control va mas allá, habla de la concienciación, formación y entrenamiento. Para entender bien lo que en el fondo se quiere controlar, hay un refrán popular que dice que “la repetición es la madre de la retención”, este es el espíritu de este control. No puede haber concienciación si no hay repetición. No hay formación sin repetición. No hay entrenamiento válido sin repetición. Dicho en otras palabras, la concienciación, formación y entrenamiento deberá ser una medida de seguridad continuada en el tiempo, mantenida en el espacio, porque desde el momento en que esa repetición cese, estaremos exponiendo nuestros activos de información a la mayor de las amenazas, el factor humano.

Moraleja: Hay que concienciar, formar y entrenar… “la repetición es la madre de la retención”.

Fuente: AGPD.

Facebook recibe una demanda colectiva por violación de la privacidad.

Ha sido presentada una demanda colectiva contra Facebook por violación de privacidad, en la que se pide a la red social por un supuesto delito de daños y perjuicios, 15.000 millones de dólares.

La demanda que ha sido presentada el pasado 17 de mayo en la corte federal de distrito en San Jose, California, combina 21 casos de demandas presentadas en los Estados Unidos por violar derechos de la privacidad.

Al parecer en la demanda se acusa a la red social, de invadir la privacidad de los usuarios mediante el seguimiento de su uso en Internet. La ley prohibe la intercepción y divulgación de los cables, las comunicaciones orales o electrónicas, y al parecer Facebook habría realizado supuestamente un seguimiento de los usuarios a través de los botones que se encuentran incrustados en las webs.

Andrew Noyes, director de políticas en Facebook, ha declarado que la compañía estima que la demanda carece de fundamentos y luchará por su defensa en los tribunales.

Esta no es la primera vez que se pone en tela de juicio el modo con el que Facebook trata la privacidad de sus usuarios. La red social ha tenido que someterse al escrutinio de los reguladores europeos y estadounidenses en más de un ocasión. Los constantes cambios en su política de privacidad y su característica de reconocimiento facial, han traído más de un problema a la compañía.

David Straite, socio del bufette Stewarts Law que representa a algunos de los usuarios que participan en esta demanda, ha declarado que esta no es una acción de daños y perjuicios, si no un caso de derechos que podría acabar teniendo implicaciones legales en el negocio de la compañía.

Straite declaró también, que aunque la demanda ha sido interpuesta en los Estados Unidos, se está buscando el modo de expandir el caso internacionalmente.

Facebook cuenta actualmente con más de 900 millones de usuarios.

Fuente: Gigle.net

http://www.gigle.net/demanda-colectiva-contra-facebook-por-violacion-de-la-privacidad/

 

Vías de infección para dispositivos móviles, prevención y mitigación

Los dispositivos móviles se ven afectados por malware específico y, por ello, se hace un repaso sobre las formas por las que este tipo de dispositivos se pueden infectar, los efectos que pueden ocasionar y cómo prevenirlos y mitigarlos.

Según varios informes de compañías de seguridad como ESET, Sophos, Viruslist, McAfee o Symantec, se pone en relieve un aumento considerable del malware para dispositivos móviles.

Esto es debido, en parte, al aumento del uso de dispositivos móviles con acceso a Internet, circunstancia que, unida a un desconocimiento de los riesgos que tiene el uso inadecuado de estos dispositivos, hace que la posibilidad de contagio por malware sea alta, como se ha demostrado con la aparición de botnets para smatphones.

Por otro lado, tendencias como el «BYOD» (Bring Your Own Device o trae tu propio dispositivo), que se está imponiendo en las empresas, hace que la compartición del uso del dispositivo con fines empresariales y particulares, puede ocasionar que el problema de las infecciones repercuta negativamente en la empresa provocando un cambio en sus políticas de seguridad, de forma que puedan convivir en el mismo dispositivo el uso privado y profesional. De hecho, ya se está desarrollando software que trata de solucionar esta problemática, como es el caso del instituto Fraunhofer, para la tecnología de la seguridad de la información con Bizztrust, y el de la empresa Cisco con Cisco’s Highly Secure BYOD Solutions.

Independientemente de la adopción de este tipo de soluciones, es necesario conocer las vías de contagio que usa el malware en los dispositivos móviles, con el fin de ser capaces de prevenir esa infección. También, es importante minimizar los efectos del contagio, en caso de llegarse a producir.

Vías de contagio

Actualmente, las vías de contagio más comunes en los dispositivos móviles son:

  • Vulnerabilidades. Provocadas por un desarrollo inadecuado del software, en cuanto a nivel de seguridad y pruebas. Las vulnerabilidades pueden estar presentes en los sistemas operativos y en las aplicaciones que se instalan. Para solucionarlas, hay que instalar las actualizaciones de seguridad que los desarrolladores de software publican cuando los fallos son detectados y corregidos, tanto para el sistema operativo como para las aplicaciones instaladas. En el caso de algunos smartphones, puede ser un verdadero problema, ya que las actualizaciones del sistema operativo no siempre están disponibles cuando las publica el desarrollador del sistema, sino que es el proveedor del servicio de telefonía (operador) quién decide cuando sus usuarios disponen de la actualización.
  • Ficheros. Recibidos a través de Bluetooth, correo electrónico, mensajería instantánea, redes sociales o descargados de Internet. Para prevenir esta vía de contagio, solo hay que descargar o aceptar ficheros de sitios de total confianza o de otros dispositivos conocidos. Estos ficheros pueden ser de varios tipos:
    • ejecutables (.IPA para sistema operativo IOS, .APK para Android, .AXL y .COD para Blackberry y .jar para los que soporten Java)
    • documentos ofimáticos (.PDF, .DOC, .XLS,…)
    • multimedia (.AVI, .MPEG, .MOV…)
  • Navegación web. Se han detectado algunos casos de infección al navegar en alguna página web manipulada para que detecte nuestro sistema, busque alguna vulnerabilidad y, utilizándola, nos infecte con el malware (“Drive-By-Download”). Para mitigar esta amenaza, se deben usar navegadores o programas que analicen las páginas web antes de cargarlas. Además, se debe navegar solo por sitios de confianza y ser muy cautos con los enlaces recibidos vía SMS/MMS, mail, redes sociales y mensajería instantánea, ya que podrían llevarnos a una página web fraudulenta.
  • Aplicaciones maliciosas. Hay aplicaciones que realmente son malware “disfrazado”. Este tipo de aplicaciones, normalmente, están en mercados o tiendas “alternativas” aunque, en algunos casos, se han encontrado aplicaciones maliciosas en los canales oficiales de distribución. La forma de prevenir esta infección es descargar aplicaciones solo de los sitios oficiales, y además buscar información sobre la misma en foros y páginas especializadas ya que, de lo contrario, sólo tendremos la confianza que nos ofrezca el desarrollador de la aplicación.

Aunque estas son las vías más habituales, también hay que tener en cuenta otros riesgos importantes como las capacidad de comunicación vía Wi-Fi de estos equipos, unido al crecimiento de puntos de acceso Wi-Fi gratuitos, que los hacen víctimas potenciales del robo de información mediante el espiado de la red (sniffing). Para evitarlo, no hay que usar estos servicios Wi-Fi para acceder a sitios web en los que se requiera introducir información personal o confidencial. También hay que asegurarse de que en caso de usar este tipo de conexiones, las páginas a las que accedemos dispongan de cifrado en las comunicaciones (HTTPS).

Otro factor a tener en cuenta en la seguridad de este tipo de dispositivos, es la eliminación de ciertas protecciones que hay en los sistemas operativos, mediante el «Jailbreak» o el «rooteado». Mediante el primero se consigue que el sistema operativo IOS (Apple) pueda instalar aplicaciones que no están firmadas, y por tanto, que no están en la tienda de Apple (Applestore). Esto supone una reducción en la seguridad del dispositivo debido a que solamente las aplicaciones de la tienda oficial se han verificado y aportan un nivel de confianza alto. En el caso de los dispositivos Android, el sistema puede instalar aplicaciones firmadas (configuración por defecto) o se puede configurar para poder instalar cualquier aplicación, aunque no sea de confianza. El proceso de “rooteado” consiste en poder darle a una aplicación permisos “especiales”, lo que implica mayor riesgo en la operativa que pueda llevar a cabo esta aplicación. Estas acciones incrementan la posibilidad de instalación de un software malicioso en un equipo, ya que disminuyen el nivel de seguridad del sistema. Por ese motivo se desaconsejan totalmente cuando el terminal va a ser utilizado para uso en la empresa.

Mitigación de la infección

Una vez que el dispositivo ha sido infectado, y se ha detectado, hay que llevar a cabo una serie de acciones para reducir los efectos perjudiciales que podrían llegar a surgir. Estas acciones, están relacionadas con las funcionalidades del malware para este tipo de dispositivos y con el uso que se haga del mismo, ya que no es igual que sea un “Smartphone” para uso personal que el utilizado para el trabajo. En función del malware que nos haya afectado, tendríamos estos posibles efectos y medidas a adoptar:

  • Robo de datos de contactos. Es necesario avisar a nuestros contactos e indicarles que es posible que reciban alguna comunicación “extraña”, incluso en nuestro nombre. El malware podría acceder a nuestros contactos y redirigirles alguna notificación para transmitir más malware o redirigirlos a sitios web fraudulentos.
  • Robo de contraseñas. Será necesario el cambio de nuestra contraseña de los servicios que se haya usado desde este dispositivo, ya que podrían haber sido robadas. Con el robo de credenciales se podrá suplantar la identidad en el servicio en cuestión. Además, en caso de tener la misma contraseña en varios servicios (¡mala práctica en el uso de contraseñas!), habría que cambiarla en todos aquellos en los que se use, incluso en los que no se ha accedido desde ese dispositivo, ya que a partir de unos servicios como correo o mensajería se pueden deducir otros que sí se usan como por ejemplo, las redes sociales. También hay que considerar el uso de un gestor de contraseñas.
  • Robo de datos bancarios. La única forma de mitigar esta acción es informar a nuestro banco de lo sucedido, modificar las credenciales bancarias, y hacer un seguimiento exhaustivo de los movimientos de nuestras cuentas y tarjetas. Por otro lado, y en caso de que hayan usado ya esas credenciales con fines fraudulentos, es necesario realizar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado o en un juzgado.
  • Robo de información empresarial. En el caso de que el dispositivo móvil se utilice con fines profesionales, el malware podría robar información relativa a la empresa. La forma de mitigar esta acción es comunicárselo a la empresa para que tome las medidas necesarias como: cambio de contraseñas, aviso a clientes/proveedores/colaboradores. Una medida de prevención adecuada sería utilizar un software de codificación o cifrado de información.

Recomendaciones a seguir

Para el uso de dispositivos móviles, especialmente cuando se compartan en el ámbito privado y en el empresarial, se deberán seguir las siguientes recomendaciones de forma genérica:

  • Instalar un software antimalware
  • Mantener actualizado el sistema y las aplicaciones
  • Precaución con la descarga y recepción de archivos
  • Precaución con las conexiones no seguras (Wi-Fi y Bluetooth)
  • Precaución al navegar por Internet, y sobre todo con los enlaces de correos, mensajes SMS o en redes sociales
  • No eliminar las protecciones del sistema
  • Cumplir con la directiva de contraseñas y usar un gestor para las mismas
  • Acceder a la red empresarial a través de redes privadas o VPN
  • Utilizar el cifrado de datos
  • Establecer un protocolo de actuación en caso de robo o pérdida del dispositivo

Fuente: Inteco

Publicación de parte médico de incapacidad de una trabajadora en el perfil de facebook de su empresa..

La AEPD inició un procedimiento sancionador (PS/00434/2011) contra LITTE CUP SL (LA TAZZINA) por producirse la publicación en la red social Facebook de un parte médico de incapacidad temporal a su nombre, manteniéndose durante un período de entre 24 y 48 horas, apareciendo expuestos distintos datos personales referentes a la denunciante.

Constan como hechos probados mas relevantes, los siguientes: Que la empresa denunciada publicó en Facebook un parte médico de incapacidad temporal a nombre de la denunciante, manteniéndose el mismo visible entre 24 y 48 horas, apareciendo expuestos en el mismo distintos datos personales.

El artículo 6.1 de la LOPD dispone lo siguiente: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

La entidad imputada no ha aportado, en consecuencia, prueba documental que acredite el consentimiento de la denunciante para que dicha entidad pudiera llevar a cabo el tratamiento de datos personales realizado. Un tratamiento que ha quedado acreditado en el expediente. 

El documento contiene el nombre y apellidos de la denunciante, junto con su número de tarjeta sanitaria, número de afiliación a la Seguridad Social, número de DNI y domicilio. Asimismo se incluye el nombre de la empresa: LITTLE CUP, S.L. y datos asociados a la baja médica. Junto a este documento, la denunciante aportó de igual modo copia impresa de los comentarios asociados a la foto, publicados por los usuarios, en particular el publicado por el usuario que administra el perfil.

Por tal razón se consideró que la empresa denunciada había infringido el artículo 6.1 de la LOPD y que es responsable de tal infracción. Teniendo en cuenta los citados criterios, en especial, el apartado b) de ese artículo 45 procede imponer a LITTLE CUP, S.L. (LA TAZZINA) la sanción de 2.000 €.

Fuente: AGPD

Orange multada con 50.000 euros por emitir y cobrar facturas a un menor de diez años

La Agencia Española de Protección de Datos ha afirmado que la operadora no se preocupó de comprobar la autenticidad de los datos bancarios y personales.

Orange, filial de France Telecom, ha sido multada con 50.000 euros por emitir cargos a un menor de 10 años.

La Agencia Española de Protección de Datos (AEPD) ha realizado las investigaciones pertinentes tras la denuncia presentada por la madre del menor. En las pesquisas se comprobó que Orange había emitido hasta seis facturas al menor, entre julio de 2010 y marzo de 2012, “por no cumplir la permanencia asociada”.

La AEPD ha afirmado que la operadora no se preocupó de comprobar la autenticidad de los datos bancarios y personales. La Agencia considera que France Telecom debería haber realizado las acciones necesarias para evitar dar de alta a un menor.

La sentencia afirma que “en modo alguno, France Telecom ha acreditado que comprobara la edad de la denunciante, ni ha aportado documento alguno que lo acredite, como pudiera ser la solicitud del DNI, o incluso el propio DNI, sino que se apuntó el número del DNI (también erróneo) y comenzó a facturar un servicio a la cuenta ancaria proporcionada, sin realizar ninguna comprobación”.

La Ley General de Consumidores y Usuarios señala que es la entidad de telecomunicaciones la que debe asumir los riesgos de la contratación a distancia, minimizando los riesgos de altas fraudulentas, implantando los protocolos necesarios para ello.
Fuente: Facua
https://www.facua.org/es/noticia.php?Id=6841

 

Las autoridades europeas de protección de datos aprueban un dictamen sobre la incidencia en la privacidad del desarrollo de las tecnologías biométricas

Las autoridades europeas de protección de datos representadas en el Grupo de trabajo del artículo 29 han adoptado un dictamen sobre los últimos desarrollos en materia detecnologías biométricas. El dictamen proporciona un análisis jurídico actualizado del uso de datos biométricos y recomendaciones sobre mejores prácticas. Además, propone medidas técnicas y organizativas para mitigar los riesgos para la protección de los datos y la privacidad, y ofrece también orientaciones sobre cómo evitar las consecuencias negativas para la privacidad y el derecho fundamental a la protección de datos de los interesados.

  Los datos biométricos se usan de manera satisfactoria y eficaz en la investigación científica, constituyen un elemento clave de la ciencia forense y son un valioso componente de los sistemas de control de acceso. Pueden ayudar a incrementar el nivel de seguridad y lograr que los procedimientos de identificación y autenticación sean mas sencillos, rápidos y cómodos. Sin embargo, los sistemas biométricos utilizan propiedades únicas de los sujetos, como las huellas dactilares, los patrones venosos y el ADN.  Aunque los datos biométricos de una persona pueden eliminarse o modificarse, la fuente de la que se extraen en general no puede ni modificarse ni eliminarse. Por esta razón, las tecnologías biométricas plantean riesgos específicos para la privacidad y protección de datos de los afectados.

Gracias a los avences tecnológicos, el coste del espacio de almacenamiento y la potencia de cálculo necesaria son menores. Estos han posibilitado la existencia de galerías de imágenes en línea y redes sociales que contienen miles de millones de fotografías, han permitido que los lectores de huellas dactilares y los dispositivos de videovigilancia se conviertan en aparatos baratos y, gracias a ellos, los análisis de ADN son más rápidos y económicos.

Cuando estas tecnologías biométricas, que generalmente están disponibles, se emplean sin las salvaguardas apropiadas, el derecho a la protección de datos de los afectados corre peligro. Además, existen gran cantidad de tipos de datos biométricos que pueden recopilarse sin la cooperación o el conocimiento por parte del interesado, como ocurre a través de los sistemas de videovigilancia y de reconocimiento facial, lo que podría facilitar que se produzcan numerosas violaciones de manera inadvertida.

En el Dictamen se abordan las ventajas y los riesgos que se han mencionado anteriormente, así como otros desarrollos recientes. Las repercusiones jurídicas del uso de los datos y sistemas biométricos se analizan desde un punto de vista general y de esa tecnología específica.

“Grupo de trabajo del Artículo 29”

El grupo de trabajo de autoridades europeas de protección de datos (Grupo de trabajo del Artículo 29), es el grupo consultivo compuesto por representantes de las autoridades naciones de protección de datos de los Estados miembros, el Supervisor Europeo de protección de datos y la Comisión Europea. Está facultado para examinar cualquier cuestión que esté relacionada con la aplicación de las directivas en materia de protección de datos para contribuir a la aplicación  uniforme de las mismas. Desempeña sus funciones emitiendo recomendaciones, dictámenes y documentos de trabajo sobre todas aquellas cuestiones relevantes que afectan a la protección de datos personales.

Dictamen del Grupo de Autoridades Europeas de Protección de Datos sobre los desarrollos en materia de tecnologías biométricas (EN) 

Fuente: AGPD. Nota

Telefónica Móviles es sancionada por la AEPD por incluir los datos de una deuda inexistente de una vecina de Las Palmas de G.C. en el registro de morosos.

La Agencia de Protección de Datos ha sancionado a Telefónica Móviles España SA por haber realizado la contratación de un servicio de línea y la postarior facturación de consumo de esa línea a una vecina de Las Palmas de Gran Canaria, por un línea que nunca contrató y por un consumo que no realizó.

Según consta en el procedimiento sancionador (PS/00393/2011), Telefónica reconoce que su departamento de fraude detectó y corrigió la situación denunciada, anulando la deuda que se había generado de 497,23€ y que había trasladado a la denunciante.

No aparece ni constan el contrato (o la grabación de la contratación) de la línea.

Entre los hechos probados, destacan:

1.- Que Telefónica, a través de una asesoría jurídica, reclama a la denunciante la deuda antes citada.

2.- Telefónica emite sendas facturas y envía avisos de pago a la denunciada.

3.- Que ante el arbitraje solicitado ante la Junta Arbitral de Canarias, Telefónica comunica que había procedido a la anulación de las citadas facturas; y se cursa solicitud para su no inclusión en los registros de impagados.

4.- Con posterioridad al arbitraje, los servicios jurídicos contratados por Telefónica requieren nuevamente el pago de la deuda antes de proceder a la vía judicial.

5.- Consta también, con fecha posterior al arbitraje, la inclusión de la deuda en el registro de impagados de EXPERIAN.

Ante estos hechos, el procedimiento sancionador se abrió por infracción del artículo 6.1 por falta de consentimiento del titular del derecho; así como infracción del artículo 4.3..

TELEFONICA no ha acreditado en el procedimiento que cuente con el consentimiento del denunciante para el tratamiento de sus datos personales, materializado en el alta en la línea telefónica asociada al nº, ni que cuente con habilitación legal para ello. Dicho tratamiento de datos vulnera el principio del consentimiento recogido en el artículo 6.1 de la LOPD, por cuanto que el mismo ni se realizó con el consentimiento del denunciante, ni concurre en el supuesto examinado ninguna de las circunstancias previstas en el artículo 6.2 de la LOPD que permitirían a TELEFONICA tratar los datos de la denunciante sin su consentimiento.

El artículo 4.3 de la LOPD, dispone que: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.
La obligación establecida en el artículo 4.3 transcrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.

El artículo 38.1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, señala que:
“1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:
a. Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada.
b. Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.
c. Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación”.

Y el artículo 39 del Reglamento de desarrollo de la LOPD establece que:
“El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias”.

En el presente caso, ha quedado acreditado que los datos personales de la denunciante figuraron en los ficheros de solvencia, informados por TELEFONICA, como consecuencia de una deuda cuyo saldo impagado ascendía a 497,23 euros, por una operación de telecomunicaciones y en calidad de titular, sin que la deuda informada fuera cierta, vencida y exigible: en primer lugar, porque consta acreditado que la denunciante no era cliente de la entidad; en segundo lugar, por las propias manifestaciones de la entidad al indicar, en respuesta ofrecida a la JJAA de Canarias, de fecha 26/01/2011 que “analizado el expediente de la Sra.  y los datos disponibles en nuestros archivos, verificamos que la línea de referencia causó baja total con fecha de efectividad 06/08/2009. Asimismo les comunico que, de acuerdo a la documentación aportada, procedemos, con fecha de hoy, tramitar la anulación de las facturas julio, agosto y septiembre 2009, pendientes de abono en este momento, por posible suplantación de personalidad. Para concluir, cursamos las instrucciones oportunos para excluir los datos de la cliente de cualquier fichero de solvencia en los que estuviera incluida”, según consta en el hecho probado séptimo.

No obstante, a pesar de la respuesta ofrecida al citado organismo arbitral, el proceder de TELEFONICA fue el opuesto: continuó tratando los datos de la denunciante, trasladándolos a empresas dedicadas al recobro de deudas, quienes procedieron al envío de requerimientos de pago inquiriendo y conminándole al pago de una deuda que no le correspondía y que no existía pues las facturas habían sido anuladas y, además, enviándole un escrito de demanda de inicio de procedimiento monitorio dirigido al Juzgado de Primera Instancia que por turno le correspondiera y, como corolario, procediendo nuevamente a la inclusión de los datos en los ficheros de solvencia patrimonial y de crédito ASNEF y BADEXCUG.

Ambas infracciones han sido tipificadas como graves, atendiendo según el artículo 44.3b. de la LOPD, y se han impuesto dos sanciones de 50.000€, una por infracción del principio de consentimiento y otra por infracción del principio de calidad.

Fuente: AGPD

Telefónica de España sanciona por incluir datos por deuda inexistente en el registro de morosos

La Agencia Española de Protección de datos ha sancionado a Telefónica de España por incluir los datos personales de un cliente en una lista de morosos por una deuda inexistente y por la facturación de un servicio de telecomunicaciones que no había contratado.

La AEPD inició procedimiento sancionador con Telefónica de España (en adelante Telefónica) (PS/00451/2011) ante la denuncia presentada por un ciudadano por la inclusión de sus datos en el fichero de ASNEF. El denunciante se puso en contacto con Telefónica para indicarles que hacía mas de 14 años que no era cliente de esa empresa. Nunca había contratado dicho servicio y nunca había residido en Pontevedra (donde se había realizado la gestión).

Solicitó acceso al fichero ASNEF y figuraba en el mismo un apunte de una deuda de 449,24€. A través de la OMIC de Santa Lucía (Gran Canaria) realizó una reclamación a Telefónica, contestando esta que iban a solventar el asunto. Pasado unos meses, se vuelve a instar a Telefónica, quien después de varias reclamaciones le indica que no existe ninguna deuda registrada en el fichero de impagados.

Nuevamente tiene conocimiento de que se ha incluido una nueva deuda en el ASNEF de 357,42€, volviendo a aparecer una dirección de Pontevedra en el apunte. Presenta nueva reclamación ante Telefónica que hace  caso omiso, y ante ASNEF, quien sí procede a la cancelación del registro.

Esta situación comenzó en el 2006, aunque no tuvo conocimientos de los hechos hasta el 2008, y ha traído como consecuencias la imposibilidad de financiar cualquier producto o servicio por parte del denunciado.

Se consideraron hechos probados mas relevantes, los siguientes:

1.- Telefónica reconoce el error en la facturación reclamada de 449,24€ y procedió a realizar un abono, a fin de anular la deuda.

2.- Tiempo después, consta en el ASNEF una deuda de 357,42€, por una línea que niega haber contratado.

3.- Que habiendo solicitado a Telefónica la anulación de esa deuda, ésta afirma que esos datos no figuran en ningún registro de impagados.

4.- Telefónica no aporta el contrato por el servicio que dió lugar a la reclamación.

Por estas razones, la AEPD inició procedimiento sancionador contra Telefónica por:

Se imputa a TELEFONICA el tratamiento sin consentimiento de los datos personales del denunciante. El artículo 6 de la LOPD, determina: “1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.”

En el presente caso el denunciante niega haber contratado los servicios de TELEFONICA de la línea, y esta no ha aportado prueba alguna que lo acredite más allá de que sus datos personales obran en sus ficheros asociados a dicha línea pero sin dar cuenta de su origen, esto es no ha aportado contrato suscrito por el denunciante, o grabación de voz en el caso de que la contratación se hubiera efectuado telefónicamente. Tampoco ha aportado boletín de instalación de la línea y servicios activados en un domicilio, que por otra parte el denunciante niega que nunca hubiera sido el suyo.

En base a lo expuesto en los fundamentos de derecho anteriores TELEFONICA ha realizado un tratamiento de los datos personales del denunciante sin su consentimiento al haber quedado acreditado que la entidad imputada trató los datos de carácter personal del mismo en sus propios ficheros, de los que la operadora tiene la consideración de responsable, utilizándolos para emisión de nueve facturas de la línea.

El denunciante niega tener relación contractual con TELEFONICA relativa a la línea, y ésta no ha podido acreditar la existencia de la misma, ni dar razón del tratamiento de sus datos personales en sus ficheros sin que medie contrato ni consentimiento de la misma.

El artículo 4 de la LOPD señala en su apartado 3: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado” y en su apartado 4 prescribe: “Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16”.

La obligación establecida en el artículo 4 transcrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan en todo momento a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.

TELEFONICA ha sido responsable del tratamiento de datos en sus propios ficheros, de su comunicación a través de tratamientos automatizados al responsable del fichero común y de que el tratamiento automatizado de la información relativa al denunciante no responda a los principios de calidad de datos recogidos en el artículo 4 de la LOPD (exigencia de que los datos sean exactos y respondan a la situación actual de los afectados).

Conforme a lo expuesto, el imputado no se ha limitado a transmitir la información al responsable del fichero común sobre solvencia patrimonial, sino que ha tratado automatizadamente los datos de solvencia en sus propio.s ficheros, los ha comunicado a través de tratamientos automatizados al fichero común, y, particularmente, ha decidido sobre la finalidad del tratamiento (la calificación en sus ficheros como deudor), el contenido de la información, y el uso del tratamiento (la incorporación a un fichero común de información sobre solvencia patrimonial y crédito al que pueden acceder terceras entidades para realizar una evaluación o perfil económico de las personas incorporadas al mismo).

Todo ello sin que los datos comunicados fueran exactos pues la deuda no era no cierta ni exigible al denunciante. Ello supone una vulneración del principio de calidad de datos de la que debe responder TELEFONICA por ser responsable de la veracidad y calidad de los datos existentes en sus ficheros y de los que suministra al fichero de solvencia patrimonial y crédito.

Por estas razones, la AEPD ha impuesto dos sanciones a Telefónica, la primera por infracción del principio de consentimiento, artículo 6.1 por importe de 50.000€; y la segunda, por infracción del principio de calidad de los datos, artículo 4.3, por importe de 50.000€.

Fuente: AGPD

El Cabildo Insular de Lanzarote infringe el deber de secreto al filtrar datos personales en un comunicado de prensa

Según consta en el expediente sancionador AAPP/00045/2011, la Agencia Española de Protección de Datos ha sancionado al Cabildo Insular de Lanzarote por una infracción del artículo 10 de la LOPD relativo al incumplimiento por parte de esa administración pública del deber de secreto.

Según consta en el citado expediente, el Cabildo de Lanzarote hizo entrega de un documento en pdf que contenía un listado de todos los abogados que habían trabajado para esta administración pública y los honorarios percibidos desde 1997 a 2010. Este documento fue distribuido por el Gabinete de Prensa del Cabildo a distintos medios, entre ellos a “La voz de Lanzarote” y otros siete. Este documento incluía los nombres y apellidos de los profesionales así como cantidades percibidas por los mismos.

Ante la denuncia presentado por uno de los abogados afectados ante la AEPD, esta inició las actuaciones previas. Llama poderosamente la atención la dejación que hace el Cabildo al requerimiento que hace la propia AEPD, tanto al del 11 de mayo como al del 8 de julio.

Quedando como hechos probados, según el expediente sancionador, los siguientes hechos mas relevantes:

1.- Que para refutar una denuncia, el Cabildo aporta una lista en pdf con los nombres y apellidos, así como los emolumentos percibidos por los abogados desde 1997 a 2010.

2.- Que el documento en pdf fue recepcionado por los medios informativos y quedó accesible a toda persona que leyó la noticia en los medios digitales, al incluir estos un enlace al documento.

3.- En la citada relación, aparecen los datos del denunciante.

4.- Que el Gabinete de Prensa del Cabildo hizo difusión de ese documento a distintos medios informativos.

5.- Que el motivo que llevó al Cabildo a dicha difusión de ese documento fue desmentir unas manifestaciones previas del Grupo Socialista del Cabildo, en relación con el pago de emolumentos a un abogado con un montante de mas 300.000€.

Según establece la propia redacción del artículo 10 de la Ley 15/1999, de 13 de diciembre, “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo”.

Dado el contenido del citado artículo 10 de la LOPD, ha de entenderse que el mismo tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos.

El deber de secreto profesional que incumbe a los responsables de los ficheros y a quienes intervienen en cualquier fase del tratamiento, recogido en el artículo 10 de la LOPD, comporta que el responsable de los datos almacenados o tratados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la protección de datos y por lo que ahora interesa, comporta que los datos personales no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.

No obstante existen límites al no secreto de los datos como los que pueden entrar por el artículo 11 de la LOPD al señalar: “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.

Señalando el apartado 2 de dicho artículo que el consentimiento exigido en el apartado anterior no será preciso: “ a) Cuando la cesión esté autorizada por una ley”.

En el supuesto analizado no existe Ley alguna que permita trasladar los datos personales del denunciante referidos a las cuantías que anualmente ha percibido por parte del Cabildo a la Prensa, ni se exige en norma alguna la publica difusión de ambos datos unidos, máxime teniendo en cuenta que la noticia publicada no hacía referencia alguna ni estaba a debate sus emolumentos ni su persona. En tal sentido conviene destacar el principio de calidad en el tratamiento de datos de la pertinencia y adecuación señalado en el artículo 4 de la LOPD que señala:”1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” En este caso el hecho de ceder toda una relación de datos personales entre los que se incluían los del denunciante para desmentir lo referido a un aludido, no es proporcional, adecuado ni pertinente.

No existiendo Ley alguna que ampare la comunicación de datos, en este caso indiscriminada a la Prensa, para desmentir un comunicado anterior supone una infracción del deber de secreto a la custodia y conservación de los datos de que se dispone.

Esto motiva que la AEPD, sancione al Cabildo Insular de Lanzarote, por una infracción del artículo 10 de la LOPD, tipificado como leve en el artículo 44.2.e.

Fuente: AGPD

Leer mas sobre esta noticia: http://www.canariasahora.es/noticia/219126/

Informe de seguridad en sistemas de almacenamiento en la nube

El instituto Fraunhofer para la tecnología de la seguridad de la información, ha realizado un informe sobre varios servicios de almacenamiento en la nube comparándo los de servicios y la seguridad, obteniendo datos y conclusiones interesantes.

El estudio se ha basado en siete servicios a los que se puede acceder mediante un cliente instalado en el ordenador del usuario. Estos servicios son CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One y Wuala.

En el informe se realizó una comparativa en cuanto a funcionalidades y servicios de los distintos proveedores de almacenamiento como son: copias, copias de seguridad, sincronización y compartición de ficheros.

La parte más importante del mismo, se refiere a aspectos de seguridad como registro en el servicio, inicio de sesión, cifrado, y compartición de ficheros. En algunos de ellos se han encontrado vulnerabilidades, explicadas en el informe.

También hay una parte del informe donde se explican algunos conceptos legales referidos a diferencia entre la legislación americana (Patriot Act) y la europea, exponiendo que la protección de datos en Estados Unidos es distinta y más débil que en Europa, por lo que los servicios alojados en Europa son más fuertes en ese aspecto.

También se señala que están elaborando otro informe en el que se incluirán servicios como Amazon S3, cuyo funcionamiento es diferente a los analizados en este informe.

Fuente: Inteco

Estadística del blog

  • 165.825 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A <span>%d</span> blogueros les gusta esto: