//
Archivos

Archivos para

SkyDrive: cuando tu almacenamiento no es tan privado como pensabas

Creer que la nube es una extensión de tu ordenador personal puede ser una falsa ilusión, sobre todo cuando los archivos que uno deja en un servicio de almacenamiento no son tan privados como uno pensaba. Hoy nos enteramos que eso le pasó a varios usuarios de SkyDrive, que vieron cancelada su cuenta sin previo aviso de un día a otro porque Microsoft consideró que los archivos que alojaban violaban los términos de uso del servicio.

En enero de 2012, un fotógrafo alemán que tenía 4 fotografías de desnudos parciales en una carpeta no compartida y que él pensaba que nadie veía, encontró su cuenta cancelada por parte de Microsoft. El asunto causó bastante revuelo en la prensa, y se habló de la función de guardado automático de las fotos que uno toma con el móvil pero también del hecho de que Microsoft estuviera monitorizando archivos supuestamente privados.

En mayo, un usuario holandés, que había subido 12 GB de contenido a su cuenta en SkyDrive, vio cerrado su acceso a su cuenta de Windows Live, lo que significaba que tampoco podía acceder a su correo en Hotmail, o a Xbox Live. La única explicación que le dio Microsoft fue que habían encontrado una carpeta en su SkyDrive con contenido que no estaba aprobado por el código de conducta de Microsoft SkyDrive. También esta carpeta era privada y no estaba compartida con nadie más.

Este usuario terminó creando una nueva cuenta, perdiendo la anterior, lo que tenía guardado e incluso las aplicaciones que había comprado.

¿Por qué sucede esto? Microsoft se reserva el derecho a suspender una cuenta por cualquier razón, y de hecho monitorea lo que los usuarios suben a SkyDrive, aunque sean cuentas privadas. Por esto no deberíamos ser tan ligeros al considerar a la nube, por lo menos en este caso, como una extensión de nuestro ordenador. Hace poco hablábamos de Cubby, y no está de más tener los términos de servicio en cuenta como uno de elementos a considerar en el momento de elegir uno u otro servicio de almacenamiento en la nube.

Algunos usos prohibidos que define el código de conducta famoso de Microsoft SkyDrive son los siguientes:

Subir, publicar, transmitir, transferir, distribuir o facilitar la distribución de ningún contenido (incluyendo texto, imágenes, sonido, video, datos, información o software) o usar el servicio en alguna forma que:

  • muestre desnudez de cualquier tipo, total, parcial o desnudez en formas no humanas como cómics, arte o manga.
  • incite o exprese pornografía, obscenidad, vulgaridad, odio, blasfemia, intolerancia, racismo o violencia gratuita.
  • tergiverse la fuente de todo lo que publique o cargue, incluyendo la suplantación de otro individuo o entidad.
  • ofrezca o cree vínculos a sitios externos que infrinjan este Código de Conducta.
  • incluya contenido protegido por leyes de propiedad intelectual, derechos de privacidad o publicidad, o cualquier otra ley aplicable, a menos que usted posea o controle dichos derechos o haya recibido todos los consentimientos necesarios.
  • tenga intención de dañar o explotar a menores de cualquier manera.
  • esté diseñado para solicitar o recopilar información de identificación personal de cualquier menor de edad (menores de 18 años de edad), incluyendo pero no limitado a: nombre, dirección de correo electrónico, dirección postal, número de teléfono o el nombre de su escuela.
  • invada la privacidad de nadie, tratando de recopilar, almacenar o publicar información privada o personal, como contraseñas, información de cuentas, números de tarjetas de crédito, direcciones u otra información de contacto sin su conocimiento y consentimiento voluntario.
  • sea ilegal o que viole las leyes locales y nacionales, incluyendo pero no limitado a la pornografía infantil, bestialidad, incesto, drogas ilegales, la piratería de software, y el acoso.
  • amenace, acose, difame, estafe, degrade o intimide a una persona o grupo de personas por cualquier razón, incluyendo por causas de su edad, género, discapacidad, etnia, orientación sexual, raza o religión, o incite o promueva a otras personas a hacerlo.
  • dañe o perturbe, o tenga la intención de dañar o alterar, equipo de otro usuario o que permita que usted u otras personas puedan acceder ilegalmente al software o eludir la seguridad en los sitios Web o servidores, incluyendo pero no limitado a enviar spam.
  • intente suplantar a un empleado de Microsoft, agente, director, conductor, administrador, moderador, otro usuario o cualquier otra persona a través de cualquier medio.
  • promueva o facilite la compra y venta de municiones o de armas de fuego.
  • contenga “correo basura”, “spam”, “cartas en cadena”, “esquemas piramidales”, “marketing de afiliación” o publicidad comercial no solicitada.
  • tergiverse el contenido que publique o cargue o contenga el mismo o similar contenido que ya ha publicado.
  • intente manipular los servicios, incluidos rankings y los sistemas de reputación en los servicios, violando cualquiera de las disposiciones de este Código de Conducta, en connivencia con otras personas en la votación o el uso de múltiples perfiles.
  • se ofrezca para hacer transferencias internacionales de dinero por montos que excedan el precio de venta de un artículo, con la intención de solicitar un reembolso de cualquier porción del pago.
  • contenga publicidad de planes de hacer dinero, tarjetas de descuento, asesoría de crédito, encuestas o concursos online.

¿Por qué es necesaria una Estrategia Nacional de Ciberseguridad?

A finales del pasado mes de Junio el Instituto Español de Ciberseguridad – Spanish Cyber Security Institute, en adelante SCSI (iniciativa del ISMS Forum Spain), publicó su primer estudio titulado “Ciberseguridad nacional, un compromiso detodos”. Este estudio realiza un análisis y diagnóstico del estado actual de la ciberseguridad en España, argumentando por qué es necesaria una Estrategia Nacional de Ciberseguridad y exponiendo cuales deben ser sus funciones, habilitadores, objetivos a corto-medio plazo y las acciones más relevantes para alcanzar estos objetivos.

En el presente artículo nos centraremos en explicar por qué es necesaria una Estrategia Nacional de Ciberseguridad en España.

Durante el último lustro, muchos de los países de nuestro entorno geopolítico han reconocido la importancia estratégica de disponer de un ciberespacio seguro para garantizar la prosperidad económica, social y cultural de los diferentes Estados. La Estrategia Nacional de Ciberseguridad debe transmitir esta importancia estratégica, pero además, debe servir de guía para los responsables de la dirección, control y gestión de la ciberseguridad nacional, así como para sus beneficiarios, y servir como instrumento de disuasión para sus potenciales transgresores.

 La Estrategia Nacional de Ciberseguridad debe dar respuesta a las siguientes cuestiones:

  1. ¿Qué preocupa? (Riesgos y amenazas)

 La novedad, diversidad y heterogeneidad de los riesgos y amenazas relacionados con el ciberespacio hacen indispensable un conocimiento de ciber-situación fiable y actualizada que proporcione a los responsables de la ciberseguridad nacional el conocimiento necesario para su dirección, control y gestión.

2. ¿Quién se preocupa? (Responsables)

La  seguridad del ciberespacio nacional es responsabilidad del Gobierno. Presidencia del Gobierno debe asumir el liderazgo de la ciberseguridad nacional. Para ello, deberá crear un sistema nacional de ciberseguridad, es decir, el conjunto  de órganos, organismos y procedimientos que permitan  la  dirección, control y gestión de la seguridad de nuestro ciberespacio.

3. ¿Cómo se responde a esa preocupación? (Políticas)

El Gobierno de España deberá mostrar una determinación política para hacer frente a los riesgos y amenazas cibernéticos y, por ello, deberá fijar unos objetivos y  priorizarlos.

Del mismo modo, la creación del sistema nacional de ciberseguridad permitirá reducir el riesgo asociado a que cada ministerio y agencia decidan sus líneas de actuación sin tener en cuenta las de los demás y, como resultado, que los gobiernos luego se vean obligados a hacer un esfuerzo de coordinación adicional que se podría haber evitado si se hubieran dado orientaciones adecuadas desde un comienzo. Las principales políticas deben ir dirigidas a fomentar: La resiliencia de nuestro ciberespacio, la colaboración público – privada, la educación y concienciación, la I+D+i  y la colaboración internacional.

La construcción del sistema nacional de ciberseguridad deberá realizarse a partir de los habilitadores de la ciberseguridad, que dividimos en habilitadores principales, aquellos que permitirán construir el sistema nacional de ciberseguridad, y habilitadores secundarios, aquellos que permitirán hacer funcionar el sistema en conjunción con los primarios.

Los habilitadores principales son:

  • Liderazgo del Estado. El Estado tiene la obligación de legislar y actuar para proteger, o hacer que se protejan, los servicios que se prestan en el ciberespacio y que permiten a los ciudadanos, sus organizaciones y empresas, desarrollarse en los ámbitos social, cultural y económico, entre otros. Cumplir con tal obligación implica el ejercicio del liderazgo para la definición de políticas, estrategias y normativa jurídica en materia de ciberseguridad, además de crear los instrumentos organizativos que permitan su aplicación. Corresponde a la Presidencia del Gobierno asumir este liderazgo.
  • Estructura Organizativa. El Estado debe crear una estructura organizativa que permita  la dirección, control y  gestión de la ciberseguridad nacional.
  • Marco legislativo. Será necesario desarrollar un marco legislativo que de soporte a la ciberseguridad nacional, que resulte eficaz y a la vez tenga en cuenta los derechos fundamentales y libertades públicas del estado de derecho.  Cuanto menos dispersas sean las normas que formen parte de ese marco legislativo, el nivel de seguridad jurídica  será mayor.
  • Metodología. El carácter novedoso del ciberespacio y la complejidad de su seguridad, hacen necesario desarrollar una metodología de trabajo que proporcione un mejor entendimiento sobre la importancia estratégica del ciberespacio así como de su estado de riesgo. Esta metodología deberá proporcionar: un lenguaje común, unos fundamentos teóricos homogeneizados y unos procedimientos en los que se describa el modo de proceder en materia de ciberseguridad.
  • Tecnología. La tecnología es el fundamento del ciberespacio. El conocimiento y adaptación a la continua  evolución tecnológica y técnica resultan  fundamentales para mejorar la resiliencia y seguridad de nuestro ciberespacio.

Los habilitadores secundarios son:

  • Estado de Ciber-situación. El conocimiento de la ciber-situación debe proporcionar el conocimiento inmediato del ciberespacio propio, el del resto de naciones, y el de cualquier otro de interés, así como el conocimiento del estado y disponibilidad de las capacidades operativas  que son necesarias para el planeamiento, dirección y gestión de las operaciones necesarias para la seguridad del ciberespacio.
  • Compartición de información. Se deben articular un conjunto de mecanismos que permita a los diferentes actores de la ciberseguridad nacional compartir información de manera eficiente y eficaz. Además, la compartición de información ayudará a conseguir un conocimiento de ciber-situación fiable y actualizado, mejorará  la disponibilidad y resiliencia de los activos de la ciberseguridad nacional,       permitirá  gestionar de modo eficaz y eficiente  las crisis cibernéticas y, en otro contexto, permitirá optimizar la inversión económica en materia de ciberseguridad, racionalizando el uso de recursos, humanos y técnicos.
  • Concienciación y educación. La sociedad española debe conocer el alcance y la complejidad de la ciberseguridad nacional,  así como tomar conciencia de los riesgos individuales (privacidad e intimidad) y colectivos (seguridad nacional, prosperidad económica, social y cultural) a los que está  expuesta si se hace un uso irresponsable del ciberespacio.
  • Comunicación Estratégica. Es necesario elaborar una política de comunicación estratégica sobre los asuntos de la ciberseguridad nacional y las situaciones de crisis cibernéticas, así como impulsar el debate parlamentario y social en la revisión y aprobación de las estrategias,      promover la comunicación público-privada y entre las administraciones, difundir alertas y recomendaciones a la población.
  • Colaboración Público-Privada. El Gobierno de España no dispone, por sí mismo, de las capacidades necesarias para garantizar la seguridad del ciberespacio nacional y, por tanto, deberá contar con el sector privado, entre otros, para alcanzar un nivel de seguridad acorde a un estado de riesgo conocido y controlado. Es responsabilidad del Gobierno de España crear y fomentar un marco de colaboración público–privado.
  • I+D+i. La fuerte componente tecnológica del ciberespacio y la ciberseguridad, obliga a fomentar la competitividad y la  I+D+i en el sector público y privado nacional. Para ello el Gobierno de España deberá desarrollar un conjunto de políticas que tengan como objetivo que las empresas nacionales puedan comercializar sus productos y servicios, que  el Estado mantenga un estado tecnológico avanzado y, lo que resulta más importante, que disponga de unos “socios” ágiles para responder a la dinámica evolución de las TIC.
  • Cooperación Internacional. El carácter global del ciberespacio hace necesario mantener alianzas, no solo con nuestros aliados, sino con el resto de países que se encuentran más allá de nuestro ámbito geopolítico.

En definitiva, España, a pesar de los grandes esfuerzos realizados, no dispone aún de una capacidad sólida que permita realizar una dirección, control y gestión eficaces y eficientes de nuestra ciberseguridad. La Estrategia Nacional de Ciberseguridad debe ser el instrumento que posibilite disponer de unas capacidades de ciberseguridad acordes a las necesidades que el estado del riesgo del ciberespacio demande en cada momento.

 Fuente: Segu-info.

http://www.securitybydefault.com/2012/07/por-que-es-necesaria-una-estrategia.html

Sancionan a Google con 18,3 millones de euros por violar la privacidad de los usuarios de Apple

Google pagará una multa de 22,5 millones de dólares (18,3 millones de euros) para resolver el caso de acusación de que violó la configuración de privacidad de los usuarios del navegador Safari de Apple, según informó una de las fuentes, que habló en privado para resguardar relaciones.

La multa será la sanción más elevada impuesta a una única compañía por la Comisión Federal de Comercio de Estados Unidos (FTC por sus siglas en inglés), dijo el periódico Wall Street Journal, que reportó la resolución del caso a última hora del lunes.

La máxima multa hasta la actualidad es la de 15 millones de dólares pagados por ChoicePoint Inc en el 2006 tras una violación de información, según indicó una tercera fuente.

 Los cargos afectan al uso, por parte del principal motor de búsqueda de la red, de un código informático especial, o “cookies”, para engañar al navegador Safari de Apple y así poder controlar a los usuarios que habían bloqueado este rastreo.

Google deshabilitó el código tras ser contactado por el periódico. Google ha dicho que el fallo fue involuntario y que no se recolectó información personal como nombres, direcciones o datos de tarjetas de crédito.

Sin embargo, el rastreo se realizó a pesar de garantías acerca de que Safari podía ser configurado para proteger la privacidad de usuarios y desató una investigación de la FTC sobre si Google violó un decreto de común acuerdo firmado el año pasado.

“La FTC está centrada en una página del centro de ayuda de 2009. Ahora hemos cambiado esa página y tomamos medidas para retirar las ‘cookies'”, dijo Google al Journal.

“Ahora hemos cambiado esa página y dimos pasos para quitar los anuncios breves de información, que no recolectan información personal de los navegadores de Apple”, agregó.

Google también se enfrenta a potenciales sanciones de otros gobiernos. La firma está siendo investigada por la Unión Europea para determinar si cumple con las estrictas leyes de privacidad europeas.

El regulador de protección de datos francés dijo que probablemente concluirá en septiembre la investigación sobre la nueva política de privacidad de Google, que está llevando a cabo en nombre de los reguladores europeos.

El motor de búsqueda también es objeto de una investigación antimonopolios de largo alcance realizada por la FTC tras acusaciones sobre que la empresa manipuló resultados de búsquedas para favorecer sus propios productos.

Fuente: Facua

Sigue leyendo

La seguridad Wi-Fi es para el verano

Cada vez son más las aplicaciones disponibles en todo tipo de plataformas que facilitan el acceso ilegal redes Wi-Fi deficientemente protegidas, por esta razón los usuarios deben saber cómo protegerse ante este tipo de amenazas.

A lo largo de estas últimas semanas, se ha experimentado un elevado incremento en las descargas de aplicaciones utilizadas generalmente para auditar la seguridad de las redes Wi-Fi pero con un objetivo distinto para el que fueron creadas: “acceder de manera no autorizada a las mismas”.

La mayoría de este tipo de aplicaciones verifica la seguridad de la clave de acceso de una red Wi-Fi en base a un algoritmo diseñado por el proveedor de servicios de Internet, utilizado para asignar la clave WPA a ciertos routers domésticos, teniendo en cuenta el nombre de la red Wi-Fi (SSID) y su dirección física (MAC). La aplicación es capaz de «calcular» automáticamente y en cuestión de segundos, la clave de acceso a la red Wi-Fi de forma que este tipo de herramientas hace posible el acceso a una red protegida por contraseña WPA (teóricamente segura).

Para evitar esta situación, la forma más simple es modificar la contraseña del dispositivo que por defecto ha configurado el proveedor, de forma que los programas de cálculo para descubrir la contraseña, no sirvan. Otra posibilidad es modificar el nombre de la red Wi-Fi en el momento en que sea instalada por el técnico, evitando de ese modo la disponibilidad de la pareja de valores “nombre de red” y “dirección física” necesaria para calcular la clave.

Para proteger una red Wi-Fi de forma más segura se deberían realizar modificaciones en la configuración por defecto del router con al menos las siguientes medidas:

  • Modificar si es posible el nombre de usuario del administrador por defecto. En algunos dispositivos esta acción no se puede realizar
  • Cambiar la contraseña del usuario administrador que trae por defecto
  • Modificar el nombre de la red Wi-Fi (SSID), no poner nombres identificativos (Cafe-Pepe, wifi-Luis) y ocultar su propagación. Esto tiene el inconveniente de que un dispositivo no lo detectará automáticamente, pero al ser los propietarios del punto de acceso no habrá problema en introducirlo manualmente junto con la contraseña para tener acceso. Más información aquí (se abre en nueva ventana)
  • Añadir manualmente en el dispositivo los ordenadores que pueden conectarse al punto de acceso.Ampliar información. (se abre en nueva ventana)
  • Desactivar la conexión Wi-Fi o incluso apagar el dispositivo cuando no se use.

Aunque estas medidas ayudan a proteger la red Wi-Fi evitando la mayor parte de los intentos de intrusión, algunas de ellas podrían evitarse si se poseen suficientes conocimientos técnicos.

En el caso de que posicionarse en la “otra parte”, los que acceden de forma no autorizada a un red Wi-Fi, independientemente de las repercusiones legales que puede tener (apartado centésimo tercero de la Ley Orgánica 15/2003 (se abre en nueva ventana) , que es una modificación del artículo 286 de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal), existe un riesgo de interceptación de nuestros datos personales, tráfico de red así como posibilidad de acceso al contenido del ordenador o dispositivo que se conecta. Por esta razón, si es necesario conectarse a Internet durante las vacaciones, mejor hacerlo a través de un dispositivo sobre el que tengamos autorización.

Fuente: Inteco.

Sigue leyendo

Abre una perfumería y le sancionan por enviar un email a su lista de contactos en hotmail.

Un empresario abre una perfumería y, con toda la buena intención del mundo, pone en conocimiento de su lista de contactos su nueva actividad a fin de que puedan estar informado de ello.

El envío del email lo realizó solo a 17 direcciones de correo entre las que se encontraba la dirección del denunciante; además, las direcciones estaban incluidas en el campo “Para”, por lo que todas ellas resultaban visibles a todos los contactos.

Entre los hechos probados en este procedimiento sancionador que abrió la AEPD constan los siguientes:

1.- Que se envió un email desde la cuenta de correo del denunciado a la del denunciante.

2.- Que el contenido del mensaje es de carácter comercial.

3.- Queda acreditado el envío a 17 contactos sin ocultar la identidad o dirección de los mismos.

Actualmente se denomina “spam” a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es el correo electrónico.

Esta conducta es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española, tanto por la LSSI (a consecuencia de la transposición de la Directiva 2000/31/CE, de 8 de junio) como por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD).

La LSSI, en su artículo 21.1, prohíbe de forma expresa “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”. Es decir, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes y servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, si bien esta prohibición encuentra la excepción en el segundo párrafo del citado artículo, que autoriza el envío cuando “el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que fueron objeto de contratación”. De este modo, el envío de comunicaciones comerciales no solicitadas, fuera del supuesto excepcional del art. 21,2 de la LSSI, puede constituir una infracción leve o grave de la LSSI.

Como ya se ha señalado, la LSSI prohíbe las comunicaciones comerciales no solicitadas, partiendo de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información y que se define en su Anexo de la siguiente manera:

“f) Comunicación comercial»: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad  comercial, industrial, artesanal o profesional.

A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica”.

En el presente supuesto, ha quedado acreditado que el denunciante recibió en su buzón de correo electrónico una comunicación comercial por medios electrónicos sin autorización expresa y sin que concurriera alguna relación comercial previa de productos similares que pudiera legitimar el envío.

En cuanto al ámbito de la LOPD, el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece:
“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

En el presente caso se ha acreditado la vulneración del deber de secreto que incumbe a todo aquel que intervenga en el tratamiento, como la denunciante, pues de la comunicación comercial enviada por ésta y analizada se desprende que más de 15 destinatarios de dicha comunicación conocieron datos personales de aquellos que también eran destinatarios y viceversa, quedando a disposición de éstos y sustrayendo
el control a sus titulares.

Es por ello, que la AEPD ha sancionado a este empresario con dos sanciones, una por infracción del artículo 21.1 de la LSSI, una multa de 1.200€; y por una infracción del artículo 10 de la LOPD a una multa de 900€.

Fuente: AEPD

EASY JET HANDLING SPAIN es apercibida por la AEPD por utilización excesiva de videovigilancia en el entorno laboral

EASY JET HANDLING SPAIN ha sido apercibida por la Agencia Española de Protección de Datos por la utilización excesiva de cámaras de seguridad para videovigilancia en el entorno laboral.

Según consta en el procedimiento A/00029/2012 Easy Jet ha instalado tres cámaras de seguridad, dos en zona de trabajo y otra en la zona de descanso del personal.

La empresa ha informado del alcance del tratamiento de datos al comité de empresa y ha procedido, con carácter previo, al registro del fichero ante la AEPD, aunque, no se han instalado los preceptivos carteles informativos ni se ha informado de la existencia de los formularios informativos y de derechos, tal como recoge la Instrucción 1/2006.

La finalidad del uso de las cámaras, según notifica Easy Jet, es “la protección de los activos y bienes de la empresa son derivadas de la existencia de objetos de valor en dichas ubicaciones, y la necesidad de incorporar mecanismos de control y vigilancia a este respecto”.

Hay que recordar que la utilización de un sistema de video vigilancia requiere que exista una legitimación para ello, esto ocurre cuando:

– Se cuente con el consentimiento del titular de los datos
– Una norma con rango de Ley exima del consentimiento
– Se de alguna de las circunstancias previstas por el art. 6.2 de la LOPD.
Además de esta legitimación necesaria, el uso de un sistema de video vigilancia debe seguir ciertas reglas que deben cumplirse por el responsable del sistema. Entre ellas merece destacarse por su aplicación al presente caso las siguientes:
– Debe existir una relación de proporcionalidad entre la finalidad perseguida y el modo en el que se traten los datos.
– Debe informarse sobre la captación y/o grabación de las imágenes.
– El uso de instalaciones de cámaras o videocámaras sólo es admisible cuando no exista un medio menos invasivo.
– Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos. Sólo Podrían tomarse imágenes parciales y limitadas de vías públicas cuando resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.
– En cualquier caso el uso de sistemas de videovigilancia deberá ser respetuoso con los derechos de las personas y el resto del Ordenamiento jurídico.
– Las imágenes se conservarán por el tiempo imprescindible para la satisfacción de la finalidad para la que se recabaron.

Debe tenerse en cuenta que el artículo 20.3 del Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad.

Ahora bien, estas medidas se encuentran plenamente sometidos a la LOPD y la Instrucción 1/2006 y deben cumplir, además de los generales, una serie de requisitos específicos:
– El tratamiento se limitará a las finalidades previstas por el Estatuto de los Trabajadores, y/o en todo caso a finalidades legítimas reconocidas por la normativa vigente, debiendo cumplir en este último caso adicionalmente las previsiones específicas que sean de aplicación.
– Respetarán de modo riguroso el principio de proporcionalidad:
– Se adoptará esta medida cuando no exista otra más idónea.
– Las instalaciones, en caso de utilizarse, se limitarán a los usos estrictamente necesarios captando imágenes en los espacios indispensables para satisfacer las finalidades de control laboral.
– No podrán utilizarse estos medios para fines distintos de los propios del control laboral salvo que se trate de fines legítimos y se adopten las medidas pertinentes para el cumplimiento de la normativa que les sea de aplicación.
– Tendrán en cuenta los derechos específicos de los trabajadores respetando:
* Los derechos a la intimidad y el derecho fundamental a la protección de datos en relación con espacios vetados a la utilización de este tipo de medios como vestuarios, baños, taquillas o zonas de descanso. El derecho a la propia imagen de los trabajadores.
* La vida privada en el entorno laboral no registrando en particular las conversaciones privadas.
* Se garantizará el derecho a la información en la recogida de las imágenes. Con información específica a la representación sindical.

– Dicha información puede realizarse:
Mediante el cartel anunciador y el impreso establecidos por la Instrucción 1/2006.Y/o Mediante información personalizada.

– Se procederá en su caso a la creación y/o inscripción del correspondiente fichero.
-Se garantizará la cancelación de las imágenes en el plazo máximo de 30 días y únicamente
podrán conservarse aquellas que registren una infracción o incumplimiento de los deberes laborales.
– Deben garantizarse los derechos de acceso y cancelación.
– Se adoptarán las correspondientes medidas de seguridad.

La entidad denunciada se remitió escrito de alegaciones con documentación fotográfica y croquis de las cámaras instaladas, deduciéndose que una de ellas capta la zona de descanso y las otros dos enfocan en interior de dos oficinas. Todas las cámaras instaladas cuentan con posibilidad de zoom movimiento.

Debe considerarse que la finalidad con que se ha instalado la Cámara en la Sala de Descanso “la de los activos y bienes de la empresa y la seguridad de las personas”, supone un tratamiento excesivo y no proporcional al tratarse de un espacio destinado a la zona de descanso de los trabajadores en que debe primar el derecho a la propia imagen de los trabajadores, por tanto no hay fundamento para que en dicha zona se encuentre videovigilada.

Por ello, la AEPD apercibe a EASY JET HANDLING SPAIN con arreglo a lo dispuesto en el artículo 45.6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, con relación a la denuncia por infracción del artículo 4 de la LOPD, tipificada como GRAVE en el artículo 44.3.C de la citada Ley Orgánica.

– El cumplimiento de lo previsto en el artículo 4, procediendo a retirar o modificar el ángulo de visión de la cámara que capta imágenes del área de descanso de los trabajadores con objeto que dicha zona quede fuera del alcance de cualquier tratamiento de imágenes por medio de un sistema de videovigilancia.

Fuente: AEPD

¿Cómo se deben notificar los tratamientos que se realizan sobre los ficheros de exclusión del envío de comunicaciones comerciales (LISTAS ROBINSON)?

 El artículo 49.1 del Reglamento de desarrollo de la LOPD (RD 1720/200, de 21 de diciembre) prevé la creación de ficheros comunes, de carácter general o sectorial, en los que sean objeto de tratamiento los datos de carácter personal que resulten necesarios para evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad

Con el fin de facilitar su consulta en el Catálogo de ficheros, éstos deberán ser notificados por sus promotores para su inscripción en el Registro General de Protección de Datos haciendo constar como nombre del fichero LISTAS ROBINSON o FICHERO COMÚN DE EXCLUSIÓN DEL ENVÍO DE COMUNICACIONES COMERCIALES. Asimismo, se advierte que el tratamiento que de los ficheros comunes creados en aplicación del art. 49.1 del RLOPD puedan realizar las entidades que los consulten no será preciso notificarlos, siempre que se limiten a la consulta regulada en el art. 49.4 del RLOPD.

En relación con los tratamientos necesarios para identificar y adoptar las medidas necesarias que eviten el envío de publicidad al que se refiere el art. 48 del RLOPD, los responsables de los mismos podrán incluir la finalidad de evitar el envío de comunicaciones comerciales a aquellas personas que han manifestado su negativa u oposición a recibir publicidad, en el fichero relacionado con la gestión comercial de clientes de la entidad. Alternativamente, podrán notificar el RGPD un nuevo fichero en el que se hará constar como nombre del mismo GESTION DE EXCLUIDOS DE COMUNICACIONES COMERCIALES.

Fuente: AGPD

Haciendo una compra me obligaban a poner mi DNI en el tiket de compra o a firmar mi tarjeta de credito ¿Es eso legal?

Los ticket de compra son unos indicativos o comprobantes de que se ha llevado a cabo una relación comercial inicialmente aceptada por ambas partes, la compradora y la vendedora.

En consecuencia, es un tratamiento de datos amparado en el propio articulo 6 de la citada Ley Orgánica, que permite el tratamiento de los datos cuando se lleva a cabo una relación negocial con el titular de los datos.

Por lo tanto, es perfectamente legal ese tratamiento siempre que el responsable del fichero informe al titular de los datos de los derechos que le asisten y no utilice esos datos para finalidades distintas para las que fueron recabados.

No obstante, los titulares de los datos personales pueden instar de forma gratuita la oposición al tratamiento, automatizado o no, de sus datos, de conformidad con lo previsto en el articulo 6.4 de la Ley Orgánica 15/1999, de 13 de diciembre, que establece:

“…En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado”.

El ejercicio del derecho de oposición es personalismo, lo que significa que el titular de los datos personalmente deberá dirigirse a dicha entidad, salvo poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI (del titular de los datos y su representante) utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….), para el ejercicio de sus derechos, acompañando copia de su D.N.I. Puede sustituirse la presentación del documento de identidad por el uso de la firma electrónica identificativa

En el caso de los menores de edad, los padres o tutores pueden ejercitar el derecho en su nombre, aportando el DNI del adulto y documentos de la filiación o la tutela

            Si en el plazo de diez días hábiles no recibe contestación o esta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la oposición al tratamiento de datos ante la entidad que se trate.

Finalmente, si existe una norma con rango de Ley que impide oponerse a un determinado tratamiento de los datos, tampoco es ejercitable el derecho de oposición.

Fuente: AGPD

 

¿Tengo derecho a que mi médico me dé los informes y documentos originales de mi tratamiento?

La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y  de derechos y obligaciones en materia de información y documentación clínica, regula el contenido mínimo de la historia clínica de cada paciente de la siguiente manera:

 Artículo 18. Derechos de acceso a la historia clínica.

1. El paciente tiene el derecho de acceso, con las reservas señaladas en el apartado 3 de este artículo, a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella. Los centros sanitarios regularán el procedimiento que garantice la observancia de estos derechos.

2. El derecho de acceso del paciente a la historia clínica puede ejercerse también por representación debidamente acreditada.

3. El derecho al acceso del paciente a la documentación de la historia clínica no puede ejercitarse en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en ella recogidos en interés terapéutico del paciente, ni en perjuicio del derecho de los profesionales participantes en su elaboración, los cuales pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas.

Los centros sanitarios y los facultativos de ejercicio individual sólo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En cualquier caso el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes. No se facilitará información que afecte a la intimidad del fallecido ni a las anotaciones subjetivas de los profesionales, ni que perjudique a terceros.

            Finalmente, esta normativa debe encajarse con lo dispuesto en los artículos 7 y 8 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal

La legislación vigente en materia de protección de datos (Ley Orgánica 15/1999-LOPD), reconoce una serie de derechos a los ciudadanos, como son el derecho de acceso, rectificación y cancelación de sus datos personales. El ejercicio de los mismos es personalísimo, y debe, por tanto, ser ejercido directamente por los interesados ante cada uno de los responsables/titulares de los ficheros automatizados, (salvo en el caso de menores de edad o incapacitados o salvo representación por poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI) lo que significa que el titular de los datos puede dirigirse a cada una de las empresas u organismos públicos, de los que sabe o presume que tienen sus datos, solicitando información sobre qué datos tienen y cómo los han obtenido (derecho de acceso), la rectificación de los mismos, la cancelación de los datos en sus ficheros (derecho de cancelación) o la oposición a que traten sus datos para un uso o fin determinado (derecho de oposición). En este caso, deberá dirigirse directamente al responsable del fichero en donde se encuentren sus datos personales, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….), para el ejercicio de sus derechos, acompañando copia de su D.N.I. e indicando el fichero o ficheros a consultar. Puede sustituirse la presentación del documento de identidad por el uso de la firma electrónica identificativa

La Agencia Española de Protección de Datos no dispone de los datos de los ciudadanos.

            Por su parte, el Reglamento que desarrolla la Ley Orgánica 15/1999, de protección de datos (Real Decreto 1720/2007, de 21 de diciembre) establece que la información  comprenderá los datos de base del afectado y los resultantes de cualquier elaboración o proceso informático (es decir, los perfiles), así como el origen de los datos, los cesionarios de los mismos y  la especificación de los concretos usos y finalidades para los que se almacenaron los datos.

No debe confundirse el derecho de acceso de la LOPD con el acceso de los ciudadanos interesados a los archivos, registros y expedientes obrantes en poder de la Administración, regulado en el artículo 37 de la Ley 30/1992, de Régimen Jurídico de las Administraciones Publicas y del Procedimiento Administrativo Común. Tampoco con la petición de devolución de documentos, contratos, carpetas, historiales o similares a empresas o particulares

 Fuente: AGPD

¿Cómo puedo conseguir que cancelen mis datos de una empresa?

El titular de los datos puede ejercitar su derecho de cancelación o rectificación de sus datos personales mediante escrito dirigido al responsable del fichero de la entidad de que se trate.
La Agencia Española de Protección de Datos no tiene los datos personales de los ciudadanos ni sabe qué empresas los manejan.

El ejercicio del derecho de cancelación o rectificación es personalísimo, lo que significa que el titular de los datos personalmente deberá dirigirse a dicha entidad, salvo poder expreso y por escrito del titular de los datos y fotocopia de los dos DNI (del titular de los datos y su representante) utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (fax, burofax, correo ordinario, certificado o no, e-mail….),, para el ejercicio de sus derechos, acompañando copia de su D.N.I. Puede sustituirse la presentación del documento de identidad por el uso de la firma electrónica identificativa

En el caso de datos de menores, pueden ejercitar el derecho en su nombre, los padres, tutores o representantes legales, aportando documentos de la filiación

Si en el plazo de 10 días hábiles no recibe contestación o esta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la cancelación de datos ante la entidad que se trate.

La cancelación de datos no debe confundirse con la solicitud de baja de un servicio previamente contratado o con la devolución de copias de documentos o contratos o con la supresión de comentarios en foros, que no es materia de protección de datos.

En consecuencia, el titular de los datos deberá dirigirse a la empresa responsable solicitándole el derecho de cancelación y debe aportar los documentos que acrediten haber solicitado la cancelación previamente a efectuar la reclamación/denuncia frente a este Organismo

 Fuente: AGPD

Estadística del blog

  • 165.825 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A <span>%d</span> blogueros les gusta esto: