PROTEC-DATOS
Archivos para
Nueva guía de INTECO: “Riesgos y buenas prácticas en autenticación online”
27/11/2012
La necesidad de comprobar la identidad de los usuarios es uno de los pilares para la prestación y acceso seguro a servicios de Internet
El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha publicado la “Guía sobre riesgos y buenas prácticas en autenticación online” con el objetivo de informar sobre las ventajas de la comprobación y verificación de la identidad de los usuarios y empresas en sus trámites a través Internet (certificados, DNIe, firma electrónica, etc.), identificar los posibles riesgos para la seguridad y la privacidad, y ofrecer una serie de pautas y recomendaciones que sirvan para prevenirlos y mitigarlos.
Desde sus inicios, Internet se sustenta en buena medida en la comprobación de la identidad de sus usuarios. Desde el momento en que se abre una cuenta de correo electrónico o un perfil en una red social, se está creando un espacio restringido al que únicamente el usuario titular del mismo debería acceder. Por ello, es necesario que cada vez que se intenta acceder a los servicios en Internet se compruebe que quien desea hacerlo sea realmente quien dice ser y disponga de los permisos necesarios para ello.
Actualmente ciudadanos y empresas utilizan diferentes métodos de autenticación online, tanto para acceder a espacios y servicios online como para utilizar la firma electrónica ya sea para firmar o para comprobar la firma de algún documento e incluso programas. Esta firma electrónica ya es utilizada por el 40,1% de las empresas, según los últimos datos recogidos por INTECO.
Aunque estos métodos podrían ser muy variados, actualmente hay dos que destacan especialmente, el uso de contraseñas y, en España, el uso del DNI electrónico. Este último ya lo poseen más de 30 millones de ciudadanos, y según los últimos datos es utilizado por un 20,7% de los internautas. A pesar de ello, uno de los campos en desarrollo que más podrían afectar a los métodos de autenticación es la biometría, que permitiría la autenticación a través de las huellas dactilares, el iris o la voz por ejemplo.
Riesgos en la autenticación en Internet
Los principales problemas que pueden ocurrir en un proceso de autenticación son los falsos positivos y los falsos negativos, es decir, que se haga una comprobación de identidad errónea permitiendo el acceso a quien no se debería permitir o bloqueando a quien se debería autorizar.
Uno de los principales riesgos asociados a un mal funcionamiento de los sistemas de autenticación es la suplantación de identidad. El mero hecho de que alguien trate de acceder a un servicio o espacio restringido haciéndose pasar por un usuario legítimo podría considerarse una suplantación, pero esta situación puede ir más allá si además actúa simulando ser otra persona.
Estos y otros problemas pueden derivarse de que el sistema no sea suficientemente seguro, por ejemplo que cuente con un método de autenticación principal bien definido pero que, en caso de situaciones como el olvido de las contraseñas, permita utilizar métodos secundarios poco robustos como contestar preguntas de seguridad de las que cualquier persona cercana conozca las respuestas (nombre de la madre, primer colegio, etc.). Esta alternativa en el método secundario inutiliza todas las medidas de seguridad del método principal.
Pero estos problemas también pueden deberse a errores e imprudencias de los propios usuarios, ya se produzcan por desconocimiento o por exceso de confianza. Por ello esta guía incluye una serie de recomendaciones dirigidas a los usuarios y a los administradores y desarrolladores de sistemas de autenticación.
De entre las recomendaciones para los usuarios destacan la exigencia de complejidad en las contraseñas (8 caracteres como mínimo incluyendo mayúsculas, minúsculas, números y símbolos) y su sustitución con cierta regularidad. Además, se recomienda configurar correctamente las opciones de seguridad que cada servicio ponga a disposición de los usuarios.
Fuente: INTECO
INTECO advierte de una ola de mensajes falsos relativos al WhatsApp
29/11/2012
El Instituto Nacional de Tecnologías de la Comunicación (INTECO), a través de su Oficina de Seguridad del Internauta (OSI) ha difundido un boletín en el que advierte de la existencia de una ola de mensajes falsos o bulos relativos al WhatsApp.
“WhatsApp va a costar 0,01€. El mensaje mándalo a 10 personas”, así comienza el último bulo o mensaje falso distribuido a través del WhatsApp, pero no es el único.
Según informa la OSI, actualmente son dos los bulos que están circulando a través de la aplicación de chat para dispositivos móviles. Uno de ellos se aprovecha del fallo de la aplicación que provocó que ayer el estado de todos sus usuarios se cambiase por «Error: status unavailable» y el otro, similar, alude al estado «unavailable» de los contactos.
Aunque la compañía logró solucionar el error y restablecer el servicio con normalidad, el bulo se ha seguido extendiendo. Los últimos mensajes detectados incitan al usuario a reenviar el texto entre sus contactos de la aplicación, con la excusa de que si no lo hacen, WhatsApp pasará a ser de pago y los mensajes ya no saldrán gratis como hasta ahora.
El Instituto Nacional de Tecnologías de la Comunicación, INTECO, a través de la OSI, aconseja que, para evitar ser engañado con trucos de ingeniería social, se configuren correctamente las opciones de seguridad en el smartphone y se utilice el sentido común:
- No creer todos los mensajes que se reciban, a través de las distintas aplicaciones instaladas, en el smartphone.
- No entrar en el juego de reenviar cualquier mensaje que se reciba.
- No pinchar en enlaces cuya procedencia es desconocida.
- Instalar un antivirus actualizado en el dispositivo. Se pueden encontrar antivirus gratuitos en la sección de «útiles gratuitos» de la web de INTECO.
Si se duda sobre la veracidad de un determinado mensaje, lo mejor siempre es consultar la página web de la aplicación, en este caso http://www.whatsapp.com/ o verificar la información en terceras partes de confianza.
No se puede olvidar que los smartphones pueden ser utilizados para navegar por Internet, leer el correo electrónico, acceder a las redes sociales, jugar online, etc. Por este motivo, todas las recomendaciones de seguridad, proporcionadas en el portal de la Oficina de Seguridad del Internauta (www.osi.es), son aplicables a estos dispositivos, ya que, las técnicas de engaño/estafa utilizadas por los delincuentes, pueden ser las mismas y/o muy parecidas a las utilizadas con los usuarios de ordenador.
Ante cualquier duda, puede solicitar ayuda a través del servicio de «soporte por chat» o «atención telefónica» de la OSI.
FUENTE: INTECO
Sanción de 6.000€ por indicar en la ventanilla del sobre «COBRO DE MOROSOS» en la reclamación de una deuda cierta.
La AEPD ha sancionado a una entidad de recobro de deudas por una infracción del artículo 9.1 de la LOPD con una multa de 6.000€.
Según se desprenden del procedimiento sancionador la empresa Seguridad en la Gestión SL recibió el encargo de la gestión de recobro de una deuda cierta que ascendía a 436,85€.
En la gestión de recobro, la entidad Seguridad en la Gestión, envío varios escritos, cinco en una primera fase, en la que la empresa de recobro intenta gestionar el recobro, en todas ellas y, siempre según el denunciante, en la tercera carta aparece en el anverso del sobre en color azul la expresión VÍA JUDICIAL, dejando patente cuál es el contenido del mismo. En la cuarta y quinta carta, el sobre ventanilla en cuyo interior se encuentra la carta, tiene estampado en el reverso en gran tamaño y color rojo “COBRO DE MOROSOS”, dejando claro ante cualquiera que pueda ver el sobre cuál es el contenido de la carta.
En el inicio de las actuaciones previas de la AEPD, la misma recibió de la empresa denunciada, escrito en el que entre otras cuestiones se venía a afirmar que:
Que una vez comprobados los registros de sus gestiones y a la vista de los sobres adjuntados al requerimiento de la Inspección de Datos comunican que “no podemos reconocerlos de ninguna manera como enviados por Seguridad en la Gestión”, ya que no existe indicación en los sobres adjuntados de que los mismos vayan dirigidos a la persona física o jurídica relacionada con la empresa o que tengan relación con el denunciante.
No es práctica habitual de Seguridad en la Gestión el envío de sobres con las indicaciones “VÍA JUDICIAL” y “COBRO DE MOROSOS”.
Nuevamente, el denunciante informa a la AEPD de los siguientes hechos:
El 28 de junio de 2011, recibe el afectado una nueva carta de Seguridad en la Gestión advirtiendo de la interposición de una demanda judicial por la cantidad adeudada, que evidentemente es su derecho. El sobre de la remisión está dentro de la más absoluta normalidad, se remite original del sobre ventanilla y de la carta. En la parte superior Izquierda del sobre consta el remitente “GRUPO SEGESTIÓN” y las direcciones de la sede central y de las siete delegaciones.
El 11 de julio de 2011, recibe el afectado una nueva en los mismos términos que las anteriores. En el sobre ventanilla de la remisión se encuentra en la parte inferior Izquierda el texto “GRUPO SEGESTIÓN COBRO DE MOROSOS” y en el reverso estampado en letras de gran tamaño de color azul “COBRO DE MOROSOS”, se adjunta original del sobre ventanilla y de la carta.
También se adjuntan otras cartas, de fecha agosto y septiembre de 2011, y dos sobres de ventanilla originales en los que en el anverso consta “GRUPO SEGESTIÓN COBRO DE MOROSOS” y en el reverso estampado en letras de gran tamaño de color azul “COBRO DE MOROSOS”.
Ante estos hechos, la AEPD se imputa a Seguridad en la Gestión SL el incumplimiento del principio de seguridad de los datos personales que constan en sus ficheros. A este respecto, el artículo 9 de la LOPD, dispone:
“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
Así, Seguridad en la Gestión SL está obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al establecer un sistema de notificaciones de sus reclamaciones y requerimientos de deuda a sus clientes que no impidió de manera fidedigna que por parte de terceros se pudiera acceder a datos personales de los mismos, como es la situación de deudor moroso asociado a su nombre apellidos y domicilio completo.
El artículo 44.3.h) de la LOPD, considera infracción grave:
“Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.
Dado que ha existido vulneración del “principio de seguridad de los datos”, recogido en el artículo 9 de la LOPD, se considera que Seguridad en la Gestión SL ha incurrido en la infracción grave descrita.
En el caso examinado, ha quedado acreditado que Seguridad en la Gestión SL vulneró el artículo 9.1 de la LOPD, en relación con el artículo 92 del Reglamento de desarrollo de la LOPD, al enviar sobres con la indicación “COBRO DE MOROSOS” y “VIA JUDICIAL” en grandes caracteres que permitía su asociación con los datos personales del denunciante.
Valorados los criterios de graduación de las sanciones, establecidos en el artículo 45.4, en particular el carácter continuado de la infracción y la vinculación de la actividad de la entidad denunciada con la realización de tratamientos de datos de carácter personal, se establece la imposición de multa de 6.000 € por la infracción del artículo 9.1 de la LOPD, en relación con el artículo 92 del Reglamento de la LOPD, de la que Seguridad en la Gestión SL es responsable.
Siguiendo con los IPAD de sus señorías
La sorprendente noticia que comentábamos hace dos semanas (http://wp.me/pzuzu-ru ) , sobre la pérdida o extravío de, al menos 15 y otros 15, al menos, por avería, por parte de sus señorías del Congreso de los Diputados y el revuelo que ello conllevó, desde el pronunciamiento del propio Congreso sobre la supresión de la sustitución de estos terminales a aquellos diputados que extraviaran los mismos como la aplicación de medidas de seguridad para garantizar la confidencialidad de los mismos.
Este tipo de noticias no dejan de ser llamativas por el fondo y la forma en que se producen. Llamábamos la atención entonces al hecho de que estábamos ante un claro incidente de seguridad y que la acción correctora por parte del Congreso iría en la línea de aplicar medidas de seguridad concretas a los tablets.
Por esta razón y a fin de conocer mejor las medidas de seguridad que los usuarios de tablets, y concretamente de iPad, los compañeros del blog Seguridad Apple han redactado un excelente artículo que merece la pena leer con detenimiento y, sobre todo, aplicar de forma inmediata en el iPad, si somos usuarios de ellos.
Os dejo aquí el enlace:
http://www.seguridadapple.com/2012/11/los-datos-de-los-diputados-robados-o.html
10 consejos para que no usurpen nuestra identidad en Internet
Una guía para usuarios novatos que puede ayudarlos a evitar que su paseo por la red se convierta en un mal viaje
Asegurando tu Apple iOS I y II: ¡Qué nadie lo use sin tu permiso!
En el portal de la OSI se ha publicado la primera entrega de la serie «Asegurando tu Apple iOS», En esta entrega se dedica a proteger el dispositivo para que nadie pueda usarlo o acceder al contenido sin el permiso del propietario
En esta primera entrega de la serie «Asegurando tu Apple iOS» vamos a ver las medidas de seguridad que incorpora Apple IOS para evitar que un tercero con acceso físico a tu dispositivo pueda usarlo sin tu permiso.
El acceso físico al dispositivo podría ocurrir bajo las siguientes situaciones:
- Pérdida o robo del dispositivo
- Dejar el dispositivo al alcance de otros y sin vigilancia
Los riesgos principales de que un tercero tenga acceso físico al dispositivo sin tu consentimiento son:
- Uso ilegítimo y robo de identidad. Contempla el uso de las funcionalidades de llamadas telefónicas, SMS (mensajes de texto), MMS (mensajes multimedia), mensajería instantánea (Whatsapp, viber), etc.
- Esto implica que se podrían enviar y recibir comunicaciones como si se fuera el propietario legítimo del dispositivo, catalogándose esta situación como un posible «robo de identidad»
- Acceso a información sensible y posible perdida. Quien accede al dispositivo puede leer, modificar y/o eliminar la información que hay en él almacenada como fotografías, vídeo, notas y cualquier otro tipo de ficheros (ya sean personales o profesionales).
- Acceso a servicios personales. Si por comodidad se han almacenado las credenciales (usuario/contraseña) de servicios web (Facebook, Gmail, Dropbox, banca online, etc.) en el dispositivo (en el navegador con la opción «recordar» o en aplicaciones especificas) sería posible acceder a ellos y operar como el legitimo propietario. Situación que también podría desembocar en un robo de identidad. ¡Imaginad que os secuestran vuestro perfil en Twitter!
Proteger el dispositivo contra este tipo de situaciones es la primera tarea que deberíamos abordar. Mejora la seguridad del dispositivo, protege tu información y evita que te suplanten la identidad conociendo las medidas de seguridad para el bloqueo del dispositivo que incorpora Apple iOS.
¡Que nadie lo use sin tu permiso!
Fuente: Inteco
Guía para empresas: identidad digital y reputación online
La identidad online de la empresa viene definida por el conjunto de información que aparece en Internet sobre la misma: datos, imágenes, registros, comentarios, etc. Dicha información engloba tanto aquellos contenidos que activamente genera la organización, como los comentarios y opiniones que los demás vierten en la corriente social.
Este hecho hace que cada vez sea más importante la monitorización de la valoración que el público hace de la compañía en la Red y llevar a cabo una adecuada gestión de reputación online corporativa, sin dejar de considerar los aspectos relativos a la protección de la información empresarial y los datos personales de clientes y proveedores.
INTECO publica la Guía para empresas: identidad digital y reputación online con el objetivo de dar a conocer los principales aspectos relacionados con la privacidad y seguridad y aportar pautas para la correcta creación y gestión de la identidad digital corporativa.
Para ello, se analizan los conceptos de identidad digital y reputación online en el ámbito empresarial, describiendo y ejemplificando diversas situaciones de riesgo desde el punto de vista de la seguridad y privacidad que pueden provocar un impacto reputacional para la organización. Asimismo, se profundiza en el marco legal que asiste a las organizaciones que han visto dañada su reputación online y se aportan pautas y recomendaciones de gestión de la presencia de la empresa en la Red y de control de los impactos reputacionales.
El establecimiento de una estrategia integrada de gestión de la identidad y reputación online permite a las organizaciones alcanzar una determinada posición en los medios sociales y comunicarse mejor con los clientes, proveedores y público en general.
Documentos asociados
FUENTE: INTECO
12/11/2012
Los tablet perdidos por nuestros representantes públicos, ¿no son un incidente de seguridad en toda regla?
Hace unos días salía a la luz pública la noticia de que el Congreso de los Diputados del Reino de España había repuesta unos 15 tablets a sus señorías por extravíos de los mismos, amén de otros 15 por sendas averías.
Esta noticia ha dado mucho de qué hablar, desde el debate de si nuestros diputados deben o no contar con tablet cuando ya disponen de ordenador portátil; si el Congreso de los Diputados debe o no reponer los mismos o deben reponerlo los señores diputados; a aquellos comentarios mas mal pensados que señalan que los mismos no han sido extraviados sino cedidos a familiares o amigos a costa de las arcas públicas, etc.. Es cierto que, por lo menos uno de esos tablets fue robado directamente del despacho de un diputado en el propio Congreso, donde forzaron la puerta de acceso al mismo y robaron el mismo.
Fuera como fuese el caso, en todos ellos hay un denominador común, desde el punto de vista de la seguridad de la información, se ha producido una incidencia de seguridad. Hay que recordar que un incidente de seguridad es cualquier situación que ponga o haya puesto en peligro la integridad, la disponibilidad y/o la confidencialidad de la información.
¿Qué pasaría si la información que contienen esos dispositivos móviles viniera a caer en manos dudosas?. Nos escandalizamos cuando oímos hablar de gobiernos que pierden ordenadores portátiles, discos duros, pendrive o dispositivos de almacenamiento de datos. ¿Por qué nos escandalizamos? Porque con esas pérdidas de equipos se han abierto una brecha en la seguridad de la información que maneja el estado. Informes de militares en misiones especiales; informes de ciudadanos y su situación tributaria; informes de pensiones y de seguridad social; etc.etc..
¿Qué tipo de información contenían esos tablets extraviados? ¿Había información que pudiera comprometer datos personales y/o confidenciales? Es curioso porque ninguno de los medios informativos que se han hecho eco de la noticia han incidido en este punto en cuestión. ¿Por qué? Quizás porque en la actual situación de crisis financiera y moral, llama poderosamente la atención de los gobiernos hagan un desembolso de unos 600€ de media para dotar a los señores diputados de tablets, y no les importe volver a desembolsar otros 600€ de media para reponer aquellos que «supuestamente» han sido extraviados.
Pero detrás de esta cortina, que no deja de ser cierta, prevalece una realidad pura y dura, hay 15 tablets con datos accesibles a diputados que están “extraviados”, es decir, hay 15 tablets con datos confidenciales que están en manos equivocadas. Y esto, no es una incidencia menor, que deba pasar inadvertida.
Toda incidencia de seguridad conllevará una acción correctiva, eso se desprende del reglamento de desarrollo de la LOPD cuando establece que entre las medidas de seguridad a implantar, desde el nivel básico de seguridad, está el registro de incidencias, artículo 90 y 100 RD 1720/2007, cuyo literal dice:
Artículo 90. Registro de incidencias.
“Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. “
Artículo 100. Registro de incidencias.
1. En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.
Y, además, el artículo 101.2, bajo el epígrafe «Gestión y distribución de soportes», señala que entre las medidas de seguridad a establecer, cuando los datos sean de nivel alto de seguridad, será:
2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.
Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.
¿Se ha tomado alguna medida correctora en vista de los hechos repetidos de “extravío” de tablets?.
1.- Por un lado, dejará de reponer los tablets extraviados y se abonarán las reparaciones de aquellos que se hubieran averiados, a partir de la segunda reparación.
2.- Se baraja la posibilidad de habilitar una aplicación para anular e incluso localizar los tablets “perdidos”.
Con la primera medida, el Congreso de los Diputados ataja el dilema moral del gasto de reposición. Queda pendiente el dilema de si deben o no contar con un tablets cuando ya cuenta con un ordenador portátil.
Con la segunda medida, si se lleva a cabo, impedirán que esos tablets y la información que contengan puedan ser objeto de deseo o, por lo menos, que puedan ser usados.
Pero de esta segunda opción, surge una conclusión devastadora desde el punto de vista de la seguridad, si el Congreso baraja la opción de habilitar esa aplicación para anular y/o localizar los tablets “extraviados”, es una evidencia que los tablets que se han ido entregando hasta la fecha a sus señorías no tienen habilitados por defectos la opción “Buscar mi iPhone”.
Con estos hechos en las manos uno se pregunta sinceramente si el órgano del estado que redactó y aprobó la Ley 15/1999, de 13 de diciembre y el RD 1720/2007, de 21 de diciembre, ¿de verdad cumplen con esa Ley y su Reglamento? ¿Aplican las medidas de seguridad que nos exigen al resto de los españoles?.
Hemos hablado en este post de los tablets «perdidos o extraviados» y no hemos hablado de los tablets averiados. ¿Donde acabaron aquellos que hasta la fecha fueron reemplazados a sus señorías? ¿Qué pasó con la información que los mismos contenían? ¿Se aplicaron las debidas medidas de seguridad y se eliminaron los datos confidenciales? Y cuando se envíen a reparar, ¿tomarán algunas medidas de seguridad?… Honradamente prefiero no pensar en ello, se me ponen los pelos de punta solo de mencionarlo. Dice el refranero popular que «a buen entendedor pocas palabras bastan».
France Telecom es sancionada con 20.000€ por incluir los datos de un cliente en la guía de abonados sin consentimiento del abonado.
La operadora de telefonía France Telecom ha sido sancionada por al AEPD por incluir los datos de un cliente que dió de alta una línea con ellos en junio del 2010 y que en marzo del 2011 fue conocedor de que sus datos habían sido incluidos en una guía de abonados sin su consentimiento.
Entre los hechos probados mas relevantes, destacamos los siguientes:
1.- Que la denunciante contrató con Ya.com una línea fija, y que en marzo del 2011 tuvo conocimiento de que su teléfono, nombre y apellidos y dirección aparecían publicadas en una guía de abonados en internet sin que hubiera prestado su consentimiento para ello.
2.- Que el 18 de abril se realiza una captura de pantalla de la página web http.//blancas.guias118111.es. En la misma consta el nombre, dos apellidos y domicilio de la denunciante y su número de teléfono.
3.- El número de teléfono de la denunciada le fué asignado por France Telecom.
4.- Se solicitó a la operadora que aportara el documento que acreditara el consentimiento de la denunciante para la cesión de datos a la CMT, hasta en dos ocasiones, sin obtener respuesta documentada.
5.- La denunciante envió un correo electrónico a France Telecom solicitando que acreditaran en qué momento habían obtenido el consentimiento para la cesión. France Telecom le informó que agilizaría el trámite y con posterioridad le requieren que cumpla con el procedimiento de cancelación y que envíe un escrito con copia del DNI.
Entro los fundamentos de derecho queremos destacar los siguientes:
La Ley Orgánica 15/1999 de Protección de datos de carácter personal establece en su artículo 28.4 que “los datos que figuren en las guías de servicios de telecomunicaciones disponibles al público se regirán por su normativa específica”.
El examen de esa normativa nos obliga a hacer referencia, en primer término, a la Ley 32/2003 General de Telecomunicaciones, de 3 de noviembre. El artículo 34 del citado texto legal, bajo la rúbrica “protección de los datos de carácter personal”, establece:
“Sin perjuicio de lo previsto en el apartado 6 del artículo 4 y en el segundo párrafo del artículo anterior, así como en la restante normativa específica aplicable, los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público, deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal conforme a la legislación vigente”.
El artículo 38.6 de la Ley 32/2003 dispone que “La elaboración y comercialización de guías de abonados a los servicios de comunicaciones electrónicas y la prestación de servicios de información sobre ellos se realizará en régimen de libre competencia, garantizándose, en todo caso, a los abonados el derecho a la protección de sus datos personales, incluyendo el de no figurar en dichas guías I.I.I.”
El artículo 67 del Real Decreto, bajo la rúbrica “Guías de servicios de comunicaciones electrónicas disponibles al público”, establece en el apartado 2:
“Para que los datos correspondientes a un abonado a los que se refiere el artículo 30.4 sean incluidos por primera vez en algún tipo de guía o facilitados a otra entidad para su inclusión en ella o para la prestación de servicios de información o de consulta sobre ella, será preciso el consentimiento expreso de dicho abonado.
A estos efectos, se entenderá que existe consentimiento expreso de un abonado cuando el operador le solicite su consentimiento para la inclusión de tales datos, con indicación expresa de cuáles serán éstos, el modo en que serán incluidos en la guía y su finalidad, y este le responda dando su aceptación. También se producirá cuando este se dirija por escrito a su operador solicitándole que sus datos figuren en la guía.
Si el abonado no hubiera dado su consentimiento expreso, se entenderá que no acepta que se publiquen en la guía correspondiente sus datos”.
A la luz de lo expuesto en los párrafos precedente estimamos que la conducta anteriormente descrita, imputable a FRANCE TELECOM ESPAÑA, S.A., vulnera el artículo 11.1 de la LOPD. El artículo 44.3.k) de la citada Ley Orgánica tipifica como infracción grave “La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave”.
Ante estos hechos el Director de la AEPD ha resuelto IMPONER a la entidad FRANCE TELECOM ESPAÑA S.A., por una infracción del artículo 11.1 de la LOPD, tipificada como infracción grave en el artículo 44.3.k) de dicha norma, una multa de 20.000 € (veinte mil euros) de conformidad con lo establecido en los artículos 45.5 y 45.2 de la citada Ley Orgánica.
Fuente: AGPD
FACUA denuncia a la Agencia Estatal de Seguridad Aérea ante Protección de Datos
Por ceder sin autorización a una empresa de encuestas datos de una usuaria que denunció a una aerolínea.
FACUA-Consumidores en Acción ha denunciado a la Agencia Estatal de Seguridad Aérea (AESA) ante la Agencia Española de Protección de Datos (AEPD).
La empresa Autopress Marketing SL está realizando una encuesta sobre la satisfacción de los usuarios con la calidad de la atención ofrecida por la AESA al dirigirse al organismo para solicitar información o presentar reclamaciones contra compañías aéreas.
Aunque la AESA debe obtener el consentimiento de los usuarios para ceder sus datos a Autopress, una socia de FACUA ha recibido un correo electrónico de la empresa sin que previamente la Agencia le hubiese pedido autorización.
C.S.R., de Málaga, recibió el 4 de noviembre un correo desde la dirección cuestionario@anuato.com, que comenzaba con este texto: «Nos ponemos en contacto con usted desde Autopress Marketing, S.L., tras el envío por parte de la Agencia Estatal de Seguridad Aérea (AESA) de un correo electrónico solicitándole su colaboración, como usuario de sus servicios, para un estudio de satisfaccion de la propia AESA».
Pero la usuaria, que se había dirigido hace meses a la AESA para presentar una reclamación contra la aerolínea Helitt, no había recibido correo alguno de la Agencia sobre la citada encuesta.
Un día después del primer correo, C.S.R. recibió otro, esta vez remitido por la AESA, en el que le pedía permiso para ceder sus datos a Autopress para participar en el sondeo, cuando en realidad ya lo había hecho.
«Entenderemos su disposición a colaborar en dicho estudio si en el plazo de una semana desde la fecha de envío de este escrito, no nos comunica su negativa», advierte la Agencia en su correo.
Pide a la AEPD que investigue si se han cedido datos de otros usuarios
FACUA ha pedido a Protección de Datos que investigue si la AESA también ha cedido los datos de otros usuarios sin su consentimiento, práctica que vulnera la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
En su artículo 11, la Ley plantea que «los datos de carácter personal objeto de tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado».
La asociación también se ha dirigido a la AESA, a la que ha requerido que verifique el origen del error que le ha llevado a cometer esta irregularidad y evalúe sus dimensiones así como las medidas para subsanarla.
Fuente: Facua
PROTEC-DATOS 