//
Archivos

Guía sobre protección de datos

Esta categoría contiene 54 entradas

La instalación de un GPS en el vehículo de la empresa sin conocimiento del trabajador no vulnera su intimidad.

Así lo ha dictaminado la Sala de lo Social del Tribunal Superior de Justicia de Cataluña en su Sentencia de 5 de marzo de 2012.

Los hechos.

Una empresa, debido a los comentarios de empleados y encargados en relación a que un trabajador no cumplía su jornada laboral, decide instalar un GPS en el vehículo de la empresa que utiliza así como contratar un detective privado.

Con posterioridad, le envía una carta en que le recuerda que debe cumplir con las obligaciones del puesto de trabajo así como que en virtud del artículo 20.3 del Estatuto de los Trabajadores, el empresario puede adoptar las medidas oportunas de vigilancia y control para verificar el cumplimiento de esas obligaciones, si bien no se menciona la instalación del GPS, y obviamente, menos aún que se haya contratado un detective.

Dos meses después, y en base a la información recogida en el GPS, el empresario decide despedir al trabajador por la “supuesta  comisión de una falta de transgresión de la buena fe contractual y abuso de confianza en el desempeño del trabajo”.

Los fundamentos de derecho.

El trabajador alega la vulneración por parte de la empresa de los siguientes artículos de la LOPD: 6 (consentimiento); y 5.1 (derecho de información); y que por tanto se ha producido una recogida de datos de manera fraudulenta (4.7).

El Tribunal considera que el derecho a la intimidad no es absoluto y que “hay que tener en cuenta el poder de dirección del empresario, imprescindible para la buena marcha de la organización productiva (organización que refleja otros derechos reconocidos constitucionalmente en los artículos 33 y 38 CE ) y reconocido expresamente en el artículo 20 ET , atribuye al empresario, entre otras facultades, la de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales. Mas esa facultad ha de producirse en todo caso, como es lógico, dentro del debido respecto a la dignidad del trabajador, como expresamente nos lo recuerda igualmente la normativa laboral – artículos 4.2.c ) y 20.3 ET .”

Asimismo, el sistema utilizado, la implantación del GPS, es proporcional a la finalidad perseguida, que no es otra que “averiguar si cumplía su jornada laboral y si la actividad que durante la misma realizaba coincida o no con los partes de trabajo que facilitaba a la empresa”.

En este sentido, el sistema instalado cumple con los tres “juicios” para limitar un derecho fundamental según la doctrina del Tribunal Constitucional: “juicio de necesidad”, “juicio de proporcionalidad”, y “juicio de idoneidad”.

En cuanto a la información recibida por el trabajador al respecto, estima suficiente la comunicación que se realizó con posterioridad a su instalación, si bien, como ya se ha comentado anteriormente, no se especificó los medios utilizados.

Fallo.

Por lo tanto, se desestima el recurso interpuesto por el trabajador (ya había habido sentencia previa de 25 de marzo de 2011 dictada por el Juzgado de lo Social nº 28 de Barcelona), si bien no es firme y cabe Recurso de Casación para la Unificación de la Doctrina ante el Tribunal Supremo, Sala de lo Social.

¿Qué datos puede recabar un GPS?

Pues usando la Resolución de Archivo de la AEPD del E-742/2008 podemos decir que los siguientes:

Hora de arranque de la furgoneta;

Hora de aparcamiento de la furgoneta;

Puntos de paso y paradas de la furgoneta;

Velocidad de las furgonetas, tanto máxima como media;

Consumos del vehículo, siendo esto una simulación en función de los kilómetros recorridos;

Horas de funcionamiento de la furgoneta y horas en las que está parada;

Kilómetros realizados por jornada;

Desviación de horas de la furgoneta en función de un horario de trabajo configurable.

¿Qué dice la AEPD sobre la instalación de GPS para estas finalidades?

Informe 0193-2008:

“El artículo 20.3 del Estatuto de los Trabajadores (ET) dispone que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

 “No obstante, la existencia de esta legitimación no excluye el cumplimiento del deber de informar, por parte del empresario previsto en el artículo 5.1 de la Ley Orgánica”.

 “En consecuencia, la actuación descrita en la consulta, genera el correspondiente fichero y en todo caso, será obligatoria su inscripción en el Registro General de Protección de Datos, conforme a lo establecido en el artículo 26 de la Ley Orgánica.”

¿Hay que informar al trabajador a efectos laborales o no de la instalación del GPS?

Según la Resolución de Archivo del E-2778-2010 de la AEPD:

“En el presente caso, ha quedado acreditado que LOGISLAND había informado al denunciante que los vehículos destinados a la realización de su función profesional y comerciales contaban con un sistema de localización y seguridad mediante GPS al haber aportado escrito en el que figura el recibí suscrito por el correspondiente denunciante.

 Es cierto que la información sobre el hecho de que los vehículos están dotados de GPS no implica necesariamente que se informe de su utilización a efectos de un posible despido.”

¿Cuál es la postura del Supervisor Europeo de Protección de Datos?

Aunque no hay un Dictamen específico sobre GPS (o bien yo no lo he encontrado) podemos hacernos una idea en el siguiente informe sobre la

la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifican el Reglamento (CEE) n o 3821/85 del Consejo, relativo al aparato de control en el sector de los transportes por carretera, y el Reglamento (CE) n o 561/2006 del Parlamento Europeo y del Consejo:

“El uso de aparatos de control en el transporte por carretera implica el tratamiento de datos personales relativos a los conductores profesionales. Una gran parte del tratamiento está basado en el uso de aparatos de geolocalización y medios de comunicación a distancia, que son tecnologías que tienen un impacto considerable sobre la intimidad y la protección de datos de las personas”.

 “….aclarar los objetivos específicos y legítimos para los que se llevará a cabo una geolocalización constante. Debería especificarse claramente en la propuesta que no se permite la instalación y el uso de dispositivos con el fin directo y principal de permitir a los empresarios controlar a distancia y en tiempo real las acciones y el paradero de sus empleados”.

¿Y el Grupo del Artículo 29 de las Autoridades Europeas de Protección de Datos?

En el Dictamen 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes se analiza la utilización de los GPS, pero más bien, como dice el nombre del informe en “dispositivos móviles”. No obstante, recomiendo también su lectura.

Conclusión:

Hay tratamiento de datos y no es necesario el consentimiento. Más dudas me ofrece la información a “efectos laborales”,  y posiblemente haya que distinguir entre dos situaciones diferentes:

–      El vehículo de la empresa lleva instalado un GPS desde el inicio de la prestación laboral del trabajador. Se tendría que informar de la citada instalación.

–      Se instala con la finalidad descrita en los hechos de la sentencia. Bastaría la información sin especificar la instalación, ya que de lo contrario perdería su finalidad.

Fuente: Privacidad Lógica

Publicado el 16 de octubre de 2012 por 

«Adecuación a la LSSI – V: contratación por vía electrónica»

La LSSI regula las obligaciones previas y posteriores a la celebración de contratos electrónicos. Además equipara la validez y eficacia de los contratos que así se pueden realizar, a los realizados en papel, siendo también admisibles en un juicio.


INTRODUCCIÓN

Según la Ley de Servicios de la Sociedad de la Información o LSSI un contrato celebrado por vía electrónica o contrato electrónico es aquel «en el que la oferta y la aceptación se transmiten por medios electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones». Los contratos electrónicos se rigen además de por la LSSI, por el Código Civil y de Comercio y por las normas civiles y mercantiles sobre contratos, y en particular las de protección de consumidores y usuarios protección de consumidores y usuarios.

¿A QUÉ CONTRATOS AFECTA?

Algunos ejemplos de contratos que se pueden realizar por vía electrónica son:

  • compra-venta de bienes a través de internet
  • contratación de servicios
  • aceptación de políticas de privacidad o condiciones de uso de redes sociales

Pero la contratación electrónica no es exclusiva de contratos relativos a contratación de bienes y servicios tecnológicos, por el contrario se refiere a contratos celebrados a través de medios electrónicos. Conviene destacar que en el caso particular de los servicios financieros aplica también la Ley 22/2007 sobre comercialización a distancia de servicios financieros a consumidores.

Sin embargo, no todos los contratos se pueden realizar por vía electrónica. La LSSI excluye los contratos relativos al derecho de familia y sucesiones (adopciones, separaciones, testamentos, herencias,…) y aquellos en los que para su validez sea necesario, según establezca la legislación específica, la forma documental pública o la intervención de notarios, registradores de la propiedad (por ej.: compra-venta de viviendas) u otras autoridades.

VALIDEZ Y EFICACIA

La LSSI equipara la validez y eficacia de los contratos electrónicos a los celebrados de forma escrita, siendo también admisibles en un juicio ante los Tribunales, como prueba documental. Además, obliga al que ofrece el contrato a facilitar toda la información al que compra o acepta servicios antes de la celebración del contrato, y a asegurarse de confirmar la recepción de la aceptación al consumidor.

OBLIGACIONES PREVIAS Y POSTERIORES A LA CONTRATACIÓN

Antes de iniciarse la contratación, el prestador de servicios debe poner a disposición del destinatario las condiciones generales del contrato de forma que puedan ser almacenadas y reproducidas.

Además la ley establece que el prestador, antes de iniciar la contratación, debe también informar al destinatario de forma «clara, comprensible e inequívoca» sobre:

  • los trámites o pasos a seguir para celebrar el contrato
  • si el documento generado, el contrato, va a ser almacenado por el prestador y si va ser accesible
  • los medios técnicos que se ponen a disposición del consumidor para identificar y corregir errores en los datos
  • la lengua o lenguas en que se podrá formalizar el contrato

Una vez celebrado el contrato la LSSI obliga al oferente a confirmar recepción de la aceptación, bien por medio de un acuse de recibo por correo electrónico u otro medio de comunicación equivalente, bien a través de un medio equivalente al utilizado en la contratación, siempre que pueda ser archivada por el destinatario y se pueda tener constancia de ello.

Existen dos excepciones a estas obligaciones:

  • que ambos contratantes así lo acuerden si ninguno de ellos es consumidor
  • que el contrato se haya celebrado exclusivamente mediante correo electrónico, si esto no se hace para eludir estas obligaciones

LUGAR DE CELEBRACIÓN

Se considera que los contratos electrónicos están realizados en la residencia habitual del consumidor. En el caso de contratos entre profesionales o empresarios, si no hay un pacto entre ellos, en el lugar en el que esté establecido el prestador de servicios.

PARA MÁS INFORMACIÓN:

Fuente: Inteco

Cuando alguien se hace pasar por ti en Internet

Imagen_post_suplantacion_famosos¿Qué tienen en común el grupo La Oreja de Van Gogh, el futbolista Daniel Alves o el ministro Cristóbal Montoro? Todos ellos han visto cómo en los últimos tiempos alguien se hacía pasar por ellos en sus perfiles de redes sociales, publicando comentarios en su nombre y acarreándoles un perjuicio en la imagen pública que proyectan a través de Internet. Tommasso Debenedetti, famoso suplantador y autor de la suplantación del ministro, ha argumentado que con sus acciones pretende “demostrar los errores en las redes sociales”.

En realidad, estos personajes han sido víctimas de lo que se conoce como suplantación de identidad, un riesgo en Internet que no sólo afecta a famosos, sino también a ciudadanos comunes, e incluso a empresas reconocidas.

La suplantación puede manifestarse de formas distintas. Así, en primer lugar, puede consistir en el registro de un perfil falso, pero sin llegar a utilizar información personal de la persona suplantada. Por ejemplo, perfiles caricaturizados de personajes públicos (políticos, futbolistas, etc.), que juegan con la confusión al utilizar nombres de usuarios muy similares al oficial, e incluso imágenes de perfil de la persona suplantada.

En segundo lugar, el suplantador puede crear un perfil falso, utilizando datos personales de la víctima. Por ejemplo, Debenedetti creó el perfil falso de Umberto Eco, llegando a publicar informaciones falsas, como la supuesta muerte de Gabriel García Márquez.

Por último, la tercera situación consistiría en el acceso no autorizado al perfil de la víctima en un servicio de Internet para hacerse pasar por él. En este caso, se parte de un perfil creado legítimamente por una persona, al cual un tercero malintencionado accede, por ejemplo, mediante el hackeo o el robo de contraseñas de acceso, como ocurrió en el caso del futbolista mencionado. Una vez el suplantador se hace con estas credenciales, se apodera del perfil y comienza a actuar en nombre del dueño legítimo. Si las contraseñas son débiles y fácilmente deducibles, se estará facilitando la labor al suplantador.

En cada una de las situaciones descritas como suplantación, será necesario estudiar la vulneración de los derechos del individuo: al honor y propia imagen, así como a la protección de datos personales (en este caso, sólo afecta a los dos últimos supuestos, puesto que en el primero no se produce esta divulgación). Desde el punto de vista legal, esta conducta no está tipificada en el Código Penal (CP), aunque se reconduce al delito de usurpación del estado civil de su artículo 401. Asimismo, los actos derivados de la suplantación pueden constituir distintos tipos de delito, como la estafa ordinaria (art. 248.1 CP), la estafa informática (art. 248.2 CP), los delitos contra la intimidad (art. 197 CP), o los delitos contra la propiedad intelectual e industrial y las falsedades documentales (arts. 270, 274 y 390 CP).

La finalidad más inmediata del atacante es alterar la identidad sin consentimiento para perjudicar la imagen y reputación online. Pero también existen otros objetivos, como el robo de información a través del perfil ocupado, como paso previo para cometer ataques de fraude online, envío de correo spam o incluso divulgación de información falsa o difamatoria.

El objetivo de robo de información es más claro en el caso de suplantación de empresas. Así, cada vez son más frecuentes los casos de phishing, en los que el atacante crea una página web falsa, envía mensajes de correo electrónico o comentarios en redes sociales en nombre de la empresa suplantada para engañar al receptor y que este le facilite datos personales, contraseñas, información bancaria, etc. Para dar mayor credibilidad, se utilizan tipografías, logos y nombres comerciales originales, así como direcciones de sitios web similares al oficial.

¿Qué podemos hacer si hemos sido víctimas de una suplantación de identidad? Tenemos varias vías de actuación. Lo primero será ponernos en contacto administrador de la red social a través de los canales internos de denuncia que facilitan los proveedores de estos servicios de Internet. Esto suele ser suficiente.

En caso de persistir la situación o cuando se haya cometido algún delito como consecuencia de la suplantación de la identidad, el individuo puede acudir a la Policía Nacional y Guardia Civil para interponer la correspondiente denuncia. En ella, deben reflejarse los hechos propios de la suplantación de identidad, así como los –más que habituales– otros posibles delitos derivados de las acciones llevadas a cabo por el suplantador, como son posibles delitos de amenazas, estafas, o semejantes. Se daría así inicio a la vía de investigación correspondiente para su posterior puesta a disposición judicial.

En todo caso, no debemos olvidarnos del famoso “más vale prevenir que curar”. Si queremos disfrutar de forma segura de las oportunidades que nos brindan las redes sociales, debemos tomar ciertas medidas. Por ello, recomendamos crear contraseñas de acceso robustas y actualizarlas cada cierto tiempo, configurar adecuadamente las opciones de privacidad de los perfiles y estar atentos y supervisar la información que sobre nosotros circula en Internet.

Como ayuda ante estos casos, la Oficina de Seguridad del Internauta (OSI) pone a disposición del público una línea de Atención al Internauta (901.111.121). En la web de INTECO y de OSI podéis encontrar consejos e información sobre este fenómeno y en nuestro Blog disponéis de varios artículos interesantes para profundizar en las implicaciones de privacidad y seguridad que tiene la suplantación de nuestra identidad digital.

Fuente: Inteco

¿Se puede colgar en el tablón de anuncios de un Instituto el listado de notas con nombres y apellidos del alumno?

La difusión de dichas notas de calificación a través de los tablones de anuncios de la Universidad, constituirá un tratamiento de datos de carácter personal de los alumnos autorizado por una norma con rango de ley formal, en virtud de la Ley Orgánica 4/2007 de Universidades, que en su disposición adicional vigésimo primera, en el punto 3, señala “no será preciso el consentimiento de los estudiantes para la publicación de los resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y seguimiento de dicha evaluación”.

 En el caso de los colegios se debe seguir el régimen general, es decir, hacer públicos los nombres de personas físicas en tablones de anuncios accesibles a terceros – si no hay soporte normativo que lo avale – podría suponer una divulgación indebida no concordante con el deber de secreto  recomendándose la comunicación individual a cada alumno aunque, eso sí, las calificaciones de los restantes serían accesibles ejerciendo la condición de interesado.

Fuente: AGPD

Cloud Computing: Aspectos esenciales técnico-jurídicos del contrato de servicios

La LOPD establece en su art. 12.2 que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito. Por tanto, el contrato de prestación de servicios entre el responsable del tratamiento y su proveedor de servicios Cloud ha de incorporar las previsiones citadas.

 En este sentido, el encargado está obligado a seguir las instrucciones del responsable del fichero en el tratamiento de los datos. Una forma de que el cliente indique estas instrucciones puede ser la de adoptar decisiones sobre el tipo de nube con la que se le prestarán los servicios y sobre las modalidades de servicios que contrata.

 Para ello, deberá haber solicitado y obtenido previamente información suficiente sobre ambos aspectos, de modo que la extralimitación por parte del proveedor de Cloud en su calidad de encargado del tratamiento tendrá las consecuencias previstas en el art. 12.4 LOPD, en virtud de las cuales, el encargado del tratamiento pasa a asumir la condición de responsable del fichero.

 Es importante destacar que el responsable del tratamiento es responsable de seleccionar como encargado del tratamiento a alguien que cumpla los requisitos legalmente establecidos. Esta responsabilidad se extiende a la subcontratación de servicios. Así, cuando el encargado del tratamiento subcontrate alguna actividad propia del tratamiento de los ficheros, dicha subcontratación habrá de recogerse en el contrato de prestación de servicios entre el responsable y el encargado, siendo necesaria una autorización del primero en los casos de subcontratación sobrevenida no prevista en el contrato (art. 21 RLOPD).

 Una fórmula que puede utilizarse a tal efecto es que el cliente autorice los servicios susceptibles de subcontratación (p.ej. servicios de “hosting”) y tenga permanentemente a su disposición una relación actualizada de las entidades subcontratadas y de los países donde operan, (por ejemplo en una página web a la que tenga acceso o a través de otras alternativas que le permitan estar informado).

 Por otra parte, existen otros aspectos relevantes que van más allá de normativa de protección de datos de carácter personal y que conviene traer a colación. Son temas que encontrarán su mejor acomodo y resolución en el propio contrato de prestación de servicios entre el proveedor y el cliente.

 Por la novedad de este tipo de contratos, resulta conveniente tratarlos a continuación.

 En definitiva, para garantizar la seguridad jurídica del servicio Cloud contratado, el contrato de prestación de servicios suscrito entre el despacho y el proveedor ha de recoger, un conjunto mínimo de cláusulas, entre las que cabe destacar las siguientes:

  • Régimen de los datos. Es esencial que el contrato especifique que el proveedor no puede disponer de los datos personales ni hacer uso de los mismos para ningún fin que no esté expresamente autorizado por el responsable del tratamiento (y cuente, en su caso, con el consentimiento del titular).
  • Cumplimiento de legislación de protección de datos de carácter personal. El proveedor ha de asumir expresamente el papel de encargado del tratamiento de los ficheros de datos de carácter personal que el despacho decida trasladar “a la nube”, con todas las obligaciones propias de tal figura tal y como se recogen en la legislación española y europea. Además si el proveedor almacena la información de carácter personal en sistemas ubicados fuera de la Unión Europea, ha de asumir las obligaciones que al encargado del tratamiento de los ficheros de datos de carácter personal impone la legislación española, con independencia de la jurisdicción aplicable al territorio en el que se localizan los centros de proceso de datos.

 En particular, si la localización no se encuentra entre las aceptadas por la AEPD, es preciso recabar autorización de la misma, y es aconsejable incluir en el contrato de servicios las cláusulas tipo propuestas por la Unión Europea.

  • Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible al responsable del tratamiento que contrata sus servicios, y a quienes éste determine con los perfiles de acceso correspondientes. En caso de que el responsable del tratamiento trate datos especialmente protegidos, se incluirán cláusulas que garanticen su tratamiento con las medidas de seguridad que sean exigibles.
  • Integridad y conservación. El proveedor ha de disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información.
  • Disponibilidad. El proveedor ha de garantizar una elevada disponibilidad del servicio, así  como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación y dando aviso de las mismas al despacho.
  • Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información al despacho en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información.
  • Consecuencias previstas para el caso de incumplimiento del proveedor de servicios Cloud de las obligaciones anteriormente recogidas

 Fuente: AGPD

Cloud Computing: La seguridad y confidencialidad de los datos: el secreto profesional

Uno de los principios esenciales de la protección de datos es el de seguridad y un derecho irrenunciable de la profesión de abogado es el secreto profesional, la responsabilidad ética y jurídica de salvaguardar la información de los clientes. Este derecho-deber impone a los responsables de tratamientos una diligencia cualificada sobre la observancia por el proveedor de servicios de todas las garantías legales relativas a los requerimientos de seguridad exigidos en relación con los datos, documentos y actuaciones amparadas por el secreto profesional.

             El artículo 12.2 de la LOPD dispone que “en el contrato entre responsable y encargado se estipularán las medidas de seguridad que deberá implementar el encargado”

             En materia de seguridad y confidencialidad, y desde un punto de vista técnico, los aspectos esenciales a tener en cuenta durante la selección del proveedor de servicios Cloud son los siguientes:

 • Como cuestión previa, tanto el responsable que contrata como cliente estos servicios como el propio prestador de servicios han de actuar diligentemente solicitando y ofreciendo una información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información. A tal efecto deberán intercambiar información sobre la naturaleza de los datos para establecer un nivel de seguridad apropiado.

• El proveedor de servicios Cloud ha de garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.

• El proveedor ha de establecer mecanismos seguros de autenticación para el acceso a la información por parte de los responsables del tratamiento así como por parte de los clientes, en los términos que el responsable determine. Estos mecanismos han de permitir la compartición e intercambio de información sin que por supuesto sea posible que personas no autorizadas accedan a información reservada o confidencial.

• El cifrado de los datos almacenados es una necesaria medida de seguridad. El proveedor ha de dar a conocer al responsable el nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas. Asimismo, es fundamental acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre el responsable y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos al responsable o al nuevo proveedor designado por éste.

• Habida cuenta de que en numerosos casos los ficheros contendrán datos especialmente protegidos es necesario que el encargado del tratamiento establezca un registro de los accesos realizados a los datos.

• En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de servicios, deben contemplarse garantías alternativas que cumplan el mismo objetivo, tales como la intervención de un tercero independiente de acreditado prestigio que audite las medidas de seguridad implantadas.

• Que, en todo caso, si se producen incidencias de seguridad que afecten a los datos personales de los que es responsable el cliente del servicio de Cloud Computing, sean puestos en su conocimiento por el prestador del servicio junto con las medidas adoptadas para corregir los daños producidos y evitar que se reproduzcan dichos incidentes.

             Las medidas adoptadas deberán ajustarse a las previsiones contenidas en los artículos 79 y ss. del RLOPD, teniendo en cuenta que no todos los datos de carácter personal gozan del mismo nivel de protección, dado que existen datos especialmente protegidos, entre los que se encuentran por ejemplo los relativos a salud, orientación sexual, ideología o religión, para los cuales las medidas de protección que debe adoptar el encargado del tratamiento del fichero son especialmente rigurosas.

             Así se establecen tres niveles de seguridad (básico, medio y alto) que se asocian a tres categorías de datos en función del nivel de protección de los mismos. El encargado del tratamiento (el prestador del servicio Cloud) es quien debe implementar estas medidas, que le debe exigir el responsable del tratamiento mediante el oportuno contrato escrito.

Fuente: AGPD

Cloud Computing: Aplicación de la normativa sobre protección de datos

Con carácter previo es necesario resaltar que el cumplimento de la legislación de protección de datos es un aspecto esencial a la hora de contratar servicios Cloud por parte de un responsable del tratamiento.

Debe considerarse que las modalidades de computación y las modalidades de servicios condicionan la aplicación de los preceptos correspondientes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y de su Reglamento, aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD)1.

En cualquier caso, a los responsables del tratamiento que contraten servicios de Cloud Computing (art. 3.d) de la LOPD y art. 5.1.q) del RLOPD), les corresponde la decisión sobre la finalidad, el contenido y el uso del tratamiento, así como la decisión sobre optar por la computación en la nube y sobre su modalidad. Por su parte, el prestador de servicios de Cloud Computing tendrá la naturaleza de encargado del tratamiento (art. 3.g) de la LOPD y (art. 5.1.i) del RLOPD, pues en definitiva trata datos personales por cuenta del responsable.

En este marco, el contrato de prestación de servicios de tratamiento de datos personales por cuenta de terceros tiene una gran importancia.

En cualquier caso, la dinámica del Cloud Computing exige buscar soluciones que, siendo plenamente respetuosas con la LOPD y su Reglamento, permitan que los responsables del tratamiento puedan contratar tales servicios con garantías jurídicas y de seguridad en el tratamiento de los datos de carácter personal.

En este sentido, y sin perjuicio del cumplimiento de las previsiones que contiene la legislación, y en particular las relativas al respeto a los principios de protección de datos y a la garantía de los derechos de los afectados (derechos de acceso, rectificación, cancelación y oposición), los artículos 20 a 22 del Reglamento, referentes al encargado del tratamiento, pueden ofrecer soluciones adaptadas a esta nueva realidad.

Fuente: AGPD

¿Qué se entiende por ficheros o tratamientos en los que de forma incidental o accesoria se contengan datos especialmente protegidos?

En relación con el nivel de medidas de seguridad aplicable, sería necesario atender al tenor literal del artículo 81.5 del RLOPD que establece que “En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

  • Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
  • Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan
  • Aquellos datos sin guardar relación con su finalidad.”

 A este respecto, se debería tener en cuenta que la excepción prevista en el último inciso del artículo 81.5 se refiere a cuando los datos especialmente protegidos sean incluidos por el propio afectado a la hora al presentar documentación en la que por propia iniciativa desee aportar este tipo de datos, sin que su tratamiento tenga relación con la finalidad establecida por el responsable del fichero.

Fuente: AGPD

Adecuación a la LSSI – IV: comunicaciones comerciales

La LSSI regula el envío de «publicidad» por vía electrónica estableciendo una serie de obligaciones y derechos. Prohíbe el envío de publicidad salvo que el destinatario haya prestado su consentimiento y regula las ofertas promocionales engañosas.

INTRODUCCIÓN

La Ley de Servicios de la Sociedad de la Información, denominada LSSI, complementa a la Ley Orgánica de Protección de Datos, LOPD en lo relativo a las comunicaciones comerciales por vía electrónica.

La LOPD reconoce derechos al receptor y establece obligaciones al emisor si la comunicación es dirigida a personas físicas. La LSSI afecta tanto a comunicaciones dirigidas a personas físicas como jurídicas.

IDENTIFICADAS COMO «PUBLICIDAD»

Según el anexo de la LSSI, una comunicación comercial es «toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional».

Para protección del usuario la ley establece que estas comunicaciones deban identificarse al comienzo del mensaje como «publicidad», y prohíbe su envío por correo electrónico u otras vías de comunicación electrónica equivalentes, salvo que el destinatario haya dado su autorización.

CONSENTIMIENTO EXPRESO Y REVOCACIÓN

Es común que al contratar o suscribirnos un servicio el prestador solicite una dirección de correo electrónico. Si el prestador de este servicio pretende utilizar esta dirección para enviarnos publicidad debe recabar nuestro consentimiento.

Una vez hemos dado este consentimiento el proveedor debe poner a nuestra disposición procedimientos sencillos y gratuitos para que podamos revocarlo, en cualquier momento, si ya no quisiéramos recibir más publicidad.

OFERTAS PROMOCIONALES

Por otra parte la ley prohíbe las comunicaciones comerciales a través de las cuales se incite a los usuarios a participar en promociones (descuentos, premios, regalos, concursos o juegos) en las que:

  • no se identifique al anunciante
  • no quede claro el tipo de promoción o no se expresen de forma inequívoca las condiciones de participación
  • no se cumpla la normativa y legislación vigente en materia comercial y de publicidad

Fuente: INTECO

Qué debemos tener en cuenta al conectarnos a una Wi-Fi abierta

Afortunadamente, cada vez son más los establecimientos (cafeterías, restaurantes, centros comerciales, etc), aeropuertos y hoteles que ofrecen a sus clientes conexión Wi-Fi de manera gratuita (ya sea porque ofrezcan una conexión abierta o a través de un portal cautivo), una facilidad que nos viene muy bien para trabajar con nuestro ordenador o conectar nuestro smartphone o nuestra tableta sin tener que consumir el bono de datos que tengamos contratado.

hacker

Tanto en lugares públicos como en eventos a los que asistamos, disponer de una conexión Wi-Fi nos puede facilitar la conexión a nuestra cuenta de correo, a nuestro perfil en Facebook o Twitter o, incluso, conectarnos a nuestro blog para escribir un artículo; sin embargo, hacer ya un par de años, una extensión para Firefox llamada Firesheep nos hizo ver que a la hora de conectarnos a una red Wi-Fi compartida con otros usuarios debemos tomar una serie de precauciones.

¿Y qué hacía Firesheep? Para el que no recuerde este caso, Firesheep era una extensión para Firefox que capturaba el tráfico que se cursaba a través de una red Wi-Fi y era capaz “robar” las cookies de sesión de servicios tan populares como Amazon, Basecamp, Twitter o Facebook, permitiendo al atacante robar nuestra identidad y acceder a nuestra cuenta.

Con la idea de evitar este tipo de situaciones y no ponérselo nada fácil a aquellos que pretenden capturar contraseñas (con no muy buenas intenciones), no está demás tener en cuenta algunos aspectos básicos de seguridad que evitarán que nos llevemos algún disgusto, aspectos que giran alrededor de un denominador común: el uso de conexiones cifradas, es decir, el SSL.

Configurar el acceso vía SSL a nuestros perfiles sociales

Aunque deberían ofrecer por defecto conexiones cifradas (al igual que lo hace, por ejemplo, la banca electrónica y muchas tiendas online), servicios como Twitter, Facebook o LinkedIn no usan conexiones cifradas salvo que así se lo indiquemos en las opciones de configuración.

En un uso normal, a través de nuestro navegador, no vamos notar diferencia (en cuanto a tiempo de carga) entre una conexión cifrada o sin cifrar, por tanto, para estar siempre preparados para toda ocasión, es importante acceder a las opciones de configuración de este tipo de servicios y marcar el uso de SSL siempre (y así evitaremos los efectos de Firesheep y similares).

Cifrar la conexión a nuestro buzón de correo

Mi compañera Bárbara dedicó hoy unos minutos a hablarnos del correo electrónico y nos brindó algunos consejos para mantener nuestras cuentas seguras y, además de sus consejos, debemos añadir un detalle adicional si pensamos consultar nuestro correo electrónico a través de una red de uso público: usar también conexiones cifradas.

Seguridad SSL

La mayoría de servicios de correo electrónico que ofrecen un webmail a los usuarios (por ejemplo Gmail), por defecto, suelen estar bajo conexiones SSL (se accede a través de https), sin embargo, cuando configuramos la cuenta en Outlook o Thunderbird, no siempre se configura el buzón de manera segura y se recurre al protocolo POP o IMAP. ¿Y qué debemos hacer? Si vamos a usar nuestro correo en una red pública, si nuestro servidor de correo lo permite deberíamos configurar la cuenta usando conexiones seguras (IMAP-SSL o POP-SSL) además de enviar las contraseñas cifradas.

Recurrir a extensiones que fuercen el uso de conexiones cifradas

Si pensamos que configurar todos los servicios que usamos para que, por defecto, usen conexiones cifradas puede superarnos o que, incluso, puede que nos dejemos servicios fuera y sin configurar, una buena forma de mejorar la seguridad rápidamente puede ser recurrir a alguna extensión que nos ayude a mantener conexiones seguras de manera global.

Extensiones como KB SSL Enforcer, HTTPS Everywhere o Force-TLS se encargarán de servir los sitios web más populares (Twitter, Facebook, Amazon, Google, etc) en sus versiones bajo SSL (https).

Usar una VPN

Una manera de “aislar” nuestro tráfico y establecer un canal seguro de comunicación es mediante el uso de una VPN, con la que podremos establecer una conexión segura con nuestra empresa o contra un servicio determinado.

Este tipo de conexiones son cifradas (mediante IPsec) y cada paquete de datos que intercambiamos viaja cifrado hasta llegar a cada extremo del canal entre el emisor y el receptor, por tanto, un tercero no va a tener nada fácil interceptar nuestros datos, nuestra contraseña o robar las cookies de sesión de nuestra cuenta de Twitter.

Mejorar nuestros propios sistemas

Si administramos algún sistema o página web a la que, por ejemplo, accedamos de manera continuada desde todo tipo de redes quizás pueda ser interesante plantearnos el uso de conexiones SSL para evitar que alguien que esté a la escucha intercepte nuestras credenciales de acceso.

Muchos gestores de contenidos tienen disponibles módulos que fuerzan el uso de conexiones SSL al acceder a la zona de administración o determinadas zonas privadas que se consideran sensibles. En el caso que usemos WordPress extensiones como WordPress HTTPS, por ejemplo, nos pueden ayudar a establecer conexiones seguras con la zona de administración de nuestro blog y, de paso, también podremos proteger ciertas páginas especiales.

Fuente: Bitelia

Estadística del blog

  • 165.825 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A <span>%d</span> blogueros les gusta esto: