//
Archivos

Privacidad

Feed RSS para esta sección
Esta categoría contiene 36 entradas

Utiliza WhatsApp en tu empresa cumpliendo el RGPD y la LOPDGDD

Publicado por Deja un comentario

WhatsApp es la aplicación de mensajería instantánea por antonomasia. Según el último informe publicado por eMarketer, cuenta con más de 800 millones de usuarios activos, de los cuales más de 30 millones se encuentran en España. Debido a su amplia adopción por los usuarios, algunas empresas lo utilizan como medio de comunicación, bien sea de manera interna o con los clientes.

Imagen de acompañamiento

Las empresas que decidan utilizar esta herramienta deberán hacerlo cumpliendo con el RGPD, la LOPDGDD y la LSSI y con las condiciones indicadas por Facebook.

WhatsApp Business

Las empresas o autónomos que decidan apostar por esta herramienta de mensajería instantánea deberán utilizar WhatsApp Business (Google Play o App Store) y no la aplicación WhatsApp Messenger, que está diseñada para comunicaciones personales.

WhatsApp Business es una aplicación diseñada para cubrir las necesidades de los negocios. Según indican desde la compañía, ha sido creada para facilitar las comunicaciones con clientes, aportando herramientas que permiten automatizar, ordenar y responder mensajes de forma rápida.

Como sucede con cualquier herramienta de terceros, se han de leer, comprender y  seguir los términos y condiciones especificados por la compañía; de lo contrario, WhatsApp podría suspender la cuenta. El principal motivo por el que se puede suspender una cuenta es utilizar versiones alteradas y aplicaciones no oficiales, aunque también hay otros como difundir spam. Todos estos usos no autorizados se pueden consultar en la sección «Uso aceptable de nuestros servicios».

Utilizar aplicaciones no oficiales es motivo de sanción por parte de WhatsApp, pues supone un riesgo para la privacidad y seguridad, ya que un tercero sin autorización podría estar accediendo a los datos.

Utilizar WhatsApp de manera interna en la empresa

Desde avisar que se está enfermo, informar que se va a llegar tarde, solicitar un cambio de turno, etc., la aplicación de mensajería es utilizada en multitud de empresas de forma interna para comunicarse con el resto de compañeros y personal de la organización. Si el empleador ha creado un grupo para este tipo de comunicaciones internas, debe avisar previamente a todos los miembros. Estos han de poder aceptar o rechazar ser incluidos en dicho grupo libremente, sobre todo si hacen uso de sus teléfonos particulares. Además, los miembros del grupo podrán revocar el consentimiento y ejercer sus derechos en cualquier momento.

En la primera comunicación que se realice con los miembros del grupo es recomendable que figure cierta información legal «primera capa». Un ejemplo de esta primera comunicación sería:

  • Responsable: nombre y apellidos del responsable del tratamiento.
  • Finalidad: objetivo de la comunicación.
  • Legitimación: base jurídica en la que se basa el tratamiento.
  • Destinatarios WhatsApp y nadie más, salvo obligación legal.
  • Derechos: acceder, rectificar y suprimir los datos, así como otros derechos, tal y como se explica en la información adicional.
  • Información adicional: puede consultar la información adicional y detallada sobre protección de datos en la página web: https://www.aepd.es/es/derechos-y-deberes/conoce-tus-derechos 
  • Contacto: correo del responsable del tratamiento o del Delegado de Protección de Datos (DPD).

Utilizar WhatsApp para comunicaciones con clientes

WhatsApp puede ser también utilizado como canal de comunicación con clientes o como medio para un primer contacto.

La empresa que desee comunicarse con sus clientes por medio de la aplicación de mensajería instantánea revisará si este tratamiento es lícito, y lo será si cumple con alguna de las condiciones descritas en el artículo 6, licitud del tratamiento, del RGPD. Como precedente se encuentra la resolucióndel Procedimiento E/01824/2019 de la AEPD.  En dicho procedimiento se presentó una reclamación ante la AEPD contra Vodafone España, S.A.U. por parte de un cliente al que la compañía contactó por medio de la aplicación de mensajería WhatsApp sin que este lo hubiera autorizado. El procedimiento terminó siendo archivado por la AEPD, ya que según el artículo 6.1.b) del RGPD, el tratamiento es lícito cuando es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. Otra de estas causas de licitud sería que el usuario hubiera dado su consentimiento.

También se debe cumplir con lo indicado en el artículo 13 del RGPD. En este se indica que el responsable del tratamiento informará al interesado sobre su identidad, los fines del tratamiento para los cuales son destinados los datos personales y la base jurídica en que se apoya, entre otros aspectos.

WhatsApp Business cuenta con una API (Application Programming Interface) que permite implementar diferentes funciones de la aplicación en otros productos software utilizados en la empresa, como es el caso del CRM, para la gestión de la comunicación con los clientes. Dentro de esta API se ofrece a los usuarios una función que permite obtener el consentimiento de los usuarios antes de comenzar a interactuar con ellos por medio de WhatsApp.

WhatsApp Business permite establecer mensajes de bienvenida en nuevas conversaciones o cuando estas tengan una antigüedad superior a 14 días. En este mensaje se recomienda indicar la información básica sobre el tratamiento de datos, denominada «primera capa».

Es recomendable que solamente se use WhatsApp como canal de comunicación a nivel informativo o como envío de publicidad, no como medio para compartir datos personales o información confidencial. Esto se debe a que se escapan del control de la empresa al depender de la política de privacidad de WhatsApp. Además, el responsable, en caso de violación de los derechos, será la encargado del tratamiento de nuestra empresa, tal y como indica el artículo 5 del RGPD.

Cuando se pretendan realizar comunicaciones comerciales por medio de la aplicación, se deberán seguir las pautas que indica el artículo 21 de la Ley de Servicios de la Sociedad de la Información y del comercio electrónico o LSSI:

  • Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente, como es WhatsApp, que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
  • El punto anterior no será de aplicación cuando exista una relación contractual previa, siempre que se hayan obtenido de manera lícita y sean empleados para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa similares a los ya contratados.
  • El prestador del servicio deberá ofrecer la posibilidad al destinatario de oponerse al tratamiento de sus datos con fines comerciales mediante un procedimiento sencillo y gratuito, tanto en el momento de la recogida como en cualquiera de las comunicaciones.

Otras cuestiones a tener en cuenta al usar WhatsApp Business

Además de las consideraciones legales que conlleva el uso de WhatsApp en la empresa, se deben tener en cuenta otras cuestiones:

  • El responsable del grupo deberá utilizar dispositivos seguros y nadie, salvo que haya firmado previamente un acuerdo de confidencialidad, podrá interactuar con el grupo.
  • Se formará a los miembros de la organización sobre el correcto tratamiento de los datos personales de los clientes y el uso adecuado de los grupos internos de la organización.
  • Si un usuario desea ejercer sus derechos se contactará con WhatsApp informando sobre el derecho que se desea ejercer y se pondrá en copia del correo al interesado.
  • Se evaluarán los riesgos para la protección de datos personales (por ejemplo, mediante la herramienta de la AEPD) que implica utilizar esta aplicación o cualquier otra similar antes de implementar su uso para cualquier tratamiento. También se establecerán las medidas técnicas y organizativas necesarias para que su uso sea lo más seguro posible.

Si usas WhatsApp para tu negocio no olvides hacerlo de forma legal. ¿Tienes en cuenta todas estas cuestiones? ¡Protege tu empresa!

Fuente: INCIBE

Las Autoridades Europeas de Protección de Datos concluyen su investigación sobre la nueva política de privacidad de Google

Publicado por Deja un comentario

Reclaman a Google que informe de una forma más clara a sus usuarios y le piden que ofrezca un mayor control sobre la combinación de datos entre sus numerosos servicios.

Solicitan a la empresa que modifique las herramientas que emplea para evitar una recogida excesiva de datos.

 (Madrid, 16 de octubre de 2012). Las Autoridades europeas de protección de datos han publicado sus conclusiones respecto de la nueva política de privacidad implementada por Google el pasado mes de marzo, tras meses de investigación liderada por la Autoridad francesa de protección de datos (CNIL).

Tras analizar las respuestas y la documentación proporcionada por Google, las Autoridades concluyen que Google no proporciona suficiente información a los usuarios sobre sus operaciones de tratamiento de datos. Asimismo, considera que Google no ofrece al usuario un control sobre el modo en que sus datos se combinan entre los diferentes servicios de Google.

Por ello, las Autoridades europeas requieren a Google que ofrezca una información más clara y completa sobre los datos que se recogen y las distintas finalidades de cada una de las múltiples operaciones de tratamiento de datos que lleva a cabo. En relación con la combinación de datos entre servicios, las autoridades emplazan a Google a que refuerce el consentimiento para las combinaciones que se basan en la autorización de los usuarios y a que ofrezca mejores posibilidades para que los usuarios puedan oponerse al tratamiento de sus datos en los casos en que las operaciones de tratamiento no precisan consentimiento.

Las Autoridades Europeas han remitido estas recomendaciones a Google para darle la oportunidad de mejorar su nueva política de privacidad, y esperan que Google tome medidas eficaces para cumplir rápidamente con estas recomendaciones.

Nueva política de privacidad

El pasado 24 de enero Google anunció que modificaría su política de privacidad y sus condiciones de uso para la mayoría de sus servicios a partir del 1 de marzo de 2012. Ante las numerosas dudas que estos cambios planteaban, el Grupo de Autoridades de Protección de Datos de la UE encomendó a la Autoridad francesa (CNIL) que dirigiera la investigación sobre esta nueva política de privacidad.

En este contexto, se enviaron dos cuestionarios sucesivos a Google. La empresa contestó a estos cuestionarios, pero varias de las respuestas resultaron incompletas o poco precisas. En concreto, Google no contestó suficientemente a cuestiones clave como la descripción de sus operaciones de tratamiento de datos personales o la lista detallada de las más de 60 políticas de privacidad específicas que se han sustituido por esta nueva política general.

Fuente: AGPD. Nota de prensa.

Las historias clínicas de 15 millones de españoles podrían tener lagunas de seguridad

Publicado por Deja un comentario
Historias clinicas Las historias clínicas de 15 millones de españoles podrían tener lagunas de seguridad

Según un informe de cumplimiento de la Ley Orgánica de Protección de datos en Hospitales, llevado a cabo por la Agencia Española de Protección de Datos entre 654 centros hospitalarios (públicos y privados, de los 791 existentes en el país) que se encuentran en el ámbito de competencia de AEPD, “la realización de la auditoría bienal de seguridad del fichero de Historias Clínicas es uno de los aspectos en los que se observa un menor nivel de cumplimiento de la normativa de protección de datos, ya que en un 32,5% de centros esta actuación no se lleva a cabo, y en un 85,6% de los centros que realizan la auditoría, se han detectado en ella deficiencias de seguridad”.
Cada vez que alguien acude a su médico de cabecera, a urgencias, a un especialista de un hospital y, en general, a cualquier profesional de la salud, se le abre una historia clínica. Es un documento válido desde el punto vista clínico y legal donde se recoge la información necesaria (asistencial, preventiva y social) para la correcta atención de los pacientes.
Debe recordarse que los tratamientos de datos de carácter personal que se realizan en el ámbito hospitalario y, en particular, los relacionados con la gestión de las historias clínicas o la investigación clínica, incluyen datos de salud, considerados datos sensibles o especialmente protegidos por la Ley (al mismo nivel que el origen racial y la vida sexual). y, como tales, tienen un régimen de garantías más fuerte.

Más…

Fuente: http://www.muycomputerpro.com

El sistema SIGO de la Guardia Civil

Publicado por 2 comentarios

SIGO son las siglas de Sistema Integrado de Gestión Operativa, Análisis y Seguridad Ciudadana. Este sistema  tiene como función fusionar toda la ‘información de interés policial’ en un solo punto. S.I.G.O. o proyecto S.I.G.O es una base de datos de la Benemérita o registro sobre delitos, delincuentes, automóviles y diligencias policiales.

La idea que hay tras esta gran base de datos está la de prevenir delitos o investigarlos. Pero cuando se juega al borde del área existe el peligro cierto de vulnerar derechos fundamentales, en este caso, el derecho fundamental a la protección de nuestros datos personales, tal como recoge la STC 292/2000. Cuando se juega al borde del área hay que recordar que la línea es área y, por tanto, cualquier infracción en esa zona puede ser duramente castigada.

Este sábado, el diario http://www.elconfidencial.com publicaba un interesante artículo donde se hacía eco de las denuncias presentadas por agentes de la benemérita contra el uso y abuso de la incorporación de datos personales al sistema SIGO. Según se informa en el citado medio, nombres, direcciones, teléfonos y actividades han alimentado esta base de datos «sin consentimiento» de los ciudadanos, pasando a formar parte de sus antecedentes penales. Hasta de donde venía uno y a donde se dirigía, son campos que se han incorporado a estos ficheros.

La Unión de Guardias Civiles ha denunciado esta práctica que considera ilegal, además de las presiones que están recibiendo los agentes para «engordar artificialmente» esta base de datos. Además, se incentiva esta práctica con complementos salariales.

¿Qué dice la LOPD al respecto?.

Artículo 22. Ficheros de las Fuerzas y Cuerpos de Seguridad
1. Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente Ley.
2. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.
3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.

4. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.

Además, el artículo 4 de la LOPD establece lo siguiente:

Artículo 4. Calidad de los datos
1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
7. Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos.

¿Son pertinentes, son necesarios, los datos que se están incluyendo en SIGO, tal como establece el artículo 4? Para los miembros de este sindicato la respuesta es NO, no son pertinentes, «son innecearios sin relevancia policial».

Siguiendo esta información, tal como cita el diario, decido buscar mas información y entro en los foros que hay en internet integrados por miembros de la benemérita, y cuanto mas leo, mas perplejo de quedo de los comentarios que realizan los «agentes» que participan en esos foros, que van en la línea de lo que comenta el diario.

La AEPD ha abierto varios expedientes recibió diez reclamaciones en 2011, según El Confidencial, pero siempre a instancia de parte, seis de las cuales fueron tramitadas. ¿Para cuándo una acción de oficio de la propia AEPD? Aunque solo un 10% de la información que es objeto de la denuncia fuera cierta, ¿no debería la AEPD actuar como tutor o garante del derecho a la protección de datos personales de todos los ciudadanos de este país?. Solo pensar que los datos de los españoles que han silo parados en cualquier control, por la Guardia Civil en los últimos tres años, puedan haber sido incorporados de pleno a SIGO sin su consentimiento es para ponernos la piel de gallina.

Si el consentimiento es el eje vertebral de esta norma y su incumplimiento es sancionado económicamente por parte de la AEPD cuando se trata de entes privados y no públicos; si este aspecto central es de obligado cumplimiento por parte de los entes privados y, además, debemos acreditar su obtención para el tratamiento de los datos personales, esas mismas obligaciones también recaen en los ficheros que manejan los entes públicos, como lo es el fichero SIGO de la Guardia Civil, que se encuentra sujeto a la LOPD, tal como establece el artículo 22.1. Si la Guardia Civil, en un control, quiere tomar esos datos e incorporarlos al fichero SIGO, antes deberá recabar nuestro consentimiento, lo contrario sería contrario a derecho. Sin ese consentimiento, ningún ente podrá almacenar o tratar nuestros datos personales, incluido, la Guardia Civil o cualquier otro cuerpo o fuerza de seguridad del Estado.

Claro está, para recabar ese consentimiento, antes deberán cumplir con el obligado principio de información que esboza el artículo 5 de la LOPD. La información en la recogida de datos personales constituye uno de los principios de la protección de datos, un derecho del afectado y un complemento previo de la prestación del consentimiento, cuya omisión puede determinar un vicio del consentimiento para el posterior tratamiento, que origine la nulidad del mismo. Así lo ha entendido también el TC en la Sentencia 292/2000 señalando que “sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (artículo 5 de la LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia.” Tanto es así que sería nulo, en caso contrarío, el consentimiento prestado cuando la información facilitada no permita al interesado conocer la finalidad a la que se destinarán los datos (STS de 26 de octubre de 2006 y STS, Sala 3ª, Sección 6ª, de 4 de abril e 2000).

¿Que os parece?

Fuente: http://www.elconfidencial.com

http://www.elconfidencial.com/espana/2012/05/27/la-guardia-civil-ficha-a-miles-de-ciudadanos-inocentes-en-un-registro-sin-su-conocimiento-98792/

 

Facebook recibe una demanda colectiva por violación de la privacidad.

Publicado por Deja un comentario

Ha sido presentada una demanda colectiva contra Facebook por violación de privacidad, en la que se pide a la red social por un supuesto delito de daños y perjuicios, 15.000 millones de dólares.

La demanda que ha sido presentada el pasado 17 de mayo en la corte federal de distrito en San Jose, California, combina 21 casos de demandas presentadas en los Estados Unidos por violar derechos de la privacidad.

Al parecer en la demanda se acusa a la red social, de invadir la privacidad de los usuarios mediante el seguimiento de su uso en Internet. La ley prohibe la intercepción y divulgación de los cables, las comunicaciones orales o electrónicas, y al parecer Facebook habría realizado supuestamente un seguimiento de los usuarios a través de los botones que se encuentran incrustados en las webs.

Andrew Noyes, director de políticas en Facebook, ha declarado que la compañía estima que la demanda carece de fundamentos y luchará por su defensa en los tribunales.

Esta no es la primera vez que se pone en tela de juicio el modo con el que Facebook trata la privacidad de sus usuarios. La red social ha tenido que someterse al escrutinio de los reguladores europeos y estadounidenses en más de un ocasión. Los constantes cambios en su política de privacidad y su característica de reconocimiento facial, han traído más de un problema a la compañía.

David Straite, socio del bufette Stewarts Law que representa a algunos de los usuarios que participan en esta demanda, ha declarado que esta no es una acción de daños y perjuicios, si no un caso de derechos que podría acabar teniendo implicaciones legales en el negocio de la compañía.

Straite declaró también, que aunque la demanda ha sido interpuesta en los Estados Unidos, se está buscando el modo de expandir el caso internacionalmente.

Facebook cuenta actualmente con más de 900 millones de usuarios.

Fuente: Gigle.net

http://www.gigle.net/demanda-colectiva-contra-facebook-por-violacion-de-la-privacidad/

 

Consejos sobre privacidad

Publicado por Deja un comentario

Si bien las amenazas a la información personal y la identidad están creciendo y son cada vez más sofisticados, si usted se educa y emplear las siguiente recomendaciones, podrá tener su información privada a salvo y seguro.

  1. Nunca envíe o comparta información personal: no revele información personal como su fecha de nacimiento, dirección personal, o el apellido de soltera, porque los ladrones de identidad la utilizarán para cometer fraudes.
  2. Siempre actualice su software: las compañías actualizan su software para protegerse contra nuevas amenazas y vulnerabilidades. Actualice a las últimas versiones de su sistema operativo (Windows, Linux o Mac, etc), navegador web (Firefox, Chrome, Internet Explorer, Safari, etc), y aplicaciones multimedia, como Flash y Quicktime. Estas actualizaciones son gratuitas, fáciles de instalar y no dañan su equipo, al contrario.
  3. Proteja su identidad y conozca dónde reside su información: no guarde información privada, sensible o personal sin protección en su equipo porque la misma podría ser robada por un tercero sin que Ud. lo note.
  4. Cree contraseñas complejas y nunca las guarde sin protección: cree contraseñas con usando mayúsculas, minúsculas y números. Utilice al menos siete caracteres y no elija una palabra que pueda aparecer en un diccionario de cualquier idioma. No almacene las contraseñas en lugares inseguros o sin protección.
  5. Pero no es necesario descargar cualquier aplicación que vea: muchas aplicaciones y juegos se pueden descargar y algunos tienen descripciones muy convincentes para parecer divertidas y emocionantes. Intente leer los comentarios publicados por otros usuarios y asegurarse de la veracidad de la aplicación. También averigue si la aplicación accederá a información de Ud. o de su equipo (PC o smartphone).
  6. Use con responsabilidad las redes Peer-to-Peer: no comporta información personal en las redes P2P (kazza, edonkey, emule, torrent, etc). Asegúrese de que no comparte ninguna carpetas personal o con datos sensibles.

Fuente: Segu-info

Guía de protección de datos de carácter personal para los centros de enseñanza

Publicado por Deja un comentario

Gracias al uso cada vez extendido de las TIC (Tecnologías de la Información y Comunicación) en las aulas cada día hay más posibilidades de hacer llegar las actividades que se desarrollan en estas o en su entorno a más gente, en especial usando Internet.

Esto es, sin lugar a dudas, una oportunidad increíble, pero no está exenta de problemas, pues hay que tener muy en cuenta cosas como si se pueden publicar contenidos audiovisuales en los que salgan menores, etc, por no hablar de la necesidad de que en los centros educativos se traten adecuadamente los datos que se manejan de estos y de sus familias.

Para ello la Guía de protección de datos de carácter personal para los centros de enseñanza, editada por la Consejería de Educación de la Junta de Andalucía, y disponible apara su descarga gratuita en formato PDF, es un recurso que seguro que vendrá bien a los que lidian con estos temas.

Cubre la legislación actual vigente en España, a saber, la Ley Orgánica 15/1999, de 13 de diciembre, y Real Decreto 1720/2007, de 21 de diciembre.

La Consejería de Educación  de la Junta de Andalucía pone a disposición de la comunidad educativa esta “Guía de protección de datos de carácter personal para los centros de enseñanza”.

En ella se pueden encontrar aclaraciones sobre la aplicación de los principios de la Ley Orgánica de protección de datos al ámbito educativo, así como recomendaciones para el correcto tratamiento de ficheros no automatizados que contengan datos de carácter personal y preguntas frecuentes sobre la aplicación de la normativa de protección de datos de carácter personal en los centros de enseñanza .

El uso de redes sociales y la amplia presencia en Internet que día a día tienen las actividades, recursos y documentación audiovisual que se desarrollan en los centros educativos, muchas veces crean dudas sobre el principio jurídico fundamental que debe regir el tratamiento de los datos de los menores – el interés superior de los mismos- consagrado en la Convención de las Naciones Unidas sobre los Derechos del Niño y legislado en distintas normas.

Por otra parte, el tratamiento de los datos personales y escolares, tanto informático como físico, también require de su correcta aplicación, para lo que esta publicación puede ser de referencia.

Se trata, por lo tanto, de una interesante Guía para la consulta en el entorno educativo que clarifica la interpretación de la legislación actual: Ley Orgánica 15/1999, de 13 de diciembre, y Real Decreto 1720/2007, de 21 de diciembre.

Fuente. Junta de Andalucía.

https://www.juntadeandalucia.es/educacion/portalseneca/web/seneca/guia-lopd

Las redes sociales y el derecho al olvido… una cuestión pendiente.

Publicado por Deja un comentario

El derecho al olvido se ha convertido en los últimos tiempos en el caballo de batalla del derecho a la privacidad en Europa. Este clamor alcanza su máximo exponente en las redes sociales, ¿por es así? ¿por qué le cuesta olvidar a las redes sociales?. Este artículo de El Mundo es merecedor de una lectura pausada.

A las redes sociales les cuesta ‘olvidar’

Es complicado, pero se puede dejar atrás la cuenta de Facebook, de Google+, de Tuenti o de Twitter. Otra cosa es comprobar si nuestros datos realmente se han borrado de sus servidores.

La cuestión no es menor: los datos son la verdadera riqueza de Internet, un maná que las redes sociales han sabido aprovechar dado que el mercado publicitario en la Red está en manos de quienes dispongan de los mejores datos sobre los usuarios.

La prueba de ello se encuentra, precisamente, en las noticias que generan compañías como Facebook, camino de salir a Bolsa con unosamplios márgenes de beneficio gracias a la publicidad y los videojuegos ‘online’, y que ha visto cómo su valoración se dispara hasta los más de 100.000 millones de dólares.

Recientemente, Google anunciaba la unificación y simplificación de sus políticas de privacidad de cerca de 60 servicios diferentes, tales como Gmail, YouTube o Picasa. En la práctica, la compañía informa de que a partir del 1 de marzo podrá cruzar los datos de sus usuarios, integrar y ‘aprender’ más de ellos, con lo cual «mejorarán los anuncios». Esa información es, por tanto, extremadamente valiosa.

La legislación española prevé, especialmente a través del ejercicio delderecho de cancelación, que un ciudadano pueda solicitar el borrado de todos aquellos datos personales cuya retención no esté amparada por otro derecho. En el caso de una red social, los datos que voluntariamente publicamos en nuestros perfiles deberían ser borrados una vez retiramos nuestro consentimiento.

¿Se borran los datos?

En realidad, es muy complicado saber con certeza si una red social ha borrado realmente los datos de una cuenta que el usuario cancela. El amparo con el que cuenta el ciudadano es, por tanto, limitado, debido a la propia naturaleza de Internet y su carácter global.

La propia comisaria de Justicia de la UE y principal impulsora de la armonización de la protección de datos, Viviane Reding, confiesa que «jamás puedes estar seguro de que los datos se han borradoefectivamente, teniendo en cuenta la ‘nube’ y dónde están localizados los servidores». Las leyes sobre protección de datos tienen una aplicación territorial, mientras que Internet no conoce fronteras.

El caso del estudiante austriaco Max Schrems que denunció a Facebook por incumplir la legislación europea en materia de protección de datos se ha convertido en un auténtico paradigma, según Reding, «de lo que funciona y de lo que no». Schrems, una auténtica ‘china’ en el zapato de la red social más grande del mundo, demostró el pasado año que Facebook guarda una gran cantidad de información que, en teoría, debería estar borrada. Al final, su investigación se tradujo en 22 denuncias interpuestas ante las autoridades regulatorias de Irlanda, país en donde Facebook tiene sus oficinas europeas.

«No estamos regulando sobre servidores o la nube, sino sobre compañías con representación legal en Europa», asegura Reding, «así que si quiere hacer negocios en Europa tienen que responder ante un regulador nacional, que deberá operar bajo una norma que será igual para todos los estados de la UE, ya no habrá sitios donde ‘esquivar’ esto en la UE porque la ley se aplicará igual en todas partes».

¿Se puede comprobar si realmente los datos son borrados a petición de un usuario? Para el director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez, las autoridades «pueden realizar inspecciones para verificar el efectivo cumplimiento, pero no es la regla». Y el ciudadano no tiene derecho a reclamar estas verificaciones. Si existe un indicio de incumplimiento, el propio director de la AEPD puede ordenar una comprobación. No obstante, recuerda que no hay medios para comprobar cada caso, aunque remarca «un incumplimiento o un engaño ante una resolución de la AEPD tiene consecuencias gravísimas, con sanciones muy altas».

«Yo me cuestiono si deben o no borrarlos», afirma por su parteRafael Gimeno-Bayon del Molino, jurista experto en reputación ‘online’. «Nadie ha obligado a que masivamente como sociedad entremos en las redes sociales, y creo que debemos también ser responsables de nuestra intervención en el mundo digital». El abogado recuerda que «hemos realizado un contrato con la Red (por cierto, en el caso de Faceboock, con una empresa de EEUU que cotiza en bolsa) en el que le venimos a decir: ‘Yo te doy mi vida digital y tu estudias mi información para hacerte rico'».

¿Quién es responsable?

En un reciente postPeter Fleischman, director de privacidad de Google, se mostraba a favor de que las plataformas que alojan contenidos de los usuarios (YouTube, Facebook…) borren los contenidos a petición de los usuarios pero «no necesariamente de forma instantánea por una serie de limitaciones prácticas» como, por ejemplo, «evitar la eliminación masiva de contenidos cuando una cuenta ha sido comprometida».

Lo cierto es que la reproducción y republicación de una imagen o de una serie de datos puede realizarse en cuestión de segundos, y esto quedaría fuera del ámbito de poder de la red social: no podría borrar contenidos duplicados en otra plataforma, razona Fleischman, quien recuerda además que las obras colaborativas no deberían poder borrarse a petición de uno solo de los autores.

Sucede además que algunos datos no se guardan en servidores de la propia compañía sino que se subcontrata espacio de almacenamiento digital a terceros. De esta manera se podría tener acceso a una foto publicada en Facebook aunque el perfil haya sido eliminado, porque esa imagen no está en un servidor de dicha red social.

En cuanto a los motores de búsqueda, Google defiende su ‘derecho a enlazar’ y propone «proporcionar medios para que los webmaster puedan acelerar la eliminación de su sitio web de los índices de búsqueda». Es decir, para el gigante de la Red, «la responsabilidad de eliminar el contenido publicado en línea debe recaer en la persona o entidad que lo publicó».

Una visión ligeramente diferente es la que tiene Richard Allan, director de privacidad de Facebook en Europa. Ya el pasado año criticó los planes de Bruselas para impulsar una regulación sobre el ‘derecho al olvido’ que, a su juicio, se basaban en algunos casos concretos. Según él, los casos concretos que han generado polémica en relación con el ‘derecho al olvido’ tienen su origen en contenidos indexados por los buscadores, almacenados como caché.

Por su parte, la red social española Tuenti, adquirida por Telefónica el pasado año, es rotunda en cuanto al borrado de datos. «Cuando un usuario decide dar de baja su perfil en Tuenti, procedemos al borrado físico de todos los datos e información concerniente a su persona de nuestros servidores», asegura Óscar Casado, su director jurídico y de privacidad. «En Tuenti nuestros usuarios son quienes deciden y controlan cuándo y por cuánto tiempo están disponibles sus datos en la red social», afirma.

Fuente: www.elmundo.es

http://www.elmundo.es/elmundo/2012/02/20/navegante/1329751557.html?cid=GNEW970103

¿Te conectas a Wi-Fi de acceso público? Toma precauciones antes.

Publicado por Deja un comentario

Actualmente se calcula que hay más de 10 millones de puntos de acceso Wi-Fi -pagos o gratuitos– en el mundo. Y eso significa que los usuarios pueden conectar su Notebook, TabletPC o Smartphone a Internet desde casi cualquier lugar, desde plazas hasta aeropuertos.

Sin embargo, es importante tomar conciencia de los riesgos que representan este tipo de conexiones para la seguridad de la información.

Según los datos que proporciona la empresa especializada en seguridad digital ESET, «casi la mitad de los usuarios de Internet alrededor del mundo se conectan a Internet por medio de dispositivos portátiles. Las notebooks son las más populares, con los 41% de los resultados, seguidas en segundo lugar por las netbooks (3%). Completan el podio de utilización los smartphones (2%) y las tablets (1%)».

Y agregan que: «utilizar una conexión gratuita en un lugar que no frecuentamos, como un aeropuerto, puede parecer un modo eficaz de resolver tareas diarias cuando contamos con poco tiempo para buscar alternativas más seguras. Sin embargo, puede tener un alto costo: las credenciales de acceso y el tráfico de la red puede ser espiado y capturado y la información que está siendo transmitida, robada», aseguró Cameron Camp, investigador de ESET.

RIEGOS
Entre las amenazas informáticas que puede propagarse por medio de una conexión Wi-Fi podemos mencionar:

SNIFFING: Software o hardware que puede capturar y guardar el tráfico de una red.

– FUGA DE INFORMACIÓN: los cibercriminales pueden modificar el tráfico de la red de modo de obtener datos confidenciales, como credenciales bancarias.

– INTERCEPTACIÓN DE ACCESOS POR MEDIO DE UNA RED GEMELA: configuración de redes para simular una conexión Wi-Fi segura.

– INTENTOS DE ATAQUE 0-DAY a sistemas operativos y aplicaciones: ataques a través de exploits previamente desconocidos.

PRECAUCIONES
Resulta importante ser especialmente precavido cuando se trata de una red inalámbrica cuyo nombre no reconoce o se asemeja cercanamente al de una oficial. Lo mismo ocurre en aquellos casos de redes donde no es necesaria una contraseña para lograr el acceso.

«El truco ocurre por medio de una tecnología proxy, que intercepta captura y almacena una copia de las comunicaciones Wi-Fi en el equipo del ciberatacante, enviando luego la información a la red inalámbrica correcta. Esto ralentizará el tráfico del equipo levemente, pero en el caso de conexiones muy congestionadas es díficil saber si estamos siendo víctimas de un ataque o simplemente hay demasiados usuarios conectados al mismo tiempo», agregó Cameron Camp.

Por otro lado, es fundamental asegurarse que el envío de datos se realice por medio de conexiones de protocolo seguro como https. También es recomendable utilizar una red privada virtual (VPN, del inglés Virtual Private Network) de modo que los datos circulen de manera cifrada y el atacante no pueda tener acceso a los mismos.

 

Fuente: http://www.neumundo.com.ar

El 70% de los empleados violan las políticas de seguridad de su empresa.

Publicado por Deja un comentario

El trabajo de investigación es el Cisco Connected World Technology Report» y entre los muchos datos relevados se destacan los siguientes:

* De aquellos empelados jóvenes que si son conscientes de las políticas de seguridad respecto a la tecnología, el 70% (globalmente) admitió haber roto las políticas de seguridad impuestas con variada regularidad.

RAZONES DE NO OBEDECER
Entre las razones para hacerlos, la más común fue la creencia de que los empleados no estaban haciendo nada incorrecto (33%). Y un 22% citó la necesidad de acceder a programas y aplicaciones no autorizadas para hacer su trabajo, mientras que el 19% admitió que las políticas no se aplican.

Algunos dijeron que ellos no tienen tiempo de pensar en las políticas cuando están trabajando, y otros dijeron que adherirse a las políticas no es conveniente (16%), que se olvidan hacerlo (15%), o que sus jefes no los están observando (14%).

MÁS RESULTADOS LLAMATIVOS
* Uno de cada tres estudiantes universitarios afirmó que «no le importa compartir información personal online» y considera que «los límites de la privacidad se están liberando». De hecho, ya no piensa demasiado acerca de la privacidad.

* A la siguiente frase: «Las compañías restringen muchos dispositivos y aplicaciones de medios sociales», los jóvenes empleados dijeron que los juegos online (37%) eran la aplicación con mayor restricción. Los iPods (15%) eran los dispositivos más restringidos.

PEDIR PRESTADA LA CONEXIÓN
Antiguamente, los vecinos se pedían huevo o azúcar. Ahora piden acceso a Internet. Y por eso se explica casi uno de cuatro estudiantes universitarios (23%) ha pedido a un vecino acceso a una computadora o a Internet, y casi uno de cinco (19%) admitió acceder a la conexión inalámbrica de su vecino sin permiso.

SIN SUPERVISIÓN
Finalmente, las computadoras -especialmente las portátiles- quedan, cada vez más, sin supervisión fija.

* Más de la mitad de los empleados encuestados a nivel mundial (56%) dijeron que habían permitido a otros utilizar sus computadoras sin supervisión (familia, amigos, compañeros de trabajo y hasta personas que no conocían). Y el 16% admitió dejar efectos personales y dispositivos sin supervisar en público, mientras buscan algo para comer, beber en un café o para ir al baño.

LOS DETALLES
El Cisco Connected World Technology Report es un estudio internacional que examina las demandas y el comportamiento de las nuevas generaciones de trabajadores hacia el acceso a las redes, la libertad de dispositivo móvil, los medios sociales y los estilos de vida laborales.

Los resultados son claves al explicar cómo esta nueva mano de obra eleva los riesgos personales y corporativos en medio de un panorama complejo.

Fuente: http://www.neumundo.com.ar

« Entradas anteriores

Estadística del blog

  • 172.292 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: