datos confidenciales

Procedimiento sancionador a VALORA GESTIÓN TRIBUTARIA por infracción grave al vulnerar el artículo 9 de la LOPD

La entidad VALORA GESTIÓN TRIBUTARIA, organismo autónomo local de carácter administrativo creado por el Cabildo de Gran Canaria, ha sido sancionada por incumplimiento del artículo 9 de la LOPD, en relación con el artículo 92 del RD 1720/2007, de 21 de diciembre.

Los hechos se remontan al 26/02/2016 cuando un ciudadano presentó la denuncia ante la AEPD al recibir en su domicilio, una notificación de VALORA mediante carta certificada en la que el frontal de la misma constaba, junto a sus datos personales, el motivo de la comunicación: «Notificación de embargo de cuentas corrientes» y «Providencia de embargo trabajador«, siendo esa información accesible a terceras personas.

 En la primera carta: NOTIFICACIÓN DE EMBARGO DE CUENTA CORRIENTE NOTIFICACIÓN Nº: *********1 EXPEDIENTE Nº: 2015-01-***** GRUPO: XXXXX

 Y en la segunda: EMBSAL: PROVIDENCIA EMBARGO TRABAJADOR NOTIFICACIÓN Nº: *********2 EXPEDIENTE Nº: 2015-01-***** GRUPO: XXXXX

Se imputa a la entidad VALORA GESTIÓN TRIBUTARIA. el incumplimiento del principio de seguridad de los datos personales que constan en sus ficheros. A este respecto, el artículo 9 de la LOPD, dispone:

“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley”.

El citado artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

El Artículo 92.3 del reglamento, bajo el epígrafe, Gestión de soportes y documentos dice: En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

«Así, VALORA GESTIÓN TRIBUTARIA. está obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al establecer un sistema de notificaciones de los embargos correspondientes a los ciudadanos, que no impide de manera fidedigna que los datos personales de éstos: nombre, apellidos y domicilio completo, puedan ser accesibles por terceros, asociados a su situación de «embargado».»

«VALORA GESTIÓN TRIBUTARIA manifestó en su escrito de 31 de agosto de 2016, que en los sobres en cuestión sólo constan los datos del titular a efectos de notificación, nombre del procedimiento administrativo seguido en cada caso e identificación numérica del mismo, no considerando que con ello se esté facilitando ningún dato que deba estar protegido a efectos de la LOPD, y todo ello en base a identificar cada notificación remitida, así como informar al ciudadano del procedimiento seguido en que es parte interesada.

Sin embargo, tal alegato no puede ser aceptado.

En primer lugar, lo que es objeto de valoración en el presente caso es la vinculación de las expresiones que figuran en las cartas (notificación en embargo de cuenta corriente y providencia de embargo trabajador) con los datos del denunciante. La indicación en los frontales de las cartas del nombre del procedimiento del que se trata, o sobre el asunto que versa el mismo, lo que unido a los datos del denunciante, nombre, apellidos y domicilio, permite la asociación de ambas informaciones y la posibilidad de que terceras personas puedan acceder a ellos. Esta forma de comunicación impide salvaguardar la confidencialidad de la correspondencia, pues asocia las expresiones cuestionadas con los datos personales del destinatario, y en el caso que nos ocupa, permite conocer que el denunciante está en inmerso en un proceso de embargo.»

«El artículo 44.3.h) de la LOPD, considera infracción grave: “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. En el caso examinado, de las actuaciones practicadas ha quedado acreditado que VALORA GESTIÓN TRIBUTARIA vulneró el artículo 9 de la LOPD, en relación con el artículo 92 del Reglamento de desarrollo de la LOPD, al enviar dos cartas certificadas con la expresión “notificación en embargo de cuenta corriente”, en una y “providencia de embargo trabajador” de manera visible, permitiendo la vinculación de esta información con los datos personales del denunciante.»

Visto este procedimiento sancionador AAPP-00065/2016 se puede percibir claramente la actitud nada diligente de este organismo a la hora de comunicar a la ciudadanía las notificaciones, poniendo a disposición pública de terceros información que es de carácter confidencial.

Siguiendo con los IPAD de sus señorías

La sorprendente noticia que comentábamos hace dos semanas (http://wp.me/pzuzu-ru ) , sobre la pérdida o extravío de, al menos 15 y otros 15, al menos, por avería, por parte de sus señorías del Congreso de los Diputados y el revuelo que ello conllevó, desde el pronunciamiento del propio Congreso sobre la supresión de la sustitución de estos terminales a aquellos diputados que extraviaran los mismos como la aplicación de medidas de seguridad para garantizar la confidencialidad de los mismos.

 Este tipo de noticias no dejan de ser llamativas por el fondo y la forma en que se producen. Llamábamos la atención entonces al hecho de que estábamos ante un claro incidente de seguridad y que la acción correctora por parte del Congreso iría en la línea de aplicar medidas de seguridad concretas a los tablets.

Por esta razón y a fin de conocer mejor las medidas de seguridad que los usuarios de tablets, y concretamente de iPad, los compañeros del blog Seguridad Apple han redactado un excelente artículo que merece la pena leer con detenimiento y, sobre todo, aplicar de forma inmediata en el iPad, si somos usuarios de ellos.

 Os dejo aquí el enlace:

 http://www.seguridadapple.com/2012/11/los-datos-de-los-diputados-robados-o.html

Los tablet perdidos por nuestros representantes públicos, ¿no son un incidente de seguridad en toda regla?

Hace unos días salía a la luz pública la noticia de que el Congreso de los Diputados del Reino de España había repuesta unos 15 tablets a sus señorías por extravíos de los mismos, amén de otros 15 por sendas averías.

Esta noticia ha dado mucho de qué hablar, desde el debate de si nuestros diputados deben o no contar con tablet cuando ya disponen de ordenador portátil; si el Congreso de los Diputados debe o no reponer los mismos o deben reponerlo los señores diputados; a aquellos comentarios mas mal pensados que señalan que los mismos no han sido extraviados sino cedidos a familiares o amigos a costa de las arcas públicas, etc.. Es cierto que, por lo menos uno de esos tablets fue robado directamente del despacho de un diputado en el propio Congreso, donde forzaron la puerta de acceso al mismo y robaron el mismo.

Fuera como fuese el caso, en todos ellos hay un denominador común, desde el punto de vista de la seguridad de la información, se ha producido una incidencia de seguridad. Hay que recordar que un incidente de seguridad es cualquier situación que ponga o haya puesto en peligro la integridad, la disponibilidad y/o la confidencialidad de la información.

¿Qué pasaría si la información que contienen esos dispositivos móviles viniera a caer en manos dudosas?. Nos escandalizamos cuando oímos hablar de gobiernos que pierden ordenadores portátiles, discos duros, pendrive o dispositivos de almacenamiento de datos. ¿Por qué nos escandalizamos? Porque con esas pérdidas de equipos se han abierto una brecha en la seguridad de la información que maneja el estado. Informes de militares en misiones especiales; informes de ciudadanos y su situación tributaria; informes de pensiones y de seguridad social; etc.etc..

¿Qué tipo de información contenían esos tablets extraviados? ¿Había información que pudiera comprometer datos personales y/o confidenciales? Es curioso porque ninguno de los medios informativos que se han hecho eco de la noticia han incidido en este punto en cuestión. ¿Por qué? Quizás porque en la actual situación de crisis financiera y moral, llama poderosamente la atención de los gobiernos hagan un desembolso de unos 600€ de media para dotar a los señores diputados de tablets, y no les importe volver a desembolsar otros 600€ de media para reponer aquellos que «supuestamente» han sido extraviados.

Pero detrás de esta cortina, que no deja de ser cierta, prevalece una realidad pura y dura, hay 15 tablets con datos accesibles a diputados que están “extraviados”, es decir, hay 15 tablets con datos confidenciales que están en manos equivocadas. Y esto, no es una incidencia menor, que deba pasar inadvertida.

Toda incidencia de seguridad conllevará una acción correctiva, eso se desprende del reglamento de desarrollo de la LOPD cuando establece que entre las medidas de seguridad a implantar, desde el nivel básico de seguridad, está el registro de incidencias, artículo 90 y 100 RD 1720/2007, cuyo literal dice:

Artículo 90. Registro de incidencias.

“Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. “

Artículo 100. Registro de incidencias.

1. En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

Y, además, el artículo 101.2, bajo el epígrafe «Gestión y distribución de soportes», señala que entre las medidas de seguridad a establecer, cuando los datos sean de nivel alto de seguridad, será:

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero. 

¿Se ha tomado alguna medida correctora en vista de los hechos repetidos de “extravío” de tablets?.

1.- Por un lado, dejará de reponer los tablets extraviados y se abonarán las reparaciones de aquellos que se hubieran averiados, a partir de la segunda reparación.

2.- Se baraja la posibilidad de habilitar una aplicación para anular e incluso localizar los tablets “perdidos”.

Con la primera medida, el Congreso de los Diputados ataja el dilema moral del gasto de reposición. Queda pendiente el dilema de si deben o no contar con un tablets cuando ya cuenta con un ordenador portátil.

Con la segunda medida, si se lleva a cabo, impedirán que esos tablets y la información que contengan puedan ser objeto de deseo o, por lo menos, que puedan ser usados.

Pero de esta segunda opción, surge una conclusión devastadora desde el punto de vista de la seguridad, si el Congreso baraja la opción de habilitar esa aplicación para anular y/o localizar los tablets “extraviados”, es una evidencia que los tablets que se han ido entregando hasta la fecha a sus señorías no tienen habilitados por defectos la opción “Buscar mi iPhone”.

Con estos hechos en las manos uno se pregunta sinceramente si el órgano del estado que redactó y aprobó la Ley 15/1999, de 13 de diciembre y el RD 1720/2007, de 21 de diciembre, ¿de verdad cumplen con esa Ley y su Reglamento? ¿Aplican las medidas de seguridad que nos exigen al resto de los españoles?.

Hemos hablado en este post de los tablets «perdidos o extraviados» y no hemos hablado de los tablets averiados. ¿Donde acabaron aquellos que hasta la fecha fueron reemplazados a sus señorías? ¿Qué pasó con la información que los mismos contenían? ¿Se aplicaron las debidas medidas de seguridad y se eliminaron los datos confidenciales? Y cuando se envíen a reparar, ¿tomarán algunas medidas de seguridad?… Honradamente prefiero no pensar en ello, se me ponen los pelos de punta solo de mencionarlo. Dice el refranero popular que «a buen entendedor pocas palabras bastan».

Cloud Computing: La seguridad y confidencialidad de los datos: el secreto profesional

Uno de los principios esenciales de la protección de datos es el de seguridad y un derecho irrenunciable de la profesión de abogado es el secreto profesional, la responsabilidad ética y jurídica de salvaguardar la información de los clientes. Este derecho-deber impone a los responsables de tratamientos una diligencia cualificada sobre la observancia por el proveedor de servicios de todas las garantías legales relativas a los requerimientos de seguridad exigidos en relación con los datos, documentos y actuaciones amparadas por el secreto profesional.

             El artículo 12.2 de la LOPD dispone que “en el contrato entre responsable y encargado se estipularán las medidas de seguridad que deberá implementar el encargado”

             En materia de seguridad y confidencialidad, y desde un punto de vista técnico, los aspectos esenciales a tener en cuenta durante la selección del proveedor de servicios Cloud son los siguientes:

 • Como cuestión previa, tanto el responsable que contrata como cliente estos servicios como el propio prestador de servicios han de actuar diligentemente solicitando y ofreciendo una información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información. A tal efecto deberán intercambiar información sobre la naturaleza de los datos para establecer un nivel de seguridad apropiado.

• El proveedor de servicios Cloud ha de garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.

• El proveedor ha de establecer mecanismos seguros de autenticación para el acceso a la información por parte de los responsables del tratamiento así como por parte de los clientes, en los términos que el responsable determine. Estos mecanismos han de permitir la compartición e intercambio de información sin que por supuesto sea posible que personas no autorizadas accedan a información reservada o confidencial.

• El cifrado de los datos almacenados es una necesaria medida de seguridad. El proveedor ha de dar a conocer al responsable el nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas. Asimismo, es fundamental acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre el responsable y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos al responsable o al nuevo proveedor designado por éste.

• Habida cuenta de que en numerosos casos los ficheros contendrán datos especialmente protegidos es necesario que el encargado del tratamiento establezca un registro de los accesos realizados a los datos.

• En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de servicios, deben contemplarse garantías alternativas que cumplan el mismo objetivo, tales como la intervención de un tercero independiente de acreditado prestigio que audite las medidas de seguridad implantadas.

• Que, en todo caso, si se producen incidencias de seguridad que afecten a los datos personales de los que es responsable el cliente del servicio de Cloud Computing, sean puestos en su conocimiento por el prestador del servicio junto con las medidas adoptadas para corregir los daños producidos y evitar que se reproduzcan dichos incidentes.

             Las medidas adoptadas deberán ajustarse a las previsiones contenidas en los artículos 79 y ss. del RLOPD, teniendo en cuenta que no todos los datos de carácter personal gozan del mismo nivel de protección, dado que existen datos especialmente protegidos, entre los que se encuentran por ejemplo los relativos a salud, orientación sexual, ideología o religión, para los cuales las medidas de protección que debe adoptar el encargado del tratamiento del fichero son especialmente rigurosas.

             Así se establecen tres niveles de seguridad (básico, medio y alto) que se asocian a tres categorías de datos en función del nivel de protección de los mismos. El encargado del tratamiento (el prestador del servicio Cloud) es quien debe implementar estas medidas, que le debe exigir el responsable del tratamiento mediante el oportuno contrato escrito.

Fuente: AGPD

¿Sabes cómo usar Whatsapp de forma segura?

Si planteáramos esta pregunta a algunos de los mas de diez millones de usuarios que esta aplicación tiene en España probablemente la respuesta mayoritaria sería, algo así como: no sé…

Dicho de otro modo, la inmensa mayoría de los usuarios de esta aplicación, entre ellos, lo millones que han adquirido un smartphone solo para usar Whatsapp, han priorizado en todo momento la utilidad de la herramienta antes que la seguridad de la información que posee y/o comparte.

Son muchas las virtudes que han enamorado a los usuarios de esta aplicación, por contra, hay que reconocer, no se le ha prestado atención a las deficiencias de seguridad y confidencialidad de la misma. Por esta razón, resulta de gran utilidad contar con artículos que nos informen del uso de la aplicación así como sugerencias que debemos tomar en cuenta al usarla a diario.

Destacamos desde este blog, el artículo publicado en el diario digital Elperiodico.com bajo el título «Cómo usar Whatsapp de forma segura», donde dos expertos aportan su visión para que los diez millones de usuarios españoles de esta aplicación hagamos un uso consciente y responsable de la misma.

Sigue leyendo →

¿En qué consiste el deber de guardar secreto?

El artículo 10 de la Ley Orgánica 15/1999, exige a quienes intervengan en cualquier fase del tratamiento de los datos, en el amplio sentido en que lo define el artículo 3,c), a guardar secreto profesional sobre los datos, subsistiendo la obligación aún después de finalizar su relación con el responsable del fichero: ‘El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.’

          El incumplimiento del deber de secreto puede ser constitutivo de una sanción leve, en los términos del artículo 44.2.e), o de infracción grave de acuerdo con lo previsto en el artículo 44.3.g) en virtud del cual, ‘La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.’

           La vulneración del deber de guardar secreto sobre los datos de carácter personal especialmente protegidos a que hacen referencia los apartados 2 y 3 del artículo 7, así como de aquellos que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas, puede ser constitutivo de una sanción muy grave en los términos del artículo 44.4.g) de la Ley Orgánica 15/1999.

Fuente: AGPD

http://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf;jsessionid=745D0872DB6098BA7E1DB88DADDACE32?idPregunta=948

Tuenti, en políticas de privacidad, va a la cabeza

No es la primera vez que se nos acerca algún conocido o algún asistente a una jornada formativa para mostrarnos su preocupación por las políticas de protección de datos y privacidad de las redes sociales. De hecho, con el boom de estas en la sociedad civil, las autoridades de protección de datos, entre ellas la AEPD, convocaron a los responsables de las mismas a fin de mostrarles su preocupación por la dimensión del problema y buscar maneras de limitar el impacto que podría, y de hecho tiene, en la privacidad de las personas, la información alojada y compartida en dichas redes.

Desde el primer momento se detectaron deficiencias claras y tangibles en las políticas de privacidad de las redes sociales y, muy especialmente, en su configuración de privacidad por defecto. Ya que el denominador común de las mismas era contar con una configuración de privacidad de mínimos; el resultado… la información era, en la práctica, compartida con todos los usuarios.

Tuenti quiso dejar claro desde ese momento su compromiso con la privacidad y el respeto a la misma. Ahora va mas allá, ese compromiso se ha plasmado en un cambio sustancial en su configuración de privacidad, de tal forma que quién abra hoy una cuenta en Tuenti contará con el nivel máximo de seguridad aplicado en su cuenta a su configuración. El usuario decidirá en todo momento si quiere mantener o bajar gradualmente ese nivel de seguridad. Hasta ahora esa política solo estaba disponible a aquellos usuarios que eran menores de 18 años.

Son varias las medidas que con el tiempo esta red social ha ido adoptando a fin de garantizar la confidencialidad y privacidad de la información alojada en la misma.

Si queréis leer mas sobre esta noticia os remito a:

 http://www.elmundo.es/elmundo/2012/05/08/navegante/1336488390.html