PROTEC-DATOS
fraude
Denuncian un posible fraude en la firma del convenio de la FEMP-CLM para fomentar la protección de datos.
Con este titular se despachó ayer el diario digital www.lainformación.com en respuesta al comunicado de prensa que realizó la FEMP-CLM sobre la firma de un convenio de colaboración para fomentar la protección de datos personales con una consultora.
Según el propio diario, la polémica está servida por el hecho de que la firma del citado convenio “pondría a disposición de todos los asociados un servicio que podrá ser incluso gratuito para la totalidad de las corporaciones locales de la región, e incluso empresas, al ser dicha actuación subvencionable a través de la Fundación Tripartita”.
El diario ha recabado la opinión de prestigiosos juristas especializados en esta materia, así como de la nota informativa que, al respecto, publicó la Fundación Tripartita, y la carta abierta que la APEP ha publicado en su sitio web www.apep.es , en el que se puede percibir el malestar de los profesionales del sector y la alarma social que la firma de convenio ha traído como consecuencia, al poner de manifiesto el uso de fondos de formación para obtener el fin del coste cero, hecho este que podría ser un fraude.
Leer mas en:
Tercer comunicado de la Fundación de Tripartita sobre el uso fraudulento de fondos de formación para enmascarar proyectos de consultoría en LOPD
Tercer anuncio de la Fundación Tripartita, segundo en los que vamos de año, en el que la misma pone en conocimiento de todos los ciudadanos de este país y, de sus organismos y PYMES en particular, que el uso de fondos de formación, que gestiona la Fundación Tripartita, para encubrir o enmascarar proyectos de consultoría en protección de datos personales y prevención de riesgos constituyen un fraude de ley.
En este caso, la Fundación Tripartita a sacado a la luz esta nueva nota informativa a raíz de la denuncia masiva planteada por la APEP, Asociación Profesionales Españoles de la Privacidad) y de los cientos de profesionales que la integramos, a raíz del comunicado de prensa de la firma de un convenio de colaboración entre FEMP-CLM (Federación de Municipios y Provincias de Castilla la Mancha) y Conversia Consulting Group.
En ella se especifica claramente que el convenio firmado incluye: «Por último, los proveedores de las administraciones locales de la región también podrán verse beneficiados, ya que la práctica totalidad de los mismos podrán adaptarse también a la LOPD sin coste para sus empresas, al ser dicha actuación subvencionable a través de la Fundación Tripartita».
Si efectivamente tienen unos 30000 clientes, como dice la noticia, teniendo en cuenta que la gran mayoría se han hecho haciendo uso de los fondos de formación (mínimo 420€ y la mayoría mucho más), la estafa ascendería a más de 12 millones de Euros.
En la nota que ha publicado la Fundación Tripartita nos recuerda a todos que «Las empresas que se bonifiquen por la contratación de servicios de consultoría (LOPD, LPR, etc.) deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.»
Además añade, «Recordamos asimismo que la Fundación Tripartita inició hace ya dos años un proceso de comprobación tras detectar entidades que ofrecen servicios gratuitos de consultoría con cargo al crédito asignado a las empresas para la formación de sus trabajadores. Las actuaciones realizadas por el Servicio Público de Empleo Estatal han dado lugar a la imposición de sanciones.»
Desde la APEP seguiremos denunciando estas prácticas fraudulentas, que atentan contra el bolsillo de todos los españoles, y que constituyen, en sí mismas, una plaga lesiva para los intereses de las PYMES que caen víctimas del señuelo del «COSTE CERO», teniendo que devolver los importes subvencionados y acarreando fuertes sanciones de la inspección de trabajo. Además de que la consultora de turno también sufra la correspondiente sanción por inducir al fraude y por connivencia.
Desde APEP se ha lanzado una campaña de sensibilización a nivel nacional, tanto a las Cámaras de Comercio, organizaciones empresariales y sindicatos, partidos políticos, colegios profesionales, etc., etc., a fin de informar a estos entes sobre la prácticas que afectan a sus interesados y, a su vez, que rompan los acuerdos y/o convenios que puedan tener firmados con entidades consultoras que promuevan este tipo de prácticas. En este caso concreto, APEP ha publicado una carta abierta en su sitio web a la FEMP-CLM haciéndoles ver este tema. Esta carta se puede leer en el siguiente enlace:
Hay que recordar que en las Islas Canarias no solo opera Conversia Consulting Group con esta práctica, sino que hay otras muchas entidades que así lo hacen, franquicias, consultoras peninsulares y consultoras insulares que han hecho del COSTE CERO su única herramienta de trabajo, su único argumento profesional. Todas estas entidades están identificadas y denunciadas ante los organismos pertinentes, con copia abundante de documentos, presupuestos, facturas, contratos, etc., que ponen de manifiesto esta práctica ilegal e inmoral.
Confiamos en que estos comunicados de la Fundación Tripartita, tres en los últimos dos años, dos en lo que llevamos de semestre, sirvan para tomar conciencia de la seriedad de este tema.
Podéis leer la nota completa en:
http://www.fundaciontripartita.org/index.asp?MP=4&MS=105&TR=A&IDR=11&id=592&r=1024*768
Usurpan su identidad e incluyen sus datos en el registro de morosos.
La AEPD instruyó en su procedimiento sancionador PS/00290/2008 contra Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA, VODAFONE ESPAÑA SA, por la inclusión de los datos personales de un vecino de Lanzarote (según publica www.diariodelanzarote.com ) en un fichero de morosos.
Según consta en el citado procedimiento sancionador, este vecino fue objeto de una sustracción de sus efectos personales, entre los que se encontraban su DNI y carnet de conducir, así como tarjeta de Caixa Cataluña y Visa electrón de Argentaria. Dicha sustracción fue denunciada el 29/11/1997 en la Comisaría. Con fecha 25 y 27 de febrero del 2004 interpuso denuncias por los requerimientos de pago de UNO-E BANK que requería el cobro de una cantidad y de La Caixa por la apertura de una cuenta; hechos susceptibles de haberse realizado con los documentos usurpados en el año 1997.
Abiertas diligencias por la AEPD y requerida la documentación a las partes, según consta en dicho procedimiento, quedaron probados los siguientes hechos más relevantes:
1.- El denunciante presentó la denuncia por la sustracción de los documentos así como las denuncias interpuestas.
2.- Que continuó recibiendo llamadas de reclamación de pago de deudas y que explicando lo sucedido, algunas entidades dejaron de reclamar pero otras siguieron insistiendo. Y se registraron dichas deudas en ASNEF y Badexcug.
3.- Que figuran en el registro de ASNEF al menos 10 notificaciones realizadas al denunciante. Mismas notificaciones también fueron realizadas por Badexcug.
Entre los fundamentos de derechos expuestos en el citado procedimiento, se imputa:
1.- En primer lugar, a Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA y VODAFONE ESPAÑA SA en el presente procedimiento una infracción del artículo 6.1 de la LOPD que dispone que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. En el presente caso, ha quedado acreditado que las entidades imputadas trataron los datos del denunciante sin su consentimiento para darle de alta, y efectuar los tratamientos posteriores, en sus ficheros de clientes como titular de contratos de diferente tipo en función de la actividad de cada una.
Ninguna de dichas entidades ha acreditado que el denunciante consintiera el tratamiento de sus datos personales, y el denunciante niega tal contratación. Ninguna de ellas dispone de documentos que acrediten la identidad de la persona con la que dicen haber contratado. Una copia del DNI o del pasaporte u otro documento que acredite la identidad, documentaria una actuación con diligencia suficiente para evitar el tratamiento de los datos sin el consentimiento del titular de los datos. No siempre es posible detectar la falsedad de los documentos pero si es posible y necesario comprobar la identidad y documentarla. Cuando se emiten las facturas y los diversos escritos de reclamación de deuda son devueltos impagados o las envíos por correos devueltos un mínimo de diligencia en la gestión obligaría a establecer actuaciones de verificación de identidad –primero- y de domicilio –después- para tener la certeza de que los datos personales del cliente son exactos. Actuaciones que en todo caso deben ser previas a la anotación en los ficheros de solvencia patrimonial y crédito. Al no haberlo hecho así, debe considerarse vulnerado el principio de consentimiento, recogido en el artículo 6 de la LOPD, por cuanto dicho tratamiento se realizó sin el consentimiento del denunciante y no concurre en los supuestos examinados alguna de las circunstancias previstas en el artículo 6.2 de la LOPD que permitirían tratar los datos del denunciante sin su consentimiento.
2.- En segundo lugar, se imputa a Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA y VODAFONE ESPAÑA SA una infracción del artículo 4.3 de la LOPD, que señala que “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.
La obligación establecida en el artículo 4.3 trascrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación.
La Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito, establece en su Norma Primera, punto 1, los requisitos imprescindibles para registrar los datos relativos al cumplimiento o incumplimiento de obligaciones exigiendo que “ La inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, a los que se refiere el artículo 28 de la Ley Orgánica 5/1992” –artículo 29 LOPD-,”deberá efectuarse solamente cuando concurran los siguientes requisitos: a) Existencia de una deuda cierta, vencida y exigible que haya resultado impagada. b) Requerimiento previo de pago a que corresponda, en su caso, el cumplimiento de la obligación” (el subrayado es de la Agencia Española de Protección de Datos).
En este caso, Caixa D’Estalvis de Catalunya, Finandia EFC SA, SANTANDER CONSUMER FINANCE SA y VODAFONE ESPAÑA SA incluyeron en el fichero Asnef y Badexcug, respectivamente, los datos del denunciante por la falta de pago de unas cuotas mensuales de financiación de compras o de prestación de servicios que no habían sido contratados por el denunciante.
Ha de considerarse, que en el momento de la anotación en Asnef y en Badexcug, los datos no eran exactos, pues el denunciante no tenía ninguna deuda con las entidades que comunican los datos a los ficheros de morosos. Ni se le había notificado la deuda ni se le había efectuado el requerimiento previo a su inclusión en los ficheros de morosos. Todos los domicilios que han incorporado a sus ficheros y a los que han dirigido sus notificaciones y han hecho constar en el fichero de morosos son distintos al del denunciante. El denunciante reside en la (……….) y los que obran en poder de las entidades imputadas están en (………).
No consta que por las entidades imputadas se haya realizado actuación con diligencia suficiente, una vez conocida la irregularidad de los datos recabados.
Por tanto, el tratamiento de datos como cliente –sin consentimiento- y la anotación de los datos –inexactos– en el fichero de morosos, son dos hechos claramente diferenciados y cada uno de ellos supone una infracción distinta.
Cada una de estas entidades han sido sancionadas por estas dos infracciones, infracción del artículo 6.1 y del 4.3 de la LOPD, con un importe de 60.101,21€ cada una de las mismas, alcanzando un montante el expediente de 480.809,68€, 120.202,42€ por cada entidad denunciada.
Esta resolución fué recurrida por los denunciados. Y, según informa http://www.diariodelanzarote.com, «la Audiencia Nacional ha venido dictando sentencias, la última reciente a favor de Finandia, en la que anula las sanciones. Argumenta que no fue posible detectar el uso “fraudulento” de la identidad del afectado y pone como ejemplo una adquisición en una casa de subastas, donde se utilizó documentación falsa. “Nada hacía sospechar” que quien compraba “no era quien aparentaba ser”. «
Fuente: http://www.agpd.es
http://www.diariodelanzarote.com/2012/05/07/lanzarote06.htm
Soluciones de seguridad para la empresa: ingeniería social y fraude
La ingeniería social se ha convertido en una de las herramientas más utilizadas por los ciberdelincuentes para engañar a los usuarios y cometer fraudes.
La ingeniería social no es nada nuevo, el arte del engaño y la persuasión, es tan antiguo como el hombre. En el mundo de las tecnologías de la información, la ingeniería social se ha convertido en una herramienta fundamental para los ciberdelincuentes, puesto que les permite superar las barreras de seguridad tomando un “atajo”: el usuario. En el mundo de la seguridad informática se solía decir qué: el usuario es el eslabón más débil de la cadena de la seguridad y este axioma, sigue siendo cierto en la actualidad.
En los primeros años de la informática, las amenazas de seguridad se enfocaban en conseguir el acceso a los sistemas a través de medios técnicos, por ejemplo, a través de soportes de almacenamiento como los disquetes. Por otro lado, el objetivo de este tipo de incidentes eran los propios sistemas, inutilizándolos o provocando la pérdida de información. Finalmente, las personas que provocaban estos incidentes de seguridad tenían motivaciones que poco tienen que ver con las motivaciones de los ciberdelincuentes actuales.
Hoy día, el objetivo no son los sistemas, sino los usuarios. Las motivaciones son fundamentalmente de tipo económico, aunque también hay otras, como la suplantación de identidad o la venganza, y las personas detrás de estos incidentes, son profesionales dedicados al cibercrimen o delincuentes que han pasado de actuar en el mundo real al mundo de Internet. La motivación económica supone un peligro enorme: por dinero, las personas son capaces de cualquier cosa, y en Internet no es diferente.
La motivación económica detrás de la mayoría de los incidentes de seguridad que se producen en Internet, implica que todos los usuarios son un objetivo potencial, no importa si es un usuario de una empresa, una organización o incluso un gobierno. Todos están en el punto de mira y los cibercriminales han demostrado que usan todo aquello que está a su alcance y contra objetivos que les puedan proporcionar beneficio. Los cibercriminales explotan la ingeniería social a través de cualquier canal de comunicación que les permita llegar hasta un usuario. Por ejemplo, las redes sociales, la mensajería instantánea, los mensajes de móvil, el correo electrónico, los sitios web, las aplicaciones móviles, los juegos, etc. Cualquier canal de comunicación o todo tipo de información que viaja por estos canales, es susceptible de ser utilizada para el engaño.
Actualmente, existen muchas soluciones de seguridad destinadas a la protección contra la ingeniería social y el fraude en las empresas y las organizaciones, y las podemos dividir en dos grandes grupos:
- Soluciones de seguridad para el puesto de trabajo. Son aquellas que son implantadas en el propio puesto de trabajo, que puede ser un ordenador de sobremesa o un portátil y cuyo ámbito de protección es precisamente el puesto de trabajo. Estas soluciones son similares a las que podemos encontrar en el ámbito doméstico, aunque aquellas que están destinadas a la empresa, incorporan características adicionales (soporte, actualizaciones con mayor frecuencia, etc.).
Hasta hace poco tiempo, las soluciones de seguridad para el puesto de trabajo se comercializaban por separado, como por ejemplo, soluciones anti-spam, anti-fraude o anti-phishing. Hoy día, la tendencia es la unificación de soluciones de seguridad que permiten luchar contra diversas amenazas de forma unificada. Esta tendencia responde al hecho de que las amenazas se están volviendo cada vez más complejas y son capaces de realizar distintos tipos de ataques, por lo que la industria ha tenido que adaptarse combinando las distintas soluciones de seguridad en lo que se conocen como “Suites” o paquetes de seguridad para proteger ante las distintas formas o técnicas que puede emplear una amenaza.
- Soluciones de seguridad corporativa. Son soluciones que son implantadas en sistemas corporativos, es decir, equipos y sistemas que proporcionan servicios a muchos usuarios dentro de una organización o también pueden ser contratadas como servicios (externos), lo que se conoce también como Servicios de Seguridad Gestionada. El ámbito de protección es la organización o sus departamentos o áreas. Las soluciones de seguridad corporativa son soluciones que ofrecen un nivel de protección similar a las soluciones para el puesto de trabajo, pero que son capaces de brindar esa protección a decenas o miles de usuarios y sistemas al mismo tiempo.
La función principal de estas soluciones es filtrar las comunicaciones de una organización. Este tipo de soluciones trabajan a diferentes niveles, a nivel de red, filtrando direcciones ip sospechosas o a nivel de aplicación o incluso a nivel de contenidos, analizando correos electrónicos o direcciones URL. Una de las características de este tipo de soluciones es que permiten la aplicación de distintas políticas de seguridad y permisos en función de roles, áreas departamentos o actividades, por lo que su configuración y puesta en marcha, requiere de personal especializado, que debe adecuar la solución de seguridad a las exigencias de la organización.
En realidad, los dos tipos de soluciones anteriores pueden formar parte de una misma solución, y de hecho, existen aplicaciones para el mundo de la empresa que combinan ambos.
El usuario: la última barrera de seguridad
Pero lo cierto es que además de estos dos tipos de soluciones de seguridad o de otros, en el caso de la ingeniería social, el usuario es posiblemente, uno de los factores en seguridad más importantes, puesto que en última instancia, es él quien decide qué desea ver, enviar o descargar, por lo que, en muchos casos, tiene la última palabra. Es verdad que hay riesgos muy difíciles de detectar por éstos, pero también es cierto que no es posible automatizar la detección de todo tipo de amenazas, por lo que el usuario sigue siendo, una línea de defensa fundamental.
Por todo ello, la formación, sensibilización y educación en seguridad de todos los empleados debe ser parte fundamental tanto del proceso de implantación de soluciones de seguridad en la empresa, como parte de un de un plan general de formación continua, de manera que todos los usuarios dispongan de información y formación en seguridad que les ayude a ser una barrera de seguridad más eficaz contra las amenazas y realizar un uso adecuado de los recursos e infraestructuras que pone la empresa a su disposición.
fuente: Inteco
El Inem detecta fraude en los fondos de formación
El Inem ha detectado una bolsa de supuesto fraude en el uso de los fondos de formación continua, que algunas empresas utilizaban para financiarse la contratación de los servicios de protección de datos de algunas consultoras dedicadas a esta actividad. Los primeros resultados de una investigación abierta por el Servicio Público de Empleo, el antiguo Inem, ponen de manifiesto que en una de cada cuatro empresas investigadas se había producido alguna irregularidad.
PROTEC-DATOS 