//
Archivos

guía de protección de datos

Esta etiqueta está asociada a 9 entradas

INTECO presenta la «Guía de actuación contra el ciberacoso» para padres y educadores.

Portada «Guía de actuación contra el ciberacoso» para padres y educadores

El Instituto Nacional de Tecnologías de la Comunicación, INTECO, a través de la Oficina de Seguridad del Internauta (OSI) y del portal Menores OSI, presenta la primera edición de la «Guía de actuación contra el ciberacoso» para padres y educadores, un documento que pretende acercar a los usuarios no sólo cómo detectar el fenómeno, sino también cómo actuar ante esta situación.

La edición de esta guía es una de las iniciativas contempladas en la organización del “Mes de la Seguridad Cibernética” organizado a nivel europeo por la Agencia Europea de Seguridad de las Redes y la Información (ENISA), y coordinado en España por INTECO.

El hecho de que los menores de nuestro tiempo, los llamados «nativos digitales», viven en las nuevas tecnologías es una realidad incontestable. Esta capacidad de acceso a múltiples fuentes de información, la posibilidad de estar hiperconectados con sus compañeros y todas las ventajas que trae esta realidad, no ha impedido la aparición de riesgos. Ante esta situación, la mejor opción es, como se reitera desde la OSI, conocer profundamente el medio en el que se mueven los menores y, en el caso de que llegue una situación de acoso, saber cómo actuar.

Por lo tanto, la guía se presenta como un trabajo de análisis de los dos principales tipos de acoso que se dan actualmente en la red: el ciberbullying, o acoso entre menores, y el grooming, o acoso de un adulto a un menor de edad, para continuar analizando las formas de prevención en casa y en el centro escolar y terminar en la actuación no solo desde estos ámbitos, sino también en el judicial.

Para la elaboración de la guía se ha contado con la participación de expertos en distintas áreas: educadores, psicólogos, abogados, Fuerzas y Cuerpos de Seguridad del Estado y juristas, que han aportado su conocimiento y análisis de las situaciones que se dan en estos casos.

Esta guía pretende ser una primera edición de un documento que seguirá evolucionando con el análisis de otras situaciones como el sexting o el happy slapping y en la que, a la vez, se el número de colaboradores se ampliará a otros ámbitos como el de los médicos o a las redes sociales.

Además, en las próximas semanas se publicarán «Guías SOS» sobre estos temas, con los puntos más destacados y las recomendaciones fundamentales a la hora de la actuación en los casos de acoso a través de Internet.

La «Guía de actuación contra el ciberacoso» para padres y educadores se puede consultar en la sección de Recursos pedagógicos.

¿Es aplicable la legislación de Protección de Datos a las personas fallecidas?

Lo primero que hay que ponerle de relieve, es que de conformidad con lo establecido en la normativa de aplicación sobre protección de datos, los derechos de acceso rectificación y cancelación a los datos personales son derechos personalísimos que únicamente pueden ser ejercitados directamente por el propio afectado.

En consecuencia, los datos de las personas fallecidas no entran dentro del amparo de la LOPD ni de los reglamentos que la desarrollan.

No obstante, la AEPD viene admitiendo que los familiares de los fallecidos ejerciten el derecho de acceso a su historial clínico, de conformidad con lo prevenido en la Ley de Autonomía del Paciente.

Asimismo, el nuevo Reglamento 1720/2007, de 21 de diciembre, permite también que las personas vinculadas familiarmente al fallecido pueden notificar al responsable del fichero el fallecimiento con la finalidad de perseguir la cancelación de los datos de aquel del fichero, sin que ello suponga un posterior derecho a ser tutelado por la AEPD.

También permite que los familiares de los fallecidos ejerciten el derecho de acceso a los datos de la historia clínica de estos últimos, en los términos que ampara la Ley de Autonomía del Paciente.

Fuente: AGPD

Guías de INTECO-CERT: gestión de fuga de información

Nueva guía de seguridad, esta vez centrada en la gestión de la fuga de información, aportando una guía básica para hacer frente a estos incidentes.

En línea con otros contenidos formativos de INTECO-CERT, se ha elaborado una guía introductoria a la gestión de la fuga de información, centrada en la gestión del incidente una vez que este se ha producido.

La prevención es una de las principales armas con que cuentan las organizaciones para evitar todo tipo de incidentes de seguridad, pero en el caso de la fuga de información las consecuencias pueden generar un impacto muy negativo junto con un elevado nivel de dispersión, pudiendo afectar a otras organizaciones o usuarios.

Pero en ocasiones, las organizaciones se centran en exceso en la prevención dejando a un lado la gestión del incidente. Esto supone que en caso que finalmente se produzca la fuga de información, no se dispone de un procedimiento básico que sirva de guía y que permita gestionar adecuadamente las posibles consecuencias y el impacto.

A través de esta guía básica esperamos ofrecer información de utilidad a las organizaciones y las empresas, de manera que puedan tomar las mejores decisiones, con el objetivo de minimizar las consecuencias y el impacto de un incidente de fuga de información.

Desde INTECO-CERT invitamos a las empresas a conocer más sobre la fuga de información, a través de esta guía introductoria.

La guía está publicada en la sección de Estudios e Informes, o también a través del siguiente enlace:


Fuente: Inteco

 

¿Cuál es el alcance de la obligación de anotar las salidas de soportes mediante correo electrónico?

El envío de ficheros con datos de carácter personal mediante correo electrónico o fax conlleva ciertos riesgos específicos que deberán ser analizados por el responsable del fichero y, en su caso, por el encargado del tratamiento para establecer las medidas técnicas y organizativas que deben implantarse para controlar los riesgos inherentes a la utilización del dichos medios, en función de los tipos de datos que vayan ser objeto de transmisión

Por lo que respecta concretamente al sistema de registro, en el caso de que se remitan datos de carácter personal incluidos en un anexo a un correo electrónico, el propio gestor del correo electrónico puede servir como registro.

Esta obligación de anotar las salidas afecta a cualquier otro procedimiento electrónico como el protocolo FTP, descargas desde Internet, carpetas compartidas, así como al envío de fax cuando incorporan datos de carácter personal de un fichero o tratamiento.

Fuente: AGPD

http://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf?idPregunta=1081

 

Las autoridades europeas de protección de datos aprueban un dictamen sobre la incidencia en la privacidad del desarrollo de las tecnologías biométricas

Las autoridades europeas de protección de datos representadas en el Grupo de trabajo del artículo 29 han adoptado un dictamen sobre los últimos desarrollos en materia detecnologías biométricas. El dictamen proporciona un análisis jurídico actualizado del uso de datos biométricos y recomendaciones sobre mejores prácticas. Además, propone medidas técnicas y organizativas para mitigar los riesgos para la protección de los datos y la privacidad, y ofrece también orientaciones sobre cómo evitar las consecuencias negativas para la privacidad y el derecho fundamental a la protección de datos de los interesados.

  Los datos biométricos se usan de manera satisfactoria y eficaz en la investigación científica, constituyen un elemento clave de la ciencia forense y son un valioso componente de los sistemas de control de acceso. Pueden ayudar a incrementar el nivel de seguridad y lograr que los procedimientos de identificación y autenticación sean mas sencillos, rápidos y cómodos. Sin embargo, los sistemas biométricos utilizan propiedades únicas de los sujetos, como las huellas dactilares, los patrones venosos y el ADN.  Aunque los datos biométricos de una persona pueden eliminarse o modificarse, la fuente de la que se extraen en general no puede ni modificarse ni eliminarse. Por esta razón, las tecnologías biométricas plantean riesgos específicos para la privacidad y protección de datos de los afectados.

Gracias a los avences tecnológicos, el coste del espacio de almacenamiento y la potencia de cálculo necesaria son menores. Estos han posibilitado la existencia de galerías de imágenes en línea y redes sociales que contienen miles de millones de fotografías, han permitido que los lectores de huellas dactilares y los dispositivos de videovigilancia se conviertan en aparatos baratos y, gracias a ellos, los análisis de ADN son más rápidos y económicos.

Cuando estas tecnologías biométricas, que generalmente están disponibles, se emplean sin las salvaguardas apropiadas, el derecho a la protección de datos de los afectados corre peligro. Además, existen gran cantidad de tipos de datos biométricos que pueden recopilarse sin la cooperación o el conocimiento por parte del interesado, como ocurre a través de los sistemas de videovigilancia y de reconocimiento facial, lo que podría facilitar que se produzcan numerosas violaciones de manera inadvertida.

En el Dictamen se abordan las ventajas y los riesgos que se han mencionado anteriormente, así como otros desarrollos recientes. Las repercusiones jurídicas del uso de los datos y sistemas biométricos se analizan desde un punto de vista general y de esa tecnología específica.

“Grupo de trabajo del Artículo 29”

El grupo de trabajo de autoridades europeas de protección de datos (Grupo de trabajo del Artículo 29), es el grupo consultivo compuesto por representantes de las autoridades naciones de protección de datos de los Estados miembros, el Supervisor Europeo de protección de datos y la Comisión Europea. Está facultado para examinar cualquier cuestión que esté relacionada con la aplicación de las directivas en materia de protección de datos para contribuir a la aplicación  uniforme de las mismas. Desempeña sus funciones emitiendo recomendaciones, dictámenes y documentos de trabajo sobre todas aquellas cuestiones relevantes que afectan a la protección de datos personales.

Dictamen del Grupo de Autoridades Europeas de Protección de Datos sobre los desarrollos en materia de tecnologías biométricas (EN) 

Fuente: AGPD. Nota

Tus datos personales en internet

La Agencia Española de Protección de Datos ha incluido una nueva sección en su sitio web. Esta nueva sección tiene como objeto concienciar a los usuarios en el uso de internet y en el uso que damos en la red a nuestros datos personales.

Tres apartados servirán a este propósito:

1.- Datos aportados voluntariamente en internet.

2.- Datos personales publicados por terceros en internet.

3.- Datos de navegación y comportamiento en la red.

Fuente: AGPD

Nueva sección con recomendaciones para usuarios de Internet 

 

Traslado de historias clínicas en la ambulancia

Hace unos días tuve la oportunidad de leer un artículo en el periódico digital www.laopinioncoruña.es en el que se informaba de una cuestión que resulta poco menos que llamativa a estas alturas del curso.

 La CIG, Confederación Intersindical Gallega, ha presentado una denuncia ante la AEPD, en la que vienen a mostrar su queja por lo que ellos consideran un “uso desproporcionado” de datos personales de los pacientes que acompañan a la historia clínica de los mismos.

Según informa dicho medio informativo, la CIG comenta que los empleados del servicio de ambulancia “tienen la obligación” de trasladar, junto al paciente, la historia clínica del mismo. ¿Dónde estriba el problema? Pues en que dicha historia clínica va en sobre “abierto” y que “no respetan ningún tipo de custodia”.

 Además de este hecho, la CIG informa de que los trabajadores no han firmado ningún documento de confidencialidad; que el sobre pasa a formar parte de los útiles o enseres de la ambulancia, y que se han dado casos de extravío.

 ¿Qué dice al respecto la LOPD? Los datos de salud que forman parte de la historia clínica de un paciente, a todas luces, son datos de carácter personal. Desde el punto de vista de las medidas de seguridad de este tipo de datos, esta información tiene la consideración de datos de nivel alto de seguridad, art. 81.3.a RLOPD.

 Dependiendo del tipo de soporte, el RLOPD establece las siguientes obligaciones:

Fichero Automatizado:

Artículo 101. Gestión y distribución de soportes.

1. La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a

Los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.

3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

 

Fichero no automatizado:

Artículo 113. Acceso a la documentación.

1. El acceso a la documentación se limitará exclusivamente al personal autorizado.

2. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.

3. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.

Artículo 114. Traslado de documentación.

Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

Conclusiones:

Tanto si el traslado de la historia clínica se efectuara en soporte automatizado como si lo hiciera en soporte no automatizado (papel), se deberán adoptar medidas para impedir el acceso o manipulación de la información. Y, además, el acceso a la misma estará, en todo momento, limitada exclusivamente al personal autorizado.

Es evidente que en el caso que nos ocupa y que ha sido objeto de denuncia por el CIG ante la Agencia Española de Protección de Datos, se ha producido una vulneración de la normativa actual sobre protección de datos personales, en lo que toca a un incumplimiento del artículo 9 de la LOPD que establece la obligación de implantar medidas de seguridad. Otro tema, será ver si se ha producido o no, una cesión de datos no autorizada, en el caso del posible acceso de los trabajadores al contenido de la historia clínica. Estaremos atentos a la respuesta que la AEPD de a este caso particular.

Es muy interesante de leer y analizar la consulta que contesta la Agencia de Protección de Datos de la Comunidad de Madrid a la situación: Acceso de personal auxiliar a las Historias Clínicas, en formato papel, a los efectos de la localización, traslado y entrega de dicha documentación clínica a los médicos. Podéis leer el informe de la APDCM en:

http://www.madrid.org/cs/Satellite?c=CM_Revista_FP&cid=1142409353621&esArticulo=true&idRevistaElegida=1142402790031&language=es&pagename=RevistaDatosPersonales%2FPage%2Fhome_RDP&siteName=RevistaDatosPersonales

Fuente de la noticia: http://www.laopinioncoruna.es/sociedad/2012/05/12/cig-alerta-desproteccion-datos-pacientes-coruneses/607983.html

Educando en seguridad TI

Buenas prácticas y políticas de seguridad: herramientas indispensables que ayudan a alcanzar un adecuado nivel de seguridad en las organizaciones.

En línea con otros contenidos formativos de INTECO-CERT, se ha elaborado una guía introductoria a dos conceptos de gran valor para las organizaciones y las empresas a la hora de implementar y mantener un adecuado nivel de seguridad, las buenas prácticas y las políticas de seguridad.

Por un lado, las buenas prácticas proporcionan una guía a todos los empleados en relación con un conjunto de actividades cotidianas, como el uso del correo electrónico o la navegación en Internet, ofreciendo normas generales de buen uso y recomendaciones que ayudan a mantener la seguridad en el día a día, con el uso adecuado y responsable de las infraestructuras y servicios TIC que ponen las organizaciones al servicio de sus empleados.

Por otro lado, las políticas de seguridad, normas específicas de seguridad, cuyo cumplimiento es obligatorio y que establecen un conjunto de requisitos y criterios, los cuales son diseñados en función del área, ámbito, proceso o servicio al que hacen referencia.

Desde INTECO-CERT invitamos a las empresas a conocer más sobre las buenas prácticas y las políticas de seguridad a través de esta guía introductoria.

La guía está publicada en la sección de Estudios e Informes, o también a través del siguiente enlace: Guía: educando en seguridad TI

Fuente: Inteco

Guía de protección de datos de carácter personal para los centros de enseñanza

Gracias al uso cada vez extendido de las TIC (Tecnologías de la Información y Comunicación) en las aulas cada día hay más posibilidades de hacer llegar las actividades que se desarrollan en estas o en su entorno a más gente, en especial usando Internet.

Esto es, sin lugar a dudas, una oportunidad increíble, pero no está exenta de problemas, pues hay que tener muy en cuenta cosas como si se pueden publicar contenidos audiovisuales en los que salgan menores, etc, por no hablar de la necesidad de que en los centros educativos se traten adecuadamente los datos que se manejan de estos y de sus familias.

Para ello la Guía de protección de datos de carácter personal para los centros de enseñanza, editada por la Consejería de Educación de la Junta de Andalucía, y disponible apara su descarga gratuita en formato PDF, es un recurso que seguro que vendrá bien a los que lidian con estos temas.

Cubre la legislación actual vigente en España, a saber, la Ley Orgánica 15/1999, de 13 de diciembre, y Real Decreto 1720/2007, de 21 de diciembre.

La Consejería de Educación  de la Junta de Andalucía pone a disposición de la comunidad educativa esta “Guía de protección de datos de carácter personal para los centros de enseñanza”.

En ella se pueden encontrar aclaraciones sobre la aplicación de los principios de la Ley Orgánica de protección de datos al ámbito educativo, así como recomendaciones para el correcto tratamiento de ficheros no automatizados que contengan datos de carácter personal y preguntas frecuentes sobre la aplicación de la normativa de protección de datos de carácter personal en los centros de enseñanza .

El uso de redes sociales y la amplia presencia en Internet que día a día tienen las actividades, recursos y documentación audiovisual que se desarrollan en los centros educativos, muchas veces crean dudas sobre el principio jurídico fundamental que debe regir el tratamiento de los datos de los menores – el interés superior de los mismos- consagrado en la Convención de las Naciones Unidas sobre los Derechos del Niño y legislado en distintas normas.

Por otra parte, el tratamiento de los datos personales y escolares, tanto informático como físico, también require de su correcta aplicación, para lo que esta publicación puede ser de referencia.

Se trata, por lo tanto, de una interesante Guía para la consulta en el entorno educativo que clarifica la interpretación de la legislación actual: Ley Orgánica 15/1999, de 13 de diciembre, y Real Decreto 1720/2007, de 21 de diciembre.

Fuente. Junta de Andalucía.

https://www.juntadeandalucia.es/educacion/portalseneca/web/seneca/guia-lopd

Estadística del blog

  • 108,410 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: