RACE, una institución clave en la Seguridad Vial en España

El pasado 10 de junio se celebró el Día Mundial de la Seguridad Vial, una fecha que en Áudea Seguridad de la Información queremos aprovechar para felicitar al Real Automóvil Club de España (RACE) por su labor y compromiso con la Seguridad Vial.

 

Y es que el RACE es uno de nuestros clientes más veteranos; desde 2008 ha confiado en esta casa para desarrollar proyectos de diversa índole; cursos de formación y auditorías de Protección de Datos, entre otros. Pero los orígenes del RACE se sitúan mucho antes, a principios del siglo XX, y su historia ha determinado la historia de la automoción en España.

 

¿Qué es el RACE?

Coches (particulares o de servicio público), motocicletas, autobuses y demás tipos de automóviles están muy presentes en nuestro día a día. Sus ventajas son innumerables y favorecen las comunicaciones y, por tanto, la actividad económica y el desarrollo de la sociedad en general.

Además, España cuenta con una extensa red de carreteras y con la red de autovías y autopistas con más kilómetros de toda Europa. Por otro lado, los seguros privados y los servicios públicos brindan a los conductores múltiples servicios de asistencia en carretera.

No obstante, no siempre fue así. Cuando se matricularon los primeros automóviles en España, no existían carreteras asfaltadas, ni los conductores tenían a quien recurrir en caso de que su vehículo fallase o sufrieran un accidente, ni tampoco existía el concepto de seguridad vial. Ante esta situación, en 1903 se fundó el RACE como un club de automovilistas cuyo objetivo era fomentar el uso del automóvil y proporcionar asistencia a los conductores en sus viajes. Entre sus aportaciones iniciales al campo de la Seguridad Vial destacan el código de carreteras (y que estuvo vigente desde 1907 hasta 1920, año en el que entró en vigor el primer Código de Circulación) y la colocación de las primeras señales de tráfico.

En 1982 el RACE recibió la Medalla de Oro de la Seguridad Vial y actualmente mantiene su compromiso en este ámbito; realiza campañas para la promoción de buenos hábitos al volante, publica en su web consejos e información de interés sobre formación y educación vial, y organiza los Premios Nacionales de Cortometrajes de Educación Vial, en el participan colegios de Educación Primaria, entre otras muchas acciones.

Actualmente, el RACE es un grupo empresarial que brinda a los conductores toda una gama de servicios entre los que se encuentran la asistencia en viaje o en carretera, seguros, servicios VIP en viajes o garantías mecánicas. Además, es el propietario del Circuito del Jarama, que este año cumple 50 años; lugar que acoge, además de pruebas deportivas, eventos de empresas, presentaciones de fabricantes de automóviles o cursos de conducción, tanto para particulares como para empresas.

Áudea Seguridad de la Información

http://www.audea.com/es/

 

Sin categoría , , ,

Ser o no ser: El fichero de multas de vehículos de empresa

Son muchas las empresas que ponen a disposición de sus empleados vehículos para el desarrollo de su actividad profesional. Y, lamentablemente, no todos los empleados respetan de forma escrupulosa las normas de circulación y estacionamiento (pausa para las risas).

Salvo que la empresa hubiese registrado previamente al conductor habitual de un vehículo, la empresa recibirá un requerimiento para identificar al conductor responsable de la infracción (conforme el artículo 11 de la Ley de Tráfico) y comunicarlo al Registro de Vehículos de la DGT (Orden INT/3215/2010). De no hacerlo, supondría una infracción muy grave para la empresa.

 

Por lo tanto, como es razonable, a la empresa le interesa conservar la recepción de la notificación de la infracción y la identificación del conductor responsable en cumplimiento de sus obligaciones legales.

 

Pero, ¿qué ocurre con los datos personales incluidos en esta documentación?

 

El artículo 7.5 de la Ley Orgánica de Protección de Datos (LOPD), prohíbe, a quienes no sean Administración Pública, crear o mantener un fichero con datos relativos a la comisión de infracciones administrativas o penales de personas físicas.

 

Nos encontramos, por tanto, ante una encrucijada entre las obligaciones legales que debe cumplir la empresa para las que necesita conservar determinada documentación y la prohibición en estos casos de crear un fichero con este contenido conforme la LOPD.

 

¿Cuál es el criterio de la AEPD?

 

Por este motivo, se planteó una consulta a la AEPD para que ayudase a resolver la cuestión. Tras un breve análisis, concluyó que:

  1. El artículo 7.5 impide la creación de un fichero con datos de carácter personal relativos a la comisión de  infracciones administrativas por quien no sea la Administración pública competente;
  2. La solicitante está obligada al cumplimiento de los preceptos establecidos en la legislación de tráfico, relativos a la identificación del conductor del vehículo;
  3. La Ley 30/1992 le otorga el derecho a exigir una copia de la documentación presentada con el fin de cumplir dicha obligación y a su conservación;
  4. Nada impide por tanto el mantenimiento y la conservación de dicha documentación,en tanto en cuanto no se haya creado un fichero o se permita el tratamiento total o parcialmente automatizado de los datos personales que contiene.

 

Es decir, aunque está prohibido crear un fichero con información sobre infracciones administrativas, la empresa puede mantener la documentación, siempre que no la incluya en un fichero o se trate de forma informatizada.

 

¿Es esto posible?

 

La conclusión de la AEPD nos genera un conflicto adicional. Y es que, la normativa vigente define Fichero como “Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.

 

Es decir, a priori, cualquier conjunto organizado de datos es un fichero de datos personales. ¿Siempre? Esta cuestión nos recuerda la famosa Sentencia del Tribunal Supremo sobre la NO consideración de los libros de bautismo como fichero (por el hecho de encontrarse en papel y organizados únicamente por fecha de bautismo).

 

Por lo tanto, entendemos que la AEPD nos está sugiriendo que toda la documentación sobre las multas de los coches de empresa se guarde en papel, en una carpeta organizada únicamente por fecha de recepción y exclusivamente reservada para la defensa de la empresa en caso de disputa con la autoridad correspondiente. De esta forma, entendemos que la AEPD no consideraría que se está incumpliendo el artículo 7.5 de la LOPD.

 

Sin perjuicio de lo anterior y a fin de evitar este tipo de conflictos, recordemos que la empresa tiene la opción, previo consentimiento expreso de los afectados, de comunicar quiénes son los conductores habituales de cada vehículo ante la DGT evitando así tener que identificar al responsable y cumplir con lo comentado anteriormente.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

derecho , , ,

Catfish: el documental que muestra los peligros de chatear online

El término Catfish hace referencia a una persona que crea un perfil falso de redes sociales. Para realizarlo, utiliza fotos de otras personas con el fin de atraer a desconocidos a tener relaciones online. Y es que, al tratarse de chatear por internet, ¿quién nos asegura que la persona que está al otro lado sea quien dice ser? De todo este tema trata el documental Catfish(2010). Dirigido por dos jóvenes directores, Henry Joost y Ariel Schulman, nos cuentan un hecho interesante en la vida del fotógrafo Yaniv ‘Nev’ Schulman.

Cropped man and woman using electronic device free image

Catfish trata sobre una historia real. Nev es fotógrafo y vive con su hermano Ariel y con su amigo Henry en Nueva York. Un día recibe un paquete con remitente de Ishpeming (Michigan) que contiene un cuadro de una de sus fotografías. Este cuadro ha sido pintado por una niña de ocho años con mucho talento, Abby Pierce. Nev, que vive en Nueva York y Abby que vive en Ishpeming, empiezan a chatear vía Facebook. Toda esta historia interesa a Henry y Ariel, que deciden filmar un documental sobre el tema centrándose en Abby, la misteriosa niña prodigio.

 

De esta forma, Nev entra en contacto con la familia de Abby: con su madre, Angela Wesselman; con el marido de Angela, Vince; y con la hermanastra mayor de Abby, Megan, que vive en Gladstone (Michigan). Megan, joven modelo y artista, música y bailarina, comienza una relación online y telefónica con Nev. Esta relación, en la que intercambian llamadas y mensajes durante ocho largos meses, va más allá de la amistad. A su vez, Nev sigue en contacto con el resto de la familia, con Abby y Angela. ¿De dónde ha salido esta misteriosa familia de artistas?

 

Cuando Nev, Ariel y Henry empiezan a indagar, se dan cuenta de que no todo es lo que parece. Las dudas llevan a Nev, Ariel y a Henry a Michigan a conocer a la misteriosa familia. Al llegar allí, se encuentran con algo muy diferente a la situación vivida los meses anteriores. Todas las personas con las que Nev hablaba podían reducirse a una: Angela Wesselman. Ella hablaba por Abby, por Vince y, todavía más sorprendente e inquietante, por Megan. Para “crear” a Megan, Angela había robado unas fotografías de una chica por internet: Aimee Gonzales, modelo profesional y fotógrafa de Portland (Oregón).

 

Esta historia, como cada cuento, tiene su moraleja: cuidado con quien chateas por internet. El documental nos muestra lo vulnerables que somos en la Red y los peligros con los que podemos encontrarnos. Al fin y al cabo, Angela era una persona inofensiva y Nev no corría peligro. Pero, ¿y si la persona al otro lado es peligrosa?

 

Debemos informar a los niños de los riesgos que conlleva escribir a gente desconocida por internet. INCIBE tiene un sitio web centrado en los menores: Internet Segura for Kids (is4k). Enseña todo lo que familias y educadores necesitan saber sobre los riesgos que corren los menores en internet y sobre cómo prevenir malas conductas.

 

Después de la desagradable experiencia, Nev decidió dedicarse a la televisión y a ayudar a las personas que chatean online a descubrir si la persona con la que hablan es quien dice ser. Catfish: Mentiras en la Red es como se llama este reality show basado en el documental Catfish, emitido por MTV y que cuenta con Nev como presentador.

 

Así que ya sabes… si decides chatear online, recuerda: ¿Es la persona con la que hablamos quien dice ser?

 

Puedes encontrar el documental en Netflix.

Áudea Seguridad de la Información

http://www.audea.com/es/

 

 

tecnologia , , , , ,

Los problemas derivados de la falta de concienciación sobre el “Legado Digital”

¿Qué ocurre con los activos digitales de una persona tras su fallecimiento?

Recientemente, un Tribunal alemán ha denegado el acceso de unos padres a la cuenta en Facebook de su hija de 15 años, quien sufrió un atropello en el metro en el año 2012. Los padres solicitaron acceso a Facebook alegando ser los “herederos” de la cuenta de su hija, con el objetivo de averiguar si el atropello fue un accidente o si la menor pretendía acabar con su vida.

En la primera instancia, el fallo del Tribunal determinó que tanto las posesiones analógicas como las digitales deberían recibir el mismo trato, ya que de otra forma, sería paradójico que las cartas o diarios fueran heredables independientemente de su contenido, pero los emails o mensajes privados de Facebook no. La sentencia estipuló que el acceso de los padres al perfil de Facebook de la menor no violaba los derechos personales de la misma, ya que a los progenitores se les permite saber la actividad de los hijos mientras estos sigan siendo menores. No obstante, esta sentencia no consideró que el hecho de que la cuenta fuera heredable entraría en conflicto con la Ley de Telecomunicaciones alemana.

Sin embargo, la red social recurrió la sentencia, obteniendo la admisión a trámite de su recurso y un veredicto favorable a sus intereses, concluyendo el Tribunal que el acceso de los padres al perfil de la menor vulneraba los derechos de aquellos terceros que hubiesen mantenido conversaciones o hubiesen intercambiado contenido con la menor. En esta instancia, el Tribunal no entró a dilucidar si la cuenta en la red social es o no hereditaria, ya que consideran que incluso en caso de serlo, el acceso de los herederos a la misma serían denegados en aras a proteger los datos personales y la confidencialidad de los terceros.

Es necesario tener en cuenta que tras la muerte de un usuario Facebook ofrece varias opciones que pueden aplicarse en el perfil del fallecido:

  • La eliminación permanente de la cuenta.
  • La conversión de la cuenta en “conmemorativa”, lo que permite a otros usuarios publicar en el muro del fallecido o compartir lo ya publicado en el mismo, pero en ningún caso se permite el acceso a la cuenta. En este caso concreto los padres disponían de las credenciales del perfil de la menor, ya que este era el requisito indispensable impuesto por sus padres para que la menor dispusiera de una cuenta en la red social. Sin embargo, cuando la madre de la menor intentó acceder con las credenciales de su hija, la cuenta ya se había convertido en conmemorativa aunque no queda claro quien promovió esta conversión.
  • Elegir un “contacto heredero”. Para elegir esta opción, el usuario habrá de ser en todo caso mayor de 18 años. La actividad del “contacto heredero” en el perfil del usuario fallecido es limitada, concretamente sólo puede archivar contenido o cambiar la foto de perfil. En ningún caso podrá entrar en la cuenta original o leer los mensajes privados del fallecido.
El legado digital

Este caso está directamente relacionado con el Legado Digital, o en otras palabras, el destino de los “activos digitales” una vez el usuario ha fallecido. Aunque no son pocos los organismos que instan a la ciudadanía a velar por su legado digital, (en 2014 la Law Society  comenzó a increpar a los ciudadanos británicos para que dejasen clara instrucciones sobre el destino de estos activos una vez hubiesen fallecido y la OCU ha realizado en España las mismas recomendaciones) y que cada vez son más las empresas tecnológicas (incluyendo el propio Facebook, Twitter o Google) que facilitan a los usuarios el cuidado de sus cuentas, es evidente la falta de concienciación de los usuarios respecto del destino de sus cuentas y el contenido de las mismas una vez fallezcan.

No obstante, y como se ha visto en este caso, es también evidente que la mayoría de las empresas tiende a priorizar y velar por los derechos de los terceros y la confidencialidad de las conversaciones mantenidas entre estos y el usuario fallecido, por lo que recurrir a las redes sociales como prueba, parece ser por el momento algo imposible

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

derecho , , ,

¿Pueden utilizarse detectives privados para la investigación de bajas laborales?

 

Desde el punto de vista de protección de datos, existen varias resoluciones de la Agencia Española de Protección de Datos (AEPD) acerca del interés legítimo que tienen las mutuas de accidentes de trabajo para realizar investigaciones a través de la contratación de detectives privados.

Por supuesto, cualquier persona, ya sea física o jurídica, no puede encargar libremente a detectives privados para realizar una investigación concreta sobre una tercera persona, ya que supondría una vulneración en su intimidad, sino que deberá existir una motivación e interés legítimo que permita ampararlo, y que guarde relación directa con la persona investigada.

 

Para la AEPD, ese interés legítimo existe por ejemplo cuando este tipo de investigación es contratada por parte de mutuas de accidentes de trabajo, que tienen un vínculo e interés especial sobre la determinación y seguimiento de la baja del trabajador. Así lo ha determinado en varias resoluciones como en la Resolución E-00681-2007 de fecha 02 de octubre de 2008, o la Resolución E-00152-2006 de fecha 29 de noviembre de 2007.

 

Investigación realizada por parte de la empresa

Pero, ¿existe esa misma consideración cuando la investigación es contratada por parte de la empresa del trabajador directamente?

 

Revisando las resoluciones de la AEPD, en ninguna aparece información sobre su criterio cuando la investigación la realiza la empresa a la que pertenece el trabajador, por lo que no puede determinarse directamente por esta vía si existe un interés legítimo para que puedan tratarse los datos personales del trabajador de esta forma.

 

Criterio de los Tribunales

Analizando la jurisprudencia actual te das cuenta que no existe un criterio uniforme sobre la admisibilidad de este tipo de pruebas en procedimientos judiciales. Entre las sentencias que pueden analizarse, cabe destacar la Sentencia del Tribunal Superior de Justicia de Madrid 603/2013, favorable a la realización de este tipo de investigaciones y su utilización en el procedimiento. De hecho, se trata de una Sentencia muy interesante por el análisis que realiza sobre el posible impacto en el derecho de la intimidad de la persona en su cuarto fundamento de derecho, vinculándolo con los artículos 4.2 y 20.3 del Estatuto de los Trabajadores. Así se determina que no existe ninguna traba legal para que el empresario pueda recurrir a un detective privado para poder realizar un seguimiento y vigilancia del trabajador que se encuentra en baja médica, con una limitación de tiempo en función de las sospechas que puedan existir, siempre que no existan otros medios alternativas que sean menos intrusivos.  Por tanto, resulta justificada la medida dentro del marco de control del cumplimiento del deber de buena fe contractual.

 

Por otro lado, es interesante el fundamento de derecho segundo de la Sentencia del Tribunal Superior de Justicia de Madrid 578/2007, donde se establecen los principales requisitos para la utilización de detectives para estos asuntos de una manera precisa y acorde al derecho, así como su utilización como medio de prueba por parte de la empresa directamente, siendo necesario:

 

  • Que exista una sospecha fundada de un incumplimiento contractual por parte del trabajador.
  • Que el empresario no tenga otros medios eficaces para poder comprobarlo.
  • Que no se empleen estos medios para preconstituir una prueba.

Por tanto, dando cumplimiento a estos límites puede ser defendible un interés legítimo por parte de la empresa para tratar estos datos personales de los trabajadores, que en otro contexto podrían estar considerados como una intromisión ilegítima en la vida personal e intimidad de la persona.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

derecho , , , ,

Crónica sobre la 9ª Sesión Anual Abierta de la AEPD

La jornada estuvo marcada por el Reglamento General de Protección de Datos

El pasado 25 de mayo se celebró la 9ª Sesión Abierta de la Agencia Española de Protección de Datos (AEPD), a la que Áudea Seguridad de la Información asistió. Estos son los temas más destacables que se mencionaron acerca del Reglamento General de Protección de Datos (GDPR).

 

Nueva herramienta

 

La Agencia, además de las Guías u orientaciones que han publicado para los responsables y encargados del tratamiento, anunció la próxima implantación de una herramienta dirigida a las Pymes y micropymes que les servirá de apoyo para cumplir con el GDPR. Va dirigida a las empresas y profesionales que realicen un tratamiento de datos de bajo riesgo y la herramienta propondrá los documentos mínimos necesarios para cumplir con el GDPR, como pueden ser el registro de actividades de tratamiento, cláusulas informativas o las medidas de seguridad que, como mínimo, deben cumplir.

 

Novedades del GDPR

 

En la Sesión también se trataron algunas de las novedades que el GDPR añade respecto del texto de la LOPD, como por ejemplo:

  • La necesidad de justificar la base jurídica sobre la que se legitima el tratamiento (sea el consentimiento u otra de las bases previstas en el GDPR).
  • La obligación de establecer un plazo de conservación de los datos desde el momento de la recogida.
  • La anulación de los consentimientos tácitos recabados durante estos años.
  • La necesidad de volver a firmar contratos de encargo de tratamiento con todos los proveedores que manejen datos personales.
  • El derecho de portabilidad, que implica la posibilidad de descarga y transmisión a otro prestador de servicios de los datos del interesado, que no deberá afectar al derecho a la intimidad de terceros, salvo circunstancias excepcionales.
  • En cuanto a las Evaluaciones de Impacto se destacó su importancia para que se cumpla con el principio deAccountability, y la necesidad de que se haga con antelación al tratamiento, para poder detectar y corregir deficiencias (y, en su caso, plantear la oportuna consulta previa a la AEPD).
  • En lo referente a la seguridad de los datos, no se va a publicar ningún catálogo de medidas de seguridad y todas las medidas implantadas en las empresasdeberán estar orientadas al riesgo. Se valoraron distintas opciones de catálogos de medidas que pueden ser utilizadas como referencia, como por ejemplo, los controles del estándar ISO 27002, o los del Esquema Nacional de Seguridad (aprobado por Real Decreto 3/2010).

 

Certificación para DPO´s

 

Por otro lado, la Agencia anunció que está trabajando con la Entidad Nacional de Acreditación (ENAC) en la implantación de un esquema de certificación de profesionales que vayan a acceder al puesto de Delegado de Protección de Datos. La intención no es que dicha certificación sea obligatoria, sino que garantice a la empresa la cualificación y capacidad profesional del candidato.

 

Otras novedades

 

Por destacar algo positivo, la AEPD resaltó que el apercibimiento, figura que implica la resolución de una infracción sin sanción económica y que hasta ahora tenía un carácter excepcional en la LOPD, ya no tiene tal carácter excepcional en el GDPR. Sin embargo, su aplicación seguirá siendo discrecional para la AEPD, por lo que está por ver si se nota este cambio positivo en la normativa.

 

Os adelantamos que la AEPD no tiene muchas esperanzas de que la nueva LOPD esté lista antes de mayo de 2018, por lo que parece necesario, mientras tanto, empezar a trabajar ya en la adecuación al GDPR.

 

Para más información, la AEPD ha puesto a disposición en su web el programa con cada una de las presentaciones de la 9ª Sesión.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

derecho , , , , ,

Áudea colabora en la High Level Conference on Assurance 2017de ISACA

 

 

El evento tendrá lugar los días 6 y 7 de junio en Madrid

 

Áudea Seguridad de la Información apoyará en calidad de colaborador el evento High Level Conference on Assurance 2017, el Congreso Anual de ISACA. Una colaboración con la que queremos mostrar nuestro apoyo a esta asociación.

 

La conferencia tendrá lugar los días 7 y 8 de junio en el Teatro Amaya de Madrid en horario de 08:45h a 17.30h (ambas jornadas) y se espera la asistencia de en torno a 400 profesionales de la Seguridad de la Información. Directores de Auditoría, Directores de (Ciber)Seguridad, DPOs, Compliance Officers, CROs, CIOs, CTOs, CISOs, y otros perfiles afines se darán cita para conocer de primera mano las novedades, tendencias, retos y tecnologías de los próximos años.

 

Las jornadas cuentan con ponentes que representan a las principales empresas e instituciones del sector de la Ciberseguridad y la Protección de Datos de nuestro país. En esta edición, las diferentes ponencias, debates y mesas redondas tratarán sobre temas como el Ciberespionaje, el Blockchain, la Inteligencia Artificial, la Industria 4.0, la Transformación Digital y los nuevos marcos regulatorios como las Directivas Europeas de Ciberseguridad o el nuevo Reglamento General de Protección de Datos (GDPR), entre otros asuntos. También se incluye en el programa la entrega de los galardones PremiosISACA, RetoISACA 2017 y Call for Papers 2017 y habrá espacios de tiempo para el desarrollo de networking.

 

ISACA

 

ISACA (Information Systems Audit and Control Association) es una asociación internacional sin ánimo de lucro que fomenta el desarrollo de metodologías y certificaciones para la realización de auditorías y actividades de control en sistemas de información. Está presente en 160 países y en unas 170 ciudades a través de lo que se conoce como Chapters.

 

ISACA Madrid Chapter tiene unos 1.100 asociados y realiza actividades de difusión, concienciación y formación mediante conferencias, congresos anuales, boletines para sus asociados y cursos de formación coherentes con su visión de “Contribuir a la calidad y excelencia de la gestión de los SI / TIC en España, así como fomentar la calidad y excelencia de la profesión”.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

eventos , ,

La AEPD impone dos sanciones ante denuncias por supuestas suplantaciones de identidad

Hoy hablaremos de dos sanciones impuestas por la Agencia Española de Protección de Datos, que aun siendo similares en el hecho denunciado, contienen diferencias sustanciales que tienen su reflejo en la resolución emitida. Las Resoluciones analizadas son la 02108/2010 y la 00343/2017.

Secure Online Cloud Computing Concept with Business Man

Suplantación de identidad

En ambos casos nos encontramos ante denuncias por supuestas suplantaciones de identidad que, además, cuentan con el posible tratamiento de datos especialmente protegidos. Pero antes de revisar las similitudes y diferencias, vamos a hacer un pequeño resumen de los hechos. En el primer caso se trata de varias altas en nombre del afectado en un portal destinado al establecimiento de relaciones personales del público homosexual, mientras que el segundo es el alta en una web de contactos sexuales. En ambos casos el resultado es que los afectados han visto sus datos personales publicados en estos medios sin haber tenido ningún tipo de relación previa con estos portales.

Durante la investigación de ambos casos, la AEPD se ha centrado en dos puntos fundamentales, por un lado la identificación del sujeto responsable y por otro la existencia o no de un tratamiento de datos personales especialmente protegidos y por lo tanto la posible existencia de un incumplimiento calificado como muy grave de la LOPD.

En busca del responsable

Pues bien, para la identificación del responsable la AEPD se ha centrado en la investigación de la IP de los equipos, encontrando aquí la primera diferencia entre los dos casos analizados y que finalmente deriva en una de las diferencias fundamentales de ambas resoluciones, el sujeto sancionado y por tanto el incumplimiento aplicado. En el primero de los casos, se demuestra que la IP utilizada para realizar las altas fraudulentas corresponde a un cibercafé, no pudiendo por tanto identificar a un sujeto individual, mientras que en el segundo caso sí se identifica  un abonado, persona física. Este hecho resulta fundamental y es que al no poder identificar al sujeto que realizó la suplantación, la AEPD se centra en el portal y en que el mismo carece de las medidas necesarias dirigidas a autenticar al usuario antes de confirmar la incorporación del perfil con sus datos, es decir, no cuenta con un sistema de doble confirmación de identidad como por ejemplo el envío de un email para que confirme su alta en el servicio.

De lo anterior deriva que en el primero de los casos la AEPD imputa al portal un incumplimiento de las medidas de seguridad exigidas en el artículo 9 de la LOPD, concretamente incumplimiento de las medidas de control de acceso e identificación y autenticación, mientras que en el segunda caso en ningún momento se imputa a la web (aun habiendo quedado claro que tampoco contaba con las medidas antes reseñadas), dirigiéndose directamente contra la persona física identificada por la IP del equipo.

Datos protegidos

En cuanto a la existencia o no de datos especialmente protegidos, en el primero de los casos la AEPD entiende que por el hecho de que se conteste a determinadas preguntas cuando el ciudadano intenta darse de alta en el portal permitiendo así que la búsqueda de contactos personales que se adapten mejor a sus preferencias de vida sexual, es indicio claro de la existencia de datos especialmente protegidos. Parece un razonamiento lógico, pero delimitar la existencia de estos datos a un formulario o cuestionario es más discutible, y es que en el segundo de los casos, donde no hay cuestionario, pero el contenido de los anuncios puede ser suficientemente explicito en cuanto a su contenido, no parece razón suficiente para la AEPD para calificarlo como dato especialmente protegido ya que en ningún momento de la Resolución se hace mención alguna a este tipo de datos.

En definitiva, nos encontramos con dos casos similares en los que la delimitación del sujeto responsable, hace que el resultado de las Resoluciones cambien sensiblemente. El resultado, sanción de 90.000€  a la plataforma por incumplimiento del artículo 7.3, mientras que en el segundo caso se sanciona únicamente a la persona tras la IP por infracción del artículo 6.1 con 6.000€.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

Sin categoría , , ,

La lucha por conservar la privacidad en Reino Unido

A principios del mes de mayo de 2017 se filtró el último borrador de la norma “Investigatory Powers Act” sustituta de la norma “Draft Communications Data Bill”, propuesta por Theresa May. Ambas normas conforman la llamada “Snooper´s Charter” o “Ley del Fisgón”.

El borrador de esta nueva norma establece una serie de obligaciones de cooperación con las autoridades, las cuales se podrían resumir en definitiva, en una expansión de las competencias de las agencias de inteligencia británicas.

Del borrador, llama la atención no sólo su contenido, sino también su preámbulo, el cual establece que para la redacción del borrador se ha consultado al Technical Advisory Board, y a aquellas personas que quedarían obligadas por la norma. Esta afirmación contrasta con el hecho de que el público en general, los ciudadanos, quienes serían los principales afectados, no hayan sido informados sobre una norma que restringiría de una forma tan extrema su privacidad.

El propósito de esta norma es obligar a los proveedores de telecomunicaciones a monitorizar las conversaciones de los usuarios, instalar puertas traseras en sus redes e interceptar a tiempo real las comunicaciones de los ciudadanos. Esto permitiría a las autoridades (entre ellas agencias de seguridad de Reino Unido como el GCHQ, MI5 y M16) a acceder al contenido de las comunicaciones de los usuarios.

Entre las obligaciones impuestas a los operadores de telecomunicaciones destacan:

  • la obligación de mantener las intercepciones de comunicaciones e incluso auditar su correcto funcionamiento;
  • la obligación de asegurar la transmisión de esta información;
  • y la de eliminar la protección electrónica a las telecomunicaciones.

Pero estas obligaciones no afectan sólo a los operadores de internet, sino también a los operadores postales, quienes bajo esta norma tendrán la obligación de mantener la capacidad de abrir, copiar y resellar las comunicaciones postales de los ciudadanos.

Mientras los colectivos de defensa de la privacidad denuncian la incompatibilidad de la norma con los derechos humanos dada la vigilancia extrema y los poderes intrusivos en la privacidad de los usuarios concedidos a las agencias, el Gobierno de Reino Unido asegura la compatibilidad de la norma con la Convención Europea de Derechos Humanos.

En relación a la violación de la privacidad de las comunicaciones existen dentro de la Unión Europea otros precedentes, como la Directiva de Conservación de Datos de Telecomunicaciones de 2006 cuyo objetivo era garantizar la protección y seguridad, imponiendo a los proveedores la obligación de conservar determinados datos para garantizar su disponibilidad a la hora de investigar y enjuiciar delitos graves, siendo los datos a conservar sólo datos de tráfico o identificación (metadatos), y no el contenido de las comunicaciones como es el caso del borrador del que se habla en este artículo.

Esta Directiva fue anulada por la Sentencia del Tribunal Europeo de justicia de 8 de abril de 2014, al considerar que la norma atentaba contra los derechos fundamentales reconocidos por la Unión Europea relativos a la vida privada y a la protección de los datos de carácter personal de los ciudadanos europeos y por exceder los límites del principio de proporcionalidad al poder producirse un abuso en el uso de los datos por parte de las autoridades de los Estados Miembros.

En conclusión, cabe plantearse si la afirmación del Gobierno Británico sobre la compatibilidad del borrador con el derecho de la Unión Europea es cierta, ya que como se ha comprobado, otras normas (como la Directiva de Conservación de Datos) más leves en cuanto a la intrusión en la privacidad de los usuarios, han sido consideradas nulas por el TJUE. Por otro lado, no está de más preguntarse si tras el Brexit, el Reino Unido se seguirá preocupando por el cumplimiento de la normativa de la Unión en el ámbito de la privacidad, ya que de no ser así, existirían aún menos impedimentos a la hora de aprobar este borrador, con la consecuente intromisión en la vida privada de los ciudadanos británicos, pudiendo llegar a considerarse a Reino Unido como un destino que no reúne garantías suficientes de cara a las transferencias internacionales de datos personales.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

derecho , , , , ,

Áudea asiste a la XIX Jornada Internacional de Seguridad de la Información

Celebrada el 11 de mayo en Madrid, en esta jornada pudimos escuchar a algunos de los máximos representantes españoles y europeos del sector de la protección de datos y la ciberseguridad

 

El pasado 11 de mayo se celebró la XIX Jornada Internacional de Seguridad de la Información en el Círculo de Bellas Artes de Madrid, organizada por ISMS Forum. Algunos compañeros de Áudea Seguridad de la Información asistimos a la Jornada.

Durante la jornada, intervinieron expertos, profesionales y representantes institucionales del sector de la seguridad de la información y protección de datos que analizaron temas de actualidad como, las notificaciones de violaciones de datos en el seno de la empresa, la estadística actual de los ataques informáticos a los sistemas de seguridad de las mismas, el ya por todos conocido Reglamento General de Protección de Datos (RGPD), el Privacy Shield o la publicación del Código de Buenas Prácticas en Protección de Datos para proyectos de Big Data.

 

Ponentes como Giovanni ButtarelliSupervisor Europeo de Protección de Datos, o Isabelle Falque-Pierrotin, Presidenta del Grupo de Europeo de Protección de Datos del artículo 29 (GT29), y a nivel nacional, el INCIBE (Instituto Nacional de Ciberseguridad de España) o Mar España, Directora de la Agencia Española de Protección de Datos (AEPD), pusieron de manifiesto, entre otros, los siguientes temas:

  • Los riesgos y amenazas que conlleva la automatización y digitalización de procesos en el seno de una organización.
  • La ciberseguridad como eje fundamental y garantía de la transformación digital en las empresas y en la sociedad.
  • De qué manera la instauración del Big Data hace necesario unos servicios a medida.
  • La evolución del Data Center Corporativo o CPD (Centro de Proceso de Datos).
  • El hecho de que fenómenos como IOT (Internet of Things) o la Inteligencia Artificial supondrán una revolución tecnológica, destacando la importancia de conocer su alcance e implicaciones en materia de seguridad y privacidad.
  • Las implicaciones prácticas que conllevará para el sector empresarial las notificaciones de las brechas de seguridad y su impacto en el negocio.

 

Intervención de Isabelle Falque-Pierrotin, presidenta del GT29

 

Con respecto al Reglamento General de Protección de Datos (RGPD), la presidenta del GT29, advirtió que se encuentran trabajando activamente para implementar el nuevo marco legal europeo en consonancia con las distintas Autoridades Europeas, evitando de esta forma que se produzca una disparidad o diferencias significativas entre ellas en cuanto a la interpretación del texto normativo.

 

Falque-Pierrotin comentó que, en concreto, están estudiando sobre asuntos como el sistema de certificación, la elaboración de perfiles y cuestiones que se suscitan en relación con el consentimiento de los interesados. También adelantó que están elaborando unas guías para responsables y encargados sobre el RGPD.

 

Asimismo advirtió sobre las posibles implicaciones que van a tener los Delegados de Protección de Datos (o DPO, por sus siglas en inglés) para cumplir con el principio de “Accountability” y el cambio de paradigma para las Autoridades de Protección de Datos ya que ha habido un incremento de casos con impacto internacional y no solo nacional.

 

El GT29 es plenamente consciente de este cambio paradigmático y de la gran “revolución” que supone la entrada del RGPD y puso de manifiesto la necesidad de aprovechar este tiempo previo antes de mayo de 2018 para adaptar cuanto antes el nuevo esquema normativo.

 

Por último, la presidenta opinó que el Privacy Shield, a pesar de suponer una mejora en comparación con el antiguo Safe Harbour, se muestran preocupados por la necesidad de concretar los compromisos de Estados Unidos en este sector a raíz de la última elección presidencial. En palabras de la presidenta del GT29 “es esencial que contemos con el apoyo de EEUU para demostrar eficiencia en el Privacy Shield”.

 

Intervención de Giovanni Buttarelli, Supervisor Europeo de Protección de Datos

 

Por su parte, el Supervisor Europeo de Protección de Datos incidió sobretodo en la necesidad de colaborar con las distintas Autoridades Europeas en cuanto a la aplicabilidad del RGPD.

 

Buttarelli destacó la importancia de la seguridad como factor clave que se traduce en la calidad de la empresa debiendo no solo centrarnos en la protección de los derechos fundamentales ya que según dijo el Supervisor “la seguridad es primordial para la regulación de los datos”. También consideró que nuestra normativa era exigente y más estricta que antes, en donde la mayor preocupación de la protección de datos, a su entender, se encuentra en las transferencias internacionales de datos.

 

Por último, defendió la necesidad de evitar la improvisación a la hora de aplicar las normas y analizar cuanto antes las formas de cumplir con el principio de “Accountability” o responsabilidad proactiva que parte de la premisa del deber de demostrar que efectivamente se cumple con la norma. “Debemos ir más allá del mero cumplimiento, no es una lista cerrada de obligaciones” decía Buttarelli. Asimismo, opinó que debemos guiarnos fundamentalmente por las directrices del GT29 y así intentar minimizar al máximo la burocracia.

 

Intervención de Mar España, Directora de la AEPD

 

La Directora de la AEPD, centró sobretodo su intervención en la elaboración del Código de Buenas Prácticas en Proyectos de Big Data y, aunque el mismo ya está disponible en la web de la AEPD, dio algunas pinceladas respecto al mismo. Os comentamos algunas:

  • No se trata de una guía teórica, sino eminentemente práctica y basada en la experiencia.
  • Ofrece distintos planteamientos o formas de entender los procesos de Big Data, no solo teniendo en cuenta los beneficios que produce el fenómeno sino que se revelan los riesgos y dificultades que se plantean hoy en día en esos casos. Por ejemplo, hasta dónde llega el principio de transparencia o el principio de información al ciudadano en los casos en que los datos puedan ser inexactos.
  • Uno de los propósitos de dicho Código es que el tratamiento de Big Data esté en consonancia con los derechos y libertades de los ciudadanos y la LOPD para evitar un tratamiento distorsionado de datos y que ello pueda producir discriminación o estigmatización en los interesados y que ello pueda terminar afectando los resultados del proceso.
  • En la guía se definen los principios para legitimar el tratamiento en los procesos de Big Data, teniendo en cuenta, por un lado que el RGPD considera inválido consentimiento tácito y por otro lado, los casos en los que existe un interés legítimo. En es sentido, el Código define las posibles limitaciones a tener en cuenta cuando se declare un interés legítimo en función de los derechos y libertades de los ciudadanos.
  • Por otro lado, la Directora enumeró algunos aspectos en los que el RGPD puede influir en los procesos de Big Data, como son:
    • Es importante definir cuándo estamos ante un interés legítimo en estos procesos teniendo en cuenta la ponderación de los derechos e intereses de los ciudadanos.
    • El RGPD habilita a que los Estados miembros regulen las condiciones para el tratamiento de los datos sensibles.
    • En cuanto a las medidas de seguridad, el RGPD cambia sustancialmente con respecto a la anterior normativa. Como sabemos, las medidas ya no vendrán tasadas, lo que, a juicio de la Directora, supone flexibilidad para las grandes empresas a la hora de llevar a cabo procesos de Big Data. De esta manera, pueden hacer un análisis adaptado al proceso concreto e instaurar las medidas y evaluación de impacto acordes a su organización. La Directora apuntó que de esta manera se evitaba que el marco normativo quedará desfasado.
    • Se subrayó el derecho a la protección de datos como valor fundamental a la hora de obtener beneficios en procesos de Big Data.
    • Puso de manifiesto la necesidad de cumplir en este tipo de procesos con el principio de minimización de los datos de forma conjunta con el principio de proporcionalidad ya que a mayor volumen de datos mayor riesgo para los derechos y libertades de las personas.

Por otra parte, Mar España informó de que el GT29 está trabajando en la elaboración de un mecanismo de certificación para los DPO (o Data Privacy Officer) que aunque no siendo de carácter obligatorio, sí aportará seguridad jurídica a las empresas que necesiten contratarlo.

También nos recordó que el RGPD establece mecanismos de pseudonimización que, además, facilitan el cumplimiento de las obligaciones del Responsable y Encargado del tratamiento. En caso de que el tratamiento de los datos no esté basado en el consentimiento del individuo, la pseudonimización puede ayudar a que dicho tratamiento sea lícito con base legal en un fin de interés legítimo. Pero según comentó Mar España, este mecanismo no justifica la falta de medidas de seguridad ni la ausencia de información a los interesados o, en su caso, de su consentimiento.

 

Por otro lado, desde la AEPD se está trabajando para poder facilitar a los responsables y encargados herramientas para las evaluaciones de impacto y los análisis de riesgo de las empresas, estableciendo en las mismas diferencias según se trate de pymes o multinacionales.

 

Asimismo, están alineando esfuerzos y colaborando con el sector privado y público, así como con instituciones como la AEAT o la TGSS.

 

Conclusión

 

Podemos concluir que en el foro se adivinó una gran actividad y actitud colaborativa entre las principales instituciones nacionales y europeas en torno a la implementación del RGPD, ya que se deduce un intento constante de unificar la interpretación y aplicación de los distintos retos y cuestiones que se van planteando sobre la citada norma.

 

En definitiva, el Foro ha puesto de manifiesto la constancia y conciencia que tienen actualmente las empresas e instituciones alrededor de la aplicación y protección de la privacidad de los datos.

 

Áudea Seguridad de la Información

http://www.audea.com/es/

 

derecho , , ,