El gobierno alemán prepara una Ley para la privacidad en el trabajo, cuya principal novedad consiste en prohibir a los empleadores utilizar las redes sociales como fuente de información acerca de los candidatos en los procesos de selección. La norma fue impulsada en su día por la jefa de Estado, Angela Merkel.

El proyecto de Ley pretende restringir los accesos de los patrones sólo a los datos que se encontrasen en perfiles de redes sociales profesionales, como LinkedIn. Sin embargo, no permitiría la búsqueda de información más allá de la pública en redes meramente sociales, como Facebook.

También se prohibirá que se grabe a los trabajadores en su lugar de trabajo sin su conocimiento, aunque se permitiría la grabación en algunos lugares siempre que se les comunique este hecho a los empleados.

El consejo de ministros ya ha dado su visto bueno y ahora solo falta la aprobación por el Parlamento, por lo que es muy probable que la nueva normativa entre en vigor este mismo año.

Las autoridades alemanas de protección de datos aseguran que la propuesta es una mejora considerable en el ’status quo’ a la hora de tratar con los datos de los empleados.

Por su parte, una portavoz de Facebook, explicó que la compañía no hace comentarios sobre privacidad, puesto que las opciones de privacidad de la red social permiten que sus usuarios compartan la información a su gusto, pudiendo permitir el acceso a su perfil ya sea a toda la red o sólo a un número limitado de personas.

La legislación alemana que impediría que las empresas usen información privada de las redes sociales para contratar sería la primera de este tipo en el mundo. No hay lugar a duda que es un gran paso en poner freno a la práctica cada vez más frecuente entre los responsables de personal de las empresas de bucear en las redes sociales y recabar la información sobre los vicios y hábitos de sus empleados.

No obstante todos están consientes de lo difícil que será su aplicación, puesto que tendrá que ser el candidato o trabajador responsable de probar que una actuación de la empresa se haya basado en publicaciones aparecidas en la red social.

Fuente: www.elmundo.es

Como se ha indicado en otras ocasiones, el derecho de rectificación tiene carácter personalísimo, lo que significa que solamente podrá ejercerlo el titular de los datos, acreditando previamente su representación.

Para ejercer este derecho, el titular o afectado de los datos de carácter personal ejercitará ante el responsable del fichero, acreditando su identificación y la del fichero/s que desea consultar. En esta petición se incluirá, al menos, la siguiente información:

? La propia solicitud de rectificación, indicando los datos erróneos y la corrección que corresponda.

? El nombre y apellidos del afectado.

? El domicilio a efectos de contestación postal.

? La fecha.

? La firma.

? Fotocopia del DNI.

? Otra documentación que acredite su petición de rectificación.

Por último, indicar que para el supuesto (bastante habitual) en el que la solicitud de rectificación no reúne los requisitos reseñados, el responsable del fichero procederá a solicitar su subsanación.

Áudea Seguridad de la Información – www.audea.com

La LOPD establece como regla general que los datos de carácter personal sólo podrán ser cedidos o comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente (el centro sanitario) y cesionario con el previo consentimiento del interesado.

Sin embargo, esta regla general no resulta aplicable si existe una Ley autoriza la cesión (o comunicación de datos), es decir, no sería necesario el consentimiento para que los datos clínicos pudieran ser cedidos. Pensemos, por ejemplo, en la cesión o comunicación a los jueces y tribunales. El ejemplo que hemos puesto se concreta en la Ley 41/2002 de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica, que regula el acceso a la historia clínica con fines de investigación judicial.

En relación al archivo de historiales clínicos, los criterios básicos de archivo están contenidos en la citada Ley 41/2002, que establece que cada centro sanitario archiva las historias clínicas de sus pacientes, con independencia de su soporte, de manera que esté garantizada su seguridad, y correcta conservación.

Según esta Ley, cada historia clínica se llevará con criterios de unidad y de integración para facilitar el mejor conocimiento por parte de los profesionales sanitarios de los datos personales de un determinado paciente.

Áudea Seguridad de la Información – www.audea.com

Recientemente Financial Times informaba que las autoridades de la India podrían cerrar por motivos de seguridad, los servicios de mensajería en línea de Blackberry, Google y Skype.

La más amenazada de las tres compañías es la fabricante de Blackberry, la canadiense Research In Motion (RIM), a la que ya se ha dado un ultimátum con suspender su servicio encriptado de correo electrónico y mensajería si la compañía, no respondía a sus preocupaciones sobre seguridad nacional.

De esta forma la India se convirtió en otro país, después de Arabia Saudí y Emiratos Árabes Unidos, que aludiendo los motivos de seguridad pretende interceptar y monitorizar comunicaciones cifradas.

La India estableció el 31 de agosto como fecha final para RIM. El país quiere acceso, en un formato legible, a las comunicaciones encriptadas de BlackBerry, pues asegura que pueden ser utilizadas por terroristas.

La compañía canadiense ofreció su ayuda a la India para seguir los correos electrónicos, pero sin compartir detalles sobre encriptación, lo que fue considerado como insuficiente.

En la última reunión sobre seguridad, las agencias hablaron, además de BlackBerry, sobre declararse fuertemente en contra de Skype y Google, explicó Rajesh Chharia, presidente de la Asociación de Proveedores de Internet india.

No obstante, actualmente existe multitud de diferentes sistemas de cifrado por lo que es difícilmente concebible que estas normas puedan impedir las comunicaciones entre los miembros de las bandas terroristas.

Además, este tipo de organizaciones ilegales normalmente poseen medios suficientes para esquivar estas restricciones, siempre obtendrán programas alternativos de cifrado.

Debemos tener en cuenta, que aunque la situación política en algunos países puede justificar en cierto grado la adopción de las medidas de seguridad reforzadas, éstas siempre suponen una injerencia en la intimidad personal.

Tampoco podemos olvidar que marcan una tendencia en limitar la privacidad de las personas. Cada vez más gobiernos y no sólo los considerados como totalitarios tienen la tentación de controlar el Internet o cualquier otra forma de comunicación entre sus ciudadanos.

www.elmundo.es

El pasado 27 de julio el Tribunal Supremo dio a conocer tres sentencias (sobre los recursos contenciosos administrativos 23/2008, 25/2008 y 26/2008) en que se declaran nulos, por ser contrarios a derecho, los artículos 11, 18, 38. 2, y 123.2 así como de la última frase del artículo 38.1.a), del Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, RLOPD y LOPD, respectivamente).

El Tribunal considera que el artículo 11 del RLOPD que permitía la verificación por las Administraciones Públicas de datos en solicitudes formuladas por los ciudadanos sin requerir consentimiento de estos, habilita una cesión de datos al margen de los supuestos autorizados por los artículos 6 y 11 de la LOPD. La declaración de nulidad del precepto conlleva una garantía de protección de los datos de personas físicas ante la gestión de las Administraciones Públicas, pero también una incomodidad para el ciudadano, que deberá volver a declarar los datos personales de que se trate o acreditar su autenticidad. Este problema podría resolverse incorporando en los formularios que rellenen los ciudadanos una autorización expresa para la verificación o comunicación de datos por parte de la Administración correspondiente.

El Tribunal declara nulo el artículo 18 del RLOPD (“Acreditación del cumplimiento del deber de información”) por imponer al responsable del fichero, ilegítimamente y sin respaldo en la LOPD, la obligación de la constancia documental o acreditación del deber de información al afectado. El Supremo expresa que la LOPD “ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.) (…). En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma”. La Sentencia suprime, con este artículo, dos obligaciones: la de informar por un medio que permita acreditarlo, y la de conservar el soporte en el que conste el cumplimiento del deber de informar.

En el artículo 38 (sobre requisitos para la inclusión de los datos en ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado) se expresa que es requisito para esa inclusión la “existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada”. Se elimina la frase “y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero”. La supresión de esta frase, por defectuosa redacción e inconcreción de su contenido (ya que permite considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero), afecta a la defensa del ciudadano ante las prácticas de empresas que ante una deuda incluyen los datos de sus “deudores” en un fichero de morosos por deudas sobre cuya existencia o cuantía puede haber discrepancia.

La declaración de nulidad del artículo 38.2 beneficia a las empresas y demás responsables de fichero, ya que este párrafo trasladaba a estos la carga de la prueba de la concurrencia de los requisitos del artículo 38.1 en términos que originan una inseguridad jurídica que podría dar lugar a apertura de expedientes sancionadores. Sin embargo, para el ciudadano aumenta la desprotección, ya que no puede combatir la presunción del declarante. Deberá seguir observándose el derecho a la impugnación de las valoraciones (art. 13 LOPD), “Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad”, debiendo admitir las empresas titulares de ficheros de solvencia patrimonial la impugnación de las deudas inscritas y del acceso de entidades a los datos, por ejemplo, para decidir la denegación de crédito.

Por último, el artículo 123.2 (“Personal competente para la realización de actuaciones previas”) trata la potestad de designación del Director de la AEPD en relación con supuestos excepcionales no delimitados, con una falta de concreción que supone una libertad de designación incompatible con el limitado y específico de la encomienda de gestión de los artículos 35, 37 y 40 de la LOPD.

Áudea, Seguridad de la Información

www.audea.com

El procedimiento general de alta de usuarios que debe considerarse en el Documento de Seguridad de cualquier entidad es aplicable a todos los ficheros y aplicaciones de los sistemas de información del Responsable del Fichero.

Consideramos que el alta de usuarios debiera integrar los siguientes puntos:

1.- Detallar en la solicitud los accesos que se precisan, según las funciones que vaya a desempeñar, mediante la cumplimentación del formulario de solicitud de alta, baja o modificación de acceso que deberá tener cada Responsable del Fichero.

2.- Para que el proceso de alta de usuario se realice correctamente, es preciso cumplimentar una serie de apartados:

a. Nombre y apellidos del interesado.

b. Dirección, área, departamento al que pertenece el solicitante.

c. Servicio para el que se solicita el acceso.

d. Fecha de la solicitud.

e. Firma del responsable.

Áudea Seguridad de la Información

http://www.audea.com/

El Consejo Consultivo de la Agencia Española de Protección de Datos (AEPD) se reunió ayer jueves día 8 de julio para revisar y analizar el resultado de la actividad de la AEPD durante el primer semestre de 2010, dentro de las funciones asignadas al Consejo, como el asesoramiento al Director de la AEPD, la emisión de informes en relación a las cuestiones que el Director le someta a consulta, o la formulación de propuestas sobre temas relacionados con las materias sobre las que es competente la AEPD.

El Consejo Consultivo está compuesto por: Santiago Abascal, director de la Agencia de Protección de Datos de la Comunidad de Madrid; Esther Mitjans, directora de la Agencia Catalana de Protección de Datos; Iñaki Vicuña, director de la Agencia Vasca de Protección de Datos; Juan Luis Rascón, a propuesta del Congreso de los Diputados; María Rosa Vindel, a propuesta del Senado; Monika Serrano (vocal de la Administración Local); José Antonio Escudero, (a propuesta de la Real Academia de la Historia); Antonio Pérez (a propuesta del Consejo de Coordinación Universitaria); Alejandro Perales, (vocal de los consumidores y usuarios), y Belén Veleiro, (vocal del sector de ficheros privados).

Fuente: www.agpd.es

El auge de las redes sociales, impulsado al hilo del éxito social de plataformas como Facebook o Tuenti y, en menor medida My Space, está generando nuevas propuestas que en algunos casos aún están produciendo problemas en relación con la seguridad de la materia prima con la que trabajan: los datos de los usuarios registrados. Entre ellas, destaca el caso de Shtyle.fm.

Shtyle.fm es un sitio web que se presenta como un híbrido de mundo virtual y red social sobre la que todavía escasea la información en la Web. Empleando como dominio de nivel superior geográfico (ccTLD) el .fm, asignado en un principio para los Estados Federados de Micronesia pero que suelen adquirir estaciones o webs de radio, en principio la página parece ser creación de un emprendedor de Tulsa, Oklahoma, y expone una política de privacidad en la que se afirma que “Shtyle no revelará a tercero alguno el nombre o la información de contacto de los miembros”; sin embargo en la práctica esto no está siendo cierto, ya que ya se han producido quejas de que la red emplea los datos de los usuarios registrados para conseguir nuevos registros y expandirse. El envío de e-mails a contactos del correo del registrado estaría produciéndose sin consentimiento de este ni del destinatario, lo que constituiría a la luz de la normativa europea sobre protección de datos un claro caso de spam y de cesión no consentida de datos de carácter personal, además de la gravedad del hecho de enviar una solicitud de amistad simulando que es enviada por el usuario registrado sin que este haya mostrado tal intención.

En Estados Unidos, no obstante, se admite que se pueda emplear la lista de direcciones del correo de un usuario para hacer este tipo de envíos en el caso de que dicho usuario no restrinja su privacidad al darse de alta en el sitio del que se trate. Posibilidad que no cabe de ningún modo en el caso europeo.

María Teresa Nevado García de la Cruz

Áudea Seguridad de la Información

www.audea.com

En los últimos días se ha comenzado a hablar sobre Internet Explorer 9 y sobre todas las mejoras que este nuevo navegador ofrecerá.

Las primeras impresiones son muy positivas, debido a que el nuevo navegador incorporará canvas para mejorar su rendimiento. Muchos programadores afirman, que con canvas, las funciones de audio y video de HTML 5 funcionará correctamente.

Otra mejora propuesta es una sorprendente aceleración por hardware que permitirá renderizar en dos dimensiones a gran velocidad con la ayudadle sistema operativo y de la GPU, y sin necesidad de echar mano de plug-ins o descargas adicionales.

Se puede observar una guía con las categorías que se verán mejoradas por esta funcionalidad llamada IE testdrive.

Se rumorea que, gracias a estas mejoras, la caída de usuarios que migraban a otro navegador podría frenarse.

La llegada de HTML 5 no sentará bien a todos. Al incluir canvas y la aceleración por hardware, las deficiencias de Adobe Flash Player quedan patentes. Se espera que Adobe consiga una notable reducción en el uso de recursos con la versión 10.1.

Esperamos con ganas este nuevo navegador que parece plantear varias mejoras novedosas que mejorarán la experiencia del usuario.

José Francisco Lendínez

www.audea.com

En el año 1998 un hacker dejó constancia de la existencia de un fallo de seguridad que podría permitir “tirar abajo” el servicio de Internet en aproximadamente 30 minutos.

Aunque se acordó buscar una solución para el problema como una “prioridad vital”, hoy en día sigue sin resolverse.

El fallo es aprovechado todos los años por algunos hackers para interceptar información sensible o para boicotear sitios web.

Cada día que pasa, la dependencia de Internet es cada vez mayor, tanto para particulares como para las diferentes empresas, por lo que las futuras desconexiones podrían afectar de forma muy negativa a los diferentes sectores.

Aunque se piensa que el principal motivo de que se produzca una desconexión podría ser un ataque realizado por un hacker, en realidad no es así.

Es más probable que se produzcan desconexiones debido a sus defectos de diseño (principalmente derivados de la gran apertura de la red de redes).

La clave está en que cada proveedor define cómo enviar la información tomando como base únicamente las indicaciones de otros proveedores implicados. No hay un estándar para definir esto, lo que puede generar errores e ineficiencia.

El problema está claramente en el sistema de enrutamiento, y la solución es difícil. Este sistema ha permanecido sin cambios más de una década y aunque parece que se van realizando mejoras, los especialistas no se ponen de acuerdo para lograr una solución definitiva.

José Francisco Lendínez Echeverría

Áudea Seguridad de la Información

www.audea.com