Redes sociales ‘spammer’: el caso de Shtyle.fm

El auge de las redes sociales, impulsado al hilo del éxito social de plataformas como Facebook o Tuenti y, en menor medida My Space, está generando nuevas propuestas que en algunos casos aún están produciendo problemas en relación con la seguridad de la materia prima con la que trabajan: los datos de los usuarios registrados. Entre ellas, destaca el caso de Shtyle.fm.

Shtyle.fm es un sitio web que se presenta como un híbrido de mundo virtual y red social sobre la que todavía escasea la información en la Web. Empleando como dominio de nivel superior geográfico (ccTLD) el .fm, asignado en un principio para los Estados Federados de Micronesia pero que suelen adquirir estaciones o webs de radio, en principio la página parece ser creación de un emprendedor de Tulsa, Oklahoma, y expone una política de privacidad en la que se afirma que “Shtyle no revelará a tercero alguno el nombre o la información de contacto de los miembros”; sin embargo en la práctica esto no está siendo cierto, ya que ya se han producido quejas de que la red emplea los datos de los usuarios registrados para conseguir nuevos registros y expandirse. El envío de e-mails a contactos del correo del registrado estaría produciéndose sin consentimiento de este ni del destinatario, lo que constituiría a la luz de la normativa europea sobre protección de datos un claro caso de spam y de cesión no consentida de datos de carácter personal, además de la gravedad del hecho de enviar una solicitud de amistad simulando que es enviada por el usuario registrado sin que este haya mostrado tal intención.

En Estados Unidos, no obstante, se admite que se pueda emplear la lista de direcciones del correo de un usuario para hacer este tipo de envíos en el caso de que dicho usuario no restrinja su privacidad al darse de alta en el sitio del que se trate. Posibilidad que no cabe de ningún modo en el caso europeo.

María Teresa Nevado García de la Cruz

Áudea Seguridad de la Información

www.audea.com

El intercambio electrónico de datos facilitará la defensa de trabajadores que crucen fronteras.

La experta de la Dirección General de Empleo, Asuntos Sociales e Igualdad de Oportunidades de la Comisión Europea, Gillian Moore, explicó ayer en Zamora las posibilidades que ofrece el nuevo sistema de intercambio electrónico de información, que permitirá el tratamiento de datos cruzados de la Seguridad Social de cada estado miembro de la Unión Europea, facilitando y agilizando la defensa de los derechos de los trabajadores que cruzan fronteras.

El tratamiento de mis datos de carácter personal requerirá, como regla general, mi consentimiento inequívoco.

No obstante, existen algunas excepciones, veamos algunas con ejemplos:

1. Si mis datos se recogen para el ejercicio de las funciones que son propias de la Administración Pública. Pensemos en el ejemplo de la noticia: el intercambio de datos entre diferentes bases de datos en el ámbito de la Seguridad Social entre diferentes Estados.

2. Mis datos son necesarios para proteger un interés vital; por ejemplo, si tras un accidente de tráfico me trasladan urgentemente a un hospital, no tiene sentido que se requiera mi consentimiento inequívoco (posiblemente no lo pueda otorgar).

3. Mis datos han sido recogidos de fuentes accesibles al público. Por ejemplo, los listines telefónicos, los boletines profesionales, las listas de grupos profesionales. No obstante, Internet no es una fuente de acceso público.

Nos parece oportuno recordar que las “casillas” de verificación o espacios habilitados en los formularios electrónicos deben estar en blanco, es decir, no pueden estar marcados por defecto.

Por lo tanto, es el interesado (el afectado o titular de los datos de carácter personal) quien debe marcar si desea que sus datos sean tratados, por ejemplo, recibiendo determinado boletín electrónico. En definitiva, sí es preciso que el titular del sitio web cuente con el consentimiento inequívoco el titular de los datos.

Áudea Seguridad de la Información

http://www.audea.com/

Artemi Rallo, director de la AEPD, responde a los internautas

El director de la Agencia Española de Protección de Datos, Artemi Rallo, respondió en la mañana de ayer a las consultas sobre protección de datos formuladas por internautas en un encuentro digital proporcionado por cincodias.com. El análisis del resultado del encuentro, al que se puede acceder desde este enlace, muestra algunas de las principales inquietudes de los ciudadanos españoles en relación con la protección de datos de carácter personal, que se manifiesta igualmente, como ya pudimos observar, en el resultado de la Memoria de la AEPD para 2009, en relación con las principales denuncias, quejas y consultas de ciudadanos.

Entre las cuestiones formuladas durante el encuentro digital a Artemi Rallo, desde las más básicas o generales, como las obligaciones de las pymes en el tratamiento de datos personales, qué logros ha conseguido la Agencia en esta protección al ciudadano, o el “derecho al olvido” en Internet, hasta las más específicas de un sector determinado, como el bancario, o cómo proteger la privacidad en las redes sociales, son algunas de las preguntas que los internautas tuvieron oportunidad de ver respondidas por el propio Director de la AEPD.

Fuente: www.agpd.es, www.cincodias.com

Datos de menores de 14 años en el entorno web

La normativa vigente en materia de protección de datos establece que los menores de 14 años no tienen capacidad suficiente para consentir el tratamiento de sus datos, debiendo consentir sus padres o tutores en su nombre.

Por ello, se responsabiliza a las empresas de:

• Garantizar que se ha comprobado la edad de la persona cuyos datos se tratan; bien rechazando el registro de los menores de 14 años, bien solicitando autorización a sus padres o tutores.

• Verificar fehacientemente la autenticidad del consentimiento prestado, en su caso, por padres o tutores (libro de familia o documento acreditativo de la condición de tutor legal).

En el entorno web no es factible ofrecer estas garantías. Por ello, lo más recomendable es renunciar al tratamiento de los datos personales de los menores de 14 años. Si, a pesar de ello, se quiere asumir el riesgo, se propone la siguiente medida de control: Identificar la edad del usuario a través de campo fecha de nacimiento y, en caso de que el resultado sea inferior a 14 años, mostrar un campo adicional para que el usuario introduzca la dirección de email de su padre o tutor (que no debe coincidir con la del propio usuario), y someter el registro del usuario a aceptación expresa del supuesto padre o tutor.

Todas las páginas web son susceptibles de tratar datos de menores de 14 años, ya que la única posibilidad técnica de filtrar estos menores es a través del campo fecha de nacimiento, que compruebe automáticamente que la fecha de nacimiento da un resultado igual o superior a 14 años (medida de control muy débil). Evidentemente, esto no exime de responsabilidad al titular de la web, pero permite su defensa.

Cualquier otra medida adicional, daría más fuerza a la defensa: Textos legales que pongan de manifiesto que los servicios van dirigidos a mayores de 14 años; programación web que impida modificar la fecha de nacimiento una vez introducida; etc.

Es un problema que a día de hoy no tiene solución y al que es vulnerable la propia página de la Agencia Española de Protección de Datos.

Áudea Seguridad d ela Información

www.audea.com

Nota informativa de la AEPD sobre las comunicaciones realizadas a responsables de ficheros

La Agencia Española de Protección de Datos (AEPD) ha tenido conocimiento de que diversas entidades envían comunicaciones a responsables de ficheros utilizando denominaciones similares a las de la propia Agencia, induciendo a confusión sobre el remitente de la comunicación.

Las formulas utilizadas por dichas entidades son diversas: Utilización indebida del logo de la AEPD, denominaciones similares a las de la Agencia, membretes que simulan requerimientos de la AEPD o la utilización de escritos cuyos formatos son similares a los enviados por la Agencia Española de Protección de Datos.

Estas comunicaciones suelen presentarse como un requerimiento de la AEPD sobre el cumplimiento de la normativa de protección de datos, con advertencias sobre el régimen sancionador aplicable, ofreciendo un asesoramiento posterior sobre cómo adaptarse a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD).

Ante estos hechos la Agencia manifiesta públicamente que no realiza requerimientos en los términos que se han indicado y advierte a los responsables de ficheros que los reciban para que analicen detenidamente la identificación de los remitentes a fin de evitar confusiones o presuntas suplantaciones de la AEPD.

En cualquier caso, la AEPD analizará las denuncias que reciba sobre estas

conductas reservándose el ejercicio de las acciones legales pertinentes para

proteger su imagen, evitar prácticas desleales o exigir responsabilidades penales sobre los responsables de estas prácticas.

Fuente: www.agpd.es

Auditoría interna a Google Street View: se descartaban las redes encriptadas

La auditoría de la consultora de seguridad Stroz Friedberg ha emitido un informe de auditoría sobre el servicio de Google Street View, en la que se afirma que los vehículos de toma de imágenes recogían y almacenaba datos de las redes wifi desprotegidas, “descartando automáticamente las redes encriptadas”.

En las conclusiones de la auditoría, la consultora de seguridad expresa sobre el programa empleado por Google en la generación de información por Street View, que se trata de un programa que “analiza todos los datos de encabezado de la trama y lo asocia con sus coordenadas GPS para facilitar el almacenamiento y el uso en la cartografía de lugares en la red. Los datos de la estructura corporal pasan a través de la memoria y se escriben en el disco, sin analizar si el marco se envía a través de una red inalámbrica sin cifrar, y se descarta si el marco se envía a través de una red encriptada”.

Desde Google se reconoce que hubo un error en la recolección de datos de las redes inalámbricas, y que la compañía permanece a disposición de las autoridades en sus peticiones de información.

Fuente: www.elpais.com

SAS comunica los datos personales de sus pacientes sin su consentimiento

El Servicio Andaluz de de Salud comete una torpeza al imprimir en un volante de una cita, con los datos confidenciales de otros pacientes.

Esta vez ha sido el Hospital Virgen de las Nieves de Granada responsable de entregar documentos con citas que contenían datos confidenciales de otros pacientes citados en la misma consulta.

Una reclamación de un ciudadano por el defectuoso funcionamiento del servicio de atención al paciente se convirtió también en una queja pública, puesto que en reverso de la hoja de su próxima cita aparecían datos personales como nombres, números de historias clínicas, teléfonos y números de seguridad social de otros enfermos citados en la misma consulta.

A todas luces se ha cometido una infracción de comunicación de datos no autorizada. Recordemos que para ceder cualquier dato personal a tercero, hay que contar con su consentimiento y cuando se trata de datos de salud de forma expresa.

La dirección del centro alega que, todo se “debe a un error puntual” ya que todos los papeles con datos confidenciales “se trituran, por tanto entendemos que debió de haber un error humano a la hora de usar una hoja de papel que tenía datos privados de enfermos”.

Este es el ejemplo como, en algunos casos la Administración persiguiendo las políticas ecologistas, de ahorro y reciclaje de papel, se olvida de las más fundamentales medidas de seguridad o incluso de sentido común, más teniendo en cuenta que los centros sanitarios manejan datos de salud y están obligados a implantar las medidas de seguridad de nivel alto.

No olvidemos también de la importancia de concienciar al personal, especialmente el administrativo y de servicios generales que no se rige por sus normas deontológicas.

De momento, no hay denuncia oficial interpusta, sólo una reclamación ante la oficina del usuario.

En 2001, Granada se situó entre las diez provincias más investigadas del país por numerosos casos del uso ilegal de datos en el ámbito sanitario.

FUENTE: www.ideal.es

Áudea Seguridad de la Información

www.audea.com

Publicada en la web de la AEPD la Memoria para 2009

La Memoria anual de la Agencia Española de Protección de Datos ha sido publicada y está ya disponible en la web de la AEPD, www.agpd.es. De esta forma, un año más la Agencia da a conocer a instituciones, empresas y ciudadanos las principales formas en que se materializó durante el ejercicio anterior la aplicación de la normativa vigente en materia de protección de datos de carácter personal. Entre otros temas, la difusión de datos en Internet, el tratamiento de datos en sistemas de videovigilancia y la inclusión indebida en listas de morosidad han sido los principales motivos de reclamaciones ante la AEPD durante 2009.

Fuente: www.agpd.es

La seguridad de las empresas, su actividad y su economía dependen del cumplimiento de la LOPD

Debería ser objetivo de todo curso de formación en el ámbito de la protección de datos de carácter personal la adquisición de habilidades en dicho ámbito que se traduzca para la empresa que decide acometer una tarea formativa, en un óptimo cumplimiento de la LOPD.

Es decir, optimizar las tareas de gestión en materia de protección de datos del personal de la empresa, mejorando, por ende, la calidad de los servicios profesionales ofertados por ésta.

A nuestro juicio, los aspectos básicos que debería contener un curso de formación básico en materia de protección de datos son los siguientes:

Datos de carácter personal.

Fichero con datos de carácter personal.

Responsable del Fichero.

Tratamiento acorde con las finalidades declaradas ante la Agencia Española de Protección de Datos.

Formalización de contratos con los Encargados del Tratamiento.

Información a los clientes.

Cláusulas en documentos.

Comunicaciones.

Atención de los derechos de los clientes:

Personal que trate datos de carácter personal.

Cláusula informativa en nuevos contratos.

Entrega de documentación informativa.

Registro de incidencias (comunicación al Responsable de Seguridad).

Registro de E/S de soportes (comunicación al Responsable de Seguridad).

Autorizaciones para recuperación de datos.

Protección de las contraseñas de acceso.

Privacidad y confidencialidad en el tratamiento de los datos.

Prohibición de comunicaciones no autorizadas a terceros no identificados.

Protección de la información (soportes informáticos y papel).

Actualización del documento de seguridad: comunicación al Responsable de Seguridad de altas y bajas de personal.

Áudea – www.audea.com

La AEPD crea en su web una Guía de actuación y de información práctica sobre Internet y la privacidad

La Agencia Española de Protección de Datos ha colgado en su pagina web (www.agpd.es) un espacio sobre Internet y datos personales en el cual nos explica de una forma sencilla y comprensible todos los riesgos a los que estamos expuestos en nuestro día a día en la Web. Así nos explican brevemente que son nuestros datos personales y los usos que les debemos dar en Internet.

Punto por punto va tocando todas las aplicaciones mas usadas por los internautas y en las que se usan datos personales como el correo electrónico, los chat, buscadores, servicios peer to peer y como no las redes sociales. Con una breve explicación nos introduce en el tema y nos da consejos sobre configuración de la privacidad que hoy en día esta de rabiosa actualidad por los problemas con Facebook.

Por último y para completar la página, la Agencia nos ofrece libros de guía y consulta sobre la privacidad en Internet así como videos explicativos que completan la información.

La Agencia sigue con su labor de concienciación social sobre los riesgos y problemas que pueden acarrear la falta de una correcta utilización de los datos personales. En definitiva es una página que sobre todo para el usuario menos experimentado resulta de gran ayuda y es bastante recomendable su lectura.

Fuente: www.agpd.es