Peter Hustinx, supervisor de la Protección de Datos de la UE ha mostrado recientemente su preocupación respecto a los planes que la UE tiene para combatir la piratería por Internet. Según se ha sabido tras la filtración de unos documentos, el ejecutivo europeo se encuentra en negociaciones secretas con Estados Unidos y otros países como Canadá, México, Australia, Nueva Zelanda, Corea del Sur, Singapur, Jordán, Marruecos y los Emiratos Árabes Unidos en lo que se llama Acuerdo Comercial contra la Falsificación de la Propiedad Intelectual o ACTA.
Este documento abre la puerta a la aplicación en toda la Unión de la ‘Ley de los tres avisos’ francesa por la que se permite restringir el acceso a Internet a los usuarios que hayan sido acusados de piratear archivos tras dos avisos previos.
Hustinx, supervisor de la Protección de Datos de la UE lamenta que no haya sido consultado por la Comisión Europea sobre el contenido del acuerdo y denuncia el hecho de que el ACTA involucraría el intercambio de los datos personales de los ciudadanos europeos entre autoridades y organizaciones internacionales sin antes haber creado herramientas para salvaguardar la privacidad de esa información. Así el supervisor argumenta que “aunque la propiedad intelectual es importante para la sociedad, y merece ser protegida, nunca se le debe dar mayor valor que los derechos fundamentales de los individuos en lo que se refiere a la privacidad y protección de sus datos”.
Fuente: www.elmundo.es
El Instituto Nacional de Tecnologías de la Comunicación (INTECO) a través de su Observatorio de la Seguridad de la Información y en colaboración la Universidad Politécnica de Madrid ha publicado una serie de 12 guías de ayuda para que los usuarios de redes sociales sepan como configurar adecuadamente la privacidad y mantener la seguridad de sus perfiles en las redes sociales más utilizadas por los internautas. Es de destacar que esta elogiable iniciativa de INTECO no se ciñe exclusivamente a las redes sociales de ocio, sino que también se ha preocupado de las redes sociales con fines profesionales.
En concreto, están ya disponibles para su descarga las siguientes guías:
Las guías publicadas se centran en los tres aspectos de los que se dervian mayores riesgos para los usuarios de las redes sociales: el alta de usuario, la participación activa en la red y la baja como usuario de la red.
Áudea Seguridad de la Información
www.audea.com
El Tribunal Constitucional alemán declaró este martes anticonstitucional y nula la ley de almacenamiento de datos de telecomunicaciones para la persecución de delitos, crímenes y la prevención de acciones terroristas. El mas alto tribunal alemán dio así la razón a los más de 35.000 denunciantes de dicha ley, casi todos personas privadas, en el mayor recurso presentado en la historia del Constitucional contra una decisión del legislativo.
La ley, en vigor desde 2008, contempla el almacenamiento durante seis meses de todos los datos de conexión de las comunicaciones telefónicas, de correos electrónicos y de navegación por Internet, así como los de localización espacial de los usuarios de teléfonos móviles.
Los jueces del tribunal con sede en Karlsruhe, en el oeste del país, sentenciaron que la ley viola flagrantemente el derecho al secreto de las telecomunicaciones, así como el principio de proporcionalidad.
Igualmente consideraron en su sentencia que la seguridad en el almacenamiento de dichos datos es insuficiente, que no se concreta el uso final de dichos datos y que la ley no es suficientemente transparente. Los magistrados determinaron además que los datos almacenados hasta ahora debían ser eliminados “inmediatamente”.
Contra la citada ley habían presentado denuncias tres grupos de ciudadanos, el mayor de ellos, al que se habían sumado unas 34.900 personas, ha sido representado por el abogado berlinés Meinhard Starostik. Los otros dos grupos están representados por el político liberal Burkhard Hirsch, mientras el abogado verde Volker Beck defendía los intereses de mas de 40 diputados de su partido en el Bundestag.
Fuente: www.20minutos.es
La empresa sueca The Astonishing Tribe, dedicada al desarrollo de software y aplicaciones para móviles, ha publicado a los medios de comunicación haber completado la creación de una aplicación llamada Recognizr. Fundamentalmente diseñada y enfocada al reconocimiento de rostros, la aplicación permite al usuario, previamente dado de alta en la base de datos de Recognizr, ser identificado e identificar al resto de usuarios. Por tanto, se trata de un anuncio no por esperado menos preocupante, ya que la imagen de la persona física es un dato de carácter personal (y por tanto protegido por la legislación de protección de datos personales), y su uso en una base de datos en la red podría acarrear conflictos en materia de violación de privacidad.
Fuente: www.popsci.com, www.edans.com
En vista de las recientes noticias sobre las comparecencias ante la Subcomisión de Propiedad Intelectual del Congreso de representantes del sector tecnológico, de los consumidores, expertos en Internet o en protección de datos, solicitando el fin del “canon digital” y la limitación del papel de las entidades de gestión de derechos de autor, y ante la proliferación de comentarios y encuestas en la Web en que se pregunta, por ejemplo, si hay que eliminar “el impuesto del canon” o si éste debería gravar “sólo originales y no soportes físicos”, es preciso aclarar, en aras del interés de los ciudadanos, esta cierta confusión en el planteamiento de qué es el “canon digital” o compensación equitativa por copia privada, como llama a esta figura el artículo 25 de la Ley de Propiedad Intelectual.
Aún falta tiempo para que desaparezca la necesidad del usuario de hacer copias para su uso privado. Hasta entonces, los usuarios seguirán haciendo copias privadas de los contenidos adquiridos para reproducirlos en dispositivos cuyo empleo es más cómodo (por tamaño, características técnicas, etc.) pero que no tienen modo de albergarlos y reproducirlos si no es mediante una copia (por limitaciones del hardware básicamente).
El trabajo ajeno no es gratuito: el esfuerzo creativo del artista y la labor de quienes ponen esa creación a nuestra disposición han de recibir su justa contraprestación, que se traduce en una compensación en caso de adquirirse la obra por medios distintos de los fijados por el autor (en la mayoría de casos la compraventa de copias originales). Por otro lado, las obras sujetas a licencias de contenido abierto y/o libre también requieren una compensación, si no económica, sí de divulgación de la obra bajo su nombre y con otros requisitos.
No obstante, esta compensación ha de ser definida apropiadamente y teniendo en cuenta los estrictos fines para los que fue ideada la figura, su esencia. El sistema de la compensación equitativa por copia privada, generalizado en Europa, existe en España desde 1987; el problema nace de la actual redacción del artículo 25 de la Ley de Propiedad Intelectual y la orden ministerial que lo desarrolló en junio de 2008 y ahora prorrogada (Orden PRE/1743/2008, de 18 de junio). Su regulación actual desvirtúa el concepto que se trata de proteger, la compensación económica al autor por su esfuerzo creativo y el incentivo a la creación, para convertirlo en una suerte de “permiso de copias privadas”, y que grava con precios exagerados e injustificados determinados dispositivos: por ejemplo, la impresora de 70 ó más copias por minuto, para la que se prevé una compensación de 227,00 euros por unidad. Ese tipo de dispositivos no se adquiere para hacer una simple copia privada.
Estado y usuarios no han de esperar al “fin de la copia” para que se configure una legislación sobre Propiedad Intelectual apropiada para todos los ciudadanos (y no sólo “beneficiosa para unos”). Ya existen en nuestro ordenamiento jurídico instrumentos adecuados para proteger de manera óptima los derechos de propiedad intelectual en nuestro sistema jurídico; lo absolutamente injustificado e inconstitucional es crear una ley o modificar las existentes para favorecer un derecho privado por encima de los de la mayoría, como haría la Disposición Final Primera de la Ley de Economía Sostenible, de aprobarse ésta en la actual redacción de su anteproyecto.
María Teresa Nevado
Áudea Seguridad de la Información
www.audea.com
El Observatorio de la Seguridad de la Información de INTECO, como parte de un proyecto conjunto con la Universidad Politécnica de Madrid (UPM), publica una serie de 12 guías con el objetivo de servir de ayuda a los usuarios a la hora de configurar la privacidad y mantener la seguridad de sus perfiles en las principales redes sociales.
El análisis se estructura conforme a los tres momentos clave en los que es posible identificar riesgos para la seguridad y privacidad en este tipo de plataformas abiertas:
1. Alta como usuario.
2. Participación en la red social.
3. Baja del servicio.
La información utilizada para la elaboración de estas guías ha sido directamente obtenida en los sitios web de cada una de las redes sociales analizadas. Tienen como finalidad ser una ayuda para los usuarios de estos servicios, sin pretender, en ningún caso, sustituir la información y soporte ofrecidos por parte de las propias plataformas.
Disponibles las guías completas para cada una de las redes sociales en castellano.
http://www.inteco.es/Seguridad/Observatorio/manuales_es/guia_ayuda_redes_sociales
La Agencia Española de Protección de Datos ha creado un programa on line para que las entidades tanto públicas como privadas puedan conocer su grado de cumplimiento en relación con la normativa vigente en materia de protección de datos.
Evalúa, que así es como se denomina la herramienta, es gratuito y ya se encuentra disponible en la página web de la Agencia.
El usuario debe responder a un test de respuesta múltiple que consta de dos niveles, uno básico orientado a aquellos que apenas tienen conocimiento de la normativa y quieren conocer si cumplen o no con la misma y otro, para aquellos que tienen un mayor conocimiento de lo dispuesto en la norma y desean verificar si cumplen con las medidas de seguridad exigibles en cada caso. La realización del test conlleva entre 46 y 60 minutos y es de carácter anónimo.
Una vez que el usuario ha contestado a todas las preguntas, el programa genera un informe personalizado en el que se contienen una serie de recomendaciones a implantar para el cumplimiento de la normativa, en función de las respuestas proporcionadas por el usuario.
El resultado de este test tiene un carácter “orientativo”, ya que la realización del mismo no exime del cumplimiento de la LOPD ni tampoco justifica o exime de responsabilidad ante una eventual infracción de la Ley.
Departamento de Comunicación
Áudea Seguridad de la Información
www.audea.com
En estos días se ha iniciado una campaña de concienciación para jóvenes sobre el alcance e importancia de la privacidad de las redes sociales. En esta iniciativa la Agencia de Protección de Datos de la Comunidad de Madrid cuenta con la colaboración de Tuenti y YouTube, quienes con motivo de la Semana Europea de la Privacidad, difunden dos vídeos relacionados con la importancia que tiene proteger la privacidad en Internet.
Para la APDCM las redes sociales han de ser medios de comunicación con amigos, pero no vías para invitar a auténticos desconocidos a que conozcan tus intimidades, así como aquella información que originalmente no se la contarías a cualquiera.
En este sentido se recomienda leer con detenimiento las políticas de privacidad de las redes sociales, pues muchas no cumplen con la legislación de nuestro país y, en muchos casos, la información personal puedes ser indexada a través de buscadores.
No obstante, es bueno saber que no es necesario introducir todos los datos que nos piden inicialmente para proceder al alta.
En este sentido, tanto desde la APDCM como desde Áudea animamos a que aquellos usuarios que consideren vulnerados sus derechos denuncien los hechos comunicándoselo a los administradores de la red social bloqueando, a su vez, a la persona que nos atente. Así mismo también pueden ejercer su derecho de cancelación ante la Agencia de Protección de Datos.
Por tanto, un punto de partida, quizás el más importante, es la concienciación de los ciudadanos usuarios de redes sociales e internet de que han de hacer un uso responsable de las mismas en aras de proteger si privacidad.
Departamento de Comunicación
Áudea Seguridad de la Información
www.audea.com
En contradicción con la máxima empresarial que reza “vale más pedir perdón que pedir permiso” (en clara referencia a que los perjuicios derivados de una actividad ilícita suelen ser inferiores a los beneficios obtenidos), inauguramos esta sección del blog para concienciar a las empresas de que, en protección de datos, esta máxima no tiene fundamento, ni siquiera cuando la infracción se comete por accidente o imprudencia.
Principio de Calidad de los Datos
El artículo 4 de la LOPD, referente al Principio de Calidad de los Datos, prohíbe, entre otras cosas, tratar datos obsoletos o inexactos.
Algo que tradicionalmente se hubiese salvado con una disculpa más o menos formal, y quizá una pequeña compensación económica, puede convertirse en una sanción de 60.000 euros, como la que recayó sobre Bankinter en el Procedimiento Sancionador PS/00173/2009.
Un error administrativo al modificar un código de cuenta corriente sobre el que operaba una tarjeta de crédito, hizo creer al personal de Bankinter que D. R.R.R. adeudaba la cantidad de 183,02 euros, por lo que le incluyeron en un fichero de morosos sin exigir una deuda cierta, vencida y exigible.
“En el presente caso, ha quedado acreditado que Bankinter instó el alta de los datos relativos al denunciante en el fichero Asnef-Equifax y Badexcug-Experian sin haber acreditado que la deuda que se requiere de pago al denunciante es cierta, vencida y exigible de forma indubitada. El impago se produce por una tramitación defectuosa del cambio –comunicado por el afectado- de ccc de domiciliación de pagos de la tarjeta. La responsabilidad es solo de la entidad bancaria. En consecuencia, los datos sobre impagados asociados al afectado por la empresa de recobro primero y por los ficheros de insolvencia patrimonial después no son exactos y puestos al día.
Siendo esto así, Bankinter hizo uso de unos datos inexactos. Estos hechos son contrarios al principio de calidad de datos y, por tanto, contravienen lo dispuesto en el artículo 4.3 de la LOPD.”
La consecuencia de tratar datos inexactos es un incumplimiento del “cajón de sastre” del régimen sancionador de la LOPD, que es el artículo 44.3d):
“La infracción del artículo 4.3 de la LOPD se halla tipificada como grave en el artículo 44.3.d) de dicha norma, que considera como tal (grave), ‘Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.’”
En otras palabras, cualquier cosa que no esté sancionada expresamente como leve o muy grave, es grave… y en consecuencia…
“El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad Bankinter SA, por una infracción del artículo 4.3 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros y veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.”
COMENTARIO: Evidentemente, no es agradable que a uno le incluyan en un fichero de morosos, y menos aún cuando es falso, pero lo cierto es que no hay forma de prevenir errores o accidentes en caso de tratamientos masivos de información, y resulta excesivo que un error suponga una sanción de 60.000 euros.
José Carlos Moratilla
Áudea Seguridad de la Información
www.audea.com
Los sistemas de información e instalaciones de tratamientos que contengan los datos calificados de nivel medio y/o alto, se someterán a una Auditoría al menos de forma bienal, que verifique el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad de datos. La realización de la Auditoría será también obligatoria en el caso de cambios en los sistemas de información que pueden afectar a las medidas ya implantadas, iniciando en ese caso el cómputo de dos años.
Dicha auditoría, que puede ser realizada de forma interna o externa, deberá finalizar en la emisión de un Informe, dictaminando la adecuación de las medidas y controles implantados a la Ley y su desarrollo reglamentario, y en su caso identificando las deficiencias y proponiendo las medidas correctoras o complementarias necesarias, incluyendo los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
Los informes de auditoría serán analizados por el Responsable de Seguridad, que elevará las conclusiones al Responsable del Fichero para que adopte las medidas correctoras adecuadas y en todo caso, el informe quedará a disposición de la Agencia Española de Protección de Datos, o en su caso de las autoridades de control de las Comunidades Autónomas.
Es recomendable que el Responsable de Seguridad preparare un Programa de Auditoría de Seguridad, donde se especifique expresamente:
Una vez terminado el programa de la Auditoria, el Responsable de Seguridad, deberá remitir una copia a la Dirección de la empresa, con objeto de ponerlo en su conocimiento y obtener su aprobación.
El equipo auditor, con la colaboración del Responsable de Seguridad, así como otros responsables involucrados, revisará la documentación necesaria para llevar a cabo la auditoría.
Entre otros documentos se revisarán los siguientes:
Tras la revisión de la documentación aplicable, los auditores prepararán una lista de comprobación en la que relacionen los aspectos a verificar durante la auditoría.
La Auditoría se llevará a cabo durante las fechas previstas en el calendario de trabajo propuesto, y las verificaciones a efectuar durante la misma serán en general.
Una vez finalizada la Auditoría, los auditores se reunirán con el / los responsables con el objeto de exponer las desviaciones detectadas y proponer las medidas correctoras para su resolución. Finalmente se emitirá un informe por parte del Auditor
El auditor, firmará el informe emitido y lo remitirá a la Dirección de la Empresa, así como al Responsable de Seguridad, el cual procederá a distribuirlo entre las áreas implicadas de la empresa para su revisión y análisis, archivando el original del mismo para realizar el seguimiento de las incidencias derivadas.
Departamento de Comunicación
