• LaLiga impugnará judicialmente sanción 250.000€ Agencia Protección de Datos

     

    LaLiga impugnará judicialmente sanción 250.000€ Agencia Protección de Datos

     

    LaLiga impugnará judicialmente la sanción de 250.000 euros que la ha impuesto la Agencia Española de Protección de Datos (AEPD) por una supuesta infracción del principio de transparencia a la hora de informar en la aplicación oficial sobre el uso de la funcionalidad del micrófono en el momento de su activación.

    En un comunicado, LaLiga afirmó que "discrepa profundamente de esta decisión, rechaza la sanción impuesta por injusta, y considera que la AEPD no ha realizado el esfuerzo necesario para entender cómo funciona la tecnología", empleada para detectar emisiones fraudulentas de partidos de fútbol.

    "LaLiga impugnará judicialmente la resolución para demostrar que su actuación ha sido en todo momento conforme a derecho y responsable" y que ha cumplido en todo momento el Reglamento General de Protección de Datos y la Ley Orgánica sobre esta materia.

    La patronal recordó que "la funcionalidad del micrófono esté activa el usuario tiene que otorgar expresa, proactivamente y en dos ocasiones su consentimiento, para lo cual es debida y detalladamente informado", por lo que "no se puede atribuir a LaLiga falta de transparencia o información sobre esta funcionalidad".

    "El funcionamiento de la tecnología ha sido avalado por un informe pericial independiente, que entre otros argumentos favorables a la posición de LaLiga, concluye que esta tecnología no permite que LaLiga pueda conocer el contenido de ninguna conversación ni identificar a sus potenciales hablantes", señaló.

    También destacó que "este mecanismo de control del fraude "no almacena la información captada del micrófono del móvil y la información captada por el micrófono del móvil es sometida en el mismo a un complejo proceso de transformación cuyo resultado es irreversible".

    "Toda esta tecnología se implementó para alcanzar un fin legítimo, que es cumplir con la obligación de LaLiga de velar por la preservación de las condiciones de comercialización y explotación de los derechos audiovisuales. LaLiga no estaría actuando diligentemente si no pusiera todos los medios y tecnologías a su alcance para luchar contra la piratería", insistió.

    Para LaLiga se trata de "una tarea especialmente relevante teniendo en cuenta la enorme magnitud del fraude al sistema de comercialización, que se estima en unos 400 millones de euros anuales aproximadamente".

     

    sancion aepd

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos

    Fuente: Espanol.eurosport

  • ¿Cansado de las llamadas publicitarias? Sigue las pautas que da la Policía Nacional

    En la Agencia Española de Protección de Datos aumentan las reclamaciones de las llamadas publicitarias NO deseadas

    La Policía Nacional apuesta por dar unas indicaciones a los ciudadanos que estén cansados de soportar las tediosas e insistentes llamadas publicitarias en horas consideradas como inoportunas. Ante la negativa a ser considerados maleducados por no responder a números desconocidos comerciales, muchos ciudadanos podrán seguir los consejos de esta iniciativa a través de unos sencillos trucos y así esquivar estas llamadas.

    Los consejos también indican que si después de poner en práctica estos derechos y sugerencias la llegada de publicidad no deseada no cesa, se pueden presentar reclamaciones a la Agencia Española de Protección de Datos.

    A través de la lista Robinson puedes restringir la publicidad no deseada inscribiendo tus datos de forma gratuita y voluntaria. Otra de las fórmulas para rechazar el uso de información privada es no marcar automáticamente la casilla “He leído y acepto”. La acción de marcar esta casilla, según señala la policía, es importante ya que podemos pedir de forma gratuita que no nos incluyan en la oferta.

    Derecho a no recibir publicidad

    Mediante el ejercicio del derecho de oposición y derecho de supresión podemos evitar llamadas con fines comerciales de cualquier empresa. Además, la policía remarca que podemos retirar nuestro consentimiento para que puedan utilizar nuestros datos con fines publicitarios aun habiéndolo permitido anteriormente. Los consejos explican cómo es posible revocar el consentimiento prestado en cualquier momento y a través de un medio sencillo como un teléfono gratuito.

    Esta lista elaborada por la Policía Nacional también nos recuerda cómo desaparecer de las guías telefónicas. Para lograr que nuestro número no conste en esta guía de abonados se debe llamar a la propia operadora y solicitar que eliminen el teléfono y datos.

    La Policia Nacional ha publicado en su página oficial de twitter el siguiente twit para dar a conocer a los ciudadanos las pautas a seguir.

    policia Twitt

     

    Fuente: cronicaglobal

     

  • ¿Hasta qué punto son seguras las tarjetas contactless?

     

    Leer nuestras noticias tiene...

    ¡¡PREMIO!!

    Te acabas de llevar10 ENTRADAS para la feria del RAM de 2019. El PRIMERO que nos diga en la publicación de Facebook que las ha encontrado se las lleva!!¡¡CORRE!! 

    ** Solo se permite un premio por persona **


    Las tarjetas bancarias, ya sea de crédito o débito, son cada vez más utilizadas en nuestros días. Es una forma de pago muy cómodo, seguro y que podemos utilizar cada vez en más lugares. En los últimos años se han popularizado especialmente las tarjetas contactless. En España podemos decir que roza el 100% hoy en día. Sin embargo la seguridad es una cuestión muy importante para los usuarios. En este artículo vamos a explicar cómo funcionan las tarjetas contactless y hasta qué punto son seguras. También vamos a dar algunos consejos para evitar problemas. Ya explicamos cómo pagar con seguridad con tarjeta por Internet.

    TTCS seguridad pagar contactless 2

     

    Cómo funciona una tarjeta contactless

    La forma en la que funciona una tarjeta contactless es muy sencilla. Básicamente consiste en acercar el plástico (o metal, ya que últimamente están apareciendo este tipo de tarjetas) al terminal compatible. De esta forma se genera una conexión entre ambos y podemos realizar el pago.

    Ahora bien, ¿cómo es esto posible? Para ello hay que saber que utilizan NFC. Es la misma tecnología que está presente en muchos teléfonos móviles. Es un medio de transmisión inalámbrica que sirve para identificarnos o realizar pagos, principalmente. En el caso de las tarjetas es justo esto lo necesario.

    Las tarjetas en su interior tienen una pequeña antena NFC. Es algo que no podemos apreciar a simple vista, ya que es muy fina y se encuentra dentro. Esta antena es la que permite conectarse a un TPV para realizar el pago. Un proceso que tarda menos de 1 segundo. No hay que confundir esto con el chip visible que tenemos en la tarjeta (EMV).

    Teóricamente la tecnología NFC puede funcionar a una distancia máxima de entre 10 y 20 centímetros. Sin embargo en la práctica lo normal es que no funcione más allá de los 4 o 5 centímetros. Es esta la distancia a la que tendremos que poner, como máximo, nuestra tarjeta contactless.

    ¿Pueden robarnos con una tarjeta contactless?

    Ahora bien, algo que preocupa a muchos usuarios es el tema de la seguridad. Como sabemos, con una tarjeta contactless podemos pagar sin introducir el PIN. Eso sí, la cantidad máxima suele ser de 20 euros en España. La mayoría de bancos permiten modificar esta cantidad e incluso algunos bloquean temporalmente la tarjeta si hemos realizado muchos pagos sin introducir el PIN en un mismo día.

    Una de las dudas que más preocupa a los usuarios es qué pasaría si pasamos cerca de un TPV y realizamos un pago que no queremos. Incluso si alguien va con un dispositivo por la calle, en lugares muy concurridos, se acerca a nosotros y nos cobra. La realidad es que este proceso es muy complicado. Hay que tener en cuenta que solo se puede cobrar a través de TPV verificados, con un registro previo. En caso de cualquier fraude, siempre podríamos denunciarlo.

    Pero claro, lo cierto es que el riesgo existe. Está claro que es una opción muy remota, pero podrían robarnos hasta el máximo que tengamos configurado en nuestra tarjeta. Esto es algo que podría ser un problema si viajamos a otro país donde todo esto esté menos controlado.

    TTCS seguridad pagar contactless

     

    Consejos de seguridad para nuestras tarjetas contactless

    En nuestra mano tenemos algunas acciones que pueden mejorar la seguridad de nuestras tarjetas contactless. Una de ellas es la de reducir el límite máximo para pagar con este método, si así lo queremos. De esta forma nos pedirían el PIN cuando vayamos a pagar.

    ambién podemos hacer uso de fundas con protección RFID. De esta forma incluso aunque la pongamos pegada al lector TPV no funcionaría. Es una manera muy interesante de proteger la tarjeta.

    Otra cosa que podemos hacer es apagar la tarjeta cuando no vayamos a usarla. Es algo que muchos bancos ofrecen directamente desde la aplicación del móvil. Simplemente con pulsar el botón esa tarjeta estará encendida o apagada. Muy útil si vamos a ir de viaje y llevamos una tarjeta de reserva en la mochila y no queremos ningún tipo de problemas.

     

    Fuente: Redeszone

  • ¿Puede un hospital informar sobre el ingreso de un paciente o su estado?

    ¿Puede un hospital informar sobre el ingreso de un paciente o su estado?

     

    La Agencia Española de Protección de Datos (AEPD) ha fijado cuáles son los criterios sobre el adecuado tratamiento y protección de los datos personales que se deben atender en el ámbito sociosanitario.

    Este organismo trata así de despejar muchas dudas que existen en hospitales o centros asistenciales sobre si se puede o no informar sobre la estancia de un paciente y su estado de salud; las medidas que se deben adoptar si existen órdenes de alejamiento; o si se pueden facilitar datos a las fuerzas y cuerpos de seguridad del Estado.

    La Agencia Española de Protección de Datos ha analizado por primera vez el cumplimiento de la protección de datos en el ámbito de la atención sociosanitaria, aunque estas inspecciones "de oficio" no tienen carácter sancionador sino preventivo para detectar deficiencias y plantear mejoras para elevar el nivel de protección de los datos personales de los ciudadanos.

    El "Plan de Inspección de oficio de la atención sociosanitaria", publicado hoy por este organismo, incluye recomendaciones a organismos públicos, empresas e instituciones titulares de centros sociosanitarios, que inciden en actuaciones necesarias para aplicar de una forma correcta la legislación española sobre la protección de los datos personales.

    Destacan entre las conclusiones las referidas a la información que se debe ofrecer al usuario de los servicios de protección de datos, y que según la AEPD debe ser "por capas, concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información".

    La primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, y posteriormente profundizar en otras "capas" con información más detallada y personalizada.

    El plan incluye un apartado que da respuestas a las preguntas más frecuentes sobre la protección de los datos en estos ámbitos; por ejemplo si es posible cancelar determinados datos de un usuario a petición suya, llevar a cabo tratamientos con fines de investigación médica en un centro, o si es obligatorio facilitar datos personales de los usuarios del centro si lo solicitan las fuerzas de seguridad.

    Un usuario de estos servicios no puede cancelar sus datos personales; sí se pueden utilizar para investigación los datos de los pacientes -siempre haciendo un uso proporcional al objetivo que se persigue-; se pueden tratar los datos personales de personas que sufren ya un avanzado deterioro cognitivo; y sí, las fuerzas de seguridad pueden acceder a esos datos en el marco de una investigación y con el correspondiente mandato judicial.

    El documento que ha publicado la AEPD recomienda por otra parte minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario; o que los empleados de estos centros que traten datos personales de los usuarios suscriban un compromiso de confidencialidad y eviten la utilización de "usuarios genéricos" compartidos por varios trabajadores.

    La Agencia Española de Protección de Datos apreció muchas dudas sobre si los centros pueden facilitar información sobre la estancia, ubicación o estado de salud de un usuario a solicitud de los familiares.

    En este sentido, el organismo que vela por la adecuada protección de los datos ha subrayado que se debe recabar el consentimiento del usuario, aunque en el caso de "urgencia vital" o si la presencia de personas vinculadas al paciente puede ser "esencial" para la debida atención del usuario -y siempre que el paciente no se haya opuesto a que se facilite esa información- el centro puede informar si la persona se encuentra ingresada y de su ubicación.
     
    proteccion de datos en hospital AEPD covid19

    #agenciaespañoladeprotecciondedatos #protecciondedatos #informacionpersonal #covid19 #usoinapropiadodeinformacion 

    Fuente: Noticiasdenavarra

     

  • ¿Puedo instalar una cámara de videovigilancia en mi plaza de garaje de un bloque de vecinos?

    ¿Puedo instalar una cámara de videovigilancia en mi plaza de garaje de un bloque de vecinos?

     

    El registro de imágenes personales con cámaras de videovigilancia y su posterior tratamiento es uno de los aspectos más controvertidos a los que ahora la Agencia Española de Protección de Datos (AEPD) trata de arrojar luz en la 'Guía sobre el uso de videocámaras para seguridad y otras finalidades'.

    Una vez tomadas, pueden tener distintos usos. De dónde y cómo se haga podrá ser legal o no. Si bien es habitual utilizar estas cámaras con el fin de garantizar la seguridad de personas, bienes e instalaciones, también pueden usarse con otros fines, como la investigación, la asistencia sanitaria o el control de la prestación laboral por los trabajadores.

    En el caso de las comunidades de propietarios, «la captación de imágenes por cámaras de videovigilancia en los espacios comunes puede enmarcarse en el interés legítimo de dicha comunidad y la finalidad de seguridad es también legítima», apunta la AEPD.

     Pero matiz diferente tiene la instalación de cámaras en una plaza de garaje propia que forma parte de un espacio compartido por el que pasa habitualmente el resto de los propietarios de un bloque de vecinos u otras personas que acceden al mismo. En este sentido, la Agencia Española de Protección de Datos aclara que esas imágenes que registra la cámara se limitarán exclusivamente a la plaza de aparcamiento de la que sea titular el responsable del sistema de videovigilancia y a una «franja mínima» de las zonas comunes «que no sea posible evitar captar» para la vigilancia de la plaza de garaje. Además, su instalación requerirá la autorización previa de la junta de propietarios que deberá constar en las actas correspondientes», subraya.
     

    Asimismo, advierte de que no se podrán tomar grabaciones de plazas de aparcamiento ajenas ni tampoco de la vía pública, terrenos y viviendas colindantes o de cualquier otro espacio ajeno. «Cumplido este requisito, el propietario de la plaza de garaje como responsable del tratamiento, estará sujeto a las restantes obligaciones impuestas por la normativa de protección de datos», concluyen.

    Normativa Instalacion camaras de seguridad comunidades de vecinos

     

    Fuente: Diariosur

     

     

      Refuerza la seguridad de tu negocio o vivienda con TTCS

    Visita nuestro apartado de productos, para conocer todas las soluciones de seguridad que TTCSte ofrece. O puedes llamarnos al 971607952, o pedirnos información por correo electrónico a nuestro email Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..Tenemos soluciones de seguridad para cada tipo de cliente. 

     seguridad alarmas mallorca TTCS servicios de seguridad

    #alarmasmallorca #alarmasseguridadmallorca #videovigilanciaMallorca #ttcssolucionesdeseguridad 

  • ¿Puedo recibir una multa de la AEPD por escanear el pasaporte de un cliente?

    ¿Puedo recibir una multa de la AEPD por escanear el pasaporte de un cliente?

    Un hotel español acaba de recibir una multa de 30.000€ por la Agencia Española de Protección de Datos (AEPD). Todo, por escanear el pasaporte de un turista holandés. La situación ha trascendido en el sector, que se pregunta por las implicaciones a corto y largo plazo de esta manera de actuar. Sobre todo, porque podría afectar a la gestión de los alojamientos turísticos, incluyendo a los campings.

    Desde la Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT) han reaccionado con conmoción y desconcierto ante la noticia. Sobre todo, porque aseguran que lo que ha ocurrido se trata de un procedimiento habitual usado por los establecimientos para cumplir precisamente con las exigencias que marca el deber de información.

    Al fin y al cabo, hoteles y campings necesitan tener un registro de viajeros. En este caso, aseguran que se trataba de una manera de verificar la identidad del viajero si en algún momento perdía la tarjeta de acceso a su cuarto. Pero es que, además, también es un paso necesario para acceder al resto de servicios que ofrecen en sus instalaciones.

    Por tanto, la polémica está servida. En CEHAT han solicitado urgentemente a las administraciones turísticas que se creen otras normas que impidan que esto vuelva a repetirse. Para entender mejor lo que ha ocurrido, vayamos por partes. Así también podremos saber las implicaciones que podría tener este suceso en el futuro inmediato del sector viajes.

    ¿Por qué se ha producido la multa?

    De acuerdo a Protección de Datos, el motivo es que el hotel Marins Playa ha utilizado la foto del pasaporte del cliente para elaborar una ficha digital. En ella, se incluían datos personales del huésped sin que este hubiese dado su permiso. Sin embargo, CEHAT insiste en que es una manera de prevenir el uso fraudulento de la tarjeta de acceso y para comprobar que el titular de la tarjeta de los consumos internos era el mismo cliente.

    Este hecho ha sido considerado una infracción muy grave del artículo 6 del Reglamento General de Protección de Datos (RGPD. Por tanto, ha sido sancionada con la cuantía 30.000 euros, que es la mínima para un hecho de este nivel. No hay que olvidar que las sanciones muy graves pueden ascender hasta los 20 millones de euros o a un 4% de la facturación total del establecimiento, dependiendo de cuál sea la mayor de estas dos cantidades.

    Lógicamente, habrá establecimientos a estas alturas preguntando cómo se han desencadenado los acontecimientos. En este caso todo surge en el momento en el que el ciudadano holandés pone una reclamación ante la Autoridad de Protección de Datos (AP) de Países Bajos. Según ha contado, el local puso la imagen a disposición de las tablets de los empleados para que verificaran su identidad sin que él hubiese tenido conocimiento previo de ello.

    Desde allí luego se ha trasladado la demanda a la AEPD, que es quién ha dictado la sentencia. De no haber sido por la intervención inicial del huésped, es posible que la multa no se hubiese producido. Sin embargo, esto sigue planteando un dilema a los alojamientos, que se arriesgan a que ocurran de nuevo situaciones que podrían derivar en grandes pérdidas económicas y de confianza para campings y hoteles.

    ¿Cuál ha sido la defensa del hotel?

    En base a este hecho, CEHAT denuncia que la decisión de la AEPD se suma a las permanentes quejas sobre la inseguridad jurídica. También han insistido en la sensación de persecución que los empresarios turísticos sienten en materias de protección de datos. Sobre todo, porque las normativas exigen elaborar y facilitar a las empresas turísticas información necesaria para el Ministerio del Interior.

    La patronal considera que el sector siempre se ha mostrado abierto a colaborar. De ahí que, a partir de la tecnología, el mecanismo habitual y eficiente para cumplir este requerimiento era el escaneo del documento para que los datos fueran fidedignos. El propio hotel afectado aseguró al cliente holandés que el procedimiento de escaneo era necesario porque seguían las instrucciones de la policía.

    De hecho, la AEPD en un primer momento llegó a considerar lícito el tratamiento legal de los datos. Sin embargo, la AP holandesa aseguró que no se estaban valorando bien todas las pruebas. Su argumentación es que el alojamiento podía haber utilizado métodos menos intrusivos para verificar la identidad del titular de la tarjeta del hotel. Por ejemplo, consideran que el apellido, el número de habitación o incluso la firma hubiesen sido buenas alternativas.

    Sin embargo, el medio Confidencial Digital asegura que el hotel ha insistido en todo momento que todos estos métodos permiten una suplantación de identidad: si alguien escuchase la información, podría haberla usado en su nombre. Como no hacían alusión a estos métodos en la sección «Política de Privacidad» de su página web, finalmente la AP desestimó sus argumentaciones. En su comunicado oficial aseguran que no habían informado debidamente al huésped y, también, que el tratamiento de datos personales es innecesario y desproporcionado.

    ¿Entran en conflicto las leyes?

    A pesar de todo, la Confederación apunta que esto entraña unos importantes riesgos por la inseguridad jurídica. Consideran que hay una falta de coherencia de interpretación entre lo solicitado por las Fuerzas y Cuerpos de Seguridad del Estado y las normas de protección de datos personales. No solo eso, es que además han manifestado su preocupación por la entrada en vigor del Real Decreto 933/2021 el próximo 28 de abril.

    La nueva ley recopila las obligaciones de recogida y comunicación de datos. Sin embargo, todavía no existe un documento de desarrollo específico para hoteles que se ajuste a la tecnología de los sistemas informáticos habituales utilizados. Por eso CEHAT ha manifestado tanto al Ministerio de Turismo como al de Interior la imposibilidad de recoger los datos solicitados en este Real Decreto.

    Bien sea porque campings y hoteles no tienen acceso a los mismos o porque están prohibidos por normativa española y europea, lo consideran inviable. Además, esta nueva normativa también contempla importantes sanciones, que podrían entrañar un riesgo. Al mismo tiempo, exige a los hoteleros datos de la transacción económica que son tratados por los proveedores de servicios de pago y plataformas, sin que los establecimientos tengan acceso a ellos por razones de seguridad.

    Por su parte, los proveedores de medios de pago, por razones de seguridad y siguiendo protocolos aprobados por el Banco de España, los encriptan de manera que el hotel no tiene acceso a ellos. Es decir, que en los próximos meses podemos encontrarnos con una situación compleja a nivel de legalidad y recogida de datos en los hoteles.

    ¿Qué riesgos existen para campings y hoteles?

    En base a todo lo que hemos comentado, los establecimientos se encuentran ante una disyuntiva. Aunque permanece vigente la obligación de rellenar y firmar el parte de entrada, la tecnología ha dejado anticuado este método de check-in tradicional. De hecho, CEHAT señala que otras tipologías de establecimiento de alojamiento que no sean campings y hoteles no disponen de servicios de recepción donde se pueda cumplimentar esta obligación.

    Teniendo esto en cuenta, la patronal ha solicitado a las administraciones turísticas que se creen otras normas que impidan el actual desconcierto, o se posponga la entrada en vigor del Real Decreto hasta que haya una norma de desarrollo con posibilidades de cumplimiento. De lo contrario, creen que se podrían producir negativas de información para la seguridad del Estado.

    «No es aceptable obligar a un establecimiento a proporcionar datos a mano en el año 2022, ya que mucha de la información solicitada en estas normativas excede los datos que aparecen en el documento digital de identidad del viajero», señala Ramón Estalella, secretario general de CEHAT.

    Al final, desde la Confederación exponen que los campings y hoteles pueden encontrarse ante la tesitura de tener que elegir entre ser sancionados por incumplir o bien las normas de Registro de Viajeros o bien las de Protección de Datos. Por tanto, consideran que son necesarias nuevas herramientas tecnológicas que ayuden a solventar el problema de los alojamientos.

     

    multa AEPD escanear pasaporte

    #AEPD #agenciaespañoladeprotecciondedatos #privacidaddedatos #usoinapropiadodeinformacion #multaAEPD

    Fuente: Campingprofesional

  • ¿Usáis Google + ? En menos de 10 meses se cierra esta red social

    Facua llevará ante la AEPD a Google

    La brecha de datos que sufrió Google+ en agosto de 2018, que afectó amás de 500.000 usuarios y que ha terminado con el cierre de la red social(previsto para dentro de 10 meses) tendrá sus consecuencias en España. Porque Facua-Consumidores en Acción ha decidido denunciar este incidente ante laAgencia Española de Protección de Datos (AEPD).Desde la organización argumentan quedatos como nombres de usuario, correos electrónicos, direcciones, fotografías y todo tipo de información sensible habrían podido estar expuestos durante los últimos tres años, a pesar de que la multinacional ha asegurado que las publicaciones y los mensajes no han sido filtrados.

    Según asegura Facua en un comunicado, teniendo en cuenta el alto número de cuentas que se han visto afectadas, “con gran probabilidad se habrá producido el acceso no autorizado a datos de consumidores residentes en España, donde la red social tiene mucha presencia”. Para justificar la demanda, la organización recuerda que elReglamento Europeo 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, recoge que el tratamiento de sus datos personales solo será lícito si “el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”, entre otros.

    Asimismo,el artículo 32 de la misma normativa establece que “el responsabley el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”, entre otras,“la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”.

    De igual forma, Facua también invoca a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)que indica que los responsables de los ficheros, Google en este caso, “deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Además, tanto el Reglamento como la LOPDprohíben el tratamiento de datos personales que revelen el origen étnico y racial, las opiniones políticas y las convicciones religiosas o filosóficas, entre otras, salvo consentimiento expreso y por escrito del interesado. Facua entiende que, dado el carácter de una red social como Google+, caben muchas posibilidades de que los datos personales que fueron filtrados entren en esta categoría de‘ especialmente protegidos’,teniendo en cuenta el tipo de información que suelen subir los usuarios a las redes sociales”.

     

    LLega el cierre de Google Plus

     

    Segundo gigante ante la AEPD en pocas semanas

    Google+ no ha sido la única red social que Facua ha llevado ante la AEPD en los últimos tiempos. De hecho, Facebook también fue denunciada por la brecha de datos que hace escasas semanas dejó a merced de los cibercriminales los datos yperfiles de 50 millones de usuarios.La organización pidió un expediente sancionador porque entiende que los supuestos autores de este ciberataque masivo“podrían haber sustraído datos personales de terceros recogidos en Facebook, en cuyo caso habrían tenido acceso a informaciones personales de millones de ciudadanos”.

    Fuente: computerworld

     

     

     

  • ¿Vives en una comunidad de propietarios? Esto te interesa

     

    Dentro de la lista de preguntas que más veces se realizan los integrantes de las comunidades de propietarios sobresale una que tiene mucho que ver con las dudas que suscita la instalación de cámaras de seguridad o videovigilancia. ¿Se puede hacer uso de estas tecnologías en las zonas comunes de un edificio? La respuesta es un sí categórico, pero para poder instalarlas es necesario contar con el voto favorable de las 3/5 partes de la totalidad de propietarios, que a su vez representen las 3/5 partes de la cuota de participación, según lo recogido por la Ley de Propiedad Horizontal. No obstante, si la instalación supone un complemento al servicio personal existente como los vigilantes de seguridad, será suficiente la mayoría simple.

     

    comunidad de propietarios aepd

     

    La comunidad debe tener en cuenta el criterio facilitado por la Agencia Española de Protección de Datos (AEPD). Para ello, hay que cumplir tres requisitos:

    • Que las cámaras sean útiles al fin deseado (para evitar vandalismo y robos).
    • Que la metodología usada con el objetivo de lograr el fin deseado sea la más moderada o la menos invasiva.
    • Que la medida de instalación de una cámara aporte más beneficios que inconvenientes a la comunidad.

    Una vez que la comunidad de propietarios esté segura de cumplir con estos criterios deberá dar de alta el fichero ante la AEPD. Asimismo, hay una serie de apreciaciones de las que los vecinos tienen que ser conscientes:

    • Definir bien las zonas de vigilancia en las que se colocarán los carteles correspondientes de la existencia de las mismas.
    • El grabador de imágenes debe estar en un lugar protegido.
    • Las grabaciones han de realizarse en modo local y no a través de Internet.
    • El acceso a la grabación tendrá que tener siempre una contraseña.
    • Únicamente la persona autorizada y designada por la comunidad de propietarios accederá a la visualización y recuperación de las imágenes.
    • Los datos de las grabaciones podrán ser guardados por la comunidad durante el plazo de un mes. Una vez finalizado, las imágenes tendrán que borrarse.

    Llegados a este punto, conviene tomar la decisión adecuada a la hora de elegir correctamente la compañía que pueda asistir a las comunidades para colocar las cámaras. En este sentido, los expertos en la materia insisten en la importancia de contar con una empresa de seguridad homologada por el Ministerio del Interior, así como de cumplir con el Reglamento de Seguridad Privada. Nosotros queremos dejar constancía de que sí somos una empresa homologada por el Ministerio del Interior y nos asignaron el número 3616 de la Dirección General de Policiael cuál veís siempre en nuestro logo.

    Para contactar con nosotros podéis venir a nuestras oficinas en la calle Camí Can Frontera, 26B, en Pla de na Tesa, en Marratxí, o bien podéis llamarnos al 971607952, o también por correo electrónico en Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

    Fuente: laopiniondemurcia

  • Cámaras para el coche: ¿son legales y pueden evitar multas?

    Cámaras para el coche: ¿son legales y pueden evitar multas?

    Las redes sociales están llenas imágenes impactantes de la carretera tomadas desde el interior de un coche. Conducción temeraria, excesos de velocidad, adelantamientos imposibles, intentos de fraude al seguro… Vídeos grabados por particulares y muchas veces difundidos en las cuentas oficiales de Twitter laGuardia Civil o la Dirección General de Tráfico. Habitualmente, eso sí, con las matrículas difuminadas para proteger la identidad de los automovilistas.

    Instalar una cámara en el parabrisas o sobre el salpicadero (su nombre en inglés es dash cam) puede ser una idea muy atrayente. Para hacer fotos o vídeos cortos al volante y para la seguridad: en caso de percance, la grabación puede ayudar a dirimir quién es el responsable. Pero aquí empiezan las dudas.

    ¿Qué dice la ley?

    No existe en estos momentos ninguna normativa expresa sobre la posibilidad de llevar o no cámaras de grabación en vehículos privados. Así que, según la abogada de la aseguradora ARAG Míriam Montero, “se tendría que estudiar cada caso concreto para determinar la legislación que se debería cumplir”.

    De hecho, desde la Agencia Española de Protección de Datos (AEPD) dan una serie de directrices para valorar en cada situación qué debemos hacer. Montero comenta que “la agencia valora que la cámara tenga una medida idónea, proporcional y equilibrada para la finalidad de la instalación”. Por regla general, eso sí, se necesita el consentimiento de una persona para grabarla.

    En un informe jurídico emitido por la AEPD, se llega a la conclusión de que se pueden realizar dichas grabaciones, pero siempre con cautela y aplicando el principio de minimización. Por ejemplo: que solo se grabe en caso de producirse un hecho concreto, por activación manual o que únicamente se graben imágenes exteriores desde frontal del vehículo.

    En definitiva, ¿es legal tener una cámara de grabación en tu coche? Y la respuesta no es clara: depende del tipo de grabación, para qué la utilices y cómo.

    ¿Podemos reclamar al seguro con una ‘dash cam’?

    En caso de accidente, las imágenes se podrían utilizar, pero siempre se debe valorar cada caso. La última palabra, al final, la tiene el juez. Si son imágenes que muestran solo el momento del siniestro y se presentan únicamente como prueba documental del juicio para reclamar la culpabilidad del contrario, podrían ayudar en la defensa, argumentando el interés legítimo de la grabación y en el derecho a la tutela judicial efectiva.

    ¿Y en caso de infracción de tráfico?

    Si se trata de una multa de tráfico, el caso es distinto y más delicado, ya que depende del tipo de grabación que se tenga y de cómo se haya obtenido. Por ejemplo, si es una grabación continuada de la carretera en la que, además de aparecer el vehículo propio, aparecen las matrículas de otros, podría vulnerarse la ley de protección de datos.

    Esto se considera una sanción grave y el usuario podría llegar a pagar hasta 300.000 euros. ¿Se podría utilizar igualmente estas imágenes como defensa ante la infracción? Sí, pero con cuidado, porque un tercero podría llegar a interponer una denunciarte ante la AEPD.

    El otro caso también es fronterizo: si solo se registran imágenes cuando el vehículo está en marcha, la situación jurídica queda en el aire. Si las grabaciones son con finalidad doméstica quedaría fuera del ámbito de protección de datos, pero si esas imágenes se publican en internet, deja de ser un ámbito doméstico y ahí sí se debería cumplir con la normativa de protección de datos.

    La AEPD solo intervendría si se considera que la grabación ha violado el derecho del interesado y se tienen en cuenta su uso, su proporcionalidad y su justificación.

    ¿Por qué la Guardia Civil usa las imágenes?

    Es importante tener en cuenta, indica la abogada de ARAG, que “la captación de imágenes de vía pública con fines de seguridad está reservada a las fuerzas y cuerpos de seguridad del Estado”. Así que ellos sí que podrán utilizarlas para sancionar o investigar un posible delito o infracción. Además, la ley prevé que los jueces y tribunales, así como el Ministerio Fiscal, pueden solicitarnos las imágenes para un procedimiento si lo consideran oportuno.

    ¿Se puede usar una ‘dash cam’ para las redes sociales?

    Aunque parezca raro, la matrícula de un vehículo, al igual que la imagen, o la voz, es un dato personal. Así que es muy importante tener cuidado con la difusión de estos datos a través de redes sociales (sin consentimiento del interesado) y con los comentarios consiguientes.

    Dependiendo del caso se podría estar hablando desde una vulneración del honor y la propia imagen a un delito de injurias o calumnias si en el comentario de la publicación se acusa a la persona de un delito, faltando a la verdad.

    Además, podría constituir una vulneración de la ley de protección de datos. En el caso de las calumnias serán castigadas con penas de prisión de 6 meses a 2 años o multa de 12 a 24 meses, que dependerá de tus ingresos económicos.

    ¿Se puede manipular la cámara en el coche?

    No. Como si se tratara de un navegador, la ley de tráfico entiende que si se disminuye la atención permanente en la conducción, como sería el caso, el conductor puede ser sancionado con 200 euros y 3 puntos.

     

    instalar camaras en el coche

    Fuente: Motor.elpais

  • Ciberseguridad, la asignatura pendiente para los más pequeños

    La importancia de enseñar ciberseguridad a nuestros hijos 

    Los niños de hoy en día son conocidos como 'nativos digitales' porque han estado conectados prácticamente desde que nacieron. Al mismo tiempo que aprendían a coger por sí solos un vaso y beber, en la otra mano ya tenían un Smartphone o una tablet, pero sin embargo, poco o nada saben sobre ciberseguridad. Pero a pesar de ser expertos en el uso de dispositivos digitales, son absolutamente ignorantes respecto a cómo protegerse de las ciberamenazas que podrían sufrir a través de estos dispositivos.

    El ciberacoso a menores detectado en España ha aumentado un 65% en los últimos 5 años según los datos recogidos en el Sistema Estadístico de Criminalidad del Ministerio del Interior. Y no es de extrañar, al fin y al cabo, nadie les ha enseñado a protegerse; la mayoría de los adultos no tiene tampoco conocimientos en materia de ciberseguridad y los planes de estudios no contemplan la seguridad cibernética como asignatura, a pesar de que las nuevas tecnologías ya han llegado a las aulas.

    Ciberbulling, phishing, scams, malware, divulgación de datos personales y familiares como fotos o localizaciones, compras no autorizadas o ciberacoso, son sólo algunos de los peligros derivados de la exposición de los menores al uso de Internet y las redes sociales. La agencia española de protección de datos (AEPD) , hace incapié en la importancia de NO divulgar datos personales y sus consecuencias, enseñarles las consecuencias de ello, es una materia que concierne a padres y profesores.

    Por este motivo la compañía española especializada en ciberseguridad All4sec, reivindica la importancia de educar a los más pequeños en materia de ciberseguridad y aplaude iniciativas como el Premio Enise a la mejor iniciativa escolar en materia de ciberseguridad. El objetivo de este premio es dar a conocer y recompensar el esfuerzo de centros escolares que hayan puesto en marcha algún proyecto en materia de ciberseguridad, para fomentar el uso seguro y responsable de la tecnología e Internet en los centros educativos o la capacitación y promoción del talento en ciberseguridad.

    Iniciativas como ésta contribuyen a concienciar sobre los peligros de la red, promover el talento en materia de ciberseguridad y ensalzar el potencial existente en las aulas.

    Pero no debemos olvidar que la educación en materia de ciberseguridad también debe estar presente en casa. Del mismo modo que hemos enseñado a nuestros hijos que no deben cruzar cuando el semáforo está en rojo o que no deben aceptar regalos o entablar conversaciones con desconocidos, debemos interiorizar suficientemente la necesidad de sensibilizarlos sobre el uso correcto de la tecnología.

    ciberseguridad en las aulas 655x368

    Pautas digitales básicas, para mantener a los menores seguros en Internet

    • Lo primero es hacerles entender que el mundo digital no es un juego o una mera diversión. Que no den nunca sus datos personales (teléfono, dirección, nombre de su colegio, etc.) a personas que no sean de confianza.
    • Enseñarles a crear contraseñas únicas que puedan recordar o guardar en lugares seguros.
    • Advertirles de que jamás deben responder a mensajes de desconocidos o añadir amigos a sus redes sociales que no conozcan.
    • Enseñarles a cómo utilizar las aplicaciones y programas que pueden proteger su ordenador, como el antivirus para protegerse del malware o el addblock para poder navegar por Internet sin publicidad perniciosa.
    • Desactivar las compras en línea o establecer controles parentales en sus dispositivos para controlar su uso.
    • Establecer una conexión VPN en el hogar para asegurarse de que ningún ciberdelincuente en línea tenga acceso a su sistema.
    • Y lo más importante de todo, enseñarles a pedir ayuda a los adultos en caso de que tengan problemas o dudas.

    Tampoco hay que olvidar que nuestros menores serán quienes desarrollen las tecnologías del futuro. Una base educativa sólida en materia de ciberseguridad, es imprescindible para concienciar e inspirar a los futuros expertos en la materia y contribuir a construir un ciberespacio más seguro para todos.

    Fuente: blog.innovaeducacion , realinfluencers

  • Colocar un cartel de advertencia al lado de una cámara no nos autoriza instalarla y grabar en cualquier sitio

    Colocar un cartel de advertencia al lado de una cámara no nos autoriza instalarla y grabar en cualquier sitio

    Las cámaras de vigilancia suelen ser algo que suscita muchas dudas que hemos ido resolviendo poco a poco: dónde pueden colocarse, qué requisitos debo cumplirsi la puedo llevar en el coche, cuándo tengo que avisar y cuándo no, si las puedo instalar en viviendas vacacionales En la mayoría de estos casos, uno de los requisitos fundamentales que especifica la ley si vamos a instalar aparatos de videovigilancia es la colocación de carteles que adviertan de la presencia de dicha cámara y que informen del tratamiento de los datos y de su responsable. Pero, ¿colocar el cartel por sí solo nos permite poner estas cámaras donde queramos?

    Hay que diferenciar los dos tipos de espacios que existen: los públicos y los privados. Samuel Parra, abogado especializado en protección de datos en ePrivacidad, explica que “en los espacios públicos, como calles, aceras o carreteras” no podemos colocar cámaras a nuestro antojo que graben continuamente “porque es competencia exclusiva de los cuerpos y fuerzas de seguridad del Estado”. El especialista apunta que tampoco sería legal tener una cámara en el interior de una casa o un establecimiento apuntando hacia la calle, y que en la imagen se pudiera observar lo que sucede fuera.

    El espacio público, como aceras o carreteras, no puede grabarse sin justificación

    La Agencia Española de Protección de Datos (AEPD) se ha pronunciado al respecto en algunas ocasiones y multado a personas que habían instalado cámaras de videovigilancia en espacios públicos. Por ejemplo, impuso una multa de 2.000 euros a una persona en Granada porque estas estaban “orientadas palmariamente hacia espacio público, de manera que el denunciado controla todo el ancho de la acera pública de manera desproporcionada”. En otro caso, en Zaragoza, sancionó con el mismo importe a una empresa por actuar con “negligencia” al “captar ampliamente zona pública y zonas de la propiedad adyacente, sin haber adoptado medida alguna para enmascarar las imágenes”. 

    Los espacios privados son otro cantar. “Nuestros hogares, tiendas, oficinas o espacios de trabajo son espacios privados, aunque en algunos como los establecimientos comerciales o las oficinas no los veamos así porque los compartimos con más gente”, añade Parra. Aunque parezca lo contrario, un bar o una tienda es un espacio privado, tal y como os explicamos en este artículo cuando hablábamos de la captación de imágenes o vídeos por parte de otros comensales en los que podríamos llegar a aparecer.

    Incluso en estos espacios privados, hay diferencias: “Si estamos en nuestra casa, no habría problema en colocar las cámaras ni tampoco haría falta colocar un cartel”, explica el abogado. Al fin y al cabo, nuestra casa es un espacio privado por el que sólo pasamos nosotros y las personas que autoricemos.

    Si el espacio doméstico se convierte en profesional, tiene que cumplir la normativa y avisar de la presencia de cámaras

    Para este caso también hay excepciones: “Desde el momento en el que tenemos a una persona que viene a limpiar a nuestra casa, por ejemplo, deja de ser doméstico para convertirse en un espacio profesional y ahí sí que estamos obligados a avisar de la presencia de las cámaras a través de carteles”. El especialista también señala que “tenemos que adjuntar una hoja en el contrato [en el caso de un limpiador, por ejemplo] que recoja estas circunstancias y que especifique para qué se tratan los datos, quién es el responsable, cuándo se eliminan y demás requisitos legales”. 

    Al tratarse de ámbitos profesionales, lo mismo sucede en el caso de que regentemos una tienda o bar o un restaurante, pero también si trabajamos presencialmente en las oficinas de nuestra empresa. Además de los carteles junto con las cámaras, los empleados, al igual que sucede con el ejemplo de nuestra casa, también tienen que firmar ese documento en el que se les informe de la grabación de imágenes y en el que se recoja toda la información sobre las cámaras y el tratamiento de los datos. 

    El abogado recomienda “colocar un cartel al lado de cada cámara, bien visible, y no únicamente a la entrada del local o unas sí o en otras no, porque puede llevar a la confusión o al olvido de que estas cámaras existen”. 

    camaras AEPD

     

    Fuente: Maldita

  • Coronavirus y protección de datos: cuando el interés público se impone a la privacidad

    Coronavirus y protección de datos: cuando el interés público se impone a la privacidad

     

    La detección precoz de los casos compatibles con covid-19 y la vigilancia epidemiológica para rastrear los sospechosos son claves para controlar la transmisión de la enfermedad, según el Ministerio de Sanidad. Y, por ello, la figura del rastreador se está revelando como primordial en la lucha contra la pandemia, ya que su labor, tirar del hilo, es esencial a la hora de contener la propagación del virus.

    ¿Cabe la posibilidad de que una autoridad sanitaria comunique a amigos, compañeros de trabajo o familiares que alguien está infectado del coronavirus? ¿Pueden los empresarios tratar la información de si sus trabajadores tienen, o han tenido, la enfermedad? ¿Tiene un empleado la obligación de informar a su empresa de que está en cuarentena preventiva o afectado por la covid-19? Ante la avalancha de preguntas y disparidad de opiniones, la propia Agencia Española de Protección de Datos (AEPD) publicó un informe hace unos meses para arrojar luz y total claridad en estos aspectos.

    Cabe destacar que el derecho a la protección de datos tiene origen en el artículo 18 de la Constitución Española (“Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito”). Este derecho se mantuvo en vigor durante el estado de alarma, y por supuesto sigue vigente hoy día, una vez superada esa situación excepcional.

    En su informe, la AEPD afirma que el Reglamento General de Protección de Datos reconoce que, en situaciones excepcionales como la actual, “la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público como en el interés vital del interesado y otra persona física”. Y es precisamente al reconocer la protección de esa “otra persona física” cuando se está legitimando el tratamiento de datos personales del individuo en aras de la protección al contagio de terceros. En consecuencia, el choque de derechos colectivos e individuales se resuelve en favor de la protección de la salud pública.

    Conocimiento de una empresa

    Así que sí, una empresa puede conocer de las autoridades sanitarias si uno de sus trabajadores está infectado o no, “para así diseñar los planes de contingencia necesarios” para salvaguardar la salud del resto. Dicha información “debería proporcionarse sin identificar a la persona afectada a fin de mantener su privacidad” si de este modo es posible proteger al resto del personal. Solo en el caso de que dicha protección no pudiera garantizarse con una información parcial, “o la práctica sea desaconsejada por las autoridades competentes, en particular las sanitarias”, se proporcionará la identificación.

    La empresa también puede preguntar directamente a sus trabajadores, aunque dichas preguntas “deben limitarse exclusivamente a indagar sobre la existencia de síntomas”, o sobre si el empleado “ha sido diagnosticado como contagiado o sujeto a cuarentena”. Cuestionarios de salud más extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad, sí contravendrían la protección de datos del empleado.

    ¿Y puede la empresa pedir a sus empleados o a visitantes ajenos datos sobre países que hayan visitado anteriormente, o si presentan síntomas relacionados con el coronavirus? “Sí, siempre que la información solicitada se limite a preguntar por visitas a países de alta prevalencia del virus, y en el marco de incubación de la enfermedad”, las dos semanas anteriores a dicha consulta.

    Y sí, los trabajadores afectados por la cuarentena deben informar su empresa y al servicio de prevención o a los delegados de prevención de que se encuentran en esa situación. Y es que el derecho de no informar sobre el motivo de una baja laboral por enfermedad queda “suspendido” frente a la defensa de otros derechos como el de la protección de la salud del resto de trabajadores en situaciones de pandemia y de la defensa de la salud de toda la población.

    Agencia Espanola Proteccion Datos

    La toma de temperatura, a debate

    Mención aparte merece para la Agencia Española de Protección de Datos la toma de temperatura en espacios y lugares públicos, ya que esta medida puede suponer un asalto injustificado a nuestros datos personales. La AEPD lo tiene claro: “Este tratamiento supone una injerencia particularmente intensa en los derechos de los afectados”. En concreto, porque “afecta a datos relativos a la salud de las personas, no solo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino porque, a partir de él, se asume que una persona padece o no una concreta enfermedad”.

    Según la agencia, “una eventual denegación de acceso a un espacio público estaría desvelando a terceros, que no tienen ninguna justificación por conocer esta información, que la persona afectada tiene una temperatura corporal por encima de lo que se considera no relevante y, sobre todo, porque puede haber sido contagiada por el virus”. Por ello, Protección de Datos recuerda que hay “un porcentaje de personas asintomáticas que no presentan fiebre, que la fiebre no siempre es un síntoma presente y que puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus”.

    En el entorno laboral, la AEPD matiza que las pruebas de fiebre “podrían quedar amparadas en la obligación que tienen los empleadores de garantizar la seguridad y la salud de las personas trabajadoras a su servicio”.

    agencia española de proteccion de datos coranovirus

    ¿Protegen nuestros datos las aplicaciones de rastreo de contagios?

    En principio, sí. Radar Covid, por ejemplo, es una aplicación disponible ya en la tienda de aplicaciones de Google (App Store se sumará también) y está impulsada por el Gobierno. Notifica al usuario si ha estado en contacto con algún positivo diagnosticado, pero no recoge el nombre, correo electrónico, número de teléfono ni geolocalización de quien se la descarga. Dicho de otra forma, recoge los movimientos de forma anónima y alerta a quienes hayan estado próximos en caso de infección, sin indicarles en ningún momento la fecha, hora o lugar de exposición.

    #agenciaespañoladeprotecciondedatos #protecciondedatos #informacionpersonal #covid19 #usoinapropiadodeinformacion 

    Fuente: Heraldo

  • Datos de 17.000 españoles, robados a una empresa de camisetas y vendidos en la “dark web”

    Datos de 17.000 españoles, robados a una empresa de camisetas y vendidos en la “dark web”

     

    “22 millones de registros en total, de los cuales 1.060.000 son afectados de la Unión Europea y unos 17.792 de España”: son datos de un incidente de seguridad informática que afectó a Cafepress, una empresa dedicada a la venta de camisetas personalizadas en todo el mundo.

    Confidencial Digital ha consultado una resolución reciente de la Agencia Española de Protección de Datos, con la que se archivan las actuaciones referentes al ese incidente en el que fueron sustraídos, para ser puestos a la venta, datos personales de varios miles de españoles.

    Datos de clientes a la venta en la “dark web”

    Todo comenzó el 6 de agosto de 2019. Ese día Cafepress (que tiene su sede en Shelbyville Road, Lousville, Kentucky, Estados Unidos) descubrió que dos conjuntos de registros de datos de clientes estaban disponibles a la venta en la “dark web”.

    Se denomina “dark web” aquella parte parte de la “deep web” o Internet profunda que está intencionalmente oculta a los motores de búsqueda, con direcciones IP enmascaradas y accesibles sólo con un navegador web especial.

    En estas redes de “dark web” se llevan a cabo transacciones ilegales: drogas, armas, pornografía infantil, órganos humanos... se venden a través de él.

    Notificación a Protección de Datos

    La Agencia Española de Protección de Datos recibió un escrito de notificación de quiebra de seguridad remitido por Jones Day, un bufete de abogados que representaba a Cafepress INC.

    En el escrito se le informaba de que por fuentes externas habían tenido conocimiento de que Cafepress se había enterado “por fuentes externas que su base de datos de clientes había sido puesta a la venta en la ‘dark web’, un conjunto de un total de 22 millones de registros. Tras investigar el caso determinaron que una tercera persona no identificada obtuvo, sin autorización, la base de datos de clientes de Cafepress”.

    De esos 22 millones de registros por todo el mundo, más de un millón pertenecían a ciudadanos de la Unión Europea, y a su vez 17.792 eran de España.

    Al comprobar que había clientes de la empresa afectados, Cafepress notificó los hechos a la Agencia Española de Protección de Datos, que puso a la Subdirección General de Inspección de Datos a realizar unas actuaciones previas de investigación para el esclarecimiento de los hechos.

    Contraseñas, tarjetas de crédito...

    Uno de los problemas iniciales fue que tras recibir las notificaciones, algunas autoridades de control europeas se consideraron interesadas en el asunto. Pero otras, como la del Reino Unido, consideró que no había nada que investigar ya que Cafepress no cuenta con una sede física en la Unión Europea.

    En principio, sobre los datos robados a esta web de personalización de camisetas y puestos a la venta en la “dark web” la Agencia Española de Protección de Datos indica que “las categorías de datos afectados por la brecha son datos básicos y de contacto, datos identificativos como nombres de usuario y contraseñas y, solo en algunos casos, datos económico-financieros tales como información de tarjetas de crédito (cuatro últimos números y fecha de caducidad)”.

    Sí que hubo unos 15 afectados de la Unión Europea que vieron comprometidos datos más sensibles, como números de identificación fiscal o equivalentes, pero ninguno de ellos de España.

    La empresa cuyos datos fueron sustraídos recibió unas 80 solicitudes de información de afectados de la Unión Europea relacionadas con el caso, pero ninguna en la que se manifieste haber sufrido daños por el incidente. Y concluyó que “la probabilidad de que los afectados experimenten consecuencias significativas es neutral para las 15 personas cuyos identificadores fiscales se vieron comprometidos, e improbable para el resto”.

    Análisis forense

    En su resolución, la Agencia Española de Protección de Datos analiza las medidas adoptadas por Cafepress. Entre las barreras que tenía antes de la “brecha” señala que “constaban medidas de seguridad como Hashing para las contraseñas de los usuarios, segmentación de red, cifrado de credenciales en tránsito, política de claves robustas para empleados, firewalls perimetrales, controles de acceso físicos, formación anual en seguridad para los empleados, y protección con software antivirus. Existe otro grupo de medidas adicionales implementadas para mitigar riesgos relacionadas la mayoría con la migración a otros servidores en julio de 2019 de las tablas de registros de clientes”.

    Tras el robo de datos, Cafepress comunicó el suceso al Reino Unido (donde había una gran concentración de afectados) y al resto de las autoridades de control de la Unión Europea cuando determinó el número de afectados de cada país.

    Esta empresa estadounidense inició sus propios análisis, con expertos forenses externos. Éstos no pudieron confirmar realmente si la información de los clientes había sido obtenida de su base de datos, “ya que los logs que registran el tráfico en tiempo real no reflejan el incidente”.

    Ayuda del FBI

    Además, denunció los hechos y comenzó a cooperar con el FBI de Estados Unidos (el país de su sede), y notificó el problema a todos los afectados mediante correo electrónico.

    “En el presente caso, consta una quiebra de seguridad de datos personales en las circunstancias arriba indicadas, categorizada como una posible brecha de confidencialidad, como consecuencia del acceso indebido por terceros ajenos a la base de datos del sistema de información de Cafepress”, establece la Agencia Española de Protección de Datos.

    También concluye que la empresa “disponía de razonables medidas técnicas y organizativas preventivas a fin de evitar este tipo de incidencias y acordes con el nivel de riesgo”, así como de “protocolos de actuación para afrontar un incidente como el ahora analizado, lo que ha permitido de forma diligente la identificación, análisis y clasificación del supuesto incidente de seguridad de datos personales así como la diligente reacción ante la misma al objeto de notificar, minimizar el impacto e implementar nuevas medias razonables y oportunas para evitar que se repita la supuesta incidencia en el futuro a través de la puesta en marcha y ejecución efectiva de un plan de actuación”.

    Como recomendación, Protección de Datos pide a Cafepress que realice un informe final sobre el incidente, que supondría “una valiosa fuente de información con la que debe alimentarse el análisis y la gestión de riesgos y servirá para prevenir la reiteración de una brecha de similares características como la analizada causada previsiblemente por un error puntual”.

    Al considerar que Cafepress no había infringido la normativa sobre protección de datos personales, la autoridad española ha terminado archivando las actuaciones sobre este robo de información que afectó a más de 17.000 españoles.

     

    not. 16.07.20

    #robodeinformacion  #usoinapropiadodeinformacion #ventadeinformacionprivada #AEPD #agenciaespañoladeprotecciondedatos #protecciondedatos

    Fuente: Elconfidencialdigital

  • Denuncian al IME por «espiar» con cámaras a sus empleados en Palma

    Una nueva versión de programa ‘Gran Hermano’ llega a los polideportivos municipales de Palma. Empleados de una empresa subcontratada del IME (Institut Municipal de l’Esport) del Ajuntament de Palma han interpuesto una denuncia ante la Agencia de Protección de Datos. Alegan que se «espía» mediante grabación de imágenes a usuarios en la zona exterior de las instalaciones y al personal propio. Y alegan que se realiza un mal uso de estas imágenes. «En el polideportivo Marga Crespí, han instalado dos cámaras, una delante y otra detrás, que graba durante toda mi jornada laboral. Entendemos que las cámaras deben grabar zonas comunes por razones de seguridad, pero no para 'espiar’ a sus trabajadores. Además, los capataces presumen de ello y las muestran a terceras personas», apunta Enrique Viéitez, uno de los afectados.

    «Nos consta que el encargado de la empresa va enseñando las imágenes. Además, se está captando y almacenando a usuarios tanto dentro de las piscinas como en vía pública. Esto es totalmente ilegal», añade Viéitez. Los trabajadores denuncian también que estas cámaras no cuentan con su consentimiento. «El espíritu de la norma marca que se debe descartar la videovigilancia si hay medidas menos lesivas para los derechos fundamentales. Vamos a llegar hasta el final. De momento, la Agencia de Protección de Datos admite a trámite la denuncia y pide explicaciones a Cort.

    Por su parte, fuentes consultadas del IME, sostienen que aún no han recibido la comunicación oficial del organismo competente. «Cuando nos llegue haremos la alegaciones que consideremos pertinentes. Nosotros hemos contratado a una empresa de seguridad y entendemos que instalaron las cámaras sujetas a la legislación vigente. En caso contrario, tomaremos las medidas que sean necesarias para adaptarnos a la norma», concluyen fuentes del Área de Deportes de Cort.

    Los polideportivos afectados son s’Estel, Son Roca, Son Ferriol, s’Arenal, Sant Jordi y Génova.

     

    TTCS empresa de seguridad y videovigilancia mallorca

     

    #videovigilanciamallorca  #camarasdeseguridadmallorca #ttcsseguridad #sistemadeseguridad #ttcssolucionesdeseguridad

    Fuente: Ultimahora

  • El Curso “Ciberdefensa Y Tutela De Derechos En Las Redes” Reúne En Melilla A Responsables Militares Y Expertos En Seguridad

    El Curso “Ciberdefensa Y Tutela De Derechos En Las Redes” Reúne En Melilla A Responsables Militares Y Expertos En Seguridad

    El curso “Ciberdefensa y tutela de derechos en las redes”, que se celebra del 27 al 31 de julio de 2015 en los “XXIV Cursos Internacionales de verano Ciudad de Melilla”, reúne en Melilla a responsables militares y expertos en seguridad de toda España.

    Estos seminarios forman parte de los cursos internacionales de verano que dirige el profesor de la UGRManuel Ruiz Morales, y organizan la Universidad de Granada y la Ciudad Autónoma de Melilla (Consejería de Cultura y Festejos). Con sede en el Palacio de Exposiciones y Congresos de Melilla, y secretaría académica en los Centros Universitarios de Melilla, este curso está coordinado por Juan Cano Bueso (presidente del Consejo Consultivo de Andalucía), Blas J. Imbroda Ortiz (decano del Ilustre Colegio de Abogados de Melilla), y Luis Martínez Trascasa (general 2.º Jefe de la Comandancia General de Melilla).

    Afirman los coordinadores de este curso que “hablar de Ciberdefensa, es hablar de nuestras libertades, de nuestra calidad de vida, en fin, de nuestra seguridad. Debemos ser totalmente conscientes de que nuestros adversarios necesitan de nuestra tecnología, nuestros recursos, nuestros datos no solo para desarrollarse ellos y obtener pingües beneficios sino para influir en la toma de decisiones de una nación”.

    En el curso se trata, pues, de Ciberdefensa, en la certeza de que la seguridad afecta no solo a las Fuerzas Armadas sino también a las Fuerzas y Cuerpos de Seguridad, a los Servicios de Inteligencia, a las Administraciones del Estado, al tejido industrial de España, a todo lo relacionado con I+D+I, al sector académico español y al final –como no puede ser de otra manera y como pieza clave–, a las personas. “Las amenazas –dicen los organizadores– son reales, no virtuales, y a nadie se le escapa este nuevo riesgo para nuestra civilización. Como veremos y oiremos en estos días, a veces, estas amenazas no están localizadas en estados ni personas en particular; la realidad puede ser mucho más compleja. Para dar respuesta a estas amenazas, en las Fuerzas Armadas se ha creado el Mando de Ciberdefensa para apoyar y formar parte en esa “lucha” que deben tener los estados para garantizar la seguridad de los ciudadanos. Además y durante estos días oiremos hablar de Acciones de Defensa,de cuestiones relacionadas con la Explotación (Ciberinteligencia) y, cómo no, de respuesta (acciones Ofensivas)”.

    Profesorado

    “Ciberdefensa y tutela de derechos en las redes”, que se celebra con la colaboración de la Comandancia General de Melilla, el Ilustre Colegio de Abogados de Melilla y el Consejo Consultivo de Andalucía, cuenta con el siguiente profesorado:

    • Juan Cano Bueso, catedrático de Derecho Constitucional de la Universidad de Almería, y presidente del Consejo Consultivo de Andalucía.
    • Joaquín Castellón Moreno, capitán de Fragata, director operativo del Departamento de Seguridad Nacional de la Presidencia del Gobierno.
    • Arturo Espejo Valero, coronel. Unidad de Ciberseguridad de la Jefatura de Información de la Guardia Civil.
    • Fernando García Sánchez, almirante General. Jefe de Estado Mayor de la Defensa (JEMAD).
    • Pedro García Teodoro, catedrático del Departamento de Teoría de la Señal, Telemática y Comunicaciones, Universidad de Granada.
    • Carlos Gómez López de Medina, general de División del Ejército del Aire, comandante Jefe del Mando Conjunto de Ciberdefensa de las Fuerzas Armadas.
    • Luis Hernández García, teniente coronel de la Unidad de Ciberseguridad de la Jefatura de Información de la Guardia Civil.
    • Blas J. Imbroda Ortiz, profesor de la UNED. Decano del Colegio de Abogados de Melilla.
    • Manuel Llamas Fernández, coronel Jefe Comandancia Guardia Civil de Granada.
    • Luis Martínez Trascasa, general 2.º Jefe de la Comandancia General de Melilla.
    • Beatriz Méndez de Vigo Montojo, secretaria general del CNI.
    • Eugenio Pereiro Blanco, comisario jefe de Delitos Tecnológicos de la Comisaría General de la Policía Judicial.
    • Francisco Quereda Rubio, consejero delegado de ISDEFE (Ingeniería de Sistemas para la Defensa de España. Empresa pública de consultoría e ingeniería, adscrita al Ministerio de Defensa).
    • Miguel Rego Fernández, director general de INTECO (Instituto Nacional de las Tecnologías de la Comunicación).
    • José Luis Rodríguez Álvarez, profesor de Derecho Constitucional de la Universidad Complutense de Madrid, director de la Agencia Española de Protección de Datos (AEPD).
    • José Manuel Roldán Tudela, general de División, jefe de la Jefatura de los Sistemas de Información, Telecomunicaciones y Asistencia Técnica del ET.
    • Ángel Rodríguez-Vergara Díaz, catedrático de Derecho Constitucional de la Universidad de Málaga.
    • Fernando J. Sánchez Gómez, director del Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) del Ministerio del Interior.
    • Elvira Tejada de la Fuente, fiscal de la Sala coordinadora en materia de Criminalidad Informática.

     

    Fuente: granadaenlared

  • El desordenado panorama del “derecho al olvido”

    El desordenado panorama del “derecho al olvido”

     

    Una invitación de la Cátedra Google de privacidad, sociedad e innovación de la Universidad CEU-San Pablo me llevaba hace unas semanas a regresar a este tema, tan manido en nuestro espacio.

    Comienzo por recordar mi máximo respeto por quienes sufren en la Red situaciones como las que este derecho pretende resolver, no digamos si son menores de edad. El problema es que sigo pensando que se trata de un remedio que plantea demasiados inconvenientes, de peso a mi juicio superior al de aquellas situaciones.

    En efecto, me centraré en el que constituye su principal problema de fondo: el Abogado general Jääskinen fue quien, en sus conclusiones en el caso Google España c. AEPD y Mario Costeja, mencionó al respecto la palabra “censura”. El choque entre libre expresión y libertad de información, frente a derecho a la protección de datos de quien pretende se supriman de un buscador determinadas informaciones, puede terminar provocando justamente ese efecto: la censura de contenidos que probablemente debieran seguir siendo accesibles desde dicho buscador.

    No es éste quizá el caso cuando los contenidos son por ejemplo los que dieron pie al conocido conflicto y a la correspondiente sentencia de 13 de mayo de 2014 del Tribunal de Justicia de la Unión Europea: datos sobre una deuda impagada a la Seguridad Social, y posteriormente satisfecha, por parte de este abogado español. Por cierto que, paradojas de la vida, bien lejos de haber sido olvidada por Internet, dicha deuda probablemente sea a raíz de todo ello más recordada que nunca.

    Aun cuando sí que puede hablarse de censura respecto de contenidos de interés general en muchos otros supuestos. No es mi afán cuantificarlos, pero sí desde luego resaltar que se trata de casos muy difícilmente deslindables de los anteriores. Habría debido bastar la gran dificultad de ponderar si estamos o no ante unos u otros supuestos, para que el TJUE hubiera seguido las recomendaciones del Abogado general de no dar pie a este nuevo derecho.

    Sucede sin embargo que, junto al citado de fondo, la sentencia Costeja ha generado dos problemas de política regulatoria, también expuestos en entrada de este espacio de noviembre de 2014, y en los que ahora profundizamos. Por un lado, esta sentencia ha debilitado la responsabilidad del usuario online a la hora de generar contenidos o de simplemente actuar en sociedad (esto último lo recordaba el Tribunal de Amsterdam en su citada resolución). Y todo ello justamente en el momento en que, por primera vez en un texto oficial elaborado a escala europea, se acababa de apelar expresamente a ella: así lo hacía la Guía de derechos humanos del Consejo de Europa de abril de 2014: “Siempre nos quedará Google”, puede hoy pensar cualquier usuario de la Red.

    Y segundo y sobre todo, el TJUE ha creado un procedimiento “alegal”, ya calificado como tal por el Abogado general Jääskinen, en el que se hace de Google una suerte de “juez” acerca de si ciertos contenidos deben o no seguir en su buscador. Ya hemos visto la gravedad que ello supone cuando no resulte claro si dichos contenidos son o no de interés general.

    Cierto, Google u otro buscador serán solo “jueces de primera instancia”, pues sus decisiones siempre van a estar sujetas a la revisión de la Agencia de datos de que se trate y llegado el caso a la de los jueces y tribunales. Aun cuando también lo es que, como antes indicábamos, los difusos contornos mutuos de informaciones provistas o no de “interés general”, harán que en ocasiones como las que seguidamente citamos, supuestos que más parecen de interés general caigan en la red de lo que se debe olvidar.

    Y cuando así sucede, es ya muy difícil que esa información se pueda rescatar del olvido, aun cuando pudiera merecerlo: el interesado estará encantado con la decisión de supresión acordada por Google u otro buscador, siendo francamente difícil que un tercero se aventure a iniciar un proceso para revertirlo: cuesta imaginar a este periódico, por ejemplo, instando a Google a reponer información “hecha olvidar” a instancias de un interesado, porque dicho medio la estima de interés general; sin que tampoco resulte lógico que ABC recurriera ante la Agencia de datos en el supuesto de que Google rehusara rescatar la información (la Agencia de datos está justamente para lo contrario…); por no mencionar la onerosidad de un procedimiento judicial que en el fondo más sería “pro bono” (es decir, en defensa del interés general en la libertad de información), que “pro domo sua”. La única esperanza pues de que un contenido no caiga definitivamente en el olvido (y no nos engañemos, si Google lo olvida, al menos desde Europa, prácticamente lo olvida toda Internet) es que Google rechace eliminarlo de entrada; si sucede lo contrario, la información en cuestión puede darse por perdida. Insisto, aun cuando fuera de interés general.

    El mejor ejemplo de cuanto estamos exponiendo es la controversia que este nuevo derecho ha venido suscitando a propósito de delitos graves que sus autores pretenden (y es natural que así suceda) hacer olvidar en Internet. La mencionada entrada de esta columna de noviembre de 2014 se refería ya al asunto: primero, al hilo de esta misma pretensión ejercitada ante Google España por miembros del antiguo Comando Vizcaya de ETA, pretensión que tuvo éxito, por lo que bien podemos aplicarle todo lo dicho en el párrafo anterior. Segundo, de una saludable línea jurisprudencial restrictiva de esta ampliación a delitos graves del derecho al olvido, inaugurada el 18 de septiembre del año pasado por el Tribunal de Amsterdam, que le llevaba a concluir que este derecho “no protege frente a toda información negativa que obre en la Red”. Y tercero, de una línea opuesta, a mi entender criticable, y que pretende expandir el olvido a través de su aplicación, no solo a extensiones europeas del correspondiente buscador, sino a cualesquiera otras con las que éste opere en Internet: esta línea la abría el Tribunal de primera instancia de París en sentencia de 16 de septiembre de 2014 y se veía corroborada por un dictamen en la materia del llamado Grupo del artículo 29 de 27 de noviembre de ese mismo año.

    Por cierto que también nuestra Audiencia Nacional podría estar incidiendo en esta última tendencia expansiva, a resultas de su línea jurisprudencial inaugurada en diciembre de 2014. La cuestión es que, probablemente abrumada por la necesidad de dar solución a multitud de recursos sobre olvido, la Audiencia podría estar aligerando el peso del interés general en supuestos que muy difícilmente lo admiten, como por ejemplo de tráfico de drogas: así lo hacía notar recientemente el abogado Sánchez Almeida, quien se lamentaba de “resoluciones sistemáticas” de la Audiencia para salir del atolladero de esos múltiples casos sobre olvido que ha de ventilar.

    En alguna ocasión se me ha espetado al argumentar de esta forma que, al estar sujeta a revisión ulterior de poderes públicos, la actuación de Google en supuestos de este tipo podría en cierto sentido asimilarse a la de “la compañía de la luz”, siendo así que ésta también tiene frecuentes conflictos con sus usuarios. Ahora bien: en este tipo de situaciones, Google no está en posición comparable a esa compañía, primero porque a diferencia de ésta, mera contraparte del usuario, el buscador es un tercero entre dos partes (usuario que desea se olvide un dato frente a fuente de la información), sobre cuyos recíprocos derechos e intereses se le ha obligado en esta sentencia a resolver; pero segundo y ante todo, porque Internet no es el fluido eléctrico, cuyo corte tiene sin duda repercusiones sobre derechos ciudadanos, pero derechos que lo son de mera configuración legal, por más que incidan en aspectos básicos del bienestar: el “corte”, en forma de supresión, de determinados contenidos en Internet, repercute en posibles lesiones de derechos fundamentales, de tanta importancia, hoy y siempre, como la expresión y la información.

    De ahí que solo un juez deba ser quien adopte decisiones atinentes a libertades de tanta hondura como éstas, en su deslinde frente a derechos de también esencial calado, como es la protección de datos. Ni Google ni ningún otro buscador debieran haber sido apoderados para hacerlo. Cuánto tiene que ver este conflicto con el suscitado hace pocos años en Francia, al hilo de las responsabilidades de los entes registradores de nombres de dominio, en particular las que titulares de derechos de propiedad industrial pretendían imputar a la entidad pública allí competente, por haber inscrito nombres en supuesta quiebra de tales derechos (una marca, por ejemplo): al fallar en el asunto Francelot en favor de dicho ente, que inscribió este mismo nombre en presunta infracción de la marca Francelot, el Tribunal de apelaciones de Versalles (sentencia de 15 de septiembre de 2011) recurrió precisamente a este mismo argumento para eximir de toda responsabilidad al ente registrador, pues al tratarse en los nombres de dominio de asuntos atinentes a derechos de propiedad (industrial en ese caso), pero derechos al fin y al cabo, solo un juez había de ser competente para hacerlo, y no un mero ente registrador (por público que éste fuera).

    No es así en materia de olvido, tras esta controvertida sentencia. Sin perjuicio de que sean también jueces quienes puedan terminar conociendo de determinados asuntos, tenemos ya a Google “fallando” en cientos de miles de ellos (solo en España, casi 80 000) acerca de si un determinado dato debe ser recordado o no. Y con resultados que distan de ser homogéneos: mientras que en el asunto que dio pie a la sentencia de Amsterdam fue desfavorable para el usuario, lo contrario sucedió en el caso del Comando Vizcaya. En cualquier caso, ¿podemos exigir a Google que actúe con pautas “jurisprudenciales” homogéneas?; más en concreto, y puesto que se han visto abocados a elaborar dichas pautas para resolver esos cientos de miles de solicitudes de olvido, ¿podría incluso llegárseles a exigir una suerte de “tutela efectiva” de la privacidad (o de la libre expresión desde perspectivas opuestas) a la hora de poner en práctica los criterios que va elaborando? No parecen dudas descabelladas, una vez se ha abierto la puerta a este papel cuasi-judicial de esta compañía.

    Este desordenado panorama es al que nos ha conducido la sentencia del TJUE sobre olvido. Al desoír el juicioso criterio de su Abogado general, que le prevenía frente a la creación de este “procedimiento alegal”, el Tribunal ha optado en cambio por crearlo y con ello se ha erigido en legislador. Y sin embargo, es el legislador quien mejor situado está para diseñar y poner en marcha procedimientos, no los tribunales al resolver asuntos concretos, por relevantes que puedan ser.

    Curiosamente, y a su vez, esta alegalidad procedimental ha colocado a los jueces, a los jueces nacionales de los distintos Estados miembros de la Unión, en una posición absolutamente central. No me preocupa que así sea: acabamos de afirmarlo, son ellos los mejores garantes de nuestra libertad. Confío pues en que, conscientes de los riesgos de este nuevo derecho, logren fortalecer las libertades de expresión e información en su delicado equilibrio con la privacidad, y de este modo consigan encauzar la situación. De lo contrario, habremos consagrado un remedio peor que la enfermedad.

     

    Fuente: abc

  • El grupo de hackers La Nueve pone al descubierto datos de más de 40 millones de datos de clientes de la escuela de negocios IESE

    La Nueve hackea la web de la escuela IESE y destapa más de 40 millones de cuentas

     

    El grupo de hackers 'La Nueve' perteneciente a Anonymous ha publicado en su cuenta de twitter la incursión que ha llevado a cabo en los servidores de la web de la escuela de negocios IESE mediante la cual ha dejado al descubierto un enlace con miles de datos de clientes de la escuela

    LA NUEVE 2

    El grupo, que ya ha actuado en anteriores ocasiones contra El Corte Inglés, la Cámara de Comercio o incluso a la red interna de Acciona, ha ido retransmitiendo a través de la red social el proceso del hackeo a la web del IESE, dejando en evidencia la vulnerabilidad de la misma.  

    El grupo La Nueve retransmitió en la noche del domingo a través de su cuenta de Twitter como se coló en la parte de los servidores web del IESE. Un agujero en las bases de datos de los servicios de Microsoft ha sido la clave para que los autores del ciberataque pudieran hacerse con la información. 

    Este fallo puede dar lugar a una investigación por parte de la Agencia Española de Protección de Datos en caso de que la escuela de negocios no sea capaz de justificar. El instituto está analizando el alcance de dichos ataques informáticos, y está trabajando las medidas oportunas para denunciarlo antes las autoridades competentes.

    Desde el IESE confirman que el ataque ha afectado a su tienda online a través de la cual la escuela se encarga de vender casos de negocio en castellano. "La página web IESE Publishing, distribuidor de material docente del IESE, se ha visto afectada. El ataque ha alcanzado también al portal de conocimiento IESE Insight. Ambas páginas están ahora offline" explica la escuela a través de un comunicado. Este sector es un pilar importante del negocio que maneja información personal de una gran cantidad de clientes. En concreto con este ataque, piratas informáticos se han hecho con bases de datos que incluyen más de 40 millones correos electrónicos.

    TICBCN LOPD

    "Estamos en continuo contacto con la Agencia Española de Protección de Datos y trabajando lo mejor y más rápido posible ya que disponemos de 72 horas para elaborar el informe de lo sucedido" explicaban a este medio desde la escuela de negocio. Asimismo IESE se ha puesto en contacto con antiguos alumnos y clientes para informar sobre el alcance del ataque, ya que se ha producido un acceso no autorizado a datos de clientes, y ha desactivado las contraseñas de acceso de los potenciales afectados.

    LA NUEVE 1

     

    Fuente: cso.computerworld

  • Facebook, en el punto de mira de la AEPD

     

    En Bélgica, la Comisión de Privacidad ha demandado a Facebook, acusándolo de rastrear de forma ilegal a los usuarios. Podría ser la primera de las actuaciones que se están llevando a cabo en varios países de la Unión Europea. Las autoridades de protección de datos de Alemania, Holanda, Francia y la AEPD (Agencia Española de Protección de Datos) también han dado los primeros pasos en ese sentido.

    “Estas actuaciones previas a la investigación se iniciaron ante los cambios en la política de privacidad (de Facebook) y diversos análisis que apuntan a posibles incumplimientos de la legislación europea de protección de datos por parte de la compañía”, señalan fuentes de la AEPD. El 30 de enero de este año entraron en vigor los nuevos términos de servicio de la red social.

    La AEPD pertenece al Grupo de Trabajo del Artículo 29, el órgano consultivo que supervisa la protección de datos a nivel europeo, y está actuando de forma coordinada con las autoridades nacionales de los otros países. Por el momento el procedimiento consiste en un estudio de toda la información disponible públicamente. Después de esto se reúnen datos de la compañía, lo que puede hacerse mediante una inspección, y posteriormente se analiza todo lo recabado.

    Se trata de actuaciones orientadas a determinar si hay indicios de vulneración de datos. En el caso de que los haya se abriría un procedimiento sancionador. Desde la AEPD se muestran prudentes y recuerdan que el procedimiento en esta fase ofrece una serie de garantías por las que no se hacen públicos más detalles.

    A pesar de ser una actuación coordinada entre varios estados miembros de la UE, “ los procedimientos se han abierto conforme a las legislaciones nacionales, en función del propio ordenamiento jurídico de los países”, indican desde la AEPD. Lo que indica que no solo se está tomando como referencia la Directiva europea sobre privacidad sino también las normativas nacionales.
    Juicio en Bélgica

    La Comisión de Privacidad belga ha llevado a Facebook ante los tribunales, afirmando que el modo en que la red social rastrea a sus usuarios –tanto los registrados como los que no lo están (hay un tipo de cookies que se guardan aunque el usuario no inicie sesión)– es ilegal. Es la primera vez que un grupo de privacidad nacional europeo demanda a Facebook por no cumplir con la legislación sobre protección de datos.

    Los argumentos de la demanda tienen su raíz en el informe que publicó hace unos meses el Centro Interdisciplinario para las Leyes y las Tecnologías de la Información y de la Comunicación, perteneciente a la Universidad de Lovaina. En este documento, a petición de la Comisión de Privacidad de Bélgica, se analizaba el estado en el que había quedado la privacidad de los usuarios tras la introducción de los nuevos términos de servicio.

    Con la documentación aportada por el informe, el Grupo de Trabajo del Artículo 29 llegó a la conclusión de que el mecanismo opt-out (los usuarios tienen que dar su negativa al rastreo) de Facebook no es el adecuado para obtener el consentimiento por parte de los usuarios, especialmente en lo que concierne a la publicidad online. La Comisión de Privacidad de Bélgica ha estimado que esto, junto con el hecho de que la red social rastrea el comportamiento de gente que no se ha registrado en la plataforma, viola la Directiva sobre privacidad de la Unión Europea. En estos días está previsto que el caso se presente ante un tribunal y que la Comisión de Privacidad se reúna con Facebook.
    Los roces de Facebook con la AEPD

    El pasado año el presidente de la AEPD José Luis Rodríguez Álvarez ya calificó el comportamiento de Facebook de “inaceptable” cuando la compañía publicó que había manipulado la información que aparecía en el feed de sus usuarios, con el fin de obtener datos para un estudio académico.

    La agencia ya inició actuaciones en el año 2010, a requerimiento de una denuncia de FACUA. Se estudiaba la transmisión de datos de los usuarios de Facebook a través de las distintas aplicaciones ofrecidas desde la plataforma. En esta ocasión las actuaciones no tuvieron mayores consecuencias, como tampoco lo tuvo otra denuncia presentada por FACUA en 2012, en relación con la publicación en medios de comunicación de supuestos mensajes privados.

     

    Fuente: eldiario

  • Facua denuncia ante la Agencia Española de Protección de Datos amenazas de un comercial

    Nueva denuncia ante la Agencia de Protección de Datos

    FACUA,la Federación de Asociaciones de Consumidores y Usuarios de Andalucíasolicitará a la Agencia Española de Protección de Datos (AEPD) que emprenda actuaciones ante las amenazas que un usuario de Sevilla denuncia haber recibido tras rechazar los servicios de telecomunicaciones que le ofertó un comercial en una llamada telefónica.

    “Te voy a joder la vida”“vamos (a) por ti”“ahora te jodes”“te jodo vivo”“gentuza”“tenemos todos tus datos personales, tanto los de tu cuenta bancaria como los de tu teléfono… Son algunos de los insultos y amenazas que pueden oírse en una de las llamadas recibidas por Raúl D.M. y que ha publicado el diario El Español. En ella, el hombre le asegura que es “exconvicto” y que no va a poder localizarlo para denunciarlo porque trabaja para una subcontrata que oferta los servicios de MásMóvil. Esta compañía ha asegurado al citado diario que el uso de su marca habría sido utilizado de manera fraudulenta por parte de la persona que llamó al usuario.

    En la llamada, el supuesto comercial también advierte al usuario de que sabe cuál es su dirección y que“se le puede hacer algún pago adicional en su cuenta bancaria”“en cualquier momento” porque “eso de vez en cuando no se nota”“Espero que canceles todos los servicios que tengas, porque si no te clavo a facturas, no me conoces todavía”.

     

    Facua denuncia

     

    FACUA entra en acción

    El afectado es socio de FACUA y ha solicitado a la asociación que denuncie el caso, por lo que su equipo jurídico reclamará a la AEPD que abra una investigación. Tras confirmar desde qué empresa se produjeron las llamadas, dato que ya maneja el usuario porque las numeraciones desde las que le llamaron eran visibles, Protección de Datos puede incoar un expediente sancionador por el uso ilícito de la información personal que se ha realizado por parte de uno de sus trabajadores. FACUA ha aconsejado a Raúl que presente asimismo una denuncia en la Policía Nacional ante la gravedad de las manifestaciones que se vertieron en la llamada.

     

    Fuente : contrainformacion

  • Intento de fraude por 'phishing' a los clientes de Correos Express

    Intento de fraude por 'phishing' a los clientes de Correos Express

    El Grupo de Delitos Telemáticos de la Guardia Civil (GDT) alerta de un fraude mediante phishing que intenta suplantar a Correos. A través de las redes sociales este departamento de la Benemérita, creado en 1996 y que investiga los delitos informáticos, se hace a su vez eco de una denuncia por parte de Correos Express.

    Según esta algunos clientes reciben por correo electrónico un mensaje que persigue suplantar la identidad del servicio. Asegura que su pedido ha sido recibido y «está listo para su entrega, pero no hemos podido confirmar la dirección». A continuación se pide al usuario que verifique la identidad y dirección de entrega clicando en un enlace. Ese paso es justo lo peligroso y lo que deben evitar aquellos que reciban este mensaje.

    Además, para presionar al cliente, se le dice que en caso contrario su paquete será remitido nuevamente al «enviador».

    El anglicismo phishing remite a una fórmula bastante común y no necesariamente muy compleja de estafa electrónica. Literalmente los ciberdelincuentes que la utilizan buscan pescar información sensible del usuario, como datos personales, contraseñas o números de cuenta bancarios para poder obtener un beneficio ilícito.

    Conllevan la instalación de programas dañinos para los terminales informáticos o teléfonos móviles que caen en sus garras, y es mediante un rastreo y seguimiento de esos dispositivos como se obtienen los datos útiles para sus espurios fines. Por tanto la recomendación de las autoridades para todos los que se encuentren con un mensaje sospechosos es borrarlo de inmediato, y jamás pinchar en los enlaces que contiene.

     

     

    TTCS Phishing Correo Express

     

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

    Fuente: Ultimahora