¿Puede un hospital informar sobre el ingreso de un paciente o su estado?

La Agencia Española de Protección de Datos (AEPD) ha fijado cuáles son los criterios sobre el adecuado tratamiento y protección de los datos personales que se deben atender en el ámbito sociosanitario.

Este organismo trata así de despejar muchas dudas que existen en hospitales o centros asistenciales sobre si se puede o no informar sobre la estancia de un paciente y su estado de salud; las medidas que se deben adoptar si existen órdenes de alejamiento; o si se pueden facilitar datos a las fuerzas y cuerpos de seguridad del Estado.

La Agencia Española de Protección de Datos ha analizado por primera vez el cumplimiento de la protección de datos en el ámbito de la atención sociosanitaria, aunque estas inspecciones "de oficio" no tienen carácter sancionador sino preventivo para detectar deficiencias y plantear mejoras para elevar el nivel de protección de los datos personales de los ciudadanos.

El "Plan de Inspección de oficio de la atención sociosanitaria", publicado hoy por este organismo, incluye recomendaciones a organismos públicos, empresas e instituciones titulares de centros sociosanitarios, que inciden en actuaciones necesarias para aplicar de una forma correcta la legislación española sobre la protección de los datos personales.

Destacan entre las conclusiones las referidas a la información que se debe ofrecer al usuario de los servicios de protección de datos, y que según la AEPD debe ser "por capas, concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información".

La primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, y posteriormente profundizar en otras "capas" con información más detallada y personalizada.

El plan incluye un apartado que da respuestas a las preguntas más frecuentes sobre la protección de los datos en estos ámbitos; por ejemplo si es posible cancelar determinados datos de un usuario a petición suya, llevar a cabo tratamientos con fines de investigación médica en un centro, o si es obligatorio facilitar datos personales de los usuarios del centro si lo solicitan las fuerzas de seguridad.

Un usuario de estos servicios no puede cancelar sus datos personales; sí se pueden utilizar para investigación los datos de los pacientes -siempre haciendo un uso proporcional al objetivo que se persigue-; se pueden tratar los datos personales de personas que sufren ya un avanzado deterioro cognitivo; y sí, las fuerzas de seguridad pueden acceder a esos datos en el marco de una investigación y con el correspondiente mandato judicial.

El documento que ha publicado la AEPD recomienda por otra parte minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario; o que los empleados de estos centros que traten datos personales de los usuarios suscriban un compromiso de confidencialidad y eviten la utilización de "usuarios genéricos" compartidos por varios trabajadores.

#agenciaespañoladeprotecciondedatos #protecciondedatos #informacionpersonal #covid19 #usoinapropiadodeinformacion 

Fuente: Noticiasdenavarra

¿Puedo recibir una multa de la AEPD por escanear el pasaporte de un cliente?

Un hotel español acaba de recibir una multa de 30.000€ por la Agencia Española de Protección de Datos (AEPD). Todo, por escanear el pasaporte de un turista holandés. La situación ha trascendido en el sector, que se pregunta por las implicaciones a corto y largo plazo de esta manera de actuar. Sobre todo, porque podría afectar a la gestión de los alojamientos turísticos, incluyendo a los campings.

Desde la Confederación Española de Hoteles y Alojamientos Turísticos (CEHAT) han reaccionado con conmoción y desconcierto ante la noticia. Sobre todo, porque aseguran que lo que ha ocurrido se trata de un procedimiento habitual usado por los establecimientos para cumplir precisamente con las exigencias que marca el deber de información.

Al fin y al cabo, hoteles y campings necesitan tener un registro de viajeros. En este caso, aseguran que se trataba de una manera de verificar la identidad del viajero si en algún momento perdía la tarjeta de acceso a su cuarto. Pero es que, además, también es un paso necesario para acceder al resto de servicios que ofrecen en sus instalaciones.

Por tanto, la polémica está servida. En CEHAT han solicitado urgentemente a las administraciones turísticas que se creen otras normas que impidan que esto vuelva a repetirse. Para entender mejor lo que ha ocurrido, vayamos por partes. Así también podremos saber las implicaciones que podría tener este suceso en el futuro inmediato del sector viajes.

¿Por qué se ha producido la multa?

De acuerdo a Protección de Datos, el motivo es que el hotel Marins Playa ha utilizado la foto del pasaporte del cliente para elaborar una ficha digital. En ella, se incluían datos personales del huésped sin que este hubiese dado su permiso. Sin embargo, CEHAT insiste en que es una manera de prevenir el uso fraudulento de la tarjeta de acceso y para comprobar que el titular de la tarjeta de los consumos internos era el mismo cliente.

Este hecho ha sido considerado una infracción muy grave del artículo 6 del Reglamento General de Protección de Datos (RGPD. Por tanto, ha sido sancionada con la cuantía 30.000 euros, que es la mínima para un hecho de este nivel. No hay que olvidar que las sanciones muy graves pueden ascender hasta los 20 millones de euros o a un 4% de la facturación total del establecimiento, dependiendo de cuál sea la mayor de estas dos cantidades.

Lógicamente, habrá establecimientos a estas alturas preguntando cómo se han desencadenado los acontecimientos. En este caso todo surge en el momento en el que el ciudadano holandés pone una reclamación ante la Autoridad de Protección de Datos (AP) de Países Bajos. Según ha contado, el local puso la imagen a disposición de las tablets de los empleados para que verificaran su identidad sin que él hubiese tenido conocimiento previo de ello.

Desde allí luego se ha trasladado la demanda a la AEPD, que es quién ha dictado la sentencia. De no haber sido por la intervención inicial del huésped, es posible que la multa no se hubiese producido. Sin embargo, esto sigue planteando un dilema a los alojamientos, que se arriesgan a que ocurran de nuevo situaciones que podrían derivar en grandes pérdidas económicas y de confianza para campings y hoteles.

¿Cuál ha sido la defensa del hotel?

En base a este hecho, CEHAT denuncia que la decisión de la AEPD se suma a las permanentes quejas sobre la inseguridad jurídica. También han insistido en la sensación de persecución que los empresarios turísticos sienten en materias de protección de datos. Sobre todo, porque las normativas exigen elaborar y facilitar a las empresas turísticas información necesaria para el Ministerio del Interior.

La patronal considera que el sector siempre se ha mostrado abierto a colaborar. De ahí que, a partir de la tecnología, el mecanismo habitual y eficiente para cumplir este requerimiento era el escaneo del documento para que los datos fueran fidedignos. El propio hotel afectado aseguró al cliente holandés que el procedimiento de escaneo era necesario porque seguían las instrucciones de la policía.

De hecho, la AEPD en un primer momento llegó a considerar lícito el tratamiento legal de los datos. Sin embargo, la AP holandesa aseguró que no se estaban valorando bien todas las pruebas. Su argumentación es que el alojamiento podía haber utilizado métodos menos intrusivos para verificar la identidad del titular de la tarjeta del hotel. Por ejemplo, consideran que el apellido, el número de habitación o incluso la firma hubiesen sido buenas alternativas.

Sin embargo, el medio Confidencial Digital asegura que el hotel ha insistido en todo momento que todos estos métodos permiten una suplantación de identidad: si alguien escuchase la información, podría haberla usado en su nombre. Como no hacían alusión a estos métodos en la sección «Política de Privacidad» de su página web, finalmente la AP desestimó sus argumentaciones. En su comunicado oficial aseguran que no habían informado debidamente al huésped y, también, que el tratamiento de datos personales es innecesario y desproporcionado.

¿Entran en conflicto las leyes?

A pesar de todo, la Confederación apunta que esto entraña unos importantes riesgos por la inseguridad jurídica. Consideran que hay una falta de coherencia de interpretación entre lo solicitado por las Fuerzas y Cuerpos de Seguridad del Estado y las normas de protección de datos personales. No solo eso, es que además han manifestado su preocupación por la entrada en vigor del Real Decreto 933/2021 el próximo 28 de abril.

La nueva ley recopila las obligaciones de recogida y comunicación de datos. Sin embargo, todavía no existe un documento de desarrollo específico para hoteles que se ajuste a la tecnología de los sistemas informáticos habituales utilizados. Por eso CEHAT ha manifestado tanto al Ministerio de Turismo como al de Interior la imposibilidad de recoger los datos solicitados en este Real Decreto.

Bien sea porque campings y hoteles no tienen acceso a los mismos o porque están prohibidos por normativa española y europea, lo consideran inviable. Además, esta nueva normativa también contempla importantes sanciones, que podrían entrañar un riesgo. Al mismo tiempo, exige a los hoteleros datos de la transacción económica que son tratados por los proveedores de servicios de pago y plataformas, sin que los establecimientos tengan acceso a ellos por razones de seguridad.

Por su parte, los proveedores de medios de pago, por razones de seguridad y siguiendo protocolos aprobados por el Banco de España, los encriptan de manera que el hotel no tiene acceso a ellos. Es decir, que en los próximos meses podemos encontrarnos con una situación compleja a nivel de legalidad y recogida de datos en los hoteles.

¿Qué riesgos existen para campings y hoteles?

En base a todo lo que hemos comentado, los establecimientos se encuentran ante una disyuntiva. Aunque permanece vigente la obligación de rellenar y firmar el parte de entrada, la tecnología ha dejado anticuado este método de check-in tradicional. De hecho, CEHAT señala que otras tipologías de establecimiento de alojamiento que no sean campings y hoteles no disponen de servicios de recepción donde se pueda cumplimentar esta obligación.

Teniendo esto en cuenta, la patronal ha solicitado a las administraciones turísticas que se creen otras normas que impidan el actual desconcierto, o se posponga la entrada en vigor del Real Decreto hasta que haya una norma de desarrollo con posibilidades de cumplimiento. De lo contrario, creen que se podrían producir negativas de información para la seguridad del Estado.

«No es aceptable obligar a un establecimiento a proporcionar datos a mano en el año 2022, ya que mucha de la información solicitada en estas normativas excede los datos que aparecen en el documento digital de identidad del viajero», señala Ramón Estalella, secretario general de CEHAT.

Al final, desde la Confederación exponen que los campings y hoteles pueden encontrarse ante la tesitura de tener que elegir entre ser sancionados por incumplir o bien las normas de Registro de Viajeros o bien las de Protección de Datos. Por tanto, consideran que son necesarias nuevas herramientas tecnológicas que ayuden a solventar el problema de los alojamientos.

#AEPD #agenciaespañoladeprotecciondedatos #privacidaddedatos #usoinapropiadodeinformacion #multaAEPD

Fuente: Campingprofesional

Empresas y Gobiernos de todo el mundo se enfrentan a un número cada vez mayor de ciberataques, pero la cantidad de profesionales para combatirlos sigue siendo insuficiente

2019 ha comenzado tal cual terminó 2018: con el mundo recuperando el aliento tras un ciberataque. Si Alemania sufrió a principios de este mes el mayor hackeo de su historia, que dejó al descubierto datos de centenares de políticos, a finales de noviembre fue la gran cadena hotelera Marriott quien reveló un ataque similar, que podría haber afectado a 500 millones de clientes. Pero antes de eso las víctimas habían sido Singapur, Facebook, el sistema bancario de México… no hay blanco a salvo de los piratas informáticos. La amenaza crece al tiempo que empresas e instituciones de todo el mundo hacen frente a otro peligro, igual de acuciante, que es el de la escasez de profesionales expertos en ciberseguridad. Un campo en el que tradicionalmente ha predominado lo autodidacta, pero que comienza a abrirse paso en la formación oficial de universidades y centros educativos.

Se prevé que nueve de cada diez empresas sufrirán un ataque informático en 2019. Y los costes se cifran en 11.500 millones de dólares este año. Los datos resultan abrumadores. Para lo malo, pero también para lo bueno. Y es que el nicho laboral se hace cada vez más grande. De aquí a 2022 las ofertas de trabajo en ciberseguridad se triplicarán..

La velocidad de los cambios se une a la escasez de vocaciones científicas y tecnológicas entre los jóvenes. “Hace falta promover las titulaciones sobre tecnología, los chicos las ven como difíciles”, explica Maite Villalba, investigadora y directora del máster en Seguridad de Tecnologías de la Información y Comunicaciones de la Universidad Europea. 

La necesidad de profesionales y el crecimiento de los ciberataques conviven con otra contradicción. Y es que aunque Internet está plagado de información y recursos para adentrarse en el terreno de la ciberseguridad, las tareas que realizan estos expertos y lo que hay que saber (y estudiar) para convertirse en uno de ellos siguen siendo una incógnita para muchos estudiantes. 

¿Qué hace un profesional de la ciberseguridad?

Decir que trabajas en ciberseguridad es como decir que trabajas en tecnología. Dentro de eso hay muchísimos perfiles distintos y no todos son tecnológicos. Lejos de ese estereotipo del hacker que se mueve entre las sombras y la ilegalidad, el campo de la ciberseguridad es mucho más amplio con auditores, desarrolladores, analistas, forenses… y sí, también hackers, aunque muy diferentes al tópico que se suele tener en mente.

Los diferentes perfiles de expertos en ciberseguridad se pueden definir en función de si actúan para evitar los ataques o para dar respuesta cuando se producen. El punto en común de todos ellos es que se dedican a resolver problemas. La creatividad y la innovación son dos elementos clave en su caja de herramientas, pues les permiten ir un paso por delante de los atacantes.

¿Qué debe saber un experto en ciberseguridad?

La base tecnológica es fundamental, pues para evitar o responder ante un ciberataque es necesario entender cómo se producen. “Se necesita, por un lado, un conocimiento general sobre redes y programación; y por otro, un conocimiento específico en ciberseguridad que abarca la seguridad informática, la legislación, el análisis forense, saber cómo securizar un sistema informático (y no solo analizarlo)...” enumera Paco Marzal, coordinador del grado de U-Tad, en el que los alumnos pueden cursar una especialización en ciberseguridad a partir del tercer curso. "El perfil del estudiante suelen ser personas muy motivadas porque es una carrera muy exigente".

¿Qué puedo estudiar para trabajar en este campo?

En España hay ya 81 centros que ofrecen formación específica en ciberseguridad.Hay programas de máster, cursos de especialización, ciclos de FP, grados en ciberseguridad… Entre tanta oferta, ¿qué programa elegir? El itinerario típico es el que apuesta por estudiar en primer lugar una carrera que aporte la base técnica, lo habitual es una ingeniería informática o de telecomunicaciones, aunque también hay expertos que provienen de la rama de las matemáticas o la física, para después cursar un máster de especialización en ciberseguridad.

La alternativa de cursar un grado específico en ciberseguridad se va abriendo paso, aunque tímidamente. La Universidad Rey Juan Carlos ha abierto este curso su grado en Ingeniería de la Ciberseguridad, el primero que imparte en España una universidad pública.

La primera promoción estudia en sus aulas mientras fuera, las opciones se multiplican. Los ciclos de FP son otra puerta de entrada al mundo de la ciberseguridad. Y los cursos de especialización sirven para profesionales con conocimientos avanzados que quieran profundizar en un área concreta. 

Fuente: Elpais

Medidas preventivas para garantizar tu seguridad 

Aunque se habla mucho sobre la ciberseguridad y cómo tener nuestras cuentas resguardadas, en muchas ocasiones esto no es suficiente y somos un blanco fácil para este tipo de atracos, ante esto, ¿qué se puede hacer si hemos sido víctima de un ataque?

La empresa Kardmatch señala que si ha sido afectado, lo primero es ir a la sucursal más cercana o comunicarse lo antes posible con la institución financiera sobre lo acontecido; mientras más rápido, mejor; de lo contrario, los delincuentes podrían atacar de nueva cuenta.

Verificar con su banco que no existan compras o cargos que no haya realizado o autorizado, y en caso de ser así, ponga una denuncia para que se abra una investigación y detectar cuántos movimientos se realizaron.

A su vez, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) indica que en caso de identificar algo anormal en los movimientos de sus cuentas como cargos no reconocidos, disposición de efectivo sin que se haya realizado, solicitud de créditos que no tramitó, notifíquelo de inmediato a su banco y de manera paralela al organismo gubernamental para que ambos tengan conocimiento que las acciones se realizaron contra su autorización.

Agrega que es necesario contactarse con los establecimientos comerciales implicados en donde se hayan hecho compras, esto para solicitar la cancelación del producto o servicio y se pueda emitir una alerta de fraude.

En tanto, la agencia de seguridad informática rusa Kaspersky expone que en caso de su ordenador o móvil hayan sido infectados con algún tipo de malware (virus malicioso) capaz de sustraer su información, lo primero es tratar de evitar que se expanda.

En segundo lugar, se debe evaluar el tipo de información que estuvo expuesta y que todas las cuentas personales; tanto correos como redes sociales, se infectaron, por lo que se deben cambiar todas las contraseñas de las cuentas. Especifica que dependiendo los datos almacenados en la banca móvil, se debe contactar de manera inmediata a la institución bancaria, para analizar que no se corrieron riesgos.

La ciberseguridad no solamente debe relacionarse a cuestiones financieras o económicas protegiendo sus datos bancarios, también debe blindarse información personal que sea sensible y confidencial.

La firma rusa explica que lo primero que se debe proteger son las redes informáticas en casa a través del uso de software de seguridad o un antivirus que proteja su ordenador personal contra cualquier tipo de ataque proveniente de páginas de Internet infectadas con malware .

En tanto y como medidas precautorias, la Condusef recomienda no realizar compras o transferencias electrónicas en ordenadores de uso público o en sitios que no cuenten con el protocolo de seguridad y un candado en la barra de direcciones.

De igual forma aconseja monitorear regularmente sus cuentas bancarias, tener una contraseña diferente para cada cuenta y cambiarlas periódicamente alternando mayúsculas, minúsculas y números. Se insiste en no responder ningún tipo de correo sospechoso o mensajes de remitentes desconocidos que le digan que resultó ganador de un premio o donde le informen que su institución bancaria.

Fuente: eleconomista

¿Qué puede hacer una cámara térmica o un control de fiebre en locales y comercios contra el coronavirus y cómo se manejan los datos que obtendría?

Con las nuevas fases de desescalada llegan nuevas incógnitas sobre cómo se va a reanudar la actividad económica y social y qué puede hacer la tecnología para ayudar en el proceso. En algunas informaciones se habla ya de la toma de la temperatura para entrar a ciertos comercios y locales e incluso de la instalación de cámaras térmicas que lo hagan de manera automatizada. Desde la perspectiva de la protección de datos, este asunto es algo delicado, sobre todo en el ambiente laboral y en las medidas tomadas para los empleados, y a nivel epidemiológico no es la práctica más avalada tampoco.

La Agencia Española de Protección de Datos (AEPD) habla de ese último punto para explicar los supuestos en los que se podría utilizar esta tecnología de una manera que no sea de lo más intrusiva: si hay que hacerse, que se haga, pero que al menos tenga el visto bueno de las autoridades sanitarias y que esté contemplado el uso que se le va a dar a los datos de salud que se recojan sobre esta práctica. Ya se ha denunciado ante este organismo a alguna empresa por esta práctica al considerar que vulnera derechos.

Las evidencias epidemiológicas sobre el control de la temperatura corporal como factor decisivo continúan siendo escasas

La Organización Mundial de la Salud (OMS) se pronunció sobre la eficacia de los escáneres térmicos para detectar a personas infectadas con COVID-19. Dice que los escáneres térmicos son efectivos a la hora de detectar personas que han desarrollado fiebre como consecuencia del nuevo coronavirus, pero no pueden detectar a las personas infectadas que aún no presentan fiebre (algunas personas infectadas tardan entre 2 y 10 días en tener fiebre). Y no solo eso, sino que hay muchas personas que no llegan a tener fiebre pero sí desarrollan otros síntomas o que "la disimulan mediante el uso de antipiréticos".

Los métodos o aparatos por los que se mide la temperatura también son importantes, porque pueden dar resultados más o menos precisos sobre la temperatura, y tampoco hay, por el momento, ninguna directriz fijada sobre qué temperatura deberían tomar (hipotéticamente) los empresarios que introdujeran estas medidas y tecnologías.

“La fiebre, en sí misma, no es indicativa de COVID-19 ni de ninguna enfermedad concreta. Es síntoma y signo de múltiples enfermedades, no solo infecciosas”, aclaran desde el grupo de comunicación de la Sociedad Española de Microbiología a Maldita Tecnología.

Es necesaria esta especificación porque, como señalan, el principal problema epidemiológico “son los portadores presintomáticos y asintomáticos, que no tienen fiebre y escaparían a este control” y a cualquier otro basado en síntomas: “Un control de temperatura no garantiza en ningún momento que no pasen personas contagiosas sin síntomas o con sintomatología leve. Por el contrario, es posible detectar como sospechosas a personas que no padecen COVID-19”.

Sí que consideran que en un “escenario pandémico de vigilancia epidemiológica exhaustiva” tomar la temperatura puede ser “útil” como un “cribado sencillo para, de una forma muy inespecífica, detectar posibles casos activos de infección”. La cuestión es que a nivel privado y de pequeños negocios podría no ser “procedente” debido a la “falta de competencia de los propietarios para interpretar este síntoma inespecífico”, según señalan.

“El control de temperatura sin prescripción por parte de la autoridades sanitarias no está recomendado en ninguna de las circunstancias”, resume Jesús Molina Cabrillana, secretario de la Sociedad Española de Medicina Preventiva Salud Pública e Higiene y jefe del servicio de Medicina Preventiva del Complejo Hospitalario Universitario Insular Materno Infantil de Las Palmas de Gran Canaria. “La fiebre puede tener diversos orígenes (no solo las infecciones), puede verse afectada por antitérmicos y no siempre está presente en COVID”, explica.

Cuando comenzó la pandemia, este tipo de controles se implantaron en aeropuertos y puertos de algunos países, y ya entonces varios estudios determinaron que es un método con baja efectividad y un problema para el caso de los falsos negativos. 

¿Mi temperatura corporal es un dato personal?

La temperatura corporal y un posible síntoma de fiebre o febrícula es un dato propio de salud que no puede tratarse a la ligera. En el Reglamento General de Protección de Datos (RGPD) este tipo de información goza de una protección especial.

“Este tratamiento de toma de temperatura supone una injerencia particularmente intensa en los derechos de los afectados. Por una parte, porque afecta a datos relativos a la salud de las personas, no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus”, afirma la AEPD en un comunicado emitido el 30 de abril.

Aquí se añade la preocupación de que la temperatura corporal, aislada de otro tipo de información, no tiene por qué revelar la identidad de una persona, pero sí produce cierto estigma al darse por hecho que con síntomas de fiebre esta padece COVID-19: “las consecuencias de una posible denegación de acceso pueden tener un importante impacto”, se explica.

La AEPD incide en que “estas medidas deben aplicarse sólo atendiendo a los criterios definidos por las autoridades sanitarias”, tanto en lo relativo a la “utilidad” que pueda tener como en su “proporcionalidad”. Y que “esto es especialmente aplicable en los casos en que la toma de temperatura se realice utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica.”

Medidas aparte: ¿pueden las empresas hacer esto? “En España, las empresas tienen el deber de proteger la salud de sus trabajadores, velar por la salud de los empleados y sí están legitimados para llevar a cabo determinados tratamientos, pero con algunas particularidades”, explica Ruth Benito Díaz, abogada especializada en protección de datos y miembro de CovidWarriors.

Y bajo ese supuesto, recogido en el art. 22.1 de la Ley de Prevención de Riesgos Laborales, es como la AEPD afirma que esta recogida de datos podría justificarse jurídicamente: porque los empleadores tienen que garantizar la seguridad y la salud de las personas trabajadoras. En principio, los datos de salud “los deben poder manejar únicamente personal sanitario, mutuas o los servicios de prevención de riesgos laborales, pero no la empresa en sí”, añade Benito Díaz.

Jorge García Herrero, abogado especializado de Secuoya Group, sostiene que “cualquier control sobre el trabajador debe ser fundamentado documentalmente como necesario, proporcional y limitado” y que “cualquier medida de control de estas características realizada por la empresa a través de personal propio sobre toda la masa de trabajadores debería venir precedida de una evaluación de impacto en privacidad”. Lo que viene a decir que si la medida es estrictamente necesaria, bien. Pero que si no, habría que plantearse una alternativa.

Sanidad no ha transmitido ninguna recomendación a los comercios de implantar estas medidas de control

A 5 de mayo, el Ministerio de Sanidad no ha transmitido ninguna recomendación a los locales y establecimientos que pueden ir abriendo en las distintas fases de desescalada sobre la toma de temperatura corporal. Si bien en lo que respecta a determinados comercios y servicios en una de las órdenes ministeriales del Boletín Oficial del Estado (BOE) se habla de establecer “el aforo máximo y las distancias mínimas que es necesario respetar”, así como medidas para garantizar la seguridad, no hay nada especificado sobre impedir el acceso si alguien tiene fiebre. Desde el departamento también han confirmado que no hay ninguna recomendación al respecto.

En el artículo 3 de la Orden SND/388/2020 del 3 de mayo, además se especifica los casos en los que un trabajador no podrá incorporarse a su puesto de trabajo en un establecimiento comercial:

Y en el caso del acceso de clientes que acudan a los establecimientos que abran, se fijan las siguientes pautas a cumplir:

¿Puedo negarme a que me tomen la temperatura si me lo piden en un establecimiento?

Es la gran pregunta, en vista de que muchos establecimientos pueden implantar este sistema si así lo consideran. En el caso de los trabajadores, se deben cumplir una serie de requisitos para que la empresa pueda hacer un reconocimiento médico que incluya la toma de temperatura en el marco de la pandemia de COVID-19: que la medida sea proporcional, idónea y necesaria y que cuente con el consentimiento de los trabajadores o de los representantes de los trabajadores, en su defecto.

Fabián Valero, abogado especialista en derecho laboral en el grupo Zeres, explica que hay dos derechos fundamentales que están en conflicto en este caso: el derecho a la intimidad y el derecho a la vida e integridad física. Ninguno desaparece al firmar un contrato con una empresa, pero sí que te integras en una estructura empresarial cuya dirección podrá organizar tu trabajo y determinar ciertas medidas.

Según el artículo 4 y 5 del Estatuto de los Trabajadores, los trabajadores tienen derecho a una protección efectiva de la salud y una prevención de riesgos laborales adecuada, pero también tienen la obligación de acatar instrucciones de la empresa. Frente a una pandemia que puede afectar al colectivo de los trabajadores, el reconocimiento médico se podría hacer solo con los tres requisitos, según Valero, entre ellos determinar si la medida es “idónea”, “proporcional” y “necesaria”. Si cumple con esos tres supuestos, podría hacerse si el trabajador lo consiente.

Y si no, con "una excepción, que dice que una situación de riesgo inminente o grave para el resto de trabajadores, para el propio trabajador o terceros, la empresa puede hacer un reconocimiento médico, con previo informe de los representantes de los trabajadores”, explica Valero.

Si soy un cliente, la situación puede ser complicada, sobre todo si es a través de una tecnología como una cámara térmica, que probase que tengo una temperatura corporal elevada y que luego se me identificase, en consecuencia. La AEPD no lo categoriza de ilegal siempre y cuando se haga una evaluación apropiada de la medida y se integre la protección adecuada al tratamiento de los datos personales obtenidos.

“En el caso de la comprobación de la temperatura corporal como medida preventiva de la expansión de la COVID – 19, esa base jurídica no podrá ser, con carácter general, el consentimiento de los interesados”, explica la AEPD. Con eso se refiere a que las personas afectadas que quieran entrar a un establecimiento que impone esta norma no podrían negarse a someterse al control de temperatura, por ejemplo, por lo que tampoco existiría la “libertad” de dar nuestro consentimiento para hacerlo. O lo tomas o lo dejas.

#coronavirus #covid19 #agenciaespañoladeprotecciondedatos #protecciondedatos #coronavirustemperaturacorporal

Fuente: Maldita

Leer nuestras noticias tiene...

¡¡PREMIO!!

Te acabas de llevar10 ENTRADAS para la feria del RAM de 2019. El PRIMERO que nos diga en la publicación de Facebook que las ha encontrado se las lleva!!¡¡CORRE!! 

** Solo se permite un premio por persona **

¿Te conectas a una WiFi pública? Esto es a lo que te enfrentas

Casi todos lo hemos hecho. En una cafetería, en un aeropuerto, en una feria. No nos resistimos. Ahí está, una Wi-Fi pública lista para usar, completamente gratuita. Y no sólo eso, sino que en un más fácil todavía, ni siquiera nos tenemos que registrar. Conectar y listo. No importa que los expertos en seguridad informática nos lo hayan desaconsejado una y otra vez.Necesitamos conectarnos.

Con suerte, no nos habrá pasado nada. Pero desde luego, esa no habrá sido la mejor idea que hayamos tenido ese día. Conectarse a una WiFi pública, sobre todo si no está securizada, puede suponer un gran riesgo de seguridad. Y es que muchos de los grandes robos de información de la historia no tienen su origen en un sofisticado ataque informático a la infraestructura IT de una empresa, sino en algo tan sencillo como“incentivar” a ese empleadoa que conecte su equipo a esa WiFi que no debía. Estos son los principales riesgos a los que nos podemos enfrentar.

Ataques man in the middle

Los ataques “man in the middle” se encuentran entre los más populares cuando hablamos de WiFis públicas. En este caso un atacante crea una falsa red inalámbrica, de modo que cuando su víctima se conecta, actúa como “intermediario” de todo el tráfico de Red.

De esta forma elhackerpuede interceptar direcciones web, nombres de usuario, contraseñas y toda la información que viaja entre el dispositivo que se conecta a Internet y la red Wi-Fi infectada. Y si esto es grave cuando nos conectamos con un dispositivo personal, la situación empeora si lo hacemos con un dispositivo corporativo.

Ni siquiera es un proceso complicado.Para demostrar la vulnerabilidad de este tipo de conexiones, en 2010 un desarrollador de Firefox lanzóFiresheep,una extensión que permitía “secuestrar” sesiones HTTP (conexiones de red, sesiones de usuario, contraseñas, etc.) prácticamente pulsando un botón.

Servidores maliciosos

Otro ataque “clásico” cuando hablamos de WiFis públicas, es el uso de servidores maliciosos. En este caso, el atacante suele escoger una red WiFi pública (por ejemplo la de un restaurante) que no tenga contraseña y la clona con un nombre muy similar parautilizarla como señuelo.

A partir de aquí elhackerpuede optar por ese ataque “man in the middle” que hemos visto antes o decidir por ejemplo, gracias a una herramienta open-source comoFruityWifi(pensada originalmente para realizar auditoría de redes),alterar las direcciones IPde los servidores DNS de la víctima para que apunten a servidores maliciosos.

Router comprometido

Incluso si la red Wi-Fi pública es legal, existe la posibilidad de que el router al que se conecta haya sido infectado. ¿De qué forma? Por ejemplo, con un “despiste” tan habitual como que el dueño del mismo no haya cambiado la contraseña de fábrica.

Si esto ocurre el atacante puede acceder a todos los equipos que se conectan al dispositivo, utilizándolos para por ejemplo, engrosar las filas de un “ejército botnet”.

¿Te vas a conectar desde una WiFi pública? Extrema las preocupaciones

Si tenemos en cuenta todo lo anterior, es fácil llegar a la conclusión que conectarse a una red WiFi pública no es, precisamente, la mejor idea del mundo. Pese a todo, con un poco de sentido común y teniendo en cuenta los siguientes consejos, podemos hacerlo de forma ocasional, si realmente no tenemos otra alternativa. Estos son nuestros consejos para conectarte con seguridad.

• Mantén tu solución de seguridad actualizada, así como tu sistema operativo.

• No visites sitios que requieran introducir datos personales (como tu banca on-line o tu correo electrónico corporativo).

• Apuesta por webs que utilicen el protocolo de seguridad HTTPS.

• Evita que tu dispositivo se conecte de forma automática a una WiFi abierta.

• Deshabilita cualquier proceso de sincronización de tu equipo

• Siempre que puedas utiliza el doble factor de autenticación.

• Tras la conexión, elimina los datos de la red memorizados por el equipo.

Por otro lado si vas a utilizar un equipo de tu empresa, asegúrate en la medida de lo posible que te ofrecen unaconexión VPN,de modo que las redes públicas dejen de ser un problema.

#ttcsseguridad #sistemadeseguridad #ttcssolucionesdeseguridad #agenciaespañoladeprotecciondedatos #protecciondedatos

Fuente: Muyseguridad

Facua llevará ante la AEPD a Google

La brecha de datos que sufrió Google+ en agosto de 2018, que afectó amás de 500.000 usuarios y que ha terminado con el cierre de la red social(previsto para dentro de 10 meses) tendrá sus consecuencias en España. Porque Facua-Consumidores en Acción ha decidido denunciar este incidente ante laAgencia Española de Protección de Datos (AEPD).Desde la organización argumentan quedatos como nombres de usuario, correos electrónicos, direcciones, fotografías y todo tipo de información sensible habrían podido estar expuestos durante los últimos tres años, a pesar de que la multinacional ha asegurado que las publicaciones y los mensajes no han sido filtrados.

Según asegura Facua en un comunicado, teniendo en cuenta el alto número de cuentas que se han visto afectadas, “con gran probabilidad se habrá producido el acceso no autorizado a datos de consumidores residentes en España, donde la red social tiene mucha presencia”. Para justificar la demanda, la organización recuerda que elReglamento Europeo 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, recoge que el tratamiento de sus datos personales solo será lícito si “el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”, entre otros.

Asimismo,el artículo 32 de la misma normativa establece que “el responsabley el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”, entre otras,“la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”.

De igual forma, Facua también invoca a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)que indica que los responsables de los ficheros, Google en este caso, “deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Además, tanto el Reglamento como la LOPDprohíben el tratamiento de datos personales que revelen el origen étnico y racial, las opiniones políticas y las convicciones religiosas o filosóficas, entre otras, salvo consentimiento expreso y por escrito del interesado. Facua entiende que, dado el carácter de una red social como Google+, caben muchas posibilidades de que los datos personales que fueron filtrados entren en esta categoría de‘ especialmente protegidos’,teniendo en cuenta el tipo de información que suelen subir los usuarios a las redes sociales”.

Segundo gigante ante la AEPD en pocas semanas

Google+ no ha sido la única red social que Facua ha llevado ante la AEPD en los últimos tiempos. De hecho, Facebook también fue denunciada por la brecha de datos que hace escasas semanas dejó a merced de los cibercriminales los datos yperfiles de 50 millones de usuarios.La organización pidió un expediente sancionador porque entiende que los supuestos autores de este ciberataque masivo“podrían haber sustraído datos personales de terceros recogidos en Facebook, en cuyo caso habrían tenido acceso a informaciones personales de millones de ciudadanos”.

Fuente: computerworld

Dentro de la lista de preguntas que más veces se realizan los integrantes de las comunidades de propietarios sobresale una que tiene mucho que ver con las dudas que suscita la instalación de cámaras de seguridad o videovigilancia. ¿Se puede hacer uso de estas tecnologías en las zonas comunes de un edificio? La respuesta es un sí categórico, pero para poder instalarlas es necesario contar con el voto favorable de las 3/5 partes de la totalidad de propietarios, que a su vez representen las 3/5 partes de la cuota de participación, según lo recogido por la Ley de Propiedad Horizontal. No obstante, si la instalación supone un complemento al servicio personal existente como los vigilantes de seguridad, será suficiente la mayoría simple.

La comunidad debe tener en cuenta el criterio facilitado por la Agencia Española de Protección de Datos (AEPD). Para ello, hay que cumplir tres requisitos:

• Que las cámaras sean útiles al fin deseado (para evitar vandalismo y robos).
• Que la metodología usada con el objetivo de lograr el fin deseado sea la más moderada o la menos invasiva.
• Que la medida de instalación de una cámara aporte más beneficios que inconvenientes a la comunidad.

Una vez que la comunidad de propietarios esté segura de cumplir con estos criterios deberá dar de alta el fichero ante la AEPD. Asimismo, hay una serie de apreciaciones de las que los vecinos tienen que ser conscientes:

• Definir bien las zonas de vigilancia en las que se colocarán los carteles correspondientes de la existencia de las mismas.
• El grabador de imágenes debe estar en un lugar protegido.
• Las grabaciones han de realizarse en modo local y no a través de Internet.
• El acceso a la grabación tendrá que tener siempre una contraseña.
• Únicamente la persona autorizada y designada por la comunidad de propietarios accederá a la visualización y recuperación de las imágenes.
• Los datos de las grabaciones podrán ser guardados por la comunidad durante el plazo de un mes. Una vez finalizado, las imágenes tendrán que borrarse.

Llegados a este punto, conviene tomar la decisión adecuada a la hora de elegir correctamente la compañía que pueda asistir a las comunidades para colocar las cámaras. En este sentido, los expertos en la materia insisten en la importancia de contar con una empresa de seguridad homologada por el Ministerio del Interior, así como de cumplir con el Reglamento de Seguridad Privada. Nosotros queremos dejar constancía de que sí somos una empresa homologada por el Ministerio del Interior y nos asignaron el número 3616 de la Dirección General de Policiael cuál veís siempre en nuestro logo.

Para contactar con nosotros podéis venir a nuestras oficinas en la calle Camí Can Frontera, 26B, en Pla de na Tesa, en Marratxí, o bien podéis llamarnos al 971607952, o también por correo electrónico en Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Fuente: laopiniondemurcia

Las cámaras para controlar la temperatura a los clientes en las tiendas se multiplican ante el silencio de Sanidad sobre la posible vulneración de derechos

El Corte Inglés planea tomar la temperatura a sus clientes mediante cámaras termográficas.  Mientras la compañía mide sus pasos, crece la incertidumbre sobre este tema.

La Agencia Española de Protección de Datos (AEPD) advertía hace días con este comunicado que el uso de estas cámaras genera un "importante impacto" en la privacidad de las personas. Además, el organismo de control lamentaba que grandes empresas y establecimientos de todo tipo estaban adoptando iniciativas como esta sin la "determinación previa" del Ministerio de Sanidad.

El Gobierno, por ahora, ni confirma ni desmiente si recomendará implementar estas cámaras térmicas. "Las decisiones que se vayan tomando se irán comunicando", zanjan fuentes del Ministerio.

Con todo, la AEPD incide en que este tipo de actuaciones deben esperar a lo que diga Sanidad. "Hay un porcentaje de personas contagiadas sin síntomas que no presenta fiebre", remacha el texto, que recuerda que además "puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus".

De hecho, el organismo de control asegura que estas medidas se han de aplicar con criterios sanitarios también por "proporcionalidad". "Hasta qué punto es esa utilidad —la de las cámaras termográficas— suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen, (...) y hasta qué punto se podrán sustituir por otras menos intrusivas".

La AEPD teme que el uso de este tipo de cámaras, capaces de detectar la temperatura corporal de la gente, provoquen señalamientos públicos. Un ejemplo es cuando se impida el acceso a un establecimiento por presentar fiebre: la agencia entiende que se estaría "desvelando a terceros" que la persona afectada "puede haber sido contagiada por el virus".

Lo cierto es que no hay normativa específica que ampare el uso de cámaras termográficas en establecimientos para controlar a clientes, por lo que las empresas como El Corte Inglés y otros tantos establecimientos comerciales —incluyendo empresas municipales de ayuntamientos como el de Córdoba— que plantean hacer uso de ellas podrían acabar encontrándose con que no pueden implementar dicha tecnología.

¿Es la temperatura corporal un dato personal?

Está claro que la "nueva normalidad" que impone la crisis del coronavirus supondrá, irremediablemente, profundos cambios en los hábitos y la asunción de nuevas normas. Pero todavía no está del todo claro cómo afectará el uso de estas cámaras térmicas a la privacidad de los ciudadanos.

Es necesario precisar que la temperatura corporal puede entenderse como un dato personal. Lo explica nítidamente el experto en privacidad, el abogado y consultor Borja Adsuara: "Un dato personal es un dato asociado a una persona física, sea esta identificada o identificable". Si hay una cámara termográfica apuntando a una marabunta de gente, no se está llevando a cabo un tratamiento de datos.

Sin embargo, la implantación de estas cámaras para controlar el acceso a recintos cerrados sí podría significar un tratamiento de datos que ahora mismo no está regulado: de ahí el comunicado de la AEPD que pide, con urgencia, pautar y regular la implantación de estos instrumentos.

El también abogado Daniel López Carballo, de ECIJA, defiende que la temperatura no es necesariamente un dato personal que tenga que ser tratado, pero puede darse el caso de que las imágenes de una cámara termográfica se puedan asociar con las imágenes que se obtengan con otra tecnología, por ejemplo una cámara de vigilancia. En ese caso, Adsuara detalla que esa persona pasa a ser "identificable".

Lo que dice la AEPD en esencia es que si utilizan la temperatura corporal detectada por una cámara termográfica para impedir el acceso de una persona, esta persona se verá expuesta frente a todo el mundo que guardase cola. Todos sabrán que se trata de una persona cuya temperatura corporal es anómala. En realidad, esto no significa que sea una infectada por COVID-19: la fiebre puede ser ocasionada por otras causas.

En el trabajo sí se ampara tomar la temperatura a los empleados

Otra cuestión es el ámbito laboral. López Carballo incide en que si te toman la temperatura en tu puesto de trabajo, de facto estás identificado: como empleado. En este caso la toma de temperatura sí estaría amparada legalmente, considera el socio de ECIJA.

De hecho, la propia AEPD reconoce en un documento de preguntas habituales que "verificar si el estado de salud de los trabajadores puede constituir un peligro" es "obligatorio para el empleador", y que esta labor "debería ser realizada por personal sanitario".

Pero aquí impera otra realidad: "Este aspecto se antoja complicado al encontrarnos en diferentes empresas y comercios que no contarán con personal sanitario que pueda llevar a cabo estas funciones". López Carballo deduce que se podrá contar con el personal de la Seguridad Privada para acometer estas funciones.

Marzo piensa igual. "El personal de seguridad sí está sujeto a una obligación de sigilo profesional —similar a la de los sanitarios— por su propia normativa sectorial", detalla. También se pregunta que "cómo es posible" que la autoridad de control no concrete más este supuesto.

De momento, en el ámbito laboral, lo único que la AEPD ha dicho es que las tomas de temperatura "deben respetar la normativa de protección de datos, obedecer a la finalidad específica de contener el coronavirus, y no extenderse a otras finalidades distintas".

Fuente: businessinsider

SophosLabs, empresa británica de seguridad de 'software', ha descubierto un 'malware' inusual de Android llamado 'Andr / Clickr-ad', que afecta a millones de dispositivos al agotar su batería más rápido de lo habitual.

Según SophosLabs, se trata de una campaña de fraude de anuncios maliciosos donde unas aplicaciones 'bombardean' sitios web con tráfico falso para obtener clics publicitarios. Los usuarios, por su parte, no tienen ni idea de que algo está sucediendo, mientras el teléfono está trabajando en segundo plano, utilizando un navegador web oculto para hacer clic en anuncios, generando así dinero.

Lo más extraño de Clickr-ad es que, en algunos casos, hacía que los dispositivos con Android parecieran estar ejecutando el iOS de Apple. Según los investigadores, los anunciantes pagan más por el tráfico que parece provenir de los dispositivos de Apple.

El efecto de este tipo de 'malware' es agotar la batería del dispositivo, generar tráfico de datos y en general atascar el dispositivo, haciendo clic constantemente en anuncios.

Las aplicaciones se eliminaron de Google Play el 25 de noviembre, afirma la compañía, pero, es probable que continúen haciendo clic hasta que sean eliminadas por los propietarios de los dispositivos.

Fuente: Actualidad.rt

«Tu envío está en camino» o «se ha retrasado»: Cuidado con el phishing en paquetería

Investigadores de Kaspersky han detectado una nueva campaña de phishing en paquetería que, a través de correos electrónicos fraudulentos, suplantan la identidad de la empresa Correos para tratar de engañar al usuario y robarle sus datos de la tarjeta bancaria con el pretexto de un retraso en la entrega de un paquete.

El phishing en paquetería se activa varias veces al año coincidiendo con las grandes temporadas de compra por Internet como el reciente Black Friday y Cyber Monday, jornadas masivas que exigen la entrega de millones de paquetes. Es una aviso para lo que va a ocurrir en la campaña navideña, la más importante del año para el canal minorista y con motivo de la pandemia por el COVID-19 con un esperado aumento del comercio electrónico.

Un caso típico de phishing en paquetería

Los mensajes suelen llevar como título “Su envío está en camino” y contienen un enlace para que el usuario pulse y descargue malware en su dispositivo. Para ello, los ciberdelincuentes utilizan el argumento de que la entrega no se ha podido realizar, quedando pendiente de pago los gastos de envío. La dirección del remitente, aunque indica Atención al Cliente, no coincide en absoluto con la dirección oficial de Correos.

Si el usuario desprevenido decide hacer clic en los sucesivos enlaces se encontrará con unas pantallas muy similares a las originales. En la primera se pide el pago de 1,79€ en una supuesta web falsa que solicita datos bancarios. En la siguiente se simula la validación de los datos facilitados con el logotipo de Correos.

Aunque lo más habitual es que los mensajes falsos lleguen a través de email, no es extraño que se utilicen también mensajes SMS. En la temporada de compras, las empresas de mensajería son uno de los ganchos más utilizados por los estafadores.

El incremento de compras a través de internet debido a la pandemia supone un mayor número de víctimas potenciales. Algunas de ellas, no muy acostumbradas a las compras online, pueden suponer un blanco fácil para los cibercriminales. Kaspersky ofrece una serie de consejos que son los habituales contra el phishing:

• Aplicar la cautela, aún en los mensajes de organismos oficiales. Es muy sencillo fabricar una carta/email o SMS falso que parezca real.
• Prestar atención al texto de mensaje. Las empresas reconocidas u organismos oficiales no envían correos electrónicos con un formato erróneo, faltas gramaticales o de ortografía.
• No abrir documentos adjuntos o hacer clic en enlaces de los correos electrónicos de los servicios de entrega, especialmente si el remitente insiste en ello.
• En caso de duda, es preferible acudir a la página web oficial e iniciar sesión desde allí para comprobarlo
• Utilizar una solución de seguridad de confianza para identificar los archivos adjuntos maliciosos y bloquear el phishing.

#phishingcorreos #mensajesfalsoscorreos #protecciondedatos #usoinapropiadodeinformacion #robodeinformacion #robodedatos #phishingblackfriday

Fuente: Muyseguridad

15 detenidos en tres empresas cerámicas de Castellón implicadas en estafas de 'phising' a clientes

Agentes de la Policía Nacional, en una operación conjunta con la Guardia Civil, han desarticulado una organización criminal internacional dedicada a cometer estadas mediante la modalidad del phising. La organización, que estaba perfectamente estructurada y con los roles de sus miembros plenamente definidos, se dedicaba a estafar a empresas, con las que tenían previamente algún tipo de acuerdo comercial, mediante ataques informáticos.

Además, los presuntos autores se ganaban la confianza de empresas legales mediante acuerdos comerciales apoderándose, no solo de sus datos empresariales, también de sus contraseñas bancarias y correo electrónico. Agentes de la Policía Nacional y de la Guardia Civil realizaron, de manera simultánea, cuatro registros en Málaga, y detuvieron a seis personas. Además, intervinieron ordenadores, tarjetas bancarias, multitud de documentación, joyas valoradas en más de 4.000 euros y 2.950 euros en metálico.

En Castellón los agentes realizaron dos registros domiciliarios, así como el registro de tres empresas de cerámica. También detuvieron a 15 personas e incautaron abundante documentación, 16.350 euros en metálico y un vehículo de alta gama valorado en 150.000 euros. La denominada operación Ciao-Estribo, ha permitido embargar 78 cuentas bancarias y ha logrado esclarecer un blanqueo de capitales de cinco millones de euros.

La investigación policial se inició, tanto en Lalín (Pontevedra) como en Jaén, gracias a dos denuncias interpuestas las mencionadas ciudades. En la denuncia de Jaén un empresario italiano denunciaba haber sido víctima de una estafa por valor de 132.000 euros. Por otro lado, La Guardia Civil de Lalín había recibido una denuncia de una empresa de Pontevedra en la que manifestaba haber sido víctima de dos estafas, una por un montante de 23.645 euros y otra por 3.479 euros. Tanto en la localidad Pontevedresa como en la capital jienense, los investigadores comenzaron a trabajar en las referidas denuncias hasta que ambas investigaciones se cruzaron. A partir de ese momento, ambos Cuerpos de Seguridad trabajaron al unísono.

Una organización criminal internacional

En el mes de agosto del pasado año, ambos Cuerpos investigaron conjuntamente. Los empresarios que habían presentado sendas denuncias –en Lalín y Jaén-, habían sido estafados por internet mediante la usurpación de sus cuentas de correo electrónico logrando, en ambos casos, la sustracción de grandes sumas de dinero.

Agentes especializados de la Policía Nacional y de la Guardia Civilanalizaron minuciosamente una innumerable documentación económica, bancaria, fiscal y financiera. Tras varias gestiones y el empleo de diversos medios técnicos e informáticos, consiguieron localizar una organización criminal desplegada internacionalmente.

Desviación de dinero a cuentas bancarias de todo el mundo

Los presuntos autores, una vez se hacían con el dinero de las víctimas lo desviaban a numerosas cuentas corrientes que la organización había aperturado, mediante documentación falsa, teniendo como destino final determinadas empresas de cerámica ubicadas en Castellón. De esta forma, blanqueaban el dinero recibido ilícitamente mediante exportaciones, en determinados casos, de material enviado hasta Nigeria.

Los investigadores de ambos Cuerpos de Seguridad, dada la magnitud de la investigación, solicitaron la colaboración de diferentes especialistas documentales de numerosas Embajadas de Europa y África, ya que la organización criminal tenía acceso a pasaportes sustraídos y falsificados de multitud de países con el fin de dificultar más aún la labor policial-judicial investigativa. En la mayor parte de los casos, era difícil identificar a los supuestos titulares de los pasaportes porque éstos no existían físicamente, resultando totalmente imposible su localización. En este sentido, los agentes constataron que la actividad delincuencial no sólo se realizaba en España, sino que también se llevaba a cabo en Holanda, Chipre, Curaçao, Ucrania, México, Suiza, Alemania, Dinamarca, Singapur, Reino Unido y Estados Unidos.

Blanqueo de capitales por cinco millones de euros

En la Operación Estribo-Ciao, se ha localizado y recuperado, de las diferentes cuentas bancarias de la organización, gran cantidad de dinero oculto. Además, se han inmovilizado y embargado 78 cuentas bancarias de diferentes entidades financieras. Los agentes realizaron cuatro registros domiciliarios en Málaga e intervinieron multitud de documentación, aparatos informáticos, 2.955 euros en metálico, así como joyas valoradas en más de 4.000 euros. Asimismo, fueron detenidas seis personas.

En Castellón, los agentes de la Guardia Civil y de la Policía Nacional realizaron dos registros domiciliarios y otros tres en empresas relacionadas con la cerámica. Como resultado fueron detenidas 15 personas y se incautó numerosa documentación, tarjetas de bancarias, 16.350 euros en metálico y un vehículo de alta gama valorado en 150.000 euros.

Una vez realizado el recuento de las cantidades obtenidas, presuntamente de manera ilícita, por parte de la organización criminal, el montante final asciende a cinco millones de euros.

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #phising #robodatospersonales #leyorganicadeprotecciondedatos

Fuente: Lasprovincias

Distintos bancos han empezado aalertara sus clientesde la posibleclonación de las tarjetas de crédito y débitoque han usado para comprar vuelos deAir Europa, por lo que les han instado abloquearlas y a revisar sus cuentaspara comprobar que no tienenningúncargo sospechosoen los últimos meses.

Según han explicado los clientes, hoy mismo les ha llegado unsms alertando delproblema de seguridadque puede haber dejado al descubierto los datos de sus tarjetas, que han podido ser duplicadas. Una de estas entidades esColonya Caixa Pollença, que ha remitido entre los posibles afectados el siguiente mensaje:"Su tarjeta está afectada por un compromiso de seguridad de un comercio ajeno a Colonya. Contacte con su sucursal para bloquear la citada tarjeta". Así, además de ofrecer la posibilidad de bloquear las tarjetas afectadas, los bancos han pedido a sus usuarios que compruebensus cuentas vinculadas a estas tarjetaspara ver si detectan algún cargo irregular.

Diversas fuentes afirman que la compañía afectada poresta fuga de datos es Air Europa.Si bien desde las entidades en ningún momento han mencionado ante sus clientes al responsable de esta brecha de seguridad, muchos de estos usuarios han deducido que setrataba de Air Europapor haber utilizado la tarjeta solo en compras de vuelos de esta aerolínea.

En estos momentos, los bancos y la aerolínea trabajan conjuntamente para solventar este error,para el cual las entidades ya han puesto en marcha todos los protocolos de seguridad.

Fuente: diariodemallorca

Aumentan los ciberataques a compañías del sector de salud

Los ciberdelincuentes han puesto en el punto de mira a las compañías del sector de la salud. Pocas industrias tienen una misión más crítica, datos más sensibles y operativas más complejas, pero al tiempo, esto implica que estas compañías son difíciles de proteger, asegura un informe Proofpoint.

El proveedor de seguridad ha analizado cientos de millones de correos maliciosos dirigidos a proveedores de salud, organizaciones farmacéuticas y aseguradoras del sector, llegando a conclusiones preocupantes:

• Un 300% de aumento en ataques por correo sobre el mismo periodo del año anterior – estos correos han sido diseñados para simular que han sido enviados por alguien a quien conoce la persona que los recibe.

• El 95% de las compañías afectadas registraron correos electrónicos falsificando sus propios dominios de confianza – y todas las compañías de salud atacadas registraron falsificaciones de sus dominios para dirigirse específicamente a pacientes y socios comerciales.

• Las organizaciones atacadas registraron, de media, 65 empleados atacados – en muchos casos, las personas más atacadas no eran ejecutivos VIP de alto nivel, sino otros perfiles administrativos de perfil más bajo con acceso privilegiado a información sensible.

• El 55% de todos los correos electrónicos falsos incluía las palabras “pago” (28%), “solicitud” (15%) o “urgente” (12%) en la línea de asunto.

• El 77% de los ataques por correo electrónico a compañías de salud utilizaba direcciones URL maliciosas.

• Los troyanos bancarios fueron la mayor amenaza para las compañías de salud durante el período de tiempo analizado.

• Los ataques basados en malware superaron en más del 50% al volumen de mensajes para phishing.

“Los ciberataques exponen datos de salud personales. El ransomware cierra salas de urgencias. Los correos electrónicos fraudulentos afectan a socios comerciales, pacientes y personal clínico. Estas amenazas perjudican la capacidad de la industria de Salud para atender a los pacientes”, indica Ryan Witt, responsable de Ciberseguridad para el Sector Salud en Proofpoint.

Las empresas y organizaciones del sector Salud consideran ahora la ciberseguridad como un tema clave de seguridad del paciente, en su misión general de cuidado de la salud. Esta reciente preocupación se aleja del planteamiento de puro cumplimiento normativo de años anteriores, que situaba la ciberseguridad en el ámbito de los mecanismos para asegurar la financiación de la implementación de registros médicos electrónicos.

El informe de Proofpoint, realizado sobre cientos de millones de correos maliciosos, ha descubierto una tendencia que se mantendrá en los próximos tiempos: hoy en día, los ciberataques se dirigen a las personas y no solo a la infraestructura. La mecánica es sencilla: engañan a los trabajadores de estas organizaciones para que abran un archivo adjunto inseguro o un enlace dudoso que conduce a un sitio de malware. Se hacen pasar por ejecutivos de las compañías e indican al personal que transfiera dinero o envíe información confidencial. Y secuestran la confianza de los pacientes con estafas que se aprovechan del valor de marca de las organizaciones.

Combatir estos ataques requiere un enfoque de seguridad nuevo y centrado en las personas, recomienda Proofpoint en su informe.

#ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos

Fuente: Muyseguridad

  - La norma para reforzar la protección de datos se ha debatido durante tres años
  - Se aplicará a Facebook o Google y prevé fuertes multas por incumplimiento
  - Se procesará información personal on el "consentimiento inequívoco" de los usuarios

Los ministros europeos de Justicia han cerrado este lunes tras tres años de negociaciones un acuerdo político sobre el reglamento de protección de datos personales, que reconoce por primera vez el derecho de los ciudadanos a reclamar el borrado de información personal perjudicial y no pertinente de internet.

"Estamos ante algo muy importante, ya que el nuevo reglamento dará a todos los ciudadanos de la Unión un mayor control de todos sus datos. Ahora podrán pedir el borrado de sus datos en internet", dijo el ministro letón de Justicia, Dzintars Rascnasc, cuyo país ocupa la presidencia de turno de la UE hasta finales de mes.
PUBLICIDAD

Rascnasc explicó en conferencia de prensa que esta nueva normativa "va a modernizar los principios generales y va a ofrecer un reglamento armonizado para todos los Estados de la UE". "En caso de incumplimiento todos los ciudadanos podrán presentar una queja garantizando así la protección de sus derechos", añadió.

Recordó que la norma también facilitará que las empresas puedan realizar operaciones transfronterizas y potenciará el desarrollo del mercado único.

Todos los Estados miembros, excepto Austria y Eslovenia, dieron su apoyo al texto de compromiso presentado por la presidencia letona de turno de la UE, que servirá de base para iniciar las negociaciones con el Parlamento Europeo el próximo 24 de junio, con vistas a llegar a un acuerdo definitivo antes de finales de año. "Estamos muy satisfechos con cuál ha sido el resultado final, que ahora pasa a esos trílogos para su aprobación futura", declaró tras el acuerdo el ministro español de Justicia, Rafael Catalá.

Explicó que, además de la protección de datos y las garantías, es importante que haya un mercado de datos para las empresas, flexibilidad y que se facilite la actividad económica. El ministro afirmó que en España hay "un buen sistema de protección de datos", y explicó que durante la negociación a las partes las "ha preocupado especialmente reforzar aspectos tales como el tratamiento a los sectores más protegidos, como son los menores".

La nueva normativa tiene por objeto adaptar las reglas vigentes en la UE sobre protección de datos, que datan de 1995, a la nueva realidad de internet y las redes sociales, garantizar un mayor control de los usuarios del tratamiento de sus datos personales en la red y reducir las cargas burocráticas para las empresas por un valor de unos 2.300 millones de euros anuales.

La responsabilidad y la obligación de rendir cuentas para todos los que procesen datos personales, y la obligación de notificar a la autoridad nacional de control toda violación de datos grave lo antes posible, así como de solicitar el consentimiento expreso del usuario para el procesamiento de sus datos son otras de las mejoras que introduce la reforma.

Además, los usuarios que se sientan perjudicados por el tratamiento de sus datos en internet tendrán derecho a reclamar sanciones que podrán traducirse en multas de hasta un 2 % de la facturación anual o de un máximo de un millón de euros para la empresa que haya infringido el reglamento europeo. Estarán sujetas a estas normas todas las empresas que operen en territorio comunitario con independencia de dónde tengan su sede.

Otra de las posibilidades que ofrece la nueva normativa tiene que ver con la llamada "portabilidad de datos", que permitirá a los usuarios solicitar, por ejemplo, a Facebook que extraiga sus datos personales del sistema para trasladarlos a otra red social que consideren más segura. Una vez que las nuevas reglas entren en vigor, empresas y usuarios podrán beneficiarse también de un sistema de "ventanilla única", dirigido a facilitar la denuncia de abusos de empresas con sede extranjera en los tribunales europeos. "Vamos a darles a los ciudadanos la herramienta que necesitan para ejercer sus derechos 'on line'", afirmó tras el acuerdo la comisaria europea de Justicia, Vera Jourova.

Los ministros aceptaron sellar el acuerdo para no seguir bloqueando su tramitación tras tres años de debate en el Consejo, se mostraron críticos con diversos puntos de la propuesta aprobada hoy, como la proporcionalidad de las sanciones, la transferencia de datos a terceros países, la protección del derecho de los niños, sobre todo vinculado al derecho al olvido, y las cargas administrativas.

CaixaBank instala los primeros cajeros con reconocimiento facial en Baleares

CaixaBank ha instalado en las oficinas Store Passeig des Born y Costa de Calvià de Mallorca y en la Store Ciutadella de Menorca, los primeros cajeros automáticos con tecnología de reconocimiento facial de Baleares.

Según ha explicado la entidad bancaria este jueves en un comunicado, el sistema, “totalmente pionero a nivel mundial”, permite realizar reintegros simplemente reconociendo al usuario a través de la imagen captada por la cámara del terminal y sin tener que introducir manualmente su PIN.

Además, en el contexto de la Covid-19, el sistema ofrece la ventaja añadida de poder extraer efectivo de los cajeros sin necesidad de tocar el teclado del terminal.

La directora territorial de CaixaBank en Baleares, María Cruz Rivera, ha señalado la entidad trabaja para expandir el reconocimiento facial en cajeros seleccionados del territorio a lo largo de 2020 y “hacer posible que un mayor número de clientes se familiarice con el uso de la tecnología biométrica”.

Los clientes de CaixaBank que quieran utilizar el reconocimiento facial en cajeros deberán contactar con su gestor para realizar el proceso de alta.

Según han explicado, no es necesario que sean clientes de las oficinas Store dónde se instalan, sino que pueden tener como oficina de referencia cualquier otro centro.

El cajero dispone del hardware y el software necesario para validar hasta 16.000 puntos de la imagen del rostro del usuario, lo que garantiza una identificación totalmente segura.

#camarareconocimientofacialmallorca #reconocimientofacialLaCaixa #reconocimientofacialseguro #protecciondedatos 

Fuente: Cronicabalear

5,2 billones serán los dólares a los que tendrán que hacer frente las compañías de todo el mundo en los próximos cinco años por pérdidas de ingresas y costes adicionales derivados de los ciberataques, según el estudio de Accenture Securing the digital economy: Reinventing the Internet for trust. “Esto se debe a que la dependencia de modelos de negocio complejos, basados en Internet, sobrepasa la capacidad de las compañías de introducir medidas de protección adecuadas para resguardar sus principales activos”, asegura el informe.

La sofisticación de los atacantes conlleva una serie de retos que pueden amenazar las operaciones, la innovación y el crecimiento de las compañías, así como la expansión de nuevos productos y servicios. Asimismo, la industria de alta tecnología se enfrenta al riesgo más elevado, con más de 753.000 millones de dólares pendiendo del hilo, seguida de los sectores de farma y auto, con 642.000 millones y 505.000 millones de dólares en riesgo, respectivamente. “La seguridad de Internet se está quedando atrás respecto al avance de los cibercriminales, lo que está afectando en la economía digital”, ha afirmado Alberto Zamora, managing director Accenture Strategy para España, Portugal e Israel. “Fortalecer esta seguridad requiere de un liderazgo decisivo (e incluso poco convencional) de los CEO, no solo de los directores de seguridad de la información. Para convertirse en una empresa ‘ciberresiliente’, las compañías deben utilizar la experiencia de los Ciso para garantizar que la seguridad está presente desde la fase de diseño inicial y que todos los directivos se hacen responsables de la seguridad y la privacidad de los datos”.

Entre los hallazgos más importantes del estudio, destaca que el 79% de los encuestados cree que los avances en tecnología digital se verán obstaculizados, a no ser que haya una mejora drástica de la seguridad de Internet, y que el 59% afirma que Internet es cada vez más inestable en cuestiones de seguridad y no sabe cómo reaccionar.

Además, el 75% afirma que los desafíos de ciberseguridad requerirán un esfuerzo grupalorganizado, ya que ninguna organización puede abordar estos retos por su cuenta. Con una seria preocupación acerca de la seguridad de Internet, el 56% de los ejecutivos daría la bienvenida a unas regulaciones de negocio más estrictas, impuestas por una organización central u órgano de gobierno.

La situación en España

Las empresas nunca han dependido tanto de lo digital y de Internet para crecer. En España, hace 10 años, el 27% de las empresas (23% a nivel global) dependía de Internet para sus operaciones comerciales. Ahora son el 100%. Además, el 90% de los líderes empresariales en nuestro país dice que una economía digital de confianza es fundamental para impulsar el crecimiento futuro de su organización.

Sin embargo, la rápida aparición de nuevas tecnologías está generando desafíos adicionalesque afectan a la confianza. El 75% de las organizaciones en España (68% a nivel global) dice que su dependencia de Internet está creciendo y los riesgos de ciberseguridad también, y solo el 42% (30% global) tiene mucha confianza en la seguridad de Internet, cifra que se estima que disminuya al 27% en los próximos cinco años.

Fuente: Cso.computerworld

La importancia de enseñar ciberseguridad a nuestros hijos 

Es uno de sus disfraces favoritos, y es que todos tenemos claro que cuando Hacienda llama a nuestra puerta hay que responder sino queremos empeorar las cosas. La Oficina de Seguridad del Internauta (un organo del Instituto Nacional de Ciberseguridad) ha descubierto un nuevo caso de 'phising' masivo en nuestro país en el que los 'hackers' se hacen pasar por la Agencia Tributaria para conseguir que les entregues tus datos personales y bancarios.

La información la han dado en su propia página web y en ella explican cómo funciona exactamente esta campaña. "El falso e-mail informa al contribuyente de que le corresponde un supuesto reembolso económico, y le proporciona un enlace a una web con un formulario cuyo fin es obtener su información personal y bancaria", explican desde la OSI. Los piratas no solo se preparan el diseño y el formato del email sino que te dan una buena razón para dar tu información sin pensar.

Una vez recibido el correo, según comentan desde el organismo español, los atacantes te recomiendan que cliques en un enlace que te llevará a una web 'clonada' de la original de la Agencia Tributaria (se diferencia solo en la URL y otros detalles del diseño) y en la cual te invitarán a meter toda tu información personal, bancaria y tus claves de registro en la propia Agencia. "La página contiene un formulario en el que se solicita al usuario los datos personales, financieros (tarjeta bancaria), así como los datos de acceso de la Agencia Tributaria (usuario y contraseña)".

Para terminar, los ladrones copian hasta el último paso del formulario y aseguran que te mandaran próximamente un código por SMS a tu móvil para que puedas entrar a reclamar tu dinero. Obviamente, ese mensaje nunca llegará a tu teléfono.

¿Qué pasa si ya has dado tus datos?

Lo mejor en estos casos siempre es la precaución y evitar en todo momento dar datos personales en sitios de dudosa legitimidad, mirar bien las urls, consultar con familiares, etc. Pero si ya has caído en la trampa y lees esto sabiendo que han robado tus datos hay dos pasos que debes seguir inmediatamente.

Primero, consulta tus cuentas bancarias y avisa a la entidad para evitar que los ladrones puedan aprovecharse de ella. Y segundo, consulta en la red toda la información que habías otorgado a estos 'hackers' para ver si ha salido de sus bases de datos y ha empezado a circular por internet.

Fuente: Elconfidencial