Esta web utiliza cookies, puedes ver nuestra la política de cookies aquí. Si continuas navegando estás aceptándola.

  • Entre las brechas de datos masivas sucedidas en empresas sobradamente reconocidas y los repetidos escándalos protagonizados por Facebook, el 2018 fue el año en que la protección de datos personales empezó a generar titulares– y preocupación- en todo el mundo. Y como punto de inflexión entre todos estos casos está el GDPR, el nuevo Reglamento General de Protección de Datos europeo de obligado cumplimiento desde el 25 de mayo del año pasado.

    Además de daños reputacionales, el GDPR conlleva importantes multas por incumplimiento, pudiendo alcanzar los 20 millones de euros o el 4% de los ingresos anuales de una empresa. El nuevo imperativo de ciberseguridad corporativa pasa de la remediación a la prevención y protección de los datos personales almacenados.Ya no vale con reaccionar una vez sufrida la exfiltración de datos, sino que para eludir el GDPR la única manera es su cumplimiento, anticipándonos a los incidentes sobre los datos de carácter personal (PII).

    Ya a finales de 2018 empezaron a llegar las primeras sanciones. La más alta fue una multa de 400.000€ a un hospital portugués. Y esta semana, hemos sido testigos de la primera multa millonaria a una de las empresas de mayor facturación mundial: Google.

    El CNIL (Comisión Nacional de Informática y Libertades), la agencia de protección de datos francesa, ha multado a Google LLC 50 millones de eurospor incumplimiento de las reglas del GDPR acerca de la transparencia y de la ausencia de una base legal válida de procesamiento de los datos personales destinados a fines publicitarios.

    Está claro que el importe de la multa es mayúsculo. Sin embargo, está lejos de lo que podría haber supuesto para las arcas de Google ya que Alphabet, la empresa matriz, tenía ingresos de más de 97,5 mil millones de euros en 2017; por lo que la multa podría haber ascendido a 3,9 mil millones de euros.

    Otro punto álgido en el caso es debido a que el GDPR establece que la investigación de un caso se tiene que llevar a cabo en el país donde la empresa investigada tenga su centro de acciones. Aunque la sede europea de Google está en Irlanda, la CNIL considera que esta sede no toma decisiones acerca del procesamiento de datos personales y que, por lo tanto, la queja es contra Google LLC en EE.UU.

    Echando la vista atrás, vemos que el origen de las primeras quejas acerca de Google se remontan al mismo día 25 de mayo, minutos después de la entrada en vigor del reglamento, cuando la organización sin ánimo de lucro noyb.eu interpuso las primeras reclamaciones contra varias empresas, incluido Google. El grupo de derechos digitales francés la Quadrature du Net también registró una queja acerca de Google pocos días después.

    Ambos reclamos están relacionadas con el consentimiento forzado; alegan que la empresa carece de una base legal sólida para procesar los datos personales de sus usuarios, ya que les obligó a consentir a un tratamiento de datos que éstos no entendían.

    Según la CNIL, cuando un usuario crea una cuenta de Google en un móvil Android, reciben mucha de la información que requiere el GDPR – categorías de datos personales, los propósitos del procesamiento de datos, etc. – pero afirman que la información está “excesivamente diseminada entre varios documentos, con botones y enlaces que hay que seguir para tener acceso a la información.”

    “Solo se puede acceder a la información relevante tras varios pasos, que a veces implica hasta 5 o 6 acciones,” dice la CNIL. También alega que la información ofrecida por Google es muy vaga y genérica a la hora de explicar a sus usuarios sobre cómo se usarán sus datos, y que hay una falta de información acerca de cuánto tiempo permanecerán almacenados. Otro problema era la casilla de “estoy de acuerdo con los términos del servicio de Google”, en vez de casillas con opciones más detalladas. La conclusión de la CNIL es que Google no tiene el permiso válido de sus usuarios, ya que el consentimiento no era ni “especifico” ni “inequívoco” como requiere el GDPR.

    TTCS google sancion protección de datos

    Fuente: Pandasecurity

     

     

  •  

    Una noche de verano para olvidar. Un cliente de un prostíbulo de s’Arenal finalizó la visita al club de alterne ebrio, sin 2.480 euros, semidesnudo y vestido con medias de mujer. La Fiscalía acusa a tres trabajadores del establecimiento de estafar al hombre y grabarle en una situación comprometida. El ministerio público reclama una condena de cuatro años de cárcel para cada uno de los sospechosos, dos mujeres y un hombre.

    Los hechos se remontan a la madrugada del 27 de agosto de 2018. Los acusados, entre las 03.00 y las 05.30 horas, se aprovecharon del estado de embriaguez de la víctima, que solicitó una consumición y un servicio sexual por 300 euros.

    Los trabajadores del local le cargaron, a lo largo de la madrugada, diversas cantidades en las tres tarjetas de crédito que portaba el perjudicado. Introducían el pin que les proporcionó y que servía para las tres tarjetas. En una de ellas, de débito, constan cargos de 220 y 610 euros. En otra, de crédito, faltaban 615 y en la última desaparecieron 1.335.

    Los acusados, según la Fiscalía, grabaron al hombre sin consentimiento en el momento que firmó una de las operaciones de pago en estado de semiinconsciencia, semidesnudo y con medias de mujer.

    Estafa y revelación de secretos

    El ministerio público acusa a los tres trabajadores del prostíbulo situado en s’Arenal por un presunto delito de estafa y otro de revelación de secretos. Por el primero solicita una pena de un año de cárcel para cada uno y por el segundo pide tres años de prisión. Además, la Fiscalía reclama sendas multas de 20 meses a razón de 10 euros diarios.

    Agentes de la Policía Nacional se hicieron cargo de la investigación de lo ocurrido. Los tres acusados, que deberán devolver al perjudicado la cantidad que supuestamente le estafaron, serán juzgados próximamente en Palma.

     

    TTCS Grabaciones prostibulo Arenal

     

    #protecciondedatos #usofraudulentodedatos #videovigilanciamallorca #grabarsinpermiso

    Fuente: Ultimahora

  • La Agencia Española de Protección de Datos (AEPD) ha avisado de que la navegación privada o de incógnito no resulta efectiva para prevenir el seguimiento de los dispositivos (móvil, tableta, portátil u ordenador), "proyectando una falsa sensación de seguridad".

    Así lo pone de manifiesto la Agencia en su estudio 'Fingerprinting o huella digital del dispositivo', donde aborda esta técnica de identificación y rastreo de los usuarios a través de sus dispositivos y para el que ha analizado más de 14.000 páginas web dirigidas al público español, describiendo las técnicas más utilizadas para realizar ese perfilado.

    La huella digital del dispositivo es un conjunto de datos extraídos del dispositivo del usuario que permiten individualizar "de forma unívoca" dicho terminal. "Dado que lo habitual es que las personas no compartan sus equipos, individualizar el terminal supone individualizar a la persona que lo utiliza y, en consecuencia, poder realizar un perfil de la misma", añade

    En este sentido, advierte de que el perfilado no se limita a recopilar y analizar los hábitos de navegación o las búsquedas que realiza, sino a extraer geolocalización, datos de configuración del sistema y las aplicaciones, programas instalados, movimientos del ratón, etc. La combinación de esta y otra información permite confeccionar una huella digital única del dispositivo que lo singulariza y, por lo tanto, diferencia de forma unívoca a cada usuario en internet.

    El informe publicado en febrero, el organismo explica que muchos navegadores tienen la opción de navegación privada o de incógnito, una opción con la que los usuarios "tienen la sensación de que su navegación es segura y no será rastreable".

     
    La AEPD explica en su informe que en esta opción el navegador no guarda información sobre páginas web, ni historial de navegación, caché web, contraseñas, información de formularios, cookies u otros datos de sitios web, y al cerrar la ventana borra del equipo del usuario toda esta información.

    "Puede dar la sensación de que la navegación permite que el usuario esté protegido frente al uso de la huella digital, pero es una sensación de falsa seguridad, pues a las técnicas usadas en la confección de la huella les resulta transparente la navegación privada, ya que las características que chequea la huella son las mismas, con navegación privada o sin ella, y el equipo del usuario quedará igualmente individualizado. Así pues, en este sentido, la navegación privada no es efectiva", destaca

    NI INFORMACIÓN NI CONSENTIMIENTO

    El informe concluye que "con mucha frecuencia" se emplean estas técnicas para recoger datos del equipo del usuario "sin ofrecerle información y sin solicitarle su consentimiento", y que el conjunto de datos recabados "puede ser tan extenso, o enriquecerse de tal forma, que puede llegar a recoger incluso categorías especiales de datos".

    Asimismo, el documento advierte de que, "en la mayoría de los casos", al usuario no se le proporcionan herramientas para poder evitar "de forma efectiva" la recogida de datos y no se le ofrecen medios para ejercer los derechos establecidos en el Reglamento General de Protección de Datos (RGPD) cuando se recogen o asocian a datos personales.

    En este contexto, el organismo que lidera Mar España aconseja que los usuarios utilicen la opción 'Do not track' del navegador, que permite dejar constancia de que se quiere evitar el seguimiento; instalar bloqueadores que permiten eludir la publicidad y el rastreo; deshabilitar el uso de Javascript; alternar entre distintos navegadores o ejecutar el acceso a internet en máquinas virtuales.

    En relación con los consejos para la industria, se ofrecen recomendaciones tanto para los desarrolladores de productos y servicios, como para aquellas entidades que explotan los datos obtenidos a partir de la huella del dispositivo.

     

    Para las entidades que quieran explotar datos obtenidos a partir de la huella del dispositivo, la Agencia indica que el responsable del tratamiento debe abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma si el usuario no ha dado su consentimiento. Además, agrega que toda aplicación de huella debería chequear el estado de la opción Do Not Track.

    En términos generales, el estudio recomienda a las entidades que utilizan el fingerprinting contar con los servicios de un Delegado de Protección de Datos, y deberán realizar un análisis de riesgos de protección de datos relativos a los derechos y libertades de los afectados.

    "Si de dicho análisis se deriva que el nivel de riesgo es elevado, será entonces obligada la realización de una Evaluación de Impacto para la Protección de Datos (EIPD) para establecer las medidas necesarias que garanticen la protección de los derechos de los usuarios", concluye.

    TTCS  agencia española de proteccion de datos

     

    #agenciaespañoladeprotecciondedatos #ttcsempresadeseguridad #protecciondedatos #leyorganicadeprotecciondedatos

    Fuente: Lavanguardia

    .

  • La Agencia Española de Protección de Datos (AEPD) ha instado a las grandes empresas proveedoras de servicios de Internet a la aprobación de protocolos específicos de actuación con el fin de evitar la utilización o difusión de imágenes personales en la red de víctimas de violencia de género sin su consentimiento.

    Esta es una de las medidas que figura en el Marco de Actuación de Responsabilidad Social 2019-2024 de la AEPD --elaborado con la colaboración de Pacto Mundial de Naciones Unidas y alineado con la Agenda 2030 y los Objetivos de Desarrollo Sostenible-- que estructura el compromiso de este organismo en cuatro ejes: Sociedad; Buen Gobierno, Transparencia y rendición de cuentas; Medio Ambiente y Empleados.

     

    Dentro del apartado de Compromiso con la Sociedad, la Agencia ha establecido a su vez tres grandes áreas de trabajo: la igualdad de género, el fomento de la prevención, y la innovación y el emprendimiento.

     Así, respecto a la igualdad de género, se impulsarán protocolos con el Ministerio del Interior, la Fiscalía y la Delegación de Gobierno para la Violencia de Género, en el marco del Grupo de Trabajo sobre la privacidad de las víctimas de violencia en Internet, para que cuando acudan a una comisaría sean informadas de la posibilidad de dirigirse gratuitamente a la Agencia en caso de utilización o difusión de imágenes personales sin consentimiento.

    La AEPD dará prioridad a este tipo de reclamaciones, además de instar a las grandes empresas proveedoras de servicios de Internet a la aprobación de protocolos específicos de actuación, según ha destacado la institución.

     

    En el área de prevención, destaca la colaboración con Ministerio de Educación para elaborar materiales curriculares sobre educación digital y uso responsable de Internet, con especial atención a las situaciones de violencia en la Red. En este sentido, la AEPD recuerda que, en aplicación de la nueva Ley de Protección de Datos, las CC.AA. tienen de plazo hasta finales de año para incluir formación específica en el uso seguro de los medios digitales en los currículums académicos.

    También se colaborará con la Fiscalía para actuar frente a la difusión de imágenes o información personal de menores en Internet; se impulsarán protocolos contra el ciberacoso, en colaboración con el Ministerio de Educación; y se colaborará con la Policía Nacional en cursos sobre privacidad y seguridad.

     

    Además de alinear con la Agenda 2030 los premios que anualmente concede la Agencia, la AEPD ha anunciado que va lanzar una nueva categoría en la que se van a reconocer proyectos y actuaciones innovadoras y respetuosas con la privacidad en el marco de las iniciativas empresariales noveles y las startups. El premio tendrá la denominación 'Ángela Ruiz Robles', precursora española del libro electrónico.

    De otra parte, el Marco de Actuación recoge una apuesta firme por una política de cumplimiento (compliance) basada en los valores de la transparencia, el buen gobierno, la integridad, la rendición de cuentas, la participación, la profesionalidad y el servicio público, lo que se va a traducir en la aprobación de un Código Ético y de Conducta para los empleados y directivos de la Agencia, y la implantación de un canal de denuncias anónimo, siempre con las debidas garantías en su aplicación.

     

    TTCS Agencia Española de Protección de Datos

     

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

     

    Fuente: Lavanguardia

  • La AEPD las sanciona a dos tiendas Xiaomi ya que vulneran la protección de datos en España

    Teknautas lo adelantó el pasado mes de septiembre: dos tiendas Xiaomi de Madrid habían dejado al descubierto datos de sus clientes, incumpliendo la Ley Orgánica de Protección de Datos (LOPD) y el nuevo Reglamento General de Protección de Datos (RGPD, o GDPR, por sus siglas en inglés). El hecho hizo que Facua denunciase a las tiendas ante la Agencia Española de Protección de Datos (AEPD), que acaba de imponerles una sanción.

     

    TTCS Datos descubiertos tienda Xiaomi

     

    Los datos de clientes, a la vista de todos

    La infracción tuvo lugar en la Xiaomi Mi Store Sol (calle Carretas 5, junto a la Puerta del Sol) y en la Mi Store La Vaguada. En los móviles que había en exposición para sus clientes, las tiendas tenían configurada una cuenta de Gmail desde la que, a diario, enviaba la caja y facturación del establecimiento durante la jornada. Además, en los correos también aparecían los datos personales de los empleados de dichas tiendas, así como, en ocasiones, los de algunos clientes que habían comprado.

     En su procedimiento sancionador [PDF], la AEPDse muestra contundente: la compañía Balmore Atlantic, encargada de explotar ambas tiendas, "ha incurrido en infracción de la normativa sobre protección de datos materializado en la existencia de una brecha de seguridad derivada de la defectuosa configuración de una cuenta de correo desde un terminal para uso de gestiones internas de la tienda".
     

    Esta circunstancia incumple el artículo 32 de la GDPR, que determina que "el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo" tales como "la seudonimización y el cifrado de datos personales y la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento".

    Apercibimiento sin multa económica

    Las compañías que incumplen la GDPR a estos niveles se enfrentan a multas de hasta 10 millones de euros o el 2% de su facturación anual (la cifra más alta), pero, en este caso, y al tratarse de la primera vulneración por parte de Balmore Atlantic SL, la AEPD ha sancionado a la compañía con un apercibimiento de conformidad, que no implica multa económica.

    Según señala el organismo oficial, Balmore "contestó al requerimiento de los servicios de inspección de esta agencia". Además, "ha acreditado haber adoptado con una razonable diligencia medidas de carácter técnico y organizativas reforzando la seguridad de los datos y evitar que en el futuro vuelva a producirse una quiebra como la que ha provocado el procedimiento sancionador".

    Entre estas medidas para evitar un nuevo incumplimiento, las dos tiendas desvincularon las cuentas de Gmail de dichos terminales, nombraron un delegado especial de protección de datos e incluso dieron formación a sus empleados para actuar conforme a la normativa.

    Además, "la ausencia de intencionalidad, la ausencia de daños y perjuicios, el comportamiento y las medidas adoptadas por el responsable del tratamiento atenúan más si cabe su culpabilidad en el presente caso". De todos modos, la compañía que explota ambas tiendas ya sabe a lo que se expone: si vuelve a vulnerar la ley, la multa económica será inevitable.

     

    TTCS Datos descubiertos tienda Xiaomi 2

     

    #aepd #agenciaespañoladeprotecciondedatos #datosdescubiertos #protecciondedatos 

    Fuente: Elconfidencial

     
  • La Agencia Española de Protección de Datos (AEPD)  ha recibido 418 notificaciones por brechas de seguridad de organizaciones desde la aplicación del reglamento europeo de protección de datos el 25 de mayo que recoge multas millonarias para las empresas que no custodien la información personal que manejan.

    De esas notificaciones, sólo 11 han pasado a la subdirección de Inspección, por requerir una investigación adicional. 

    Las brechas de seguridad son definidas por el propio reglamento de protección de datos europeo como "violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración de datos personales" que poseen las empresas y que pueden corresponder a sus clientes, proveedores o trabajadores.

     

    El objetivo de esta normativa es garantizar una mayor privacidad al usuario en el actual entorno digital cuya intimidad resulta más vulnerable por el uso de internet y potentes tecnologías que permiten identificar fácil y rápidamente a las personas a partir del análisis en tiempo real de los millones de datos dispersos en la red.

    Las brechas de seguridad pueden producirse por fallos del sistema informático de las organizaciones, por incidentes inesperados o por el robo o extracción de información por parte de cibercriminales e incluso de los propios trabajadores de la empresa con fines de extorsión para beneficio económico u otros.

    Precisamente en las últimas horas se ha hecho público un nuevo caso de quiebra de seguridad, tras conocerse que la cadena hotelera Marriott ha detectado "un acceso no autorizado" a su base de datos de clientes, que contiene información de 500 millones de personas.

    Uno de los casos más polémicos de fuga de datos ha sido el de Cambridge Analytica, por el que la consultora extrajo información personal no sólo de los usuarios de Facebook sino también de sus amigos a causa de un error en la aplicación de la red social y los usó de forma indebida con fines políticos.

     

    Para reforzar la protección de ese tipo de información al menos en Europa, el nuevo reglamento sobre privacidad ha extendido la obligación de notificar por parte de las organizaciones este tipo de incidentes a la autoridad competente que en el caso español es la AEPD.

    Previamente esta exigencia se ceñía exclusivamente a los operadores de servicios de comunicaciones electrónicas y a prestadores de servicios de confianza, y de hecho, en el período del año pasado desde el 25 de mayo hasta el primero de diciembre fueron solo cuatro las notificaciones en España por quiebras de seguridad, según la AEPD.

    La normativa europea exige a las empresas que gestionan información personal comunicar el suceso en un máximo de 72 horas desde que tengan conocimiento del mismo salvo si fuera improbable que la brecha de seguridad supone riesgo para los derechos y libertades de las personas físicas. Además el responsable del tratamiento de datos debe informar asimismo a los afectados con lenguaje claro y sencillo y de forma concisa y transparente en caso de que el incidente entrañe alto riesgo para los derechos y libertades de las personas -por ejemplo en caso de acceso ilícito a datos de usuarios y contraseñas de un servicio. 

    El hecho de notificar una brecha de seguridad no implica el inicio de un procedimiento sancionador para la compañía, ni tiene por qué acabar con una sanción. La decisión dependerá finalmente del nivel de responsabilidad de la organización y de si ésta había adoptado medidas para evitar el incidente bajo el principio de responsabilidad proactiva que incluye el reglamento. 

     

    agencia de proteccion de datos

     

    Fuente: lavanguardia

  • La Agencia Española de Protección de Datos señala a Android por vulnerar la legislación europea

    A vueltas con la privacidad del usuario y, en este caso, Android. La Agencia Española de Protección de Datos (AEPD) señala con el dedo al sistema operativo de Google por infracciones al Reglamento General de Protección de Datos (RGPD) de la Unión Europea. La AEPD ha publicado dos documentos técnicos, dirigidos tanto a usuarios como a desarrolladores, que analizan Android.

    La forma en la que las aplicaciones móviles solicitan permiso para acceder a grabaciones de la pantalla de los dispositivos y el uso de identificadores en Android para la personalización de anuncios estarían vulnerando la legislación europea. El primer informe analiza el control del usuario en la personalización de anuncios que hace Android. Desde la versión Android 7 KitKat, cada terminal cuenta con un identificador único para el envío de anuncios personalizados.

    El SO para móviles de Google ofrece a los usuarios la posibilidad de deshabilitar el identificador de publicidad a través de sus ajustes, lo que Google transmite a las entidades de publicidad, "pero depende de estas respetar o no esta preferencia", alerta la AEPD. Asimismo, deshabilitar el identificador de Android "no impide que el identificador sea enviado por algunas aplicaciones y, por tanto, no evita que se pueda seguir construyendo un perfil basado en los intereses o gustos del usuario", destaca el estudio. Además, señala el organismo, ocurre que al reiniciar los valores de fábrica de un teléfono móvil, Android vuelve a activar por defecto la personalización de anuncios y "el usuario tiene que deshabilitarla de nuevo y no al revés, como debería suceder de acuerdo al principio de privacidad por defecto establecido en el RGPD".

    La AEPD recomienda a los desarrolladores de aplicaciones "tener en cuenta que el envío de datos personales a una tercera parte se considera un tratamiento de datos personales para el que es necesaria una base legal, y como tal, además deben cumplir con todos los principios aplicables a tratamientos de datos que el RGPD establece, entre ellos el principio de minimización de datos", recoge la nota técnica. Aplicaciones que hacen capturas de pantalla sin avisar

    El segundo informe de la Agencia Española de Protección de Datos se refiere a la práctica mediante la cual Android da permiso a las aplicaciones para que capturen la pantalla del dispositivo y lo envíen fuera del mismo, una característica habilitada en el sistema operativo móvil de Google desde 2014 con la versión 5.0 Lollipop. Los investigadores de este organismo han detectado casos de aplicaciones que "solicitan permiso al usuario cuando se produce el acceso a su pantalla sin informarle correctamente, y que éste no puede comprobar si éste está activado ni puede revocar el permiso". 

    La aceptación del usuario para la captura de pantalla "no cumple con las condiciones del consentimiento si previamente no se le ha informado claramente de los propósitos de dicho tratamiento de acuerdo con el artículo 13 del RGPD", alerta la AEPD. Tampoco cumplen con los principios de transparencia las aplicaciones que llevan a cabo la grabación de pantalla sin que el usuario sea consciente de en qué momento se está produciendo, incluso en los casos en que se ha concedido previamente el consentimiento, según AEPD. "Acabamos de recibir los estudios. Estamos revisando su contenido y esperamos poder discutirlo con la AEPD", ha dicho Google en un comunicado.

    TTCS Android AEPD

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #sistemadeseguridad  #ciberseguridad

    Fuente: 20minutos

  •  

    tttcs empresa seguridad y alarmas

    La nueva ley sobre protección de datos dispara las reclamaciones

    La Agencia de Protección de Datos (AEPD) ha recibido un 33 por ciento más de reclamaciones desde que entró en vigor el Reglamento General de Protección de Datos (RGPD) europeo, una subida que asociaciones de usuarios y consumidores valoran positivamente, aunque creen que todavía queda mucho por hacer. Desde el 25 de mayo, que entró en vigor la RGPD, al 3 de septiembre de este año, la AEPD ha recibido 3.740 reclamaciones por uso fraudulento de datos; en el mismo periodo de 2017 solo recibió 2.799.

    El usuario tiene mucho más control sobre sus datos

    La normativa europea otorga mayor control al usuario sobre sus datos: las empresas deben informar sobre su uso, el tiempo que los conservarán, con quién los compartirá y si serán transferidos fuera de la UE, entre otras cuestiones fundamentales.

     “El reglamento ha supuesto un antes y después. Ha cambiado la percepción y el respeto por los datos personales, aunque todavía sigue siendo una asignatura pendiente”, subraya el presidente la Asociación de Internautas, Víctor Domingo.

    Domingo está convencido de que las reclamaciones “aumentarán en el futuro”, la concienciación hasta ahora era precaria: “Partimos de cero. Las denuncias y la preocupación por este tipo de cosas por parte de los usuarios era una anécdota, bastante residual”.

     Explica que, el incremento experimentado por las reclamaciones viene dado por una “mayor conciencia” del usuario, un mayor uso de datos por parte de las empresas y un “positivo efecto llamada” de la exposición mediática de la ley.

     

     

    Las principales reclamaciones que esta asociación de consumidores recibe en relación con un uso fraudulento de datos son relativas a falsa morosidad -consumidores que son incluidos en ficheros de morosos por deudas falsas o infladas-, llamadas o correos no deseados (“spam”) y filtración de datos.

    En lo que va de año, la asociación de consumidores ha interpuesto ante la AEPD tres denuncias contra Facebook y una contra Telefónica.

    servidor facebookFacebook

     

    Más presupuesto, más protección

    La agencia “necesita aumentar su presupuesto”, para que haya más inspectores y su funcionamiento “sea más ágil”, subraya Gómez: “Queda mucho por hacer: la inmensa mayoría de las irregularidades no se detectan”.

    La nueva normativa europea vino a armonizar la legislación entre los Estados miembros y a actualizar una anticuada directiva de la década de 1990, que nació en una Europa sin redes sociales ni teléfonos inteligentes, y con un uso de internet mucho más limitado que los 250 millones de europeos actuales. Este efecto llamada también ocurrió hace una década, cuando se aprobó la Ley Orgánica de Protección de Datos (diciembre 2007). Con esta nueva ley se pasó de 2.520 reclamaciones en 2007 a 4.049 en 2008.

    Además, la agencia está siendo muy activa en las tareas de concienciación y difusión: tanto con entidades públicas y privadas para que conozcan cómo cumplir con la nueva normativa, como con los ciudadanos para que conozcan sus derechos.

    Aunque la mayor parte del reglamento europeo que entró en vigor el 25 de mayo es intocable, la UE dejó margen a los países para adaptar algunas cuestiones. El Congreso español tramita ahora esta transposición del reglamento al ordenamiento jurídico español, que previsiblemente llegará a su fin en otoño -hasta entonces rige un real decreto aprobado en julio- y que ya cuenta con más de 300 enmiendas.

     Fuente: efefuturo

     

  • La Organización de Consumidores y Usuarios (OCU) ha solicitado a la Agencia Española de Protección de Datos (AEPD) que abra un proceso de investigación a Apple por el tratamiento de datos personales de sus aplicaciones con el objetivo de comprobar si cumple con la normativa en vigor.

    Todo ello con el fin de que, en su caso, se le impongan las sanciones correspondientes si se demuestra que alguna de sus aplicaciones ha recopilado y utilizado información de sus usuarios sin su consentimiento.

    Así lo exigió este viernes la OCU tras conocerse que algunas aplicaciones disponibles en App Store han estado utilizando una herramienta que permite registrar los movimientos y datos de los consumidores, incluyendo la captura de las pantallas de sus móviles, "sin el consentimiento de los usuarios", por lo que consideró que la compañía "debería revisar y controlar de manera más eficiente el cumplimiento de la política de privacidad por parte de estas aplicaciones".

    "A pesar de que supuestamente todas las aplicaciones que se publican en la App Store deben seguir la política de privacidad de Apple, ninguna de las aplicaciones indicadas muestra claramente en sus políticas que grabaran la pantalla del usuario, ni contaban con el permiso explícito para hacer este tipo de registro", precisó la organización.

    La OCU considera que Apple "debería revisar de manera más eficiente" el cumplimiento de la política de privacidad por parte de las aplicaciones que forman parte de su App Store, así como "controlar mejor su cumplimiento".

    Para la organización de consumidores, los datos que las compañías utilizan "pertenecen a los consumidores". "Son ellos los que deben tener el control sobre los mismos en todo momento, saber exactamente para qué se usan y obtener una buena parte del valor creado por las compañías que los utilizan", abundó.

    A través de la campaña 'Mis datos son míos', defiende el "papel central" de los consumidores en la economía de datos y reclama que estos reciban una "parte justa" de los beneficios que estos generan para las empresas, "que no solo los utilizan para su propio beneficio, sino para comercializar con terceros", concluyó la OCU.

    TTCS - Agencia Española de Protección de datos

     

    Fuente: Ecodiario

  • La privacidad de Office 365, a debate en Alemania

    Microsoft Office 365 ha sido declarado ilegal en el estado alemán de Hesse por cuestiones relacionadas con la privacidad. La información de estudiantes y maestros que usan la configuración estándar de Microsoft Office 365 podría estar «expuesta» a las agencias de espionaje de Estados Unidos, según ha dictaminado el Comisionado de protección de datos de ese estado alemán.

    El caso que afecta a la suite de productividad en nube de Microsoft (la más popular del mercado en su tipo) es un ejemplo más de las preocupaciones europeas sobre la privacidad de datos y también de la política exterior de la actual administración de Estados Unidos. La decisión de la Oficina de este estado alemán es el resultado de varios años de debate interno sobre si las escuelas alemanas y otras instituciones estatales deberían utilizar el software de Microsoft.

    TTCS Proteccion de datos Office 365

     

    La idea de aumentar la «soberanía digital» está aumentando en Alemania y en toda Europa. Y no solo afecta a Microsoft sino a cualquier tecnológica estadounidense que trabaje en el Viejo Continente. «Tenemos que considerar servicios en nube nacionales y respaldarlos con una financiación realista. La situación política nos está obligando a ello», explicó recientemente un alto funcionario del Ministerio del Interior alemán.

    La polémica sobre la privacidad de Office 365 no es nueva. A finales de 2018, investigadores del regulador oficial holandés publicaron un informe donde identificaron una «recopilación de datos personales a gran escala y encubierta» en las suites ofimáticas de Microsoft, Office 2016 y Office 365 de ProPlus.

    Microsoft recopila datos con fines «funcionales y de seguridad» en todas sus soluciones de software. Sin embargo, el informe aseguran que ocho apartados descubiertos en la telemetría de Microsoft Office (también de Window 10 Enterprise) incumplirían el nuevo reglamento de protección de datos de la UEGDPR, y la propia privacidad de los usuarios.

    #ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos

    Fuente: MuyseguridadMuycomputer

  • Los calendarios de Google filtran información privada y la responsabilidad es de los usuarios

    Si alguna vez has compartido los calendarios de Google debes volver a revisar la configuración de Calendar porque los datos incluidos pueden ser accesibles al público en general, como ha alertado un investigador de seguridad indio de la firma de comercio electrónico, Grofers.

    Es importante aclarar que no existe una vulnerabilidad real en los calendarios de GoogleLo que está en cuestión es la facilidad de cometer un error de privacidad al configurar la aplicación al compartirlo con terceros. El investigador Avinash Jain asegura que la configuración no advierte lo suficiente a los usuarios que compartir un calendario con otras personas a través de un enlace puede exponer ese calendario al público, y también hacer que el enlace esté disponible para ser indexado por el mismo motor de búsqueda de Google. Y cualquier puede encontrarlo con una búsqueda avanzada en Google Search.

    «Pude acceder a calendarios de varias organizaciones que filtraban detalles confidenciales como sus identificadores de correo electrónico, el nombre del evento, los detalles del mismo, la ubicación, enlaces de la reunión, al chat hangout de Google, enlaces a la presentación interna y mucho más», explica el investigador.

    No se puede culpar directamente a Google por los datos expuestos y más cuando la compañía lo advierte específicamente«Hacer público su calendario hará que todos los eventos sean visibles en todo el mundo, incluso a través de la búsqueda de Google. ¿Estás seguro?».  Sin embargo, el investigador aconseja mayor información de lo que puede suceder«Si bien esto es una configuración prevista por el servicio, el problema principal aquí es que cualquiera puede ver un calendario público, agregar cualquier cosa en él, simplemente con una sola consulta de búsqueda sin conocer el enlace del calendario».

    «Los usuarios aparentemente lo ignoran o no entienden las implicaciones de privacidad que conlleva este tipo de configuración», comenta el investigador de seguridad que ha encontrado vulnerabilidades anteriores en plataformas como la NASA, Google, Yahoo! y otras.

    Este no es el mismo caso, pero podría llevar a usuarios y empresas exponer inadvertidamente al público lo que ellos pensaban que era un calendario privado. La cuestión no es nueva. Han surgido problemas similares en torno a la configuración de datos en portales web y sitios de redes sociales como Facebook y otros. El hilo común es que incluso los usuarios de Internet más experimentados pueden pasar por alto fácilmente la configuración de privacidad y dejar involuntariamente expuestos datos privados.

    Te aconsejamos revisar la configuración de Google Calendar y asegurarte si realmente quieres compartir públicamente los calendarios. Si quieres compartir un Calendario con alguien en privado, Google permite a los usuarios invitar a usuarios específicos agregando sus direcciones de correo electrónico en la configuración en lugar de hacerlos accesibles al público.

     

    TTCS Proteccion de datos Calendarios Google

     

    #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro  #ciberseguridad

    Fuente: Muyseguridad

  • Leer nuestras noticias tiene...

    ¡¡PREMIO!!

    Te acabas de llevar10 ENTRADAS para la feria del RAM de 2019. El PRIMERO que nos diga en la publicación de Facebook que las ha encontrado se las lleva!!¡¡CORRE!! 

    ** Solo se permite un premio por persona **

    Se ha detectado una campaña de envío de correos electrónicos fraudulentos de tipo phishing que suplantan a la entidad bancaria ING, con el objetivo de robar las credenciales de acceso de los usuarios que pinchen en el enlace. Para ello, utilizan como excusa que el usuario debe actualizar sus datos personales para poder continuar usando la banca electrónica.

    Personas afectadas

    Todos los usuarios clientes de ING que reciban el correo electrónico, y hagan clic en el enlace y faciliten los datos de acceso a su banca online.

    Solución

    Si has recibido un correo de estas características, accedido al enlace y facilitado tus datos de sesión, así como información personal y bancaria, debes contactar lo antes posible con ING para informarles de lo sucedido.

    Evita ser víctima de fraudes de tipo phishing siguiendo nuestras recomendaciones:

    1. No abras correos de usuarios desconocidos que no hayas solicitado, elimínalos directamente. No contestes en ningún caso a estos correos.
    2. Ten precaución al pinchar en enlaces y descargar ficheros adjuntos de correos, aunque sean de contactos conocidos.
    3. Si no hay certificado, o si no corresponde con el sitio al que accedemos, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.
    4. En caso de duda, consulta directamente con la entidad implicada o con terceros de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI).

    De manera adicional, ten en cuenta SIEMPRE los consejos que facilitan los bancos en su sección de seguridad:

    1. Cierra todas las aplicaciones o programas antes de acceder a la web del banco.
    2. Escribe directamente la URL del banco en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.
    3. Si prefieres hacer uso de la app del banco para los distintos trámites, asegúrate que descargas la aplicación oficial.
    4. No accedas al servicio de banca online desde dispositivos públicos, no confiables o que estén conectados a redes wifi públicas.

    Detalles

    En esta ocasión, los correos electrónicos detectados que suplantan a ING se identifican porque llevan el siguiente asunto: “Verificación de datos personales”. Es posible que se puedan estar utilizando otros asuntos de características similares. El contenido del correo informa al usuario de que es necesario que actualice los datos personales asociados a su cuenta. Para ello, debe hacer clic en «Área de clientes» que le redigirá a una página web:

    TTCS proteccion de datos

     

     

    Si accede al enlace, el usuario será redirigido a una página que suplanta a la web legítima. En dicha página se le pedirá introducir su documento de identificación y su fecha de nacimiento, su clave de seguridad, su telefono móvil, y además que les envíe una foto con la tarjeta de coordenadas de seguridad. Realizados todos los pasos anteriores, al usuario se le redirige a la página web legítima del banco. Llegados a este punto, los ciberdelincuentes ya contarán con todos los datos del usuario para llevar a cabo distintos tipos de acciones delictivas.

    #protecciondedatos #usofraudulentodedatos #datosrobados #ingrobodedatos #phising

    Fuente: Digitaldeleon

  • Mozilla publica parche de emergencia para Firefox 

    Mozilla ha lanzado una alerta en el que insta a los usuarios a instalar un parche de emergencia para Firefox incluido en las nuevas versiones del navegador a partir de las 67.0.3 y ESR 60.7.1.

    La alerta viene motivada por la explotación de una vulnerabilidad 0-Day clasificada bajo el código CVE-2019-11707 y descubierta inicialmente por el equipo de seguridad Project Zero de Google. Es la primera vulnerabilidad de «día cero» detectada desde 2016 en el navegador web de Mozilla.

    El error es lo que se conoce como una «vulnerabilidad de confusión de tipos», que en pocas palabras es un fragmento de código que no verifica el tipo de objeto o recurso y luego utiliza un objeto incompatible que causa el bloqueo del programa.

    En la práctica, se reproduce al manipular objetos de JavaScript debido a problemas con la instrucción Array.pop y permite a un atacante ejecutar código arbitrario y tomar el control del equipo una vez que un usuario de Firefox visite una página web con un código malicioso oculto y especialmente preparado para explotar la vulnerabilidad.

    «Somos conscientes de ataques dirigidos que están explotando este problema», alertan desde Mozilla recomendando la actualización inmediata a Firefox 67.0.3 y Firefox ESR 60.7.1, versiones que han parcheado esta vulnerabilidad crítica.

    Puedes descargar las nuevas versiones desde la página web de Firefox o si ya tiene instalado el navegador asegurarse que se ha actualizado automáticamente o hacerlo manualmente desde el menú de configuración > Ayuda > Acerca de Firefox.

     

    TTCS seguridad en internet - firefox

    #ciberseguridad #protecciondedatos #usofraudulentodedatos

    Fuente: Muyseguridad

  •  

    GDPR en acción: British Airways recibe una sanción récord de más de 200 millones por su brecha de datos

    La Oficina del Comisionado de Información de Reino Unido (ICO, por sus siglas en inglés, la agencia de protección de datos y transparencia) ha comunicado a British Airways, perteneciente al grupo IAG, su intención de multar a la aerolínea con 183,39 millones de libras (204,6 millones de euros) por la sustracción de datos de clientes desde la página web de la aerolínea.

    La propuesta de sanción se produce después de que la compañía de IAG, a la que también pertenece Iberia, sufriera un ataque informático en el verano de 2018 con el robo de datos de clientes, "incluyendo su información financiera" de sus tarjetas de crédito. La compañía informó en un principio que el incidente afectó a 380.000 clientes, que luego rebajó a 244.000 pasajeros. Sin embargo, el ICO eleva ahora a 500.000 el número de potenciales afectados.

    En concreto, los robos de datos afectaron a las reservas realizadas en la página web de la aerolínea entre los días 21 de agosto al 5 de septiembre de 2018, pero los clientes afectados son aquellos que realizaron sus reservas de billetes, utilizando sus tarjetas de crédito, entre el 21 de abril y el 28 de julio de ese año.

    Durante ese periodo, los pagos con tarjeta fueron interceptados y los atacantes pudieron hacerse con nombres, apellidos, direcciones físicas y de correo electrónico, números de tarjetas y sus fechas de expiración y códigos de seguridad, datos suficientes para realizar compras o vaciar cuentas.

    En este sentido, la ICO señaló ayer que en su investigación ha encontrado que una variedad de información se vio comprometida por “la falta de seguridad en la empresa”, incluidos el inicio de sesión, la tarjeta de pago y los datos de reserva de viaje, así como la información del nombre y la dirección.

    “Los datos personales de las personas son solo eso, personales. Cuando una organización no puede protegerla de pérdidas, daños o robos, es más que un inconveniente. Por eso la ley es clara: cuando se le confían datos personales, debe cuidarlos. Aquellos que no lo hagan se enfrentarán al escrutinio de mi oficina para verificar que hayan tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad”, señaló ayer en una nota la directora de la ICO, Elizabeth Denham. No obstante, el organismo admite que British Airways ha cooperado en la investigación y ha hecho mejoras en sus medidas de seguridad desde que se conoció el incidente.

    El presidente y consejero delegado de la aerolínea británica, Alex Cruz, mostró su “sorpresa” y “decepción” por la propuesta de sanción inicial de la ICO. El directivo español destacó que la compañía respondió rápidamente al robo de datos de sus clientes, “sin encontrar evidencia de fraude o actividad fraudulenta en las cuentas relacionadas con la sustracción”.

    Por su parte, el consejero delegado de IAG, Willie Walsh, anunció que British Airways efectuará las alegaciones pertinentes ante el ICO, incluyendo un recurso si se confirma la sanción. “Tenemos la intención de adoptar todas las medidas necesarias para defender vigorosamente la posición de la aerolínea, incluyendo cualquier apelación que considere necesaria”, puntualizó Walsh.

    La multa propuesta por la autoridad británica equivale al 1,5% de los ingresos globales de British Airways en 2017. Se trata de la primera multa desde que entró en vigor, el pasado mes de mayo, la nueva legislación europea sobre protección de datos.

     

    TTCS CIBERSEGURIDAD AEROLINEA BRITISH AIRWAYS

     

    #ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos

    Fuente: Elpais

     

     

  • Multa de 5,29 millones de euros contra España por no cumplir la directiva de protección de datos

    La Comisión Europea ha propuesto este jueves al Tribunal de Justicia de la Unión Europea (TJUE) que imponga una multa de 5,29 millones de euros contra España por no incorporar a su ordenamiento jurídico una directiva europea de protección de datos.

    La norma debería haberse incluido en la legislación nacional en mayo de 2018 por lo que nuestro país lleva más de un año de retraso. Y la multa puede ser aún más grande ya que la CE pide, además, una multa de 89.548,2 euros por cada día de retraso que acumule España después del día en el que el TJUE dicte sentencia.

    Cuando el Consejo y el Parlamento Europeo llegaron a un acuerdo sobre la directiva, cerraron el 6 de mayo de 2018 como el último día para incorporar la nueva norma a la legislación nacional. España, que es un alumno aventajado de la UE en lo que a retrasos se refiere, vio cómo se abría expediente contra ella en julio de 2018, pero desde entonces no ha cumplido con los plazos.

    España no está sola en este trance. La Comisión Europea también ha propuesto una multa, significativamente menor por el tamaño del Estado miembro, a Grecia, que es el otro país europeo que ha incumplido la transposición.

     

    TTCS proteccion de datos españa UE

     

    Fuente: Elconfidencial

  • Una compañía de ciberseguridad descubrió tres vulnerabilidades en el registro de cuentas del videojuego Fortnite,que dejaron expuestos los datos personales y de tarjetas de crédito de los jugadores.

    A través de estos fallos los ciberatacantes podían tomar el control de las cuentas de usuarios del juego, con la posibilidad de hacer compras de objetos con la moneda virtual V-Buck.

    Según informó la empresa Check Point, este problema también afecta a la privacidad, ya que el ciberdelincuente podría escuchar las conversaciones dentro de Fortnite accediendo al sonido grabado por el micrófono de los usuarios durante el juego, así como a la información personal almacenada en las cuentas. Estas nuevas vulnerabilidades podrían haber sido explotadas sin que el jugador introduzca ningún dato de acceso. Para ello, se aprovecha la infraestructura web de Epic Games y el sistema de autenticación basado en 'tokens'.

    Una vez que se hace click, el 'token' de autenticación de Fortnite del usuario puede ser capturado sin que su dueño tenga que introducir ninguna credencial. La vulnerabilidad se originó por los defectos encontrados en dos de los subdominios de Epic Games que eran susceptibles a una redirección maliciosa. La compañía de ciberseguridad le informó a Epic Games, la desarrolladora de Fortnite, acerca de las vulnerabilidades de su videojuego, que suma cerca de 80 millones de jugadores a nivel global. Según la propia Check Point, la empresa que encontró el fallo, el problema ya fue solucionado.

    FORNITE DATOS DESCUBIERTOS

     

    Fuente: Tn.com

  • No es fácil mantener nuestro anonimato en Internet. Desde el momento en el que encendemos el ordenador, sistemas operativos como Windows 10, nos identifican, cuentan al mundo desde donde nos conectamos e incluso, las actividades que llevamos a cabo. Y aunque para muchas personas esto no es necesariamente un problema, para otros, proteger su identidad en Internet puede ser vital en su vida diaria (activistas, disidentes políticos, etc.) o profesional (periodistas, determinados cargos políticos, etc.)

    ¿Pero cómo podemos mantenernos ocultos en Internet? Si preguntásemos a los expertos, probablemente nos recomendarían contar con dos perfiles. Uno “público” con el que actuar con total normalidad, y otro “oculto” destinado a proteger nuestra identidad en determinados escenarios. Separar ambos perfiles nos ayuda por un lado, a mimimizar el riesgo de que ambos se solapen en algún momento y por otro, nos facilita crear un mindset propio para nuestras actividades anónimas.

    Dicho lo anterior, dar los primeros pasos en este mundo no es tan complicado como podría parecer. En MuySeguridad hemos establecido tres niveles (principiante, intermedio y paranoico) que no miden tanto la dificultad del méotodo, como la importancia que le damos a nuestra privacidad en la Red.

    Nivel Principiante: Navega utilizando TOR

    Aunque no es infalible, desde luego TOR es una gran forma de proteger nuestra identidad en Internet. Y aunque podemos instalarlo en cualquier equipo, para nuestro propósito (ese “mindset” del que hablábamos antes) lo más interesante es instalarlo en una llave USB.

    Basado en Firefox, el navegador de Internet TOR (The Onion Router) enruta nuestra conexión a Internet a través de múltiples nodos, de modo que cuando finalmente nos conectamos a la Red, nuestra se oculta la IP real a través de la que nos estamos conectando.

    El uso básico de TOR es tan sencillo como usar cualquier otro navegador web. Para configuraciones más avanzadas y descubrir qué otras cosas podemos hacer.

    Nivel intermedio: Utiliza Tails

    Si TOR te ha sabido a poco, o si lo que quieres es que anonimizar algo más que tu navegador web, puedes darle una oportunidad a Tails (The Amnesic Incognito Live System), una distibución Linux que pone el foco en el respeto por la privacidad de sus usuarios.

    Como en el caso de TOR, Tails puede ser instalado en una llave USB,  aunque también podemos utilizar un disco duro externo. En ambos casos, contaremos con la ventaja de no dejar rastro en ninguno de los equipos en los que la utilicemos.

    Además de utilizar los nodos de la red TOR para cualquier conexión a Internet, este desarrollo basado en Debian, encripta por defecto nuestros archivos, emails, comunicaciones de mensajería instantánea, etc. y nos promete que borra los archivos que no deseemos de forma completamente segura.

    Nivel paranoico: Utiliza un equipo dedicado…y algo más

    Pero si realmente crees que mantenerte anónimo va a formar parte de tu actividad habitual, lo más interesante es que te hagas con un equipo dedicado. Ojo, no cualquier equipo. En primer lugar te interesa un equipo con el que no te puedan conectar. Así que nada de comprarlo en Internet o utilizando una tarjeta de crédito. Limítate a dinero en efectivo y aún más, al mercado de segunda mano.

    Por supuesto, olvídate de Windows. Servicios como Cortana, OneDrive y muchos de los que incluye Microsoft van a revelar quién eres en menos que canta un gallo. Linux (en cualquiera de sus variantes) será una vez más, nuestro mejor aliado.

    A la hora de utilizar este equipo, olvídate por completo de usar ninguno de los servicios on- line que utilizas en tu vida pública. Nada de Gmail, redes sociales, o cualquier otra aplicación en Internet que pueda dar datos sobre tu verdadera identidad. Y, por supuesto, no te olvides de tapar tu webcam. Nunca se sabe quién hay al otro lado.

     

    TTCS  seguridad

     

    #leyorganicadeprotecciondedatos #privacidadeninternet #usofraudulentodedatos #protegeteeninternet

    Fuente: Muyseguridad

     

     

  • Twitter afirma que podría haber usado datos de usuarios para anuncios sin su permiso

     

    La red social Twitter ha informado este martes de que podría haber utilizado datos para anuncios personalizados sin el permiso de sus usuarios debido a problemas con la configuración de la página web. La compañía ha señalado que ha descubierto esos problemas recientemente y que han sido solucionados este lunes, aunque no ha detallado quién podría haberse visto afectado.

    Los datos del consumidor son una fuerte herramienta que las empresas usan para decidir dónde colocar sus anuncios, qué contenido mostrar y qué consumidores podrían estar interesados en el producto. Las grandes empresas tecnológicas han estado bajo el escrutinio de los reguladores de todo el mundo sobre sus prácticas de intercambio de datos. Los datos que Twitter ha afirmado que podría haber utilizado incluyen el código de país, los detalles de su compromiso con un anuncio en particular y las inferencias hechas sobre los dispositivos que usan. La empresa se ha disculpado a través de su página web y ha prometido tomar medidas para no repetir el «error».

     

    TTCS Twitter datoss

     

    #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

    Fuente: Ultimahora

  • Uber, en el punto de mira de la Agencia Española de Protección de Datos

    Tras las denuncias presentadas en los últimos meses por FACUA-Consumidores en Acción contra Uber ante distintos organismos, la Agencia Española de Protección de Datos (AEPD) ha apreciado la existencia de «indicios racionales de una posible vulneración del artículo 7 del RGPD (Reglamento General de Protección de Datos)«.

    La AEPD ha dado traslado del caso a la autoridad de control de Países Bajos, donde Uber tiene su sede en la Unión Europea. «Corresponde a la autoridad de protección de datos de ese Estado asumir la tramitación de esta reclamación, según lo previsto en el artículo 56 del RGPD», señala la Agencia en el acuerdo que ha remitido a FACUA.

    Una de las cláusulas contractuales de Uber impone a los usuarios la recepción de «mensajes de texto informativos (SMS) como parte de la actividad comercial normal de su uso de los servicios». FACUA reclamó a Uber la modificación de la cláusula y advirtió de que su redacción no es clara, ya que no permite comprender si se refiere meramente a SMS informativos sobre el desarrollo de la ejecución del servicio de transporte que haya solicitado un usuario, a mensajes de texto con contenido publicitario o a ambos.

    El pasado febrero, FACUA planteó una reclamación a Uber para pedirle que corrigiera ésta y otras prácticas que considera contrarias a la legislación. La compañía eludió hacerlo, por lo que la asociación interpuso una batería de denuncias contra la multinacional ante las autoridades de protección al consumidor de varias comunidades autónomas. Una de ellas, la andaluza, dio traslado a la AEPD de los hechos relacionados con la normativa en materia de protección de datos.

    SMS y correos comerciales

    Hasta la fecha, Uber no ha aclarado a FACUA cuál es el significado que pretende darle a la cláusula de su contrato en la que impone la recepción de SMS. Además, la compañía también envía a los usuarios mensajes de correo electrónicos comerciales a los que no alude en ninguna cláusula de su contrato, irregularidad que la asociación ha trasladado también a la AEPD.

    FACUA advierte de que a día de hoy, Uber sigue sin modificar la cláusula contractual objeto de la controversia pese a que la solución a la irregularidad es tan simple como incorporar una casilla en la configuración del funcionamiento de su APP que el usuario debería marcar si acepta la recepción de mensajes de texto o correos electrónicos comerciales.

    Qué dice la normativa

    El artículo 6 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales establece en su apartado tercero que «no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la redacción contractual».

    Por otro lado, el artículo 7 del Reglamento General de Protección de Datos indica en su apartado segundo que «si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo». En el caso de Uber, en el contrato no hay una solicitud de consentimiento que permita al usuario aceptarla o rechazarla, sino que se impone a lo largo del clausulado y debe ser el afectado el que, posteriormente, envíe un correo electrónico para manifestar que quiere revocarla.

     

    TTCS UBER proteccion de datos AEPD

     

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

    Fuente: Diario16Uber

     
  • Una investigación dirigida por científicos españoles ha revelado que los móviles Android (de Google) monitorizan al usuario sin que él lo sepa y acceden a sus datos personales de forma masiva a través de un gran número de aplicaciones preinstaladas que apenas pueden retirarse del terminal.

    Las conclusiones de la investigación realizada por el Instituto IMDEA Networks con sede en Leganes y la Universidad Carlos III de Madrid se recogen en el artículo “An Analysis of Pre-installed Android Software”, que difunde hoy la Agencia Española de Protección de Datos (AEPD) debido al “impacto masivo” de sus resultados sobre la privacidad y la protección de los datos personales de los ciudadanos, explica la entidad en una nota.

    De hecho, la AEPD presentará este estudio y sus conclusiones en los subgrupos de trabajo del Comité Europeo de Protección de Datos (CEPD), organismo de la Unión Europea del que forma parte la entidad junto a otras autoridades europeas de protección de datos y el supervisor europeo. La investigación incluye más de 82.000 aplicaciones preinstaladas en más de 1.700 dispositivos con sistema operativo Android fabricados por 214 marcas.


    Prácticamente en todos los fabricantes se ha detectado algún tipo de software preinstalado que utiliza acceso privilegiado sin conocimiento del usuario a recursos del sistema para la obtención de datos personales, según sus responsables.

    La conclusión es que existe un complejo sistema de desarrolladores y acuerdos comerciales con aplicaciones preinstaladas que disponen de permisos que no se corresponden con los originarios de Android para dar acceso a sus servicios sin posibilidad de que un usuario medio pueda desinstalarlas.

     

    Falta transparencia


    El problema es que “no hay transparencia” en torno a la actividad de esas aplicaciones que el usuario no tiene capacidad para desinstalar y que vienen predeterminadas con el terminal, ha explicado uno de los autores de la investigación, Narseo Vallina-Rodríguez, de IMDEA Networks.

    En ocasiones, puede que este haya dado el consentimiento para el acceso a un servicio pero en otros, puede ser totalmente inconsciente de qué está pasando con su información personal, añade el experto.

    Según el estudio, el modelo de permisos para el acceso a las aplicaciones preinstaladas en Android que son distintos a los que incluye por defecto el sistema operativo de Google, permite monitorizar y obtener información personal a nivel operativo sin conocimiento del afectado, por parte de “un gran número de actores”.

    Entre estos hay multitud de compañías que van desde fabricantes, hasta operadores, redes sociales, empresas multimedia, de videojuegos, de antivirus, y un sinfin más, que podrían obtener directamente beneficios por el acceso a esos datos de los usuarios para alguna actividad comercial o venderlos a otros agentes a cambio de dinero.

    De hecho, el informe pretendía revelar acuerdos comerciales entre vendedores de dispositivos Android y terceros, incluyendo organizaciones especializadas en la monitorización y rastreo de usuarios y en proporcionar publicidad en internet, así como detectar y analizar vulnerabilidades y otras prácticas opacas y analizar la transparencia en la información proporcionada al usuario.

    Se han identificado más de 1.200 compañías relacionadas con las aplicaciones preinstaladas, y más de 11.000 librerías (software incluido en las apps para proporcionar servicios añadidos) de las cuales muchas están relacionadas con actividades de publicidad y monitorización “on line” con fines comerciales.

    Un análisis exhaustivo del comportamiento del 50 % de las aplicaciones identificadas revela que una fracción importante de las mismas presenta comportamientos potencialmente maliciosos o no deseados, como muestras de malware, troyanos genéricos o software preinstalado que facilitaría prácticas fraudulentas. 

     

    TTCS proteccion de datos

     

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos 

     

    Fuente: Efefuturo