Esta web utiliza cookies, puedes ver nuestra la política de cookies aquí. Si continuas navegando estás aceptándola.

  •  

    LaLiga impugnará judicialmente sanción 250.000€ Agencia Protección de Datos

     

    LaLiga impugnará judicialmente la sanción de 250.000 euros que la ha impuesto la Agencia Española de Protección de Datos (AEPD) por una supuesta infracción del principio de transparencia a la hora de informar en la aplicación oficial sobre el uso de la funcionalidad del micrófono en el momento de su activación.

    En un comunicado, LaLiga afirmó que "discrepa profundamente de esta decisión, rechaza la sanción impuesta por injusta, y considera que la AEPD no ha realizado el esfuerzo necesario para entender cómo funciona la tecnología", empleada para detectar emisiones fraudulentas de partidos de fútbol.

    "LaLiga impugnará judicialmente la resolución para demostrar que su actuación ha sido en todo momento conforme a derecho y responsable" y que ha cumplido en todo momento el Reglamento General de Protección de Datos y la Ley Orgánica sobre esta materia.

    La patronal recordó que "la funcionalidad del micrófono esté activa el usuario tiene que otorgar expresa, proactivamente y en dos ocasiones su consentimiento, para lo cual es debida y detalladamente informado", por lo que "no se puede atribuir a LaLiga falta de transparencia o información sobre esta funcionalidad".

    "El funcionamiento de la tecnología ha sido avalado por un informe pericial independiente, que entre otros argumentos favorables a la posición de LaLiga, concluye que esta tecnología no permite que LaLiga pueda conocer el contenido de ninguna conversación ni identificar a sus potenciales hablantes", señaló.

    También destacó que "este mecanismo de control del fraude "no almacena la información captada del micrófono del móvil y la información captada por el micrófono del móvil es sometida en el mismo a un complejo proceso de transformación cuyo resultado es irreversible".

    "Toda esta tecnología se implementó para alcanzar un fin legítimo, que es cumplir con la obligación de LaLiga de velar por la preservación de las condiciones de comercialización y explotación de los derechos audiovisuales. LaLiga no estaría actuando diligentemente si no pusiera todos los medios y tecnologías a su alcance para luchar contra la piratería", insistió.

    Para LaLiga se trata de "una tarea especialmente relevante teniendo en cuenta la enorme magnitud del fraude al sistema de comercialización, que se estima en unos 400 millones de euros anuales aproximadamente".

     

    sancion aepd

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos

    Fuente: Espanol.eurosport

  • Leer nuestras noticias tiene...

    ¡¡PREMIO!!

    Te acabas de llevar10 ENTRADAS para la feria del RAM de 2019. El PRIMERO que nos diga en la publicación de Facebook que las ha encontrado se las lleva!!¡¡CORRE!! 

    ** Solo se permite un premio por persona **

    Hoy en día, la mayoría de los centros educativos tienenpresencia en Internet, y es habitual ver quecomparten en redes sociales fotos y vídeos de sus alumnos, así como que publiquan en su blog o página web las actividades educativas que se llevan a cabo. En la Línea de Ayuda en Ciberseguridad deINCIBE (a través de Internet Segura for Kids, su canal para menores) son frecuentes las consultas por parte de educadores y padres en relación a la toma y uso de fotografías en los colegios. Por eso, en este artículo aportamos información básica para salir de dudas.

    Uso de fotos por el centro educativo

    Los centros educativos están legitimados para realizar el tratamiento de datos personales necesarios para la función docente, como puede ser contar con una fotografía para el expediente académico. Sin embargo, para las instantánes hechas con fines complementarios a la función educativa, como una actividad en el aula o una excursión, es necesario contar con la autorización de los padres, excepto en situaciones donde prime el interés superior del menor.

    Las imágenes, la voz o un vídeo que permitan la identificación inequívoca de una persona también se entienden como datos personales. En el caso de los menores hasta 14 años, es necesario contar con el consentimiento paterno para tratar estos datos. Por eso, lo adecuado es informar a los padres o tutores de la posibilidad de que se tomen fotografías de sus hijos, así como especificar su finalidad y periodo de validez: si se subirán a la web del centro, si se emplearán en documentos que se pueden hacer públicos, si se compartirán en redes sociales o si estas estarán abiertas o restringidas.

    Una opción recomendable es utilizar distintas autorizaciones según el uso que se les vaya a dar. Para facilitar esta tarea, los centros educativos pueden apoyarse en los distintos modelos de consentimiento sobre datos personales que desde Internet Segura for Kids del Instituto Nacional de Ciberseguridad (INCIBE) han creado.

    Tratamiento y gestión de fotos desde el centro educativo

    El propio centro educativo decidirá cómo gestionar este tipo de información personal de la manera más apropiada, en función de sus necesidades, siempre y cuando cumpla con el actual Reglamento General de Protección de Datos (RGPD).

    Lo adecuado es valorar las opciones antes de tomar la decisión, pues en muchas ocasiones se publican en redes sociales con el único fin de compartirlas con las familias. Ante esta situación, se podría proponer la alternativa de almacenarlas en un servidor de archivos con una gestión adecuada de usuarios y sus privilegios, para evitar la difusión pública de las imágenes. Eso sí, se debe prestar especial atención a la forma de guardar estas fotos con seguridad, teniendo en cuenta dónde las almacenamos y cómo (lo idóneo sería cifradas). Se trata de evitar tanto su pérdida accidental, como el que alguien las pueda ver sin permiso.

    También es importante que el personal del centro docente aplique buenas prácticas como: conocer las políticas sobre protección de datos; dominar la política de protección de datos de las aplicaciones informáticas que se usan en el colegio; planificar qué hacer si sucede una pérdida, daño o tratamiento ilícito de esos datos; y disponer de los consentimientos necesarios en caso de ceder datos personales a empresas a las que se contraten servicios o con las que se colabore.

    ¿Qué ocurre cuando son los padres quienes realizan las fotos?

    En algunas ocasiones, cuando se celebran fiestas organizadas por el propio centro, como en fin de curso, las actividades, los festivales u otros eventos, las familias acuden al colegio y es común que realicen fotos o vídeos de sus hijos. El problema puede surgir cuando en ellas aparecen también otros niños. Y es que, aunque se quiera hacer un uso doméstico de ellas y no compartirlas en Internet, se debería disponer del consentimiento del resto de padres implicados si sus hijos también aparecen en ellas.

    El responsable sería la persona que capta o difunde las imágenes, por lo que si las hace un padre, no sería responsable el centro educativo. No obstante, siempre es conveniente que el colegio actúe de intermediario y defina estos aspectos trasladando a las familias buenas prácticas a seguir. Para ello puede informar con un criterio claro sobre si se permite o no la toma de fotografías y vídeos en este tipo de actos a través de una circular. Y un buen momento para hacerlo puede ser en la misma nota informativa donde se convoca a los padres a la celebración, aprovechando además la ocasión para invitarles a reflexionar sobre un uso responsable de la imagen de sus hijos.

    En resumen...

    Compartir públicamente fotografías en las que aparezcan menores puede originar situaciones como el grooming, por lo que es importante cuidar los datos personales y valorar las consecuencias de compartirlas, ya que pueden afectar a la privacidad y reputación. Además, hay que considerar que cualquier grupo de datos que por separado no permitan la identificación de una persona, pero sí en su conjunto, son considerados dentro del ámbito jurisdiccional de los datos personales y no pueden ser tratados por terceros libremente sin consentimiento. Por lo tanto, se debe tener en cuenta que:

    • Proteger la privacidad de los menores no es un capricho. Los padres o tutores están en su derecho de querer proteger la privacidad de su hijo, por lo que se debe respetar la decisión de oponerse a que el centro escolar publique contenido del menor.
    • Buscar alternativas para que nadie sea excluido. En los casos en los que no se cuente con la autorización de los padres para que la imagen de su hijo se comparta en Internet, se puede optar por pixelar, difuminar u ocultar los rostros de esos niños en las fotos. En ningún caso, se debe excluir de actividades a los menores que no tengan dicho consentimiento, ya que siempre debe prevalecer el "interés superior del menor" y este principio también incluye la ecuanimidad dentro de sus necesidades educativas.
    • Facilitar distintos modelos de consentimiento según la finalidad de uso de las fotos. Además, es importante tener en cuenta que la autorización concedida por los padres está sujeta al derecho de rectificación y oposición.
    • Valorar los pros y contras de hacer públicas esas imágenes desde el centro educativo. Dependiendo de la finalidad que se busque con la compartición de fotos y vídeos, una alternativa es la de crear una intranet a la que solo puedan acceder los familiares con un usuario y contraseña. Una vez que se comparte algo a través de Internet (Facebook, Instagram, página web, etc.), escapa de nuestro control pudiendo llegar a personas que no deseamos.
    • Fijar unas normas claras en cuanto a la realización de fotografías en el recinto escolar. Además, es recomendable informar a las familias de aspectos como la responsabilidad del autor si se incumplen las normas fijadas; por ejemplo, ante situaciones como captar imágenes desde el exterior del recinto en el momento que los menores disfrutan del recreo.
    • ¡Cumplir con el RGPD desde el centro educativo! Un recurso útil para ello puede ser apoyarse en la' Guía para centros educativos' de la Agencia Española de Protección de Datos (AEPD).

    ¿Eres partidario de las fotos en el cole? ¿Sabes cómo las gestionan en el centro educativo de tu hijo? Recuerda que si continuas con dudas, puedes consultar de manera gratuita y confidencial a la Línea de Ayuda gratuita en Ciberseguridad de INCIBE: 900 116 117.

    TTCS protección de datos niños

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

    Fuente: Diariocolmenar

  •  

    Leer nuestras noticias tiene...

    ¡¡PREMIO!!

    Te acabas de llevar10 ENTRADAS para la feria del RAM de 2019. El PRIMERO que nos diga en la publicación de Facebook que las ha encontrado se las lleva!!¡¡CORRE!! 

    ** Solo se permite un premio por persona **


    Las tarjetas bancarias, ya sea de crédito o débito, son cada vez más utilizadas en nuestros días. Es una forma de pago muy cómodo, seguro y que podemos utilizar cada vez en más lugares. En los últimos años se han popularizado especialmente las tarjetas contactless. En España podemos decir que roza el 100% hoy en día. Sin embargo la seguridad es una cuestión muy importante para los usuarios. En este artículo vamos a explicar cómo funcionan las tarjetas contactless y hasta qué punto son seguras. También vamos a dar algunos consejos para evitar problemas. Ya explicamos cómo pagar con seguridad con tarjeta por Internet.

    TTCS seguridad pagar contactless 2

     

    Cómo funciona una tarjeta contactless

    La forma en la que funciona una tarjeta contactless es muy sencilla. Básicamente consiste en acercar el plástico (o metal, ya que últimamente están apareciendo este tipo de tarjetas) al terminal compatible. De esta forma se genera una conexión entre ambos y podemos realizar el pago.

    Ahora bien, ¿cómo es esto posible? Para ello hay que saber que utilizan NFC. Es la misma tecnología que está presente en muchos teléfonos móviles. Es un medio de transmisión inalámbrica que sirve para identificarnos o realizar pagos, principalmente. En el caso de las tarjetas es justo esto lo necesario.

    Las tarjetas en su interior tienen una pequeña antena NFC. Es algo que no podemos apreciar a simple vista, ya que es muy fina y se encuentra dentro. Esta antena es la que permite conectarse a un TPV para realizar el pago. Un proceso que tarda menos de 1 segundo. No hay que confundir esto con el chip visible que tenemos en la tarjeta (EMV).

    Teóricamente la tecnología NFC puede funcionar a una distancia máxima de entre 10 y 20 centímetros. Sin embargo en la práctica lo normal es que no funcione más allá de los 4 o 5 centímetros. Es esta la distancia a la que tendremos que poner, como máximo, nuestra tarjeta contactless.

    ¿Pueden robarnos con una tarjeta contactless?

    Ahora bien, algo que preocupa a muchos usuarios es el tema de la seguridad. Como sabemos, con una tarjeta contactless podemos pagar sin introducir el PIN. Eso sí, la cantidad máxima suele ser de 20 euros en España. La mayoría de bancos permiten modificar esta cantidad e incluso algunos bloquean temporalmente la tarjeta si hemos realizado muchos pagos sin introducir el PIN en un mismo día.

    Una de las dudas que más preocupa a los usuarios es qué pasaría si pasamos cerca de un TPV y realizamos un pago que no queremos. Incluso si alguien va con un dispositivo por la calle, en lugares muy concurridos, se acerca a nosotros y nos cobra. La realidad es que este proceso es muy complicado. Hay que tener en cuenta que solo se puede cobrar a través de TPV verificados, con un registro previo. En caso de cualquier fraude, siempre podríamos denunciarlo.

    Pero claro, lo cierto es que el riesgo existe. Está claro que es una opción muy remota, pero podrían robarnos hasta el máximo que tengamos configurado en nuestra tarjeta. Esto es algo que podría ser un problema si viajamos a otro país donde todo esto esté menos controlado.

    TTCS seguridad pagar contactless

     

    Consejos de seguridad para nuestras tarjetas contactless

    En nuestra mano tenemos algunas acciones que pueden mejorar la seguridad de nuestras tarjetas contactless. Una de ellas es la de reducir el límite máximo para pagar con este método, si así lo queremos. De esta forma nos pedirían el PIN cuando vayamos a pagar.

    ambién podemos hacer uso de fundas con protección RFID. De esta forma incluso aunque la pongamos pegada al lector TPV no funcionaría. Es una manera muy interesante de proteger la tarjeta.

    Otra cosa que podemos hacer es apagar la tarjeta cuando no vayamos a usarla. Es algo que muchos bancos ofrecen directamente desde la aplicación del móvil. Simplemente con pulsar el botón esa tarjeta estará encendida o apagada. Muy útil si vamos a ir de viaje y llevamos una tarjeta de reserva en la mochila y no queremos ningún tipo de problemas.

     

    Fuente: Redeszone

  • Amazon fue objetivo de un ciberataque de phishing

     

    Amazon ha revelado que fue el objetivo de un ataque de phishing que afectó a las cuentas de los vendedores con los que trabaja. Los cibercriminales podrían haberse hecho con miles de dólares suplantando la identidad de la compañía.

    Según ha desvelado Bloomberg, que ha tenido acceso a la presentación ante el consejo regulador de Reino Unido en la que Amazon reconoció haber sido objetivo de este fraude, los hackers accedieron a las cuenta de los vendedores con los que trabaja y sustrajeron importantes cantidades de dinero.

    Este fraude se produjo durante un período de seis meses, empezando en mayo de 2018 y aprovechando la práctica de Amazon de otorgar préstamos a sus vendedores externos en los mercados en los que opera.

    Los hackers accedieron a estas cuentas y cambiaron los detalles de pago mediante correos en los que suplantaban la identidad de Amazon para cambiar detalles de los pagos y desviarlos a sus propias cuentas bancarias. Un dinero que estaba destinado para utilizarse para cubrir costes de inicio y negocios pero que se desvió y que podría sumar cientos de miles de dólares.

    Se trata de una práctica muy común en Amazon en los mercados en los que opera, prestando a sus vendedores externos. De hecho, hace unos días desvelaba en su informe anual de pymes que el pasado 2018 otorgó más de 1.000 millones de dólares en préstamos a sus vendedores y socios externos.

    Por el momento, Amazon se ha negado a hacer declaraciones relacionadas con este tema. No obstante, un portavoz de la compañía sí ha manifestado que cualquier vendedor que considere que puede haber recibido un correo electrónico malicioso suplantando la identidad de Amazon debe enviar debe enviar un mensaje a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. para poner en conocimiento de la firma esta problemática y solventarla.

    amazon pishing

     

    #ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos

    Fuente: Muycanal

  • Canva víctima de un hackeo: más de 139 millones de cuentas han sido vulneradas

    La aplicación que brinda un servicio de diseño gráfico en línea para cualquier usuario, Canva, ha sido víctima de un hackeo. Según información de ZDNet, la firma australiana sufrió un ciberataque en el que quedaron expuestos los datos de alrededor de 139 millones de usuarios.

    Un hacker que lleva el sobrenombre de GnosticPlayers ingresó al servidor de Canva y extrajo información como nombres de usuario y correos electrónicos. La base de datos también contaban con 61 millones de contraseñas, aunque estas estaban cifradas a través de la función de hashing, bcrypt.

    En algunas situaciones también se tuvo el nombre real y ubicación (ciudad y país) de los usuarios, en otros, también se consiguió el token de Google. GnosticPlayers señaló a ZDNet que 78 millones de cuentas usaban su dirección de Gmail para firmarse en el servicio.

     

    canva hackeo

     

    Los datos de administradores e integrantes del staff de Canva no quedaron salvados del hackeo y también fueron vulnerados. Según con ZDNet, Canva ha hecho la confirmación de que fueron víctimas del ciberataque, pero negó que los accesos de los usuarios hayan sido comprometidos debido a que las contraseñas están cifradas por los más altos estándares de seguridad.

    Esta no es la primera ocasión que GnosticPlayers se ve relacionado a un ciberataque, pues antes se registró que había robado poco más de 737 millones de datos de usuario de 24 sitios diversos. El hacker solicitaba $20.000 en bitcoin al mejor postor, a cambio de la información que podría comprarse en la dark web.

    Canva indica que se pondrá en contacto con los usuarios perjudicados por el hackeo. Según con GnosticPlayers, la base de datos obtenida tiene información hasta el 17 de mayo. Canva se percató que su servidor había sido vulnerado y fue cerrado el acceso.

     

    #ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos

    Fuente: Laverdadnoticias

  • Correos, entre las páginas afectadas por el ciberataque a Priceel

     

    Priceel, una herramienta de marketing que permite a las empresas crear formularios y encuestas de forma sencilla, ha sufrido esta semana un serio ciberataque que ha dejado expuesta información personal de más de 1.200 webs en todo el mundo. En España, la principal página afectada ha sido la de Correos.

    Según ha alertado el experto en ciberseguridad Willem de Groot, de la compañía Sanguine Security, el ataque se produjo el pasado sábado y afectó directamente a su cadena de suministro, de modo que el ataque se propagó a otros servicios a través de sus proveedores de software externos. Además de la página española de Correos, otros sitios afectados han sido las webs de las revistas Forbes o Discover, entre otras.

    A raíz del ciberataque a Picreel, según el experto, las páginas web afectadas han expuesto desde entonces información de sus usuarios, entre la que se encuentran contraseñas y datos de pagos, que se está filtrando a un servidor externo localizado en Panamá.

    Asimismo, el mismo tipo de malware malicioso utilizado por los cibercriminales se ha empleado también para llevar a cabo otro ataque a la cadena de suministro mediante Cloud CMS, un servicio de gestión de contenidos presente en más de 3.400 páginas web de todo el mundo.

    De Groot, que ha publicado en GitHub una versión del malware que utilizaron los ciberdelincuentes decodificada, ha asegurado este lunes que tanto Picreel como Cloud CMS han eliminado ya el malware presente en sus herramientas web.

     

    TTCS Ataque cibernético correos

     

    #ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos

    Fuente: muyseguridad

  • Leer nuestras noticias tiene...

    ¡¡PREMIO!!

    Te acabas de llevar10 ENTRADAS para la feria del RAM de 2019. El PRIMERO que nos diga en la publicación de Facebook que las ha encontrado se las lleva!!¡¡CORRE!! 

    ** Solo se permite un premio por persona **


    Es muy probable que en estos últimos días hayas oído hablar sobre el “timo de la multa del radar”. Si no sabes muy bien que es, debes estar atento porque todos los conductores estamos expuestos a esta nueva estafa. Coincidiendo con el aumento de los controles de velocidad que la DGT está llevando a cabo esta semana, los delincuentes envían mediante correo electrónico una supuesta multa por exceso de velocidad.

    La Guardia Civil ha informado por redes sociales de esta nueva estafa: “El ‘timo de la multa del radar” consiste en el envío de un correo electrónico con un supuesto boletín de denuncia y un enlace para descargar la fotografía. Si pinchas en este enlace se instalará en tu pc un programa que robará tus contraseñas y datos bancarios. Ojo al _“Phishing”.

    En un primer momento puede parecer real: la DGT aparece como remitente, la multa tiene todos los datos del infractor, y receptor del email, e incluye la foto tomada por el radar en el momento de la supuesta infracción. El problema está precisamente en la foto, a la que podremos acceder tras pinchar en un enlace que, aunque no lo sepamos, es malicioso. Tras hacer click en este, se descargará un archivo que permitirá a los estafadores acceder a todas nuestras contraseñas y claves, incluidas las que utilizamos para pagar con tarjeta y las de la cuenta bancaria.

    Lo primero que tenemos que saber es que la DGT no envía las multas por correo eléctronico, sino que utiliza el correo certificado para notificar las infracciones. Se trata, por tanto de un nuevo caso de phising cuyo objetivo es robar todos tus datos. Si recibes un correo electrónico de este tipo, no pinches y bórralo cuanto antes. Además, para ayudar a captar a los delincuentes, se recomienda que te pongas en contacto con el Grupo de Delitos Telemáticos de la Guardia Civil. Y recuerda que a través de la web de la DGT puedes consultar las multas pendientes de pago.

     

    TTCS - Proteccion de dato - Phising - Multa radar

     

    Fuente: Internautas

  • La AEPD y OCU ya lo han advertido: Los juguetes que se conectan a internet, recopilan información sobre nuestros hijos 

    Un juguete conectado es aquel que intercambia información con otro soporte y que suele requerir la instalación de una aplicación en un móvil o tableta. Este producto suele registrar imágenes y sonidos y enviarlos directamente a internet con lo que esta información se procesa al otro lado de la Red y el resultado vuelve al propio juguete para crear así un mecanismo de interacción y respuesta a las acciones del niño. «Los juguetes conectados no son inseguros en principio, pero los padres deben comprobar qué datos recoge el juguete y para qué los va a utilizar», asegura la directora de la Agencia Española de Protección de Datos (AEPD), Mar España, durante la presentación de unos serie de recomendaciones para impulsar la compra segura en internet con motivo del «Black Friday» y la próxima campaña navideña.

    En este contexto, la AEPD recomienda que los progenitores investiguen qué datos recoge el juguete y cuál es su destino final, así como la forma en que se protegen esos datos, dónde se almacenan y si se van a enviar a terceros.

    Para que los usuarios puedan informarse antes de comprarlos, desde la AEPD aconsejan que se pregunte al personal del establacimiento donde se vaya a adqurir el juguete; revisar el manual de instrucciones y localizar la política de privacidad; descargar la aplicación y revisarla antes de hacer la compra y visitar la web del fabricante y buscar opiniones de otros consumidores sobre el juguete en la web. Tambien aconsejan optar por productos que ofrezcan información completa e identifiquen de forma clara cuándo se está grabando la voz del niño.

    Desde la OCU también han advertido en varias ocasiones sobre los riesgos de estos juguete ya que pueden contar con wifi propio a la que se accede sin contraseñas y «en según qué manos puede resultar peligroso». «Además, desgraciadamente hoy en día no existen leyes que regulen este tipo de seguridad y son los consumidores, en este caso menores de edad quienes resultan más perjudicados», alertan desde la asociación de consumidores.

    juguetes conectados kIUB 620x349abc

    Fuente: abc

  • Cumplo con el control horario pero, ¿vulnero la protección de datos al implantarlo?

     

    Con motivo de la recién entrada en vigor de la normativa que obliga a registrar la jornada laboral de los trabajadores, nos encontramos que muchas empresas, debido a las prisas, están procediendo a implantar sistemas de control horario sin tener en cuenta la normativa vigente en materia de protección de datos, lo que podría suponerles importantes sanciones económicas.

    Entre los nuevos mecanismos para fichar, la mayoría de empresas se decantan por sistemas de recogida de huella digital. Esto conlleva un nuevo tratamiento de datos de los trabajadores que hasta ahora no se contemplaba por parte de las empresas, lo que implica varias cosas. Primero, la obligación de informar del nuevo tratamiento por parte del departamento de Recursos Humanos. Y, segundo, dependiendo de la tecnología empleada en la recogida de los datos, ver si ello supone la necesidad de realizar una Evaluación de Impacto, que debería realizarse previamente al tratamiento. Una obligación recogida en el artículo 35.1 del Reglamento General de Protección de Datos (RGPD).

    Precisamente, el pasado día 6 de mayo, la Agencia Española de Protección de Datos (AEPD) publicó el listado de tratamientos en los que es obligatorio realizar esa Evaluación de Impacto. En el punto 5 del listado incluye "tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física".

    La normativa de protección de datos no impide que se utilice este sistema como mecanismo de control de jornada. Pero lo que sí exige es que los tratamientos cumplan con el principio de minimización, limitación de la finalidad, proporcionalidad y, por supuesto, que se informe al trabajador del tratamiento de sus datos con la finalidad del control de su jornada.

    ¿Cuáles son los pasos necesarios?

    En primer lugar, si las empresas están valorando implantar un sistema de estas características, el proveedor del sistema debe informar de la tecnología empleada y documentar un análisis de necesidad de Evaluación de Impacto. Hay que documentar si el sistema almacena una copia de la huella del trabajador, o si la información sobre la huella se convierte en lo que se denomina "minucias". ¿Qué son las 'minucias'? Ciertas características del dibujo de la huella que se guardan en el sistema pero que no son como tal la huella digital original, sino un patrón de ésta sin que sea posible reconstruir la imagen original de la huella dactilar. Esto va a condicionar la necesidad o no de tener que hacer una Evaluación de Impacto.

    Pero resulta que estamos viendo cada día cómo las empresas ni siquiera están firmando los contratos de encargado de tratamiento que son obligatorios con estos proveedores que acceden a la información de nuestros trabajadores.

    El segundo paso es informar a los trabajadores. Con carácter general, la implementación del registro de jornada no precisa el consentimiento del trabajador, pero sí existe obligación en el momento de la recogida de la huella, al ser un dato personal, de informarle del nuevo tratamiento y su finalidad. Incluso en formatos en papel o Excel hay que informar de la existencia del registro y de la finalidad del tratamiento de los datos personales individuales que se obtienen con dicho registro.

    Apps para fichar con geolocalización

    Otros sistemas utilizados consisten en apps que el trabajador se puede descargar en su teléfono móvil en el que se habilita la opción de geolocalización. En Helas nos hemos encontrado con empresas que el lunes 13 activaron la geolocalización en los teléfonos propiedad de la empresa y no han informado a sus trabajadores. La nueva Ley de Protección de Datos considera que hay interés legítimo de la empresa para usar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de sus funciones (artículo 20.3 del Estatuto de los trabajadores) pero siempre y cuando se informe previamente de su existencia y características.

    Hay empresas que incluso han activado la geolocalización en teléfonos móviles personales de los trabajadores. Recordemos que la Audiencia Nacional ya declaró este sistema contrario a la normativa de protección de datos (por ejemplo, el caso de Telepizza que obligaba al repartidor a aportar su móvil para geolocalizarlo).

    Es decir, se puede dar la paradoja de que las empresas no afronten multas de la Inspección de Trabajo por el control horario, pero que la Agencia de Protección de Datos inicie más de un procedimiento sancionador por saltarse la normativa sobre protección de datos.

     

    RegistroHorario

     

    #controlhorario #controllaboral #controlhorariodeltrabajador #fichajehorario #protecciondedatos #aepd

    Fuente: Eleconomista

     

     

  • Datos privados de millones de influencers de Instagram salen a la luz

     
    Un investigador de seguridad descubrió una base de datos sin proteger alojada en Amazon Web Services, que contenía registros y datos privados de millones de influencers de Instagram. También de celebridades y marcas diversas.  

    Las grandes redes sociales parecen no darse cuenta de la importancia de proteger los datos de sus usuarios. Si no han aprendido la lección del desastre de Facebook y de la obligación legal y ética de asegurar el derecho a la privacidad, se les va a acabar el negocio porque la sangría de usuarios que salen de ellas despavoridos va a continuar ante los escándalos, semana sí y semana también, de fuga de datos.

    El último caso de fallo de seguridad afecta a una base de datos de ‘influencers’, celebridades y marcas de Instagram, que incluía no solo información pública como biografías, seguidores y ubicaciones, sino también información privada y crítica como dirección de correo electrónico y número de teléfono. Para empeorar las cosas, la base de datos quedó expuesta y sin contraseñas, invitando a cualquier persona, incluidos los piratas informáticos, a que simplemente echaran un vistazo dentro y robaran los datos.

    Para ser justos, hay que citar que Instagram no fue hackeado, pero sí es responsable de proteger los datos de sus usuarios. La base de datos aparentemente era propiedad de Chtrbox, una empresa de mercadeo de medios sociales con sede en Mumbai. Lo gordo del asunto, es que muchas de las personas incluidas en la base de datos informaron que no tuvieron trato alguno con esa compañía.

    Chtrbox ha eliminado la base de datos, pero se ha mantenido en silencio al respecto. También se desconoce quién más ha visto los registros incluso antes de que se descubrieran. Instagram, y su dueño Facebook, están al tanto de la situación, pero dicen no tener ni idea de cómo Chtrbox pudo rastrear incluso la información privada de sus usuarios y provocar esta fuga de datos. Una más.

    Quizá sin indagan en un modelo de negocio (impulsado por empresas como Facebook) de «tráfico de datos» demencial que está hartando al personal, incumpliendo toda la normativas de privacidad y su deber de proteger adecuadamente los datos, encuentren la solución.

    TTCS - Influencers Instagram robo datos

     

    #ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos

    Fuente: Muyseguridad

     

  • El 90 % de los virus en internet se propaga por correos electrónicos

     

    Lo confirma un experto: hoy, el 90 % de todos los virus o malwaresque gravitan en la internet se propaga a través de correos electrónicos, pero no precisamente por debilidades propias de éstas plataformas de comunicación, sino por la gestión inapropiada de sus contenidos.

    Así lo afirmó Andrés Rengifo, director de Asuntos de Propiedad Intelectual y Seguridad Digital de Microsoft para Latinoamérica, al disertar en la cumbre “Microsoft Innovation Summit” que se celebró en un hotel de la capital dominicana.

    Clickear el contenido de un correo electrónico de origen desconocido es uno de los errores que más comprometen la seguridad de los ordenadores y de los usuarios en la red, indicó el experto y abogado de profesión, mientras abordaba los retos y los nuevos formatos del cibercrimen en todo el mundo

    “Los usuarios no pueden seguir combatiendo las amenazas del presente con herramientas del pasado”, dijo Rengifo, quien disertó en el evento junto a Roberto Icasuriaga, director general de ventas para Microsoft Latinoamérica y El Caribe, y Herbert Lewy, gerente general para El Caribe, quienes hablaron sobre inteligencia artificial (IA) y transformación digital.

    Rengifo exhortó al público senior que acompañó su ponencia sobre ciberseguridad a auxiliarse en sistemas de verificación en dos pasosy de reconocimiento biométrico en sus dispositivos, aplicaciones y cuentas de internet, mecanismos diseñados para reducir los riesgos ante la exponencial riada de los ciberdelitos en la última década.

    “Si todo está conectado, todo puede ser alterado. Y si todo puede ser alterado, la ciberseguridad debe ser un propósito de todos”, sentenció el ejecutivo, al tiempo de considerar que los empleados tienen que volverse el brazo extendido de la seguridad en las empresas y asumir una cultura de la prevención.

    “Ellos constituyen un gran componente de la seguridad del entorno empresarial. En efecto, merecen ser empoderados permanentemente sobre las amenazas del contexto”, añadió.

    TTCS - Expertos en ciberseguridad - Microsoft

     

    #ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos

    Fuente: diariolibre

     

  • La Agencia Española de Protección de Datos señala a Android por vulnerar la legislación europea

    A vueltas con la privacidad del usuario y, en este caso, Android. La Agencia Española de Protección de Datos (AEPD) señala con el dedo al sistema operativo de Google por infracciones al Reglamento General de Protección de Datos (RGPD) de la Unión Europea. La AEPD ha publicado dos documentos técnicos, dirigidos tanto a usuarios como a desarrolladores, que analizan Android.

    La forma en la que las aplicaciones móviles solicitan permiso para acceder a grabaciones de la pantalla de los dispositivos y el uso de identificadores en Android para la personalización de anuncios estarían vulnerando la legislación europea. El primer informe analiza el control del usuario en la personalización de anuncios que hace Android. Desde la versión Android 7 KitKat, cada terminal cuenta con un identificador único para el envío de anuncios personalizados.

    El SO para móviles de Google ofrece a los usuarios la posibilidad de deshabilitar el identificador de publicidad a través de sus ajustes, lo que Google transmite a las entidades de publicidad, "pero depende de estas respetar o no esta preferencia", alerta la AEPD. Asimismo, deshabilitar el identificador de Android "no impide que el identificador sea enviado por algunas aplicaciones y, por tanto, no evita que se pueda seguir construyendo un perfil basado en los intereses o gustos del usuario", destaca el estudio. Además, señala el organismo, ocurre que al reiniciar los valores de fábrica de un teléfono móvil, Android vuelve a activar por defecto la personalización de anuncios y "el usuario tiene que deshabilitarla de nuevo y no al revés, como debería suceder de acuerdo al principio de privacidad por defecto establecido en el RGPD".

    La AEPD recomienda a los desarrolladores de aplicaciones "tener en cuenta que el envío de datos personales a una tercera parte se considera un tratamiento de datos personales para el que es necesaria una base legal, y como tal, además deben cumplir con todos los principios aplicables a tratamientos de datos que el RGPD establece, entre ellos el principio de minimización de datos", recoge la nota técnica. Aplicaciones que hacen capturas de pantalla sin avisar

    El segundo informe de la Agencia Española de Protección de Datos se refiere a la práctica mediante la cual Android da permiso a las aplicaciones para que capturen la pantalla del dispositivo y lo envíen fuera del mismo, una característica habilitada en el sistema operativo móvil de Google desde 2014 con la versión 5.0 Lollipop. Los investigadores de este organismo han detectado casos de aplicaciones que "solicitan permiso al usuario cuando se produce el acceso a su pantalla sin informarle correctamente, y que éste no puede comprobar si éste está activado ni puede revocar el permiso". 

    La aceptación del usuario para la captura de pantalla "no cumple con las condiciones del consentimiento si previamente no se le ha informado claramente de los propósitos de dicho tratamiento de acuerdo con el artículo 13 del RGPD", alerta la AEPD. Tampoco cumplen con los principios de transparencia las aplicaciones que llevan a cabo la grabación de pantalla sin que el usuario sea consciente de en qué momento se está produciendo, incluso en los casos en que se ha concedido previamente el consentimiento, según AEPD. "Acabamos de recibir los estudios. Estamos revisando su contenido y esperamos poder discutirlo con la AEPD", ha dicho Google en un comunicado.

    TTCS Android AEPD

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #sistemadeseguridad  #ciberseguridad

    Fuente: 20minutos

  • Agentes de la Guardia Civil de Oliva (Valencia) han desarticulado una organización criminal formada por un hombre y una mujer que presuntamente perpetraron un ciberataque a una empresa de La Safor para acceder a sus operaciones financieras y así hacer que transfirieran a su cuenta corriente unos pagos que estaban destinados a un proveedor, una supuesta estafa que supera los 24.000 euros.

    Se trata de una operación bautizada como ‘Cacau’ y desarrollada por la Guardia Civil de Oliva en colaboración con miembros de la oficina de Análisis e investigación en Seguridad Aeroportuaria (Odaisa) del aeropuerto Adolfo Suárez Madrid- Barajas. La investigación se ha saldado con la detención de un hombre de 56 años en dicho aeródromo, a su llegada de un vuelo procedente de Rumanía, y con la investigación de una mujer de 30 años, según ha detallado la Benemérita en un comunicado.

    Las pesquisas comenzaron cuando una empresa de La Safor denunció un ciberataque a sus servidores. Alguien había conseguido vulnerar las medidas de seguridad de la mercantil y había obtenido información de las operaciones financieras pendientes a realizar.

    Con esta información, los autores de la estafa simularon datos de correo, logotipos, facturas y otros elementos distintivos de una empresa que provee mercancías a la mercantil. Utilizaron estos datos para “interponerse” entre la compañía estafada y su proveedora. De esta forma, en lugar de pagar a la empresa suministradora, el dinero recaía en la cuenta corriente del estafador.

    Agentes especializados en nuevas tecnologías iniciaron las primeras averiguaciones y consiguieron identificar a dos sospechosos: el hombre español que ha sido detenido y la mujer que figura como investigada.

     

    OPERACIONES DESDE RUMANÍA

    Los efectivos analizaron multitud de datos bancarios de los presuntos autores del ciberataque. Verificaron que parte de las operaciones se habían realizado en Albacete, pero que los movimientos bancarios más recientes se estaban produciendo en la ciudad de Aisa, en Rumanía.

    Las investigaciones se centraron entonces en Rumanía. La “inmediatez” en la investigación permitió averiguar que el hombre iba a desde el país balcánico para regresar a España. Por ello, se estableció un dispositivo de vigilancia. Los agentes arrestaron a su llegada al Aeropuerto de Madrid-Barajas. La mujer permanece investigada. Se les acusa de varios delitos de intrusión a la informática y estafa.

    Se ha intervenido a los sospechosos “numerosos” medios de pago que, según el Instituto Armado, los “incriminaban en mayor medida con los ilícitos delitos investigados”. También se han incautado de 2.350 euros en metálico que el hombre llevaba entre sus objetos personales. Las diligencias han pasado a disposiciónjudicial.

    Fuente: eldigitaldealbacete