Esta web utiliza cookies, puedes ver nuestra la política de cookies aquí. Si continuas navegando estás aceptándola.

La Organización de Consumidores y Usuarios (OCU) ha solicitado a la Agencia Española de Protección de Datos (AEPD) que abra un proceso de investigación a Apple por el tratamiento de datos personales de sus aplicaciones con el objetivo de comprobar si cumple con la normativa en vigor.

Todo ello con el fin de que, en su caso, se le impongan las sanciones correspondientes si se demuestra que alguna de sus aplicaciones ha recopilado y utilizado información de sus usuarios sin su consentimiento.

Así lo exigió este viernes la OCU tras conocerse que algunas aplicaciones disponibles en App Store han estado utilizando una herramienta que permite registrar los movimientos y datos de los consumidores, incluyendo la captura de las pantallas de sus móviles, "sin el consentimiento de los usuarios", por lo que consideró que la compañía "debería revisar y controlar de manera más eficiente el cumplimiento de la política de privacidad por parte de estas aplicaciones".

"A pesar de que supuestamente todas las aplicaciones que se publican en la App Store deben seguir la política de privacidad de Apple, ninguna de las aplicaciones indicadas muestra claramente en sus políticas que grabaran la pantalla del usuario, ni contaban con el permiso explícito para hacer este tipo de registro", precisó la organización.

La OCU considera que Apple "debería revisar de manera más eficiente" el cumplimiento de la política de privacidad por parte de las aplicaciones que forman parte de su App Store, así como "controlar mejor su cumplimiento".

Para la organización de consumidores, los datos que las compañías utilizan "pertenecen a los consumidores". "Son ellos los que deben tener el control sobre los mismos en todo momento, saber exactamente para qué se usan y obtener una buena parte del valor creado por las compañías que los utilizan", abundó.

A través de la campaña 'Mis datos son míos', defiende el "papel central" de los consumidores en la economía de datos y reclama que estos reciban una "parte justa" de los beneficios que estos generan para las empresas, "que no solo los utilizan para su propio beneficio, sino para comercializar con terceros", concluyó la OCU.

TTCS - Agencia Española de Protección de datos

 

Fuente: Ecodiario

 

La protección de datos sigue siendo un problema para muchas compañías. Hemos visto como compañías tan dispares como Facebook, Xiaomi, Metrovalencia o Movistar han tenido problemas para guardar correctamente la información de sus usuarios, y ahora se suma a la lista una de las nuevas eléctricas que empiezan a hacerse un hueco en el mercado español: la comercializadora eléctrica Holaluz.

La compañía, que cuenta ya con casi 200.000 clientes en nuestro país, ha dejado al descubierto en su web los denominados códigos CUPS, o Código Universal de Punto de Suministro. Se trata de un número de identificación de las instalaciones eléctricas que, al unirse a otros datos, como la dirección de domicilio concreta, tal y como revela también la página de Holaluz, resulta en la publicación de información privada y sensible de los usuarios que no debería estar ahí. El fallo, corroborado y validado por este diario, ha sido descubierto y puesto en conocimiento de la compañía por la asociación de consumidores Facua.

¿Cómo muestran toda esa información? De una forma mucho más sencilla e intencionada de lo que cabría imaginar. Holaluz vende entre sus productos estrella una tarifa que se llama ‘Tarifa Justa’. La lanzó el 7 de octubre de 2018y desde ese momento abrieron en su web una especie de buscador que te ayuda a saber, con exactitud, cuál es la tarifa ‘justa’ que tienen para tu caso. Y es ahí donde se encuentra el problema.

El objetivo de esta herramienta es ofrecerte (según fuentes internas de la compañía), usando una estimación que hacen usando datos del SIPS (Sistema de información de puntos de suministro), el precio que deberías estar pagando en tu factura de la luz en relación a lo que consumes según este baremo. Ahí encontramos el primer fallo, pues la búsqueda puede llevar a confusión ya que la herramienta está totalmente abierta y es posible buscar la estimación de cualquier dirección que te venga a la cabeza, con el aliciente de que en el resultado este cálculo te viene definido como 'tarifa actual' (puedes pensar que es un dato real). Una estimación que, además, no aparece en las webs de sus principales competidores.

Pero lo peor se encuentra más abajo. Y es que con unos pequeños conocimientos de programación y desarrollo web es posible acceder a información aún más sensible.

Tras la búsqueda y haciendo un pequeño repaso por las entrañas, encontramos, sin protección, una API con una base de datos llena de direcciones asociadas a sus instalaciones eléctricas y a la información de la misma. Es ahí donde podemos dar con los ya citados CUPS sabiendo con total certidumbre que corresponden a una dirección en concreto. ¿Para qué sirven estos CUPS? Es el código único que tiene una instalación eléctrica y es clave a la hora de hacer cualquier gestión relacionada con nuestro contrato de luz.

Contactados por Teknuatas, fuentes de Holaluz explican que ya están trabajando para arreglar los posibles fallos y aseguran que "a día de hoy, los datos que ofrecemos a través de nuestra web forman parte de una propuesta comercial que se genera en base a algoritmos y curvas estandar de consumo que Holaluz crea para poder ofrecer las condiciones más adecuadas a cada cliente. Igualmente, estamos en proceso de auditoría para renovar el sello de Confianza Online, del que ya disfrutamos desde el año pasado, y a la espera de que se clarifique la normativa al respecto".

¿Se saltan las leyes?

Después de leer esto la pregunta es clara: ¿es esta solo una mala práctica o se saltan la ley? Segúno los reglamentos de protección de datos y el Real Decreto que regula las condiciones básicas de los contratos de adquisición de energía, todo apunta a que infrigen el reglamento.

Al menos así lo cree el abogado especialista en protección de datos y socio de la firma de abogados 451.legal, Samuel Parra. "Si solo pusiesen, por ejemplo, la tarifa recomendada para un inmueble no ocurriría nada, pero al asociar una dirección concreta con un dato único como es el CUPS ya estás dejando al descubierto un conjunto de datos personales que debería estar protegido para evitar el uso ilícito del mismo, como indica el propio RGPD europeo".

 

La base de datos que utiliza la compañía para sus cálculos es totalmente legal, pero sus datos solo deberían poder ser consultados por el propio usuario. Así al menos lo indica la legislación vigente. "La ley 1435/2002 que regula las condiciones básicas de los contratos de adquisición de energía y el funcionamiento del SIPS establece en el apartado 4 del artículo 7 que solo las distribuidoras, las comercializadoras, las entidades competentes y el titular del contrato pueden consultar esta información. Además, el propio titular puede pedir por escrito que solo sea su propia comercializadora la que tenga sus datos", apunta Parra.

Desde la asociación Facua, su portavoz Rubén Sánchez asegura a este periódico que decidieron hacer público este descubrimiento después de ver que tras 15 días desde que mandaron el primer aviso a Holaluz explicando lo que ocurría, la compañía no había hecho nada para arreglar el buscador. "Queremos que la Agencia de Protección de Datos (AEPD) evalúe las prácticas de Holaluz porque nos parece que se da acceso libre a una información privada, y no solo eso, sino que esos datos pueden ser utilizados por usuarios malintencionados".

 

TTCS Holaluz

 

Fuente: Elconfidencial

La Agencia Española de Protección de Datos (AEPD)  ha recibido 418 notificaciones por brechas de seguridad de organizaciones desde la aplicación del reglamento europeo de protección de datos el 25 de mayo que recoge multas millonarias para las empresas que no custodien la información personal que manejan.

De esas notificaciones, sólo 11 han pasado a la subdirección de Inspección, por requerir una investigación adicional. 

Las brechas de seguridad son definidas por el propio reglamento de protección de datos europeo como "violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración de datos personales" que poseen las empresas y que pueden corresponder a sus clientes, proveedores o trabajadores.

 

El objetivo de esta normativa es garantizar una mayor privacidad al usuario en el actual entorno digital cuya intimidad resulta más vulnerable por el uso de internet y potentes tecnologías que permiten identificar fácil y rápidamente a las personas a partir del análisis en tiempo real de los millones de datos dispersos en la red.

Las brechas de seguridad pueden producirse por fallos del sistema informático de las organizaciones, por incidentes inesperados o por el robo o extracción de información por parte de cibercriminales e incluso de los propios trabajadores de la empresa con fines de extorsión para beneficio económico u otros.

Precisamente en las últimas horas se ha hecho público un nuevo caso de quiebra de seguridad, tras conocerse que la cadena hotelera Marriott ha detectado "un acceso no autorizado" a su base de datos de clientes, que contiene información de 500 millones de personas.

Uno de los casos más polémicos de fuga de datos ha sido el de Cambridge Analytica, por el que la consultora extrajo información personal no sólo de los usuarios de Facebook sino también de sus amigos a causa de un error en la aplicación de la red social y los usó de forma indebida con fines políticos.

 

Para reforzar la protección de ese tipo de información al menos en Europa, el nuevo reglamento sobre privacidad ha extendido la obligación de notificar por parte de las organizaciones este tipo de incidentes a la autoridad competente que en el caso español es la AEPD.

Previamente esta exigencia se ceñía exclusivamente a los operadores de servicios de comunicaciones electrónicas y a prestadores de servicios de confianza, y de hecho, en el período del año pasado desde el 25 de mayo hasta el primero de diciembre fueron solo cuatro las notificaciones en España por quiebras de seguridad, según la AEPD.

La normativa europea exige a las empresas que gestionan información personal comunicar el suceso en un máximo de 72 horas desde que tengan conocimiento del mismo salvo si fuera improbable que la brecha de seguridad supone riesgo para los derechos y libertades de las personas físicas. Además el responsable del tratamiento de datos debe informar asimismo a los afectados con lenguaje claro y sencillo y de forma concisa y transparente en caso de que el incidente entrañe alto riesgo para los derechos y libertades de las personas -por ejemplo en caso de acceso ilícito a datos de usuarios y contraseñas de un servicio. 

El hecho de notificar una brecha de seguridad no implica el inicio de un procedimiento sancionador para la compañía, ni tiene por qué acabar con una sanción. La decisión dependerá finalmente del nivel de responsabilidad de la organización y de si ésta había adoptado medidas para evitar el incidente bajo el principio de responsabilidad proactiva que incluye el reglamento. 

 

agencia de proteccion de datos

 

Fuente: lavanguardia

El Gobierno ha aumentado la partida destinada a la Agencia Española de Protección de Datos (AEPD) en un 9,3% para 2019. Así aparece reflejado en los Presupuestos Generales de 2019 que destinan, en total, cerca de 15,55 millones de euros para el ente encargado de velar por la protección de nuestros datos. El año pasado la AEPD recibió 14,23 millones de euros para desempeñar sus funciones.

El organismo independiente es el encargado de velar por la correcta aplicación de las leyes de protección de datos en nuestro país. También atiende peticiones de los ciudadanos relacionadas con el derecho al olvido o la reclamación de sus datos en Internet.

 
presupuesto AEPD

La nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales permitirá a los partidos políticos elaborar bases de datos que detallen el perfil ideológico de los ciudadanos con información extraída de páginas web y redes sociales, así como enviarles propaganda electoral por medios electrónicos (SMS, WhatsApp, correo electrónico o mensajes privados a través de las redes sociales) sin su consentimiento previo.

Precisamente por eso, la AEPD tuvo que salir al paso a finales de noviembre para acallar el ruido generado por la polémica nueva ley. Entonces, la institución que preside Mar España  ya dijo que no iba a permitir que los partidos hicieran perfiles ideológicos de los ciudadanos. Sin embargo, el regulador sí reconoce que los partidos podrán rastrear las redes para encontrar el número de teléfono o email de los ciudadanos para enviarles propaganda electoral sin consentimiento previo.

 

presupuesto AEPD 2

 

Fuente: Eldiario

La Agencia Española de Protección de Datos (AEPD) ha avisado este jueves a los partidos políticos que "no se va a permitir el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas, y no se va permitir el envío de información personalizada basada en perfiles ideológicos". La directora de este regulador independiente con capacidad sancionadora, Mar España, ha querido aclarar la interpretación que la Agencia hará de la nueva Ley Orgánica de Protección de Datos que se aprobó ayer en el Senado.

España ha asegurado en una reunión informativa que la aplicación de la norma por parte de la AEPD será "la más garantista posible" en lo referente a la posibilidad de generar bases de datos con información ideológica de los ciudadanos. El órgano, encargado de interpretar y aplicar la ley, entiende que esta no autoriza a los partidos a llevar a cabo esta práctica y anuncia que adoptará una actitud "extremadamente rigurosa y vigilante" para impedirla. En esta línea, ha advertido que puede sancionar a los partidos que la lleven a cabo con hasta 20 millones de euros.

"La Agencia no va a valorar si está bien redactado o no, aunque lo que sí trasladó la Agencia durante las negociaciones fue que quizá el marco más adecuado para una modificación de ese calado no era el marco de la protección de datos", ha revelado este jueves España.

La AEPD afirma que el rastreo de las redes sociales y páginas web por parte de los partidos solo podrá ser usado para "pulsar la opinión pública" de forma anónima, pero que estos no podrán utilizar esa información para enviar propaganda personalizada.

Los partidos podrán enviar propaganda al móvil aunque nunca les hayas dado tu número  

Lo que ha reconocido España es que ni la interpretación más garantista de la ley por parte de la AEPD podrá impedir que los partidos rastreen las redes hasta encontrar los datos de contacto de los ciudadanos, como el número de teléfono o email, y se pongan en contacto con ellos sin su consentimiento previo. 

Esta práctica esta prohibida para el resto de empresas y organizaciones, que no pueden enviar propaganda si no existe una relación contractual previa y el ciudadano está de acuerdo. Con la modificación de la ley electoral vía ley de protección de datos aprobada este miércoles en el Senado,  los partidos han añadido una excepción para sí mismos que les permite el envío de spam durante las campañas electorales a partir de datos que encuentren en Internet.

¿Cuál es la justificación de esta excepción? "Eso tendrán que preguntárselo a los partidos que han negociado la ley, a la Agencia solo le corresponde interpretarla", ha contestado España. La directora de la AEPD sí ha querido reseñar que los partidos tendrán la obligación de garantizar una manera sencilla y efectiva para oponerse al envío de esa publicidad electoral. 

Los Tribunales tendrán que decidir 

Sobre la posibilidad de que la Agencia lleve a cabo otra interpretación de la ley cuando cambie su dirección (el mandato de España concluye en 2019) y permita a los partidos llevar a cabo las actuaciones que ahora les negará, España ha opinado que "para entonces ya habrá un posiciamiento jurídico firme".

La directora de la AEPD confirma así la previsión de muchos juristas, que explican que la ley terminará en los tribunales. Unidos Podemos anunció este miércoles que recurrirá la ley al Tribunal Constitucional, mientras que hoy se han unido a esa voluntad organizaciones como la Asociación de Usuarios de Internet.

AEPD Mar España

Fuente: eldiario