Esta web utiliza cookies, puedes ver nuestra la política de cookies aquí. Si continuas navegando estás aceptándola.

Turismo:La responsabilidad ante un ciberataque.

ciberataque turismo

La industria del turismo se ha transformado debido a las necesidades que nacen en un mercado globalizado; gracias al intenso proceso de transformación digital que está atravesando nuestra sociedad actual, el cliente es multicanal y los canales de venta son claramente digitales, online. Lo anterior supone grandes ventajas para el sector turístico, pero no hay que olvidar que, al mismo tiempo, se genera una fuente inagotable de información muy sensible que, sin quererlo, se encuentra ampliamente expuesta.

Ello conlleva la aparición de un nuevo escenario de riesgos, no solo económicos y reputacionales, sino también legales, debido al incremento exponencial de ataques informáticos que viene sufriendo este sector. Así, el sector hotelero se coloca en el podio como el tercer objetivo más deseado en el catalejo criminal de los hackers, tras los servicios financieros o de banca y seguros, según el Instituto Nacional de Ciberseguridad (Incibe).

 
 
Lo anterior no resulta extraño habida cuenta de las condiciones que reúne el sector: el manejo de ingentes cantidades de información relevante (no solo datos de carácter personal, sino también financieros, de inversión, etc.) y los elevados beneficios que el mismo genera, lo que no hace sino agravar el riesgo potencial de sufrir un ciberataque.

Todo lo anterior nos lleva irremediablemente a cuestionarnos la siguiente pregunta: ¿son responsables los hoteleros en caso de sufrir un ciberataque? La sombra de la duda planea sobre los eventuales daños que puedan causarse a terceros.

Y es que, en este punto, la nueva normativa nacida en el seno de la Unión Europea como el embrión para dar respuesta a las necesidades de ciberseguridad impone a las empresas nuevas obligaciones para proteger la información de sus clientes. De tal forma que, de probarse que las mismas no han obrado con la diligencia necesaria, existirían riesgos legales de diversa naturaleza: contractual, extracontractual e incluso administrativa.

Las responsabilidades contractuales y extracontractuales responden al deber general de no dañar a los terceros (alterum non laedere) del que se desprende que la responsabilidad puede nacer con total independencia de obligaciones de cualquier otro tipo que existan entre las partes, ya que el daño se produce por violación de deberes generales de conducta.

Sin embargo, el foco de atención en este escenario debe ponerse sobre la nueva normativa europea que traerá consigo el Reglamento Europeo General de Protección de Datos (RGPD), de obligatoria aplicación a partir del 25 de mayo de 2018.

Así pues, se crea un marco más exigente para las empresas, acuñándose el concepto de “accountability” por el que el hecho de garantizar la seguridad de los datos personales pasa de ser una obligación de medios a convertirse en una obligación de resultados, donde no incumplir ya no será suficiente. Además, se configura la obligación de establecer políticas de prevención y realizar evaluaciones de impacto (“Privacy Impact Assessment”) cuando, con motivo de su naturaleza, alcance, contexto o fines, existan riesgos específicos para los derechos y libertades de los interesados; así como la obligatoriedad de denunciar, sin dilación indebida, las violaciones o brechas de seguridad (“Data Breach Notification”) tanto a la Agencia Española de Protección de Datos (AEPD) como a los propios interesados.

LEER NOTICIA COMPLETA.

 

#AEPD #LOPD #RGPD #CIBERSEGURIDAD #CIBERATAQUE.

Protección de datos a contrarreloj: ¿a qué estarán obligadas las empresas y qué se puede hacer para evitar sustos?

data protection:Protección de datos a contrarreloj

En mayo de 2018 entrará en vigor el Reglamento General de Protección de Datos europeo, de obligado cumplimiento
El objetivo de esta norma es aumentar el control de los ciudadanos sobre sus datos personales
El Gobierno español ya está tramitando una nueva normativa y las empresas deberán adaptarse a contrarreloj

El debate sobre la protección de los datos personales vuelve a saltar a la palestra. El próximo año entrará en vigor el Reglamento General de Protección de Datos europeo (GDPR), que prevé aumentar el control de los ciudadanos sobre sus datos personales, y España debe ponerse al día en la materia. El Gobierno ya está tramitando una nueva normativa que sustituirá la existente y que debe ser aprobada antes de la entrada en vigor de la ley europea (25 de mayo de 2018), pero todavía queda mucho por hacer. Las empresas deben ponerse manos a la obra para adaptarse, pero los propios ciudadanos también son responsables de proteger sus datos.

Xavier Salla, profesor de Comunicación Digital de la Universitat Abat Oliba CEU y doctor en Ciencias Jurídicas, explica que hoy, fruto de los avances tecnológicos, “nuestros datos están en muchos sitios, pero somos incapaces de saber qué hacen con ellos”. Y precisamente por eso se están promoviendo estas legislaciones, para “devolver al individuo algo de poder”.

El reglamento europeo es el último paso que se ha dado en este sentido. Antes se había promovido una directiva, que cada país adaptó de forma distinta. Sin embargo, la nueva legislación es de obligado cumplimiento, por lo que todos los Estados de la Unión Europea van a tener que trabajar intensamente para acomodarse a ella. Y tendrán que hacerlo a contrarreloj. No obstante, España es el 'alumno aventajado', ya que según Salla hizo gran parte del trabajo al transponer la directiva europea, por lo que ahora sólo deberá hacer alguna que otra modificación para adaptarse a los nuevos conceptos que incluye.

 

Por ejemplo, explica el experto, en España ya se tipificaron los casos en los que se podrá interponer una multa en caso de incumplir la ley de protección de datos, así como sus cuantías, que están entre los 600 y 60.000 euros euros si son infracciones leves, entre 60.000 y 300.000 euros en caso de que sean consideradas como infracciones graves, y de 300.000 a 600.000 euros si son muy graves. Y la encargada de interponer esas sanciones es la Agencia Española de Protección de Datos (AEPD).

Aunque en el nuevo proyecto de Ley Orgánica de Protección de Datos al que el Gobierno dio luz verde hace dos semanas se dan nuevos pasos para “aumentar la seguridad jurídica” y “adaptar la normativa a la evolución tecnológica”. Incluso, como gran novedad, se regula la potestad de los herederos sobre la información de personas fallecidas.

En esta ley, que sustituirá a la actual, se recogen medidas como el adelanto a los 13 años la edad -antes 14- del consentimiento para el tratamiento de datos, y se potencia la figura del delegado de protección de datos en las organizaciones, que puede ser una persona física o jurídica cuya designación ha de ser comunicada a la autoridad competente y que mantendrá una relación directa con la AEPD.

LEER NOTICIA COMPLETA

Aprobado el proyecto de Ley Orgánica de Protección de Datos de Carácter Personal.

delegado proteccion datos dpo

El nuevo proyecto de ley, que adaptará la legislación española actual al nuevo reglamento europeo de protección de datos (GDPR), recogen novedades en el régimen de consentimiento del uso de los datos, en el tratamiento de éstos e introducen nuevas figuras, como el CDO, y procedimientos

El pasado 10 de noviembre el Consejo de Ministros daba luz verde por fin al Proyecto de Ley Orgánica de Protección de Datos, con el que se adaptará la legislación española al nuevo reglamento de protección de datos de la UE (más conocido por sus siglas inglesas GDPR) y que comenzará a aplicarse a partir del 25 de mayo de 2018. Esta última normativa persigue acabar con la fragmentación que existe en las distintas leyes que tienen los países comunitarios en materia de protección de datos y adaptarlas a la evolución tecnológica.

En España, recuerdan desde el Ministerio de Justicia, la protección de datos es “un derecho fundamental protegido por el artículo 18.4 de la Constitución”. En el nuevo proyecto de ley se recogen novedades en el régimen de consentimiento del uso de los datos, en el tratamiento de los mismos y se introducen nuevas figuras y procedimientos. Respecto a este último punto, aunque se impulsarán mecanismos de autorregulación en el sector público y en el privado, desde Justicia afirman que la adaptación de la legislación española a GPPR “hace necesaria la elaboración de una nueva Ley Orgánica en sustitución de la actual, cuyas normas y desarrollo deberán ser revisadas y adaptadas para evitar contradicciones”. Además, apuntan que la  Agencia Española de Protección de datos (AEPD) deberá desarrollar cuestiones concretas que el reglamento comunitario remite a las autoridades nacionales de control y tendrá que revisar sus tratamientos de datos personales para adaptarlos a esas exigencias. El proyecto de ley introduce también la obligación de bloqueo que garantiza que los datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes para la exigencia de posibles responsabilidades derivadas de su tratamiento.

 

Novedades en el consentimiento y tratamiento de los datos

Respecto al régimen de consentimiento del uso de los datos, entre otros asuntos, se adelanta a los 13 años la edad para permitir el tratamiento de datos; también se tendrá en cuenta el tratamiento de datos de personas fallecidas en base a la solicitud de sus herederos.

Leer noticia completa:http://www.computerworld.es/negocio/aprobado-el-proyecto-de-ley-organica-de-proteccion-de-datos-de-caracter-personal

La Seguridad Social difunde sin autorización miles de DNI de sus funcionarios

 DNI ttcs

La Central Sindical Independiente y de Funcionarios (CSIF) ha denunciado que los datos de los empleados públicos quedan al descubierto en cada gestión que realizan para los ciudadanos por vía telemática. La Central Sindical Independiente y de Funcionarios (CSIF) ha denunciado la falta de privacidad de miles de empleados públicos de la Seguridad Social, al quedar al descubierto el número de DNI de cada trabajador en cada gestión que realizan para los ciudadanos por vía telemática. Según ha declarado el Sindicato, "esta situación vulnera el Protocolo de Agresiones de las Administraciones Públicas, donde se especifica claramente la obligatoriedad de proteger la identidad de los empleados públicos".

 

Asimismo, el CSIF ha aclarado que divulgar los datos del DNI (nombres, apellidos y número) pone en riesgo la seguridad de los trabajadores, ya que las gestiones de los ciudadanos deben tener "carácter anónimo y neutro" al depender de la Administración y no de trabajadores particulares.

Ante esta situación, el CSIF ha solicitado que se retire en las gestiones telemáticas los datos del DNI del personal que se atienda y sustituirlo por el número de usuario que todo empleado público tiene asignado. El Sindicato también ha declarado que si la Administración no rectifica, presentará una denuncia ante la Agencia de Protección de Datos. El CSIF es el sindicato más representativo en las administraciones públicas y, en los últimos años, con una presencia creciente en el sector privado.

Fuente: publico

 

cuidado con la ciberseguridad

 

Tras conocerse la noticia del gran ataque informático sufrido por la empresa Equifax, esta ha comenzado a recibir múltiples demandas de sus usuarios en reclamación de indemnizaciones por los daños sufridos.

Estas reclamaciones se basan en que, según se ha sabido, la compañía no tenía instalados los sistemas de seguridad necesarios para detectar e impedir el ataque ni contaba con un responsable de seguridad informática. Esto permitió que durante casi tres meses los atacantes pudiesen sustraer sin dificultad millones de datos de los usuarios de la empresa, sin que esta fuera consciente de la situación. Y para empeorar el caso, una vez que lo supo tardó más de un mes en informar al público.

 

Al igual que ha sucedido en otros casos, los fallos de seguridad en las empresas están dando lugar a un aluvión de reclamaciones, abriendo así paso a una nueva línea de negocio para los despachos que puedan ofrecer a sus clientes el asesoramiento legal para actuar contra las compañías que se han mostrado negligentes en la custodia de sus datos personales.

La cuestión que se plantea es qué consecuencias tendría para una empresa española un ataque similar al sufrido por Equifax, careciendo de las necesarias medidas de seguridad.

 

Fuente: el pais