Esta web utiliza cookies, puedes ver nuestra la política de cookies aquí. Si continuas navegando estás aceptándola.

La Agencia Española de Protección de Datos (AEPD) ha avisado de que la navegación privada o de incógnito no resulta efectiva para prevenir el seguimiento de los dispositivos (móvil, tableta, portátil u ordenador), "proyectando una falsa sensación de seguridad".

Así lo pone de manifiesto la Agencia en su estudio 'Fingerprinting o huella digital del dispositivo', donde aborda esta técnica de identificación y rastreo de los usuarios a través de sus dispositivos y para el que ha analizado más de 14.000 páginas web dirigidas al público español, describiendo las técnicas más utilizadas para realizar ese perfilado.

La huella digital del dispositivo es un conjunto de datos extraídos del dispositivo del usuario que permiten individualizar "de forma unívoca" dicho terminal. "Dado que lo habitual es que las personas no compartan sus equipos, individualizar el terminal supone individualizar a la persona que lo utiliza y, en consecuencia, poder realizar un perfil de la misma", añade

En este sentido, advierte de que el perfilado no se limita a recopilar y analizar los hábitos de navegación o las búsquedas que realiza, sino a extraer geolocalización, datos de configuración del sistema y las aplicaciones, programas instalados, movimientos del ratón, etc. La combinación de esta y otra información permite confeccionar una huella digital única del dispositivo que lo singulariza y, por lo tanto, diferencia de forma unívoca a cada usuario en internet.

El informe publicado en febrero, el organismo explica que muchos navegadores tienen la opción de navegación privada o de incógnito, una opción con la que los usuarios "tienen la sensación de que su navegación es segura y no será rastreable".

 
La AEPD explica en su informe que en esta opción el navegador no guarda información sobre páginas web, ni historial de navegación, caché web, contraseñas, información de formularios, cookies u otros datos de sitios web, y al cerrar la ventana borra del equipo del usuario toda esta información.

"Puede dar la sensación de que la navegación permite que el usuario esté protegido frente al uso de la huella digital, pero es una sensación de falsa seguridad, pues a las técnicas usadas en la confección de la huella les resulta transparente la navegación privada, ya que las características que chequea la huella son las mismas, con navegación privada o sin ella, y el equipo del usuario quedará igualmente individualizado. Así pues, en este sentido, la navegación privada no es efectiva", destaca

NI INFORMACIÓN NI CONSENTIMIENTO

El informe concluye que "con mucha frecuencia" se emplean estas técnicas para recoger datos del equipo del usuario "sin ofrecerle información y sin solicitarle su consentimiento", y que el conjunto de datos recabados "puede ser tan extenso, o enriquecerse de tal forma, que puede llegar a recoger incluso categorías especiales de datos".

Asimismo, el documento advierte de que, "en la mayoría de los casos", al usuario no se le proporcionan herramientas para poder evitar "de forma efectiva" la recogida de datos y no se le ofrecen medios para ejercer los derechos establecidos en el Reglamento General de Protección de Datos (RGPD) cuando se recogen o asocian a datos personales.

En este contexto, el organismo que lidera Mar España aconseja que los usuarios utilicen la opción 'Do not track' del navegador, que permite dejar constancia de que se quiere evitar el seguimiento; instalar bloqueadores que permiten eludir la publicidad y el rastreo; deshabilitar el uso de Javascript; alternar entre distintos navegadores o ejecutar el acceso a internet en máquinas virtuales.

En relación con los consejos para la industria, se ofrecen recomendaciones tanto para los desarrolladores de productos y servicios, como para aquellas entidades que explotan los datos obtenidos a partir de la huella del dispositivo.

 

Para las entidades que quieran explotar datos obtenidos a partir de la huella del dispositivo, la Agencia indica que el responsable del tratamiento debe abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma si el usuario no ha dado su consentimiento. Además, agrega que toda aplicación de huella debería chequear el estado de la opción Do Not Track.

En términos generales, el estudio recomienda a las entidades que utilizan el fingerprinting contar con los servicios de un Delegado de Protección de Datos, y deberán realizar un análisis de riesgos de protección de datos relativos a los derechos y libertades de los afectados.

"Si de dicho análisis se deriva que el nivel de riesgo es elevado, será entonces obligada la realización de una Evaluación de Impacto para la Protección de Datos (EIPD) para establecer las medidas necesarias que garanticen la protección de los derechos de los usuarios", concluye.

TTCS  agencia española de proteccion de datos

 

#agenciaespañoladeprotecciondedatos #ttcsempresadeseguridad #protecciondedatos #leyorganicadeprotecciondedatos

Fuente: Lavanguardia

.

La Organización de Consumidores y Usuarios (OCU) ha solicitado a la Agencia Española de Protección de Datos (AEPD) que abra un proceso de investigación a Apple por el tratamiento de datos personales de sus aplicaciones con el objetivo de comprobar si cumple con la normativa en vigor.

Todo ello con el fin de que, en su caso, se le impongan las sanciones correspondientes si se demuestra que alguna de sus aplicaciones ha recopilado y utilizado información de sus usuarios sin su consentimiento.

Así lo exigió este viernes la OCU tras conocerse que algunas aplicaciones disponibles en App Store han estado utilizando una herramienta que permite registrar los movimientos y datos de los consumidores, incluyendo la captura de las pantallas de sus móviles, "sin el consentimiento de los usuarios", por lo que consideró que la compañía "debería revisar y controlar de manera más eficiente el cumplimiento de la política de privacidad por parte de estas aplicaciones".

"A pesar de que supuestamente todas las aplicaciones que se publican en la App Store deben seguir la política de privacidad de Apple, ninguna de las aplicaciones indicadas muestra claramente en sus políticas que grabaran la pantalla del usuario, ni contaban con el permiso explícito para hacer este tipo de registro", precisó la organización.

La OCU considera que Apple "debería revisar de manera más eficiente" el cumplimiento de la política de privacidad por parte de las aplicaciones que forman parte de su App Store, así como "controlar mejor su cumplimiento".

Para la organización de consumidores, los datos que las compañías utilizan "pertenecen a los consumidores". "Son ellos los que deben tener el control sobre los mismos en todo momento, saber exactamente para qué se usan y obtener una buena parte del valor creado por las compañías que los utilizan", abundó.

A través de la campaña 'Mis datos son míos', defiende el "papel central" de los consumidores en la economía de datos y reclama que estos reciban una "parte justa" de los beneficios que estos generan para las empresas, "que no solo los utilizan para su propio beneficio, sino para comercializar con terceros", concluyó la OCU.

TTCS - Agencia Española de Protección de datos

 

Fuente: Ecodiario

El Gobierno ha aumentado la partida destinada a la Agencia Española de Protección de Datos (AEPD) en un 9,3% para 2019. Así aparece reflejado en los Presupuestos Generales de 2019 que destinan, en total, cerca de 15,55 millones de euros para el ente encargado de velar por la protección de nuestros datos. El año pasado la AEPD recibió 14,23 millones de euros para desempeñar sus funciones.

El organismo independiente es el encargado de velar por la correcta aplicación de las leyes de protección de datos en nuestro país. También atiende peticiones de los ciudadanos relacionadas con el derecho al olvido o la reclamación de sus datos en Internet.

 
presupuesto AEPD

La nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales permitirá a los partidos políticos elaborar bases de datos que detallen el perfil ideológico de los ciudadanos con información extraída de páginas web y redes sociales, así como enviarles propaganda electoral por medios electrónicos (SMS, WhatsApp, correo electrónico o mensajes privados a través de las redes sociales) sin su consentimiento previo.

Precisamente por eso, la AEPD tuvo que salir al paso a finales de noviembre para acallar el ruido generado por la polémica nueva ley. Entonces, la institución que preside Mar España  ya dijo que no iba a permitir que los partidos hicieran perfiles ideológicos de los ciudadanos. Sin embargo, el regulador sí reconoce que los partidos podrán rastrear las redes para encontrar el número de teléfono o email de los ciudadanos para enviarles propaganda electoral sin consentimiento previo.

 

presupuesto AEPD 2

 

Fuente: Eldiario

 

La protección de datos sigue siendo un problema para muchas compañías. Hemos visto como compañías tan dispares como Facebook, Xiaomi, Metrovalencia o Movistar han tenido problemas para guardar correctamente la información de sus usuarios, y ahora se suma a la lista una de las nuevas eléctricas que empiezan a hacerse un hueco en el mercado español: la comercializadora eléctrica Holaluz.

La compañía, que cuenta ya con casi 200.000 clientes en nuestro país, ha dejado al descubierto en su web los denominados códigos CUPS, o Código Universal de Punto de Suministro. Se trata de un número de identificación de las instalaciones eléctricas que, al unirse a otros datos, como la dirección de domicilio concreta, tal y como revela también la página de Holaluz, resulta en la publicación de información privada y sensible de los usuarios que no debería estar ahí. El fallo, corroborado y validado por este diario, ha sido descubierto y puesto en conocimiento de la compañía por la asociación de consumidores Facua.

¿Cómo muestran toda esa información? De una forma mucho más sencilla e intencionada de lo que cabría imaginar. Holaluz vende entre sus productos estrella una tarifa que se llama ‘Tarifa Justa’. La lanzó el 7 de octubre de 2018y desde ese momento abrieron en su web una especie de buscador que te ayuda a saber, con exactitud, cuál es la tarifa ‘justa’ que tienen para tu caso. Y es ahí donde se encuentra el problema.

El objetivo de esta herramienta es ofrecerte (según fuentes internas de la compañía), usando una estimación que hacen usando datos del SIPS (Sistema de información de puntos de suministro), el precio que deberías estar pagando en tu factura de la luz en relación a lo que consumes según este baremo. Ahí encontramos el primer fallo, pues la búsqueda puede llevar a confusión ya que la herramienta está totalmente abierta y es posible buscar la estimación de cualquier dirección que te venga a la cabeza, con el aliciente de que en el resultado este cálculo te viene definido como 'tarifa actual' (puedes pensar que es un dato real). Una estimación que, además, no aparece en las webs de sus principales competidores.

Pero lo peor se encuentra más abajo. Y es que con unos pequeños conocimientos de programación y desarrollo web es posible acceder a información aún más sensible.

Tras la búsqueda y haciendo un pequeño repaso por las entrañas, encontramos, sin protección, una API con una base de datos llena de direcciones asociadas a sus instalaciones eléctricas y a la información de la misma. Es ahí donde podemos dar con los ya citados CUPS sabiendo con total certidumbre que corresponden a una dirección en concreto. ¿Para qué sirven estos CUPS? Es el código único que tiene una instalación eléctrica y es clave a la hora de hacer cualquier gestión relacionada con nuestro contrato de luz.

Contactados por Teknuatas, fuentes de Holaluz explican que ya están trabajando para arreglar los posibles fallos y aseguran que "a día de hoy, los datos que ofrecemos a través de nuestra web forman parte de una propuesta comercial que se genera en base a algoritmos y curvas estandar de consumo que Holaluz crea para poder ofrecer las condiciones más adecuadas a cada cliente. Igualmente, estamos en proceso de auditoría para renovar el sello de Confianza Online, del que ya disfrutamos desde el año pasado, y a la espera de que se clarifique la normativa al respecto".

¿Se saltan las leyes?

Después de leer esto la pregunta es clara: ¿es esta solo una mala práctica o se saltan la ley? Segúno los reglamentos de protección de datos y el Real Decreto que regula las condiciones básicas de los contratos de adquisición de energía, todo apunta a que infrigen el reglamento.

Al menos así lo cree el abogado especialista en protección de datos y socio de la firma de abogados 451.legal, Samuel Parra. "Si solo pusiesen, por ejemplo, la tarifa recomendada para un inmueble no ocurriría nada, pero al asociar una dirección concreta con un dato único como es el CUPS ya estás dejando al descubierto un conjunto de datos personales que debería estar protegido para evitar el uso ilícito del mismo, como indica el propio RGPD europeo".

 

La base de datos que utiliza la compañía para sus cálculos es totalmente legal, pero sus datos solo deberían poder ser consultados por el propio usuario. Así al menos lo indica la legislación vigente. "La ley 1435/2002 que regula las condiciones básicas de los contratos de adquisición de energía y el funcionamiento del SIPS establece en el apartado 4 del artículo 7 que solo las distribuidoras, las comercializadoras, las entidades competentes y el titular del contrato pueden consultar esta información. Además, el propio titular puede pedir por escrito que solo sea su propia comercializadora la que tenga sus datos", apunta Parra.

Desde la asociación Facua, su portavoz Rubén Sánchez asegura a este periódico que decidieron hacer público este descubrimiento después de ver que tras 15 días desde que mandaron el primer aviso a Holaluz explicando lo que ocurría, la compañía no había hecho nada para arreglar el buscador. "Queremos que la Agencia de Protección de Datos (AEPD) evalúe las prácticas de Holaluz porque nos parece que se da acceso libre a una información privada, y no solo eso, sino que esos datos pueden ser utilizados por usuarios malintencionados".

 

TTCS Holaluz

 

Fuente: Elconfidencial

La Agencia Española de Protección de Datos (AEPD)  ha recibido 418 notificaciones por brechas de seguridad de organizaciones desde la aplicación del reglamento europeo de protección de datos el 25 de mayo que recoge multas millonarias para las empresas que no custodien la información personal que manejan.

De esas notificaciones, sólo 11 han pasado a la subdirección de Inspección, por requerir una investigación adicional. 

Las brechas de seguridad son definidas por el propio reglamento de protección de datos europeo como "violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración de datos personales" que poseen las empresas y que pueden corresponder a sus clientes, proveedores o trabajadores.

 

El objetivo de esta normativa es garantizar una mayor privacidad al usuario en el actual entorno digital cuya intimidad resulta más vulnerable por el uso de internet y potentes tecnologías que permiten identificar fácil y rápidamente a las personas a partir del análisis en tiempo real de los millones de datos dispersos en la red.

Las brechas de seguridad pueden producirse por fallos del sistema informático de las organizaciones, por incidentes inesperados o por el robo o extracción de información por parte de cibercriminales e incluso de los propios trabajadores de la empresa con fines de extorsión para beneficio económico u otros.

Precisamente en las últimas horas se ha hecho público un nuevo caso de quiebra de seguridad, tras conocerse que la cadena hotelera Marriott ha detectado "un acceso no autorizado" a su base de datos de clientes, que contiene información de 500 millones de personas.

Uno de los casos más polémicos de fuga de datos ha sido el de Cambridge Analytica, por el que la consultora extrajo información personal no sólo de los usuarios de Facebook sino también de sus amigos a causa de un error en la aplicación de la red social y los usó de forma indebida con fines políticos.

 

Para reforzar la protección de ese tipo de información al menos en Europa, el nuevo reglamento sobre privacidad ha extendido la obligación de notificar por parte de las organizaciones este tipo de incidentes a la autoridad competente que en el caso español es la AEPD.

Previamente esta exigencia se ceñía exclusivamente a los operadores de servicios de comunicaciones electrónicas y a prestadores de servicios de confianza, y de hecho, en el período del año pasado desde el 25 de mayo hasta el primero de diciembre fueron solo cuatro las notificaciones en España por quiebras de seguridad, según la AEPD.

La normativa europea exige a las empresas que gestionan información personal comunicar el suceso en un máximo de 72 horas desde que tengan conocimiento del mismo salvo si fuera improbable que la brecha de seguridad supone riesgo para los derechos y libertades de las personas físicas. Además el responsable del tratamiento de datos debe informar asimismo a los afectados con lenguaje claro y sencillo y de forma concisa y transparente en caso de que el incidente entrañe alto riesgo para los derechos y libertades de las personas -por ejemplo en caso de acceso ilícito a datos de usuarios y contraseñas de un servicio. 

El hecho de notificar una brecha de seguridad no implica el inicio de un procedimiento sancionador para la compañía, ni tiene por qué acabar con una sanción. La decisión dependerá finalmente del nivel de responsabilidad de la organización y de si ésta había adoptado medidas para evitar el incidente bajo el principio de responsabilidad proactiva que incluye el reglamento. 

 

agencia de proteccion de datos

 

Fuente: lavanguardia