Entradas

Protección de datos: recogida de datos

El  artículo 8. Párrafo 1º, del Reglamento General de Protección de Datos (“Principios relativos a la calidad de los datos”) establece que “Los datos de carácter personal deberán ser tratados de forma leal y lícita. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos. “

Con el término “licitud” hablamos de un concepto jurídico indeterminado que implica el cumplimiento de las prescripciones normativas en el tratamiento de datos, tales como la veracidad de los datos, legitimidad de los fines del tratamiento, adopción de las medidas de seguridad, cumplimiento de los deberes de conservación, información, consentimiento, que conlleva una calidad de los datos que se manejan y la legitimación por parte del que los trata.

Los datos personales deben ser tratados de acuerdo con este principio de licitud.

Pero este tratamiento lícito se basa en el cumplimiento de una misión de interés público, o en el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o que sea necesario su uso para la ejecución de un contrato en el que el interesado sea parte, o para la aplicación de medidas precontractuales adoptadas a petición del interesado, siempre que el interesado haya dado su consentimiento de forma inequívoca.

También si es necesario para proteger los intereses esenciales del interesado.

Por tanto, el tratamiento de datos personales ha de ser necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero a los que comuniquen los datos.

Asimismo, se establece que la persona pueda acceder a dichos datos que se tratan para asegurarse la exactitud de los mismos y que se están tratando conforme a ese principio que dirige la nueva ley y reglamento del tratamiento de sus datos personales.

Los datos deben ser lícitos, los fines también y el interesado debe disfrutar del derecho de acceso. Por lo tanto, además de una finalidad legítima debe cumplirse con el deber de información.

Para mantener un equilibrio entre la libre circulación de datos personales y la tutela del derecho a la intimidad, los datos de carácter personal sólo podrán ser recogidos para el cumplimiento de finalidades determinadas, explícitas y legítimas del responsable del tratamiento.

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.

Por último, los datos de carácter personal serán tratados de forma que permitan el ejercicio del derecho de acceso, en tanto no proceda su cancelación.

Formación tecnológica para el delegado de protección de datos

Formación tecnológica para el delegado de protección de datos

En mayo de 2018, cuando entre en vigor en toda la UE el Reglamento General de Protección de Datos, será necesaria la formación tecnológica para el delegado de protección de datos en muchas empresas y todas las Administraciones públicas.
La Agencia Española de Protección de Datos (AEPD) ya trabaja con las asociaciones relacionadas con la privacidad para elaborar un esquema de Certificación que servirá para que las entidades certificadoras puedan ser acreditadas por Enac -Entidad Nacional de Acreditación.
Dicho delegado de protección de datos, tendrán competencia y habilidades para cubrir las necesidades del mercado y cumplir con la normativa, no sólo para evitar las multas.
No es una profesión limitada a los abogados. La titulación en Derecho no es el único elemento que permite ejercerla, el conocimiento jurídico es imprescindible, pero hacen falta otras habilidades y competencias.
La necesidad de Formación tecnológica para el delegado para entender los procesos a los que se enfrentan y, asimismo, entender las necesidades del personal de los departamentos que operan con los datos y trasladarles de forma práctica los nuevos deberes en materia de privacidad.
El deber de confidencialidad que impone la norma y la responsabilidad que se impone corresponde a la organización y no individualmente al delegado de protección de datos.
En la Seguridad Informática se deben distinguir dos propósitos de protección, la Seguridad de la Información y la Protección de Datos.
Aunque se diferencia entre la Seguridad de la Información y la Protección de Datos como motivo u obligación de las actividades de seguridad, las medidas de protección aplicadas normalmente serán las mismas.
En la Seguridad de la Información el objetivo de la protección son los datos mismos y trata de evitar su pérdida y modificación no autorizada. La protección debe garantizar en primer lugar la confidencialidad, integridad y disponibilidad de los datos, sin embargo existen más requisitos como la autenticidad de los mismos, entre otros.
El motivo para implementar medidas de protección, que responden a la Seguridad de la Información, es el propio interés de la institución o persona que maneja los datos, porque la pérdida o modificación de los datos, le puede causar un daño (material o inmaterial).
En el caso de la Protección de Datos, el objetivo de la protección no son los datos en sí mismos, sino el contenido de la información sobre personas, para evitar el abuso sobre este contenido.
En este caso, el motivo para la implementación de medidas de protección, por parte de la institución o persona que maneja los datos, es la obligación jurídica, junto con la simple ética personal, de evitar consecuencias negativas para las personas de las cuales se trata la información.
Existen algunas profesiones que, por su carácter profesional, están reconocidos o obligados, por su juramento, de respetar los datos personales como por ejemplo los médicos, abogados, jueces y también los sacerdotes.
Independientemente, de si existen o si no existen normas jurídicas, la responsabilidad de un tratamiento adecuado de datos personales y las consecuencias que puede causar en el caso de no cumplirlo, recae sobre cada persona que maneja o tiene contacto con tal información, y debería tener sus raíces en códigos de conducta y finalmente la ética profesional y humana, de respetar y no perjudicar los derechos humanos y no hacer daño.
La propia Seguridad Informática no es un fin, sino un tema transversal para el delegado de protección de datos que normalmente forma parte de la estructura interna de apoyo. Nadie vive o trabaja para su seguridad, sino la implementa para cumplir sus objetivos.
Implementar medidas de protección significa invertir en recursos como tiempo y dinero. Garantizar la seguridad, no es una cosa que se hace una vez y después se olvide, sino requiere un control continuo de cumplimiento, funcionalidad y una adaptación periódica, de las medidas de protección implementadas, al entorno cambiante. Por lo que siempre es importante contar con el apoyo de empresas dedicadas a la Protección de datos, que cuenten con profesionales  preparados para las distintas áreas.
Bajo este prisma, la figura del delegado está más cerca de una empresa que proporciona un servicio de protección de datos completo que de una sola persona.

Formación tecnológica para el delegado de protección de datos

Filtraciones de seguridad en Yahoo

Filtraciones de seguridad en Yahoo

Se encuentran filtraciones de seguridad en Yahoo.

Qué hacer con tu cuenta de Yahoo. Los gestores de correo van por gustos personales, en un Gmail, Hotmail, Yahoo, son sistemas muy similares, y la elección de uno u otro es personal. Después de las últimas masivas filtraciones de seguridad en Yahoo, la Agencia Española de Protección de Datos ha dado unas recomendaciones para su uso.

Con motivo de las últimas brechas de seguridad de Yahoo, la Agencia Española de Protección ha iniciado una investigación para determinar las circunstancias en las que se habría producido dicha brecha de seguridad y analizar las medidas adoptadas por la empresa para proteger de los datos de carácter personal de sus usuarios.

Recomendaciones para evitar al máximo posibles daños.

En el caso de que tengas o hayas tenido una cuenta de correo en Yahoo, la Agencia te recomienda que realices las siguientes acciones con el fin de intentar minimizar posibles daños:

  1. Cambia la contraseña de tu cuenta Yahoo
  2. Habilita la verificación en dos pasos
  3. Actualiza las preguntas de seguridad de contacto en caso de haberlas facilitado
  4. En el caso de que utilices las mismas contraseñas o preguntas de control en otros servicios de internet, es importante que actualices dicha información en cada uno de los servicios
  5. Evita hacer clic en enlaces o descargar archivos adjuntos de correos electrónicos sospechosos
  6. Repasa las bandejas de correo de entrada, salida, spam, elementos eliminados y lista de contactos para localizar qué información podría haber sido comprometida
  7. Borra todos los mensajes que no sea necesario conservar, incluyendo los que están en la carpeta de eliminados, así como los contactos obsoletos
  8. Si utilizas o utilizaste tu cuenta de Yahoo como cuenta alternativa de contacto o de recuperación de contraseña en otros servicios, cambia también la dirección de correo utilizada en dichos servicios
  9. En el caso de que hubieras proporcionado información sobre números de cuenta o tarjetas de crédito, contacta con tus servicios financieros para congelar y controlar las solicitudes de crédito
La ciberseguridad y la protección de datos

La ciberseguridad y la protección de datos

La ciberseguridad y la protección de datos se encuentran muy ligadas. El incremento de ataques a los sitios webs tanto gubernamentales como privados y a instituciones o grandes empresa, hacen de la seguridad informática una de las principales preocupaciones de los empresarios.

El Instituto Nacional de Ciberseguridad (INCIBE), destaca como zonas de frecuentes ataques Madrid, Barcelona y Andalucía.  La labor de este instituto es vigilar desde este mapa qué sucede diariamente en España en el ciberespacio. Qué ataques reciben empresas, infraestructuras críticas y usuarios de a pie.

Según este instituto: “Tenemos dos maneras de engañar a los posibles ciberdelincuentes para identificarlos. Gracias a que somos compañeros de Red.es, creamos una serie de emails falsos que jamás responden a nadie. Así captamos las direcciones de spam y las marcamos, por si acaso tras ellas hay cibercriminales. Otra manera que tenemos es crear webs falsas de instituciones o grandes empresas que colaboran con nosotros para cogerle la matrícula a los atacantes”.

La coordinación entre entes públicos y privados es constante para mantener alto el escudo de la ciberdefensa en España. Los operadores de telefonía, por ejemplo, juegan un papel crucial. “Imagina que detectamos que una serie de IP –por así decirlo, la matrícula que identifica en a nuestros dispositivos conectados a Internet– están infectadas por algún tipo de amenaza. Gracias al contacto directo con empresas como Vodafone o Telefónica, podemos pasarles estas IP. Ellos contactan con el cliente al que se corresponde ese número y le mandan un mensaje para que nos contacte y podamos desinfectarlo”, explica González.

En España, más de siete millones de direcciones IP se encuentran comprometidas diariamente con algún problema de ciberseguridad, según datos del informe anual del INCIBE. Solo en 2015 se detectaron más de 60.400 ataques.

El cibercrimen proporciona al delincuente anonimato y permite que con poca inversión se pueda hacer mucho daño u obtener grandes beneficios. Los ciberdelincuentes desarrollan el malware para los dispositivos con el que puedan obtener el mayor beneficio. Ahora, los smartphones se han extendido muchísimo y por lo tanto los programas para perjudicarlos también.

El último pilar clave para la España segura en Internet es la comunicación con el usuario, con el internauta de a pie. Desde 2010, la Oficina de Seguridad del Internauta se encarga de traducir la formación en ciberseguridad en ciudadano.

“Lo que queremos es que un usuario sin conocimientos de este mundo entienda lo fundamental. Qué es el phising, el malware dirigido, etcétera… Hacerle accesible la información de prevención y de solución de los problemas”, explica Marcos Gómez Hidalgo, subdirector de operaciones del INCIBE. Vía web, por redes sociales o telefónica, cualquier español puede contactar con la Oficina para informarse. Lo importante, como recuerda el director general de este organismo, es recordar que “los crímenes son los mismos. Extorsión, abuso, robo de datos, suplantación de identidad. Solo cambia el medio”.

Nueva versión de Whastapp ¿mejoramos la seguridad?

Nueva versión de Whastapp ¿mejoramos la seguridad?

[one_second]

Nueva versión de Whastapp ¿mejoramos la seguridad?

En estos últimos días estamos viendo que nos aparece en todas nuestras conversaciones de Whatsapp un mensaje de notificación en el que se nos informa sobre los nuevos cambios en la aplicación.

Las llamadas y mensajes enviados a este chat ahora están seguros con cifrado de extremo a extremo. Pulsa para más información»

Este es el mensaje que ha aparecido recientemente en el Whatsapp de muchos usuarios, pero exactamente ¿qué significa este cifrado de extremo a extremo y en qué nos afecta realmente?

Este tipo de cifrado (diseñado por Open Whisper Systems), técnicamente conocido en español como cifrado por sistema de clave asimétrica, impide que terceros accedan a los mensajes, documentos y llamadas.

Para simplificarlo sin entrar en detalles complejos decir que su funcionamiento se basa en  la creación de una clave privada al momento de la instalación de la aplicación, la cual se queda en el teléfono.

En el momento de enviar un mensaje a este usuario, la persona emisora pide a los servidores de Whatsapp una clave pública  para cifrar el mensaje que va a enviar. Con esto se consigue que sólo sea el receptor el que lea el mensaje gracias a esa clave privada que se encuentra en su teléfono.

Otro de los detalles importantes es que dicha clave pública cambia en cada mensaje transmitido, y se destruye después de que sea enviada.

Nueva versión Whatsapp[/one_second]

[one_second]

Y exactamente ¿qué va a cifrar este sistema? Pues bien parece que Whatsapp lo ha incluido en casi todos sus servicios, ya sean llamadas vía Whatsapp (para evitar escuchas por parte de tercero) o mensajes

Los mensajes no van a mantenerse registrados en los servidores una vez han sido enviados y recibidos, incluso la propia aplicación no va a poder tener acceso a dichos mensajes para poder recuperarlos.

La aplicación va a permitir cerciorarse de si está activando esta opción comprobando si aparece el candado en la pantalla de información del contacto o grupo.

Igualmente se puede leer más información al respecto en la propia aplicación mirando en los ajustes y leyendo la información que ira dando Whatsapp.

Este cambio viene motivado por diversos motivos, tales como los últimos incidentes de Apple con el FBI por el acceso a móviles, su competencia con Telegram que ya cifraba los mensajes y la necesidad que veían muchos usuarios en mantener más seguras sus conversaciones.

[/one_second]

Nueva versión de Whastapp  ¿mejoramos la seguridad?

Malinterpretaciones en el tema del Puerto Seguro (Safe Habour)

Malinterpretaciones en el tema del Puerto Seguro (Safe Habour)

[one_second]

En las últimas semanas ha salido a la luz ciertas informaciones sobre un comunicado publicado por la Agencia Española de Protección de Datos en el cual dicho Agente, informa a la empresas, sobre una posible contraindicación (más bien llegando al tilde de prohibición) en el uso de aplicaciones de almacenamiento de datos, tales como Dropbox, Google Drive y similares, en unión con la Sentencia del Puerto Seguro (Safe Harbour).

El día 29 de octubre, la Agencia procedió  a enviar un comunicado a diferentes empresas españolas las cuales tenían ficheros o datos, los cuales estaban siendo tratados por ciertas empresas estadounidenses (las cuales realizaban una gestión de esos datos a través de una transferencia internacional de los mismos).

En dicho comunicado la Agencia instaba a dichas personas a: “informar al Registro General de Protección de Datos sobre la continuidad de las transferencias y, en su caso, sobre su adecuación a la normativa de protección de datos”.

Esto tiene su razón de ser si se tiene en cuenta la sentencia del Tribunal Superior de Justicia de la Unión Europea, el cual declaraba inseguros (y por ende podría decirse que inválidos) los acuerdos de transferencias internacionales con Encargados de Tratamiento que se encontraban dentro de los acuerdos de puerto seguro. Estos acuerdos, asimilaban el nivel de seguridad del país receptor de estos datos (Estados Unidos) con el exigido dentro de la Unión Europea, permitiendo de manera libre el intercambio de estos datos entre estos entes.

[/one_second]

[one_second]

Dentro de la prensa nacional, dicho comunicado fue entendido como una llamada a la prohibición en el uso de estos programas por parte de las empresas que recibieron este comunicado, haciéndolo extensible a todo el conjunto empresarial español. Pero debido en mayor parte a una desinformación y falta de comprensión del texto emitido por la Agencia por la prensa española, se provoco un revuelo en Internet siendo desvirtuado el contenido de dicho comunicado.

El comunicado en ningún lugar tiene ánimo de prohibir el uso de este tipo de programas, sino informar a las empresas que utilicen dichos programas, para que en el caso de que sigan utilizando dicho servicio, procedan a implantar (si no estuviesen ya implantadas) las medidas de seguridad exigidas por la legislación española.

Bien es cierto que tanto desde la Agencia como desde Equal se recomienda que si bien el uso de estos programas presenta un grandísimo número de ventajas en cuanto a la gestión de documentos y coordinación de muchas empresas, también es cierto que el tratamiento de datos realizado por parte de las entidades americanas, puede que no sea del todo cercano a los modelos de seguridad exigibles por la LOPD.

Por otra parte también presenta peligrosidad la pérdida o el filtrado de estos datos, poniendo en serio peligro tanto la seguridad de los datos almacenados como la certeza de que estos no sean filtrados, ya que estas empresas son victimas habituales de ataques informáticos para sacar a la luz dichos datos.

[/one_second]

Privacidad después de los atentados de París

Privacidad después de los atentados de París

[one_second]

Son muchas las reacciones que se han desatado después de los atentados de París el pasado viernes 13. Reacciones de dolor, de odio, de venganza; pero desde luego uno de los pensamientos de las redes sociales, fue acerca de la posibilidad de rastrear las comunicaciones entre los terroristas accediendo a sus datos de los teléfonos móviles.

Según las primeras investigaciones, los terroristas del Estado Islámico, ahora denominado Daesh, antes de atentar estuvieron en contacto con personas de la propia organización en Siria a través de smartphones. Fue por ésta vía a través de la cual  dieron la señal para empezar la masacre.

Ante esto, los gobiernos se están planteando poder interceptar las comunicaciones de los usuarios de las líneas telefónicas con el fin de poder detectar a los artífices de posibles atentados Yihaidistas, aunque los mensajes estén cifrados.

Las principales empresas de nuevas tecnologías, como Google o Apple, han rechazado las solicitudes de acceso a los datos cifrados para llevar a cabo las investigaciones.

Pero he aquí el problema, ¿dónde quedaría la PRIVACIDAD del Usuario? Y ¿Qué ocurre con su DERECHO AL HONOR, su DERECHO A LA SEGURIDAD, el DERECHO A LA INTIMIDAD? Y sobre todo ¿qué pasa con el DERECHO A LA PROTECCIÓN DE LOS DATOS?

Como se puede deducir, la propuesta de la posibilidad del acceso a los datos por parte de los cuerpos de seguridad (de los mensajes cifrados) de los usuarios de las compañías telefónicas en éstos tiempos es considerada por muchos no sólo necesaria sino obligatoria para poder evitar masacres como la de la semana pasada, pero habría que

[/one_second]

[one_second]

tener muchísimo cuidado con los derechos que estarían en juego, ya que para evitar una cosa se estaría atentando contra derechos fundamentales establecidos como tales en la Constitución Española de 1978.

En nuestra legislación la intervención de las líneas telefónicas solo puede ser posible, aparte de otros extremos, siempre y cuando haya habido autorización judicial previa, lo que hace que este acceso sea mucho más lento y tenga una operatividad limitada.

Para Tim Cook, consejero delegado de Apple, el cifrado es algo imprescindible, ya que sin ello no se podría garantizar la intimidad de las personas ni evitar problemas de seguridad. El jefe de Apple, recuerda que “todos estamos conectados, nos guste o no, y el hecho de que se debilite o se acabe con el cifrado daña a la gente buena y no sólo a los malos” (terroristas).

Uno de los temas de debate de la cumbre que se ha estado celebrando esta semana en el G20  ha sido cómo evitar que los terroristas exploten el uso de la tecnología y las comunicaciones. Sabemos que se han propuesto muchas soluciones, pero no sabemos aún cual va a ser la propuesta que van a adoptar las autoridades de cada país para evitar que sigan muriendo inocentes.

Dentro de las posibilidades para acceder a los datos hay que tener en cuenta que si bien representa una mayor seguridad a la hora de la prevención de estos ataques, podría llegar a vulnerar la privacidad y la seguridad jurídica, al tener unos límites difusos de los datos a los que pueden tener acceso las fuerzas de seguridad y los caso en los que pueden realizar esa interceptación.

[/one_second]

Instalación de cámaras falsas de videovigilancia

Instalación de cámaras falsas de videovigilancia

[one_second]

En la actualidad la Agencia Española de Protección de Datos está empezando a recibir casos sobre una casuística que presenta ciertas peculiaridades, y es acerca de la instalación de cámaras falsas de videovigilancia (están instaladas pero que no graban) en empresas o comunidades de vecinos.

Pues bien, aunque el motivo por el que se ponen las cámaras esté justificado se estaría vulnerando el artículo 6.1 de la Ley Orgánica de Protección de datos (en adelante LOPD), ya que las cámaras estarían captando imágenes de personas de la vía pública o zonas comunes de la urbanización. Tal y como se establece en la LOPD, el tratamiento de los datos de carácter personal requeriría el consentimiento inequívoco del afectado.

Bien es cierto que en este caso las cámaras no se encuentran grabando, por lo que no cumplirían el requisito de la captación de imágenes. Pero la agencia, como recogió en un resolución de 2012 (PS/00139/2012), viene a intentar evitar esta confusión a través de la “falsa apariencia” de la cámara iniciando un procedimiento.

El procedimiento para que la Agencia de Protección de Datos sancione a los particulares que decidan poner cámaras  dentro de su propiedad  y

[/one_second]

[one_second]

que graben zonas externas o comunes a la urbanización donde se encuentre situada su vivienda, es el siguiente:

Cuando un particular decide poner cámaras, falsas o no en el espacio privado de su vivienda pero éstas captan imágenes de zonas comunes de zonas del exterior, será apercibido (procedimiento de apercibimiento) por la Agencia Española de Protección de Datos para que retire las cámaras. Se le confiere al demandado un mes para que retire las mismas, es decir, para que acredite el cumplimiento del apercibimiento. Si las quita, el procedimiento termina y no hay sanción.

Sin embargo, si pasa ese mes para comunicar el cumplimiento sin haber hecho ninguna de las dos cosas, esto es, ni se quitan las cámaras, aunque sean falsas ni se acredita el cumplimiento del requerimiento, se abrirá un nuevo procedimiento, procedimiento sancionador, cuyo objetivo es sancionar al demandado por no acreditar la retirada de las cámaras objeto del conflicto.

Es por ello que desde Equal recomendamos siempre tener un control total de un tema tan sensible como las cámaras de videovigilancia realizando todos los requisitos previstos en la LOPD para evitar cualquier problemática, y en último lugar una sanción de la Agencia.

[/one_second]

Wearables y los riesgos en protección de datos

Wearables y los riesgos en protección de datos

[one_second]

        Con las últimas conferencias tecnológicas de la temporada, y con muchas de las marcas dejando un poco de lado los nuevos smartphones y centrándose en los dispositivos conectados o wearable, vamos a hacer una pequeña reflexión sobre estos dispositivos. En primer lugar vamos a explicar qué es un wearable, el término proviene del ingles wear-able, que literalmente significa llevar puesto.

Podríamos considerar wearables como todo aquel aparato o dispositivo electrónico que se incorpore en alguna parte de nuestro cuerpo interactuando continuamente con el usuario y con otros dispositivos con la finalidad de realizar alguna función específica.

Todos tenemos en mente algún reportaje, artículo o anuncio que hayamos visto sobre el Apple Watch, o cualquier otro tipo de reloj conectado. Pero, ¿realmente sabemos las posibilidades de estos dispositivos?

Dejando de lado de la posibilidades o bien el éxito o fracaso de estos dispositivos, hay que dejar claro que ya estamos conviviendo con ellos, y muy seguramente en un futuro cercano estaremos más que habituados a estos dispositivos.

 “Surgen muchas preguntas en torno a la vulnerabilidad de estos dispositivos. Las pérdidas de datos y la infección por malware, pero también el acceso no autorizado a datos personales, el uso intrusivo de los wearables o la vigilancia ilegal son algunos de los riesgos que las partes interesadas del internet de las cosas deben abordar para atraer a los usuarios potenciales hacia sus productos”, destaca el documento, elaborado por la Agencia Española de Protección de Datos (AEPD) junto a la Autoridad francesa (CNIL) entre otras autoridades europeas.

Está claro que estos dispositivos ofrecen al consumidor una amplia gama de opciones (tomar fotos, ver videos, compartir con la nube) pero los más importantes y son los que vamos a analizar son los más inherentes a la personalidad.

Empecemos con las pulseras de wellness, es decir estos dispositivos que registran datos de salud del usuario para mantenerle informado y hacer

[/one_second]

[one_second]

un estudio al segundo, siendo de mucha utilidad sobre todo en caso de los deportistas.

El problema surge a partir del almacenamiento de estos datos. No sé si conoce que todos estos datos los está cediendo (en muchas plataformas) al programa que los registre para que el disponga con total libertad de esos datos. Es decir que estamos dando nuestro pulso, índice de grasa, metabolismo basal a enormes compañías internacionales, por decirlo de otro modo, estamos regalando una gran parte de nuestra personalidad.

Pero no solo hay que tener en cuenta estos dispositivos, pasemos a mencionar ahora aquellos wearables que disponen de pasarela de pagos. Lejos de la posibilidad de que se extravíen nuestros datos bancarios hay que hacer mención al mero hábito de comprar, de nuevo estamos dando información a las empresas de qué compramos, cuando lo compramos y cómo lo compramos. Parece que esta información no nos resulta sensible, pero resulta cuanto menos llamativo que Samsung o Apple puedan saber que la semana pasada compre una botella de cierto vino para una cena, o que los miércoles suelo ir al fisioterapeuta por mi dolor de espalda.

Desde Equal Protección de Datos, nos mostramos a favor de toda mejora tecnológica, ya que somos conscientes de que los avances favorecen a la sociedad haciendo funciones que jamás habríamos imaginado; si bien es cierto que todo avance lleva consigo nuevos riesgos, y en estos casos son enormes.

Por lo que si bien recomendamos el uso de estos dispositivos, aprovechando todas las posibilidades que ofrecen, hacemos también una llamada a la responsabilidad. En su uso ¿Cómo actuar en estos casos? Tarea complicada, pero siempre es conveniente leer las condiciones del servicio e intentar usar aquellos menos invasivos o que cifren los datos. Recordemos que además de facilitar estos datos a las compañías, puede haber una fuga de datos, y desde luego lo último que queremos es que circule por internet información confidencial a la vista y alcance de todo el mundo.

[/one_second]

 

¿Son seguras tus contraseñas?

¿Son seguras tus contraseñas?

[one_second]

Cuidas de tu seguridad, pero ¿son seguras tus contraseñas?

En España, el 63% de los usuarios de Google no contempla el robo de credenciales. Este dato, lejos de resultar tranquilizador nos debe poner en alerta en relación al desconocimiento del usuario medio en nuestro país sobre la importancia de tener una contraseña y un entorno seguro para evitar su robo.

Pero no pensemos que somos los españoles los únicos que desconocemos y  no aseguramos nuestras contraseñas. El pasado mes de agosto, desde EE.UU. la Agencia encargada de la recaudación de impuestos (IRS) sacaba a la luz un ataque informático que había dejado al descubierto el acceso a los datos fiscales de 334.000 contribuyentes.

Lo más curioso de este ataque informático es que los piratas accedieron a la aplicación simplemente respondiendo a las preguntas de identificación personal de los usuarios. La respuesta a estas preguntas no tuvieron que hackearlas ni siquiera robarlas de ningún site, la encontraron buscando información de los usuarios en otras fuentes de internet. Informa igualmente la agencia, que en 2014 se produjeron  ataques similares ascendiendo a la cantidad  de más de 1.000 millones de historiales de información personal.

Este robo de contraseñas plantea diversos problemas: en primer lugar es

[/one_second]

[one_second]

el mero acceso ilegal a la cuenta de correo electrónico, el segundo y casi más importante es el peligro de la utilización del contenido de los correos.

Este caso puede darse en el supuesto de un «hackeo» de la cuenta personal de Facebook, empezando, sin saberlo, a publicar contenido pornográfico.

Desde Equal Proteccion de Datos proponemos una serie de medidas de seguridad muy sencillas para evitar que una contraseña sea hackeable  y para asegurar un entorno seguro a la hora de el uso de estas:

  1. Toda contraseña debería tener una longitud mínima de ocho o diez caracteres, combinando el uso de mayúsculas y minúsculas, siendo recomendable incluir algún número y un símbolo.
  2. Dentro de lo posible, no repetir la contraseña para diferentes usos (mail, facebook, webs).
  3. Intentar evitar palabras con sentido lógico y que sean relacionables fácilmente con la persona (evitar lugar de nacimiento, fecha ordenada lógicamente etc…)
  4. Intentar evitar tener un registro de las contraseñas ya sea de manera física o en cualquier aplicación; y si en el caso de que se llevase hacerlo de manera lo más segura posible para evitar cualquier filtración (documento cifrado a ser posible).
  5. Lo mismo habría de aplicarse a las preguntas de recuperación de contraseña evitando datos que puedan estar a la disposición de la mayoría.
  6. Cambio de contraseña de manera habitual (debería hacerse mínimo cada 15 días, aunque lo habitual termina siendo cada mes).

[/one_second]

Hackean una web que fomenta el adulterio

Hackean una web que fomenta el adulterio

[one_second]

Hackean una web que fomenta el adulterio

Con el eslogan que utiliza la página web de contactos fuera de la pareja «La vida es corta. Ten una aventura», ya nos podemos hacer una idea, por el tipo de actividad que trata, de la cantidad de datos personales que puede llegar a manejar la web llamada www.ashleymadison.com.

            Esta página web se hizo muy conocida en España debido a la polémica campaña de publicidad que realizaron para introducirse en el mercado español, utilizando la imagen de la Reina Doña Sofía. Christoph Kraemer, director de comunicación de Ashley Madison, afirmó que «los españoles son los más infieles de Europa».

Pues bien, un grupo de hackers ha accedido a las bases de datos de la compañía propietaria de la web Avid Life Media (ALM), con sede en Toronto (Canadá). La empresa también posee los portales Cougar Life y Established Men, todos ellos relacionados con el mundo de los contactos. La compañía asegura que un nuevo usuario se une cada seis segundos, y que es el sitio web más grande del mundo para hombres y mujeres casados que esperan tener una aventura. La compañía afirma contar con 37 millones de usuarios en 48 países, lo que la convierte en la segunda mayor empresa de citas en la web tras Match. La empresa propietaria tuvo unos ingresos por ventas de 115 millones de dólares en 2014, un 45% más que en el año anterior. Destacar, que la mitad de su negocio procede del mercado estadounidense.

Los hackers se autodenominan The Impact Team y podrían haber accedido a hasta 37 millones de datos de usuarios que tiene el grupo ALM. El diario británico The Guardian informa que los hackers disponen de archivos de todos los usuarios, la información financiera de la compañía y otros documentos internos. El grupo ha publicado tan solo 40 megabytes de información que incluye datos de las tarjetas de crédito de los usuarios.

[/one_second]

[one_second]

        La compañía ha emitido un comunicado en el que señala que «ha puesto inmediatamente a uno de los mejores equipos del mundo de informática (con los que ya hemos trabajado en el pasado) a tomar todas las medidas posibles a mitigar el ataque». De esta manera, ha indicado que este equipo «ha eliminado con éxito los todos los mensajes relacionados con este incidente, así como toda información de identificación personal sobre nuestros usuarios publicados en línea». Este gravísimo incidente está ya “siendo investigado por expertos forenses y profesionales de la seguridad”, concluye el comunicado.

        En este caso los usuarios de la web perjudicados pueden pedir responsabilidad y daños y perjuicios a la empresa, ya que han sido desvelados sus datos personales y confidenciales.

            Independientemente del tipo de actividad y motivaciones que llevan a los usuarios a introducir sus datos en una web como la citada, lo cierto es que desde Equal Protección de Datos recomendamos que antes de introducir nuestros datos, y más en caso como este especialmente sensibles con la privacidad, analicemos bien las condiciones legales del sitio web (quién es el destinatario de nuestros datos, qué tipo de medidas de seguridad aplican, etc…) así como asegurarnos de que se trata de un entorno digital absolutamente seguro.

            También queremos recordar que ante cualquier problema que usted haya podido tener, puede buscarnos y consultar otros servicios en nuestra web perteneciente al despacho www.equalabogados.com

[/one_second]

Tus datos son tuyos

Tus datos son tuyos

[one_second]

‘Tus datos son tuyos’ es la última campaña lanzada por la OCU el pasado 7 de julio, para concienciar a los ciudadanos sobre la importancia de sus datos personales. Esta campaña viene en consonancia con  las negociaciones actuales que existen entre el Parlamento Europeo, la Comisión y el Consejo para la aprobación de un Reglamento de Protección de Datos.

Como bien indica el titulo de la campaña, ésta tiene como objetivo concienciar sobre el control total sobre los datos personales, ya que estos datos son utilizados por empresas y administraciones utilizan de manera creciente. Es por ellos que la OCU, a través de su plataforma Movilízate, ha puesto en marcha esta campaña solicitando la adhesión de los consumidores a una serie de reivindicaciones que es necesario que se cumplan, para asegurar, dentro de lo posible, un mayor control de sus datos.

En dicha campaña, la OCU, señala la situación actual del tráfico de datos. Las empresas se han especializado en este mundo en el que la información es poder, y debido a esto están generando una gran cantidad de negocio alrededor de  los datos personales de los consumidores, usándolos en muchos casos,  sin que estos reciban ninguna remuneración por esa información.

[/one_second]

[one_second]

Es por ellos que desde la organización se reclaman unos determinados de derechos de los usuarios, entre ellos podemos encontrar el derecho a la portabilidad de los datos personales, la obligación de las empresas de recabar  el consentimiento del usuario previamente al tratamiento de sus datos, el derecho del usuario a tener conocimiento a cuales de sus datos se recogen  y su finalidad y un derecho de los usuarios a una notificación en el caso de  violación de sus datos personales.

Básicamente en esta campaña se pide el cumplimiento de una gran cantidad de derechos, que podemos encontrar en nuestro ordenamiento jurídico, sobre todo en la LOPD.

Adicionalmente, la OCU ha procedido al  envío de una carta al Ministro de Justicia solicitando defender el texto inicialmente propuesto por el Parlamento Europeo en las próxima reuniones entre Consejo, Eurocámara y Comisión.

 [/one_second]