Nueva multa millonaria por parte de la AEPD

La Agencia Española de Protección de Datos (AEPD) dictó, el pasado 4 de mayo de 2021, su resolución en el procedimiento PS / 00236/2020 en la que impuso dos multas por importe de 1,5 millones de euros a EDP ENERGÍA, SAU por el tratamiento de datos personales sin consentimiento del interesado.

Se añade así una nueva sanción millonaria por parte de la Agencia en materia de protección de datos en nuestro país. Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, la AEPD ha dictado más de 650 procedimientos sancionadores basándose en dicha normativa, y sólo en el primer semestre de este año suma ya más de 20 millones de euros en multas (encabezando el ranking la sonada sanción a Vodafone por valor de 8 millones de euros).

En el presente caso, la AEPD da inicio al procedimiento tras recibir una reclamación contra la compañía eléctrica, por haberse efectuado en nombre de la afectada la contratación de sus servicios sin su consentimiento, contratación realizada supuestamente por un representante, sin que dicha entidad pueda acreditar la existencia de tal representación. Además de esta, la Agencia había recibido ya varias reclamaciones de índole muy parecida.

Tras recabar la documentación precisa y estudiar el procedimiento de actuación de la empresa, la Agencia declara:

En primer lugar que no se habían adoptado medidas para comprobar la existencia de autorización para contratar o para prestar consentimiento en nombre del representado, lo cual incumple las obligaciones del artículo 25 del Reglamento General de Protección de Datos (RGPD), de establecer las medidas técnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento a fin de cumplir los requisitos del Reglamento y proteger los derechos de los interesados. Además, la Agencia estima que concurren diferentes hechos con calidad de agravantes: la naturaleza, gravedad y duración de la infracción; la intencionalidad o negligencia apreciada en la comisión de la infracción; el carácter continuado de la infracción; La alta vinculación de la actividad del infractor con la realización de tratamientos de datos personales; la condición de gran empresa de la entidad responsable y su volumen de negocio; y el elevado volumen de datos y tratamientos que constituye el objeto del expediente

Esta infracción se encuentra tipificada en el artículo 83.4.a) RGPD y calificada como grave a efectos de prescripción en el artículo 73.d) de la LOPDGDD. Por este hecho la Agencia impone a la compañía una multa por importe de 500.000 euros.

Como segunda parte de la resolución, la Agencia considera que la empresa ha cometido también una infracción del principio de transparencia recogido en el artículo 13 del Reglamento, por no proporcionar información suficiente a los interesados ​​al obtener sus datos para la contratación de los servicios. Esta acción cuenta con los mismos hechos agravantes mencionados anteriormente y sumándose el elevado número de interesados, ya que la infracción afecta a todos los clientes personas físicas de la entidad.

Este incumplimiento está tipificado en el artículo 83.5.b) RGPD y calificado como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD. Tras el análisis del presente caso, la Agencia impone por esta falta una multa por importe de 1.000.000 euros.

María Galera Meléndez, Redacción Equal.

La AEPD sanciona con 3.000€ a una asesoría que envía por email documentación de un cliente por error

Las denuncias de clientes son la causa de la mayor parte de las sanciones que reciben los autónomos por parte de la Agencia Española de Protección de Datos (AEPD).

En este caso, nos encontramos con un procedimiento sancionador de la AEPD (PS 483/2020), que comienza con la reclamación de uno de los clientes de una asesoría fiscal, laboral y contable de Barcelona, el cual solicitó documentación necesaria para unos trámites ante Hacienda a dicha entidad, y ésta, vía correo electrónico le remitió un documento en el que aparecen datos personales de un tercero, también cliente de la misma asesoría.

Una vez recibida la reclamación, la Subdirección General de Inspección de Datos, requirió una serie de documentos a la asesoría para remitírselos a la Agencia, tales como informes sobre las causas motivadoras de la incidencia y las medidas de seguridad tomadas. Tras no recibir respuesta por parte de la asesoría, la directora de la AEPD admitió a trámite la reclamación e inició el procedimiento sancionador.

El objeto del procedimiento es la divulgación de los datos personales del tercero, vulnerando de esa manera el deber de confidencialidad recogido en el artículo 5 de nuestra Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), cuyo objeto es evitar que se difundan datos sin consentimiento de su titular, deber también recogido en el artículo 5.1.f) del Reglamento General De Protección de Datos (RGPD), donde podemos encontrar entre los principios básicos relativos al tratamiento de los datos, el de integridad y confidencialidad, que recoge que los datos personales serán “ tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.”

Ese deber de confidencialidad, declara la Agencia, es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.

La infracción de los principios básicos para el tratamiento de los datos, recogidos en el artículo 5 del RGPD que ha llevado a cabo esta gestoría con su equivocación, está tipificada en la LOPDGDD como infracción muy grave (art. 72) y el RGPD en su artículo 83.5 a) la considera sancionable con multas administrativas de 20.000.000€ como máximo o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Como consecuencia, la Agencia impone a esta asesoría catalana una multa de 2.000€.

Por otra parte, la asesoría incurre en otra infracción al vulnerar el artículo 32 del Reglamento, que expone que los responsables del tratamiento deben aplicar “las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”, y pone algunos ejemplos como la seudonimización y el cifrado de datos personales. En este caso la AEPD entiende que ha fallado la seguridad del tratamiento al producirse un incidente de seguridad en su sistema permitiendo el acceso a datos personales de un tercero, al ser remitido correo permitiendo el acceso al documento que los contenía con quebrantamiento de las medidas de seguridad.

El incumplimiento de las obligaciones del responsable y del encargado recogidas en el artículo 32 del Reglamento es considerada infracción grave por la LOPDGDD en su artículo 73 y sancionable con multas administrativas de 10.000.000 € como máximo o de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, según el artículo 83.4. a) del citado RGPD. Por ello, la Agencia le impone a esta entidad una multa de 1.000€.

En total una multa de 3.000€ que podría haber sido evitada con la debida diligencia. A diario nos encontramos con resoluciones similares por parte de la AEPD que nos indican que no hay que relajarse en el cumplimiento de la normativa de protección de datos (y menos como empresa responsable del tratamiento de los datos personales de los clientes), ya que es una materia que está adquiriendo más importancia cada día y sobre la que la población está cada vez más concienciada.

María Galera Meléndez, Redacción Equal.

Aprobado el proyecto de ley que regulará la protección de datos en causas penales

El proyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales ha sido remitido al Senado por parte del Congreso para su tramitación.

La Ley Orgánica de protección de datos en causas penales ha sido aprobada por el Congreso de los Diputados este jueves con un amplio consenso, y ha contado con los informes preceptivos de los ministerios de Justicia, Hacienda, Asuntos Económicos y Transformación Digital, Política Territorial y Función Pública, Defensa, Inclusión, Seguridad Social y Migraciones, Asuntos Sociales y Agenda 2030 y Trabajo y Economía Social, así como los remitidos por el Consejo General del Poder Judicial, el Consejo Fiscal, la Agencia Española de Protección de Datos, la Agencia Vasca de Protección de Datos, la Autoridad Catalana de Protección de Datos, los departamentos de Seguridad Pública del Gobierno Vasco y de Interior de la Generalidad de Cataluña, las direcciones generales de la Policía y de la Guardia Civil, y la Secretaría General de Instituciones Penitenciarias.

Hablamos de la transposición de una Directiva europea (2016/680, de 27 de abril de 2016), cuyo plazo para ello finalizó el 6 de mayo de 2018. Este retraso derivó en la imposición de sanción por parte del Tribunal de Justicia de la Unión Europea, que condenó a España a pagar una suma de 15 millones de euros y una multa coercitiva diaria de 89.548,20 euros, desde el pasado 25 de febrero.

El proyecto se tramitará por procedimiento de urgencia y consta de dos disposiciones adicionales, once disposiciones finales y 61 artículos distribuidos en 8 capítulos:

  1. Disposiciones generales;
  2. Principios, licitud del tratamiento y videovigilancia;
  3. Derechos de las personas,;
  4. Responsable y encargado de tratamiento;
  5. Transferencias de datos personales a terceros países que no sean miembros de la Unión Europea o a organizaciones internacionales;
  6. Autoridades de Protección de Datos Independientes;
  7. Reclamaciones;
  8. Régimen sancionador.

Como se indica en su artículo primero, el propósito principal del texto  es “establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública».

Define como autoridad competente  para el tratamiento de datos de carácter personal a “toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública; o cualquier otro órgano o entidad a quien en nuestro ordenamiento jurídico haya confiado el ejercicio de la autoridad pública y las competencias públicas a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública;” y realiza una enumeración especifica que incluye figuras como Las Fuerzas y Cuerpos de Seguridad, las Administraciones Penitenciarias, La Comisión de Vigilancia de Actividades de Financiación del Terrorismo o el Ministerio Fiscal

En el régimen sancionador del proyecto, se prevén sanciones que oscilarán entre  6.000 y 1.000.000 de euros dependiendo del grado de  la infracción cometida:

a) Las infracciones muy graves, como por ejemplo,  la omisión del deber de informar al interesado acerca del tratamiento de sus datos de carácter personal, con multa de 360.001 a 1.000.000 euros.

b) Las infracciones graves, por ejemplo, el incumplimiento de los plazos de conservación y revisión de los datos, con multa de 60.001 a 360.000 euros.

c) Las leves, por ejemplo, el incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando fuera exigible legalmente, con multa de 6.000 a 60.000 euros

Con este proyecto, el Gobierno da un paso más hacia el cumplimiento total del “paquete de protección de datos” impulsado por la Comisión Europea con el objetivo de garantizar el pleno respeto al derecho a la intimidad y la protección de las personas físicas respecto al tratamiento de sus datos personales y su libre circulación

María Galera Meléndez, Redacción Equal.

EL “PASAPORTE VERDE EUROPEO” YA ES UNA REALIDAD

Desde el inicio de la pandemia hemos escuchado hablar de la posible creación de un “pasaporte de vacunación” que daría la posibilidad de viajar a las personas ya vacunadas contra la COVID-19, y finalmente, el Parlamento ha aprobado la propuesta que la Comisión Europea presentó en Marzo:

El Certificado Verde Digital (“Digital Green Pass”).

A raíz de las restricciones a la libre circulación transfronteriza, y ante su persistencia en el tiempo por razones de salud pública, la Unión Europea (UE) se encuentra con la necesidad de expedir certificados interoperables, seguros y verificables que permitan la movilidad de los ciudadanos entre los Estados miembro. Así, la Comisión Europea ha puesto en marcha la elaboración de este certificado digital, con el fin de que pueda comenzar a utilizarse este verano de 2021. Un sistema unificado válido para todos los países de la Unión.

La base jurídica de este proyecto se encuentra en el artículo 21 del Tratado de Funcionamiento de la Unión Europea (TFUE): El derecho de todo ciudadano de la Unión a la libre circulación en territorio de los Estados miembro. Esto conlleva gran importancia ya que implica que el único uso que se puede hacer de estos certificados sea la libre circulación transfronteriza y nunca otras finalidades (se admite que los Estados regulen otros usos si se procuran una base jurídica legitimadora diferente para los posibles usos posteriores)

La principal característica de este “pase verde” y la que da solución a una de las grandes preocupaciones de los ciudadanos, consiste en que no es un pasaporte de vacunación. Esta iniciativa consiste en una propuesta de expedición decertificados sobre vacunación, pruebas y recuperación, es decir, hay tres posibilidades: has sido vacunado, tienes una prueba PCR negativa reciente o has pasado la enfermedad y una prueba te ha acreditado que tienes anticuerpos. Esta propuesta minimiza el riesgo de discriminación ya que, como actualmente el número de vacunados en los estados miembro de la Unión Europea es muy limitado, si sólo hubiese sido un certificado de vacunación se generaría una situación de desigualdad para ejercer el derecho de libre circulación entre vacunados y no vacunados.

Podremos solicitar esta certificación en formato digital o papel con un código QR interoperable que permitan verificar su autenticidad. Será gratuito y accesible para todos los ciudadanos de la UE y a sus familiares, nacionales de terceros países que residan en la UE y visitantes que tengan derecho a viajar a otros Estados miembro. Se emitirá en inglés, e incluirá:

  • Certificado de vacunación:

Datos identificativos del titular

Datos del medicamento vacunal administrado

Metadatos del certificado (emisor del mismo o identificador único)

Identificación de si se ha completado o no la vacunación

  • Certificado de pruebas:

Datos identificativos del titular

Identificador de la prueba realizada

Metadatos del certificado (emisor del mismo o identificador único)

  • Certificado de recuperación:

Datos identificativos del titular

Información sobre la infección anterior por COVID-19

Metadatos del certificado (emisor del mismo o identificador único)

Expedición previa solicitud a partir d 11 días después de prueba positiva de infección por COVID-19

Desde el punto de vista de la protección de datos, los datos referentes a la salud son reconocidos como datos sensibles por la normativa de protección de datos vigente en la Unión Europea. Para salvaguardar la privacidad, la Comisión:

  • Ofrece un sistema de certificados digitales descentralizados
  • Plantea como finalidad del tratamiento verificar la información para facilitar el derecho a la libre circulación
  • Propone que el certificado contenga el mínimo esencial de información
  • Delimita como únicas entidades que pueden tratar los datos personales a las Autoridades competentes del Estado miembro de destino y los Operadores transfronterizos de servicios de transporte de viajeros (aerolíneas y navieras)
  • Respecto a la conservación de los datos expone que se limitará al tiempo necesario para cumplir con su finalidad, en todo caso, deberá suspenderse cuando la OMS declare el final de la pandemia

Con la aprobación del Parlamento, el Certificado Verde Digital ya es una realidad, y sólo queda confiar en que esté listo para su puesta en marcha de cara a las próximas vacaciones de verano.

María Galera Meléndez, Redacción Equal.

Multa de 3.000€ a una asociación cultural por difundir sin consentimiento imágenes de un menor

En el marco del procedimiento nº PS-00405-2020, la Agencia Española de Protección de Datos (AEPD) ha sancionado a una asociación cultural con 3.000€ de multa, por difundir imágenes de un menor de 4 años, sin el consentimiento de sus padres, en chats con más de 400 usuarios.

La discordia comienza en 2019 cuando uno de los progenitores del menor interpone reclamación  ante la AEPD contra la asociación cultural donde su hijo recibe clases de chino, con motivo de la difusión, desde el número de una de las profesoras del centro,  de imágenes del menor en tres grupos de Wechat (aplicación de mensajería instantánea similar a Whatsapp),  grupos con alcance a más de 400 personas de media. Las imágenes del menor estaban parcialmente tapadas con una pegatina digital, pero aún así el menor seguía siendo perfectamente identificable. Además, la reclamante se había dirigido a la Asociación solicitando la retirada de las imágenes, habiendo sido desatendida su petición.

Esta primera reclamación fue archivada por la AEPD al no apreciarse elementos que permitieran investigar una vulneración de los derechos.

La reclamante interpone recurso de reposición reiterando los argumentos expuestos y añadiendo pruebas de que se habían vuelto a publicar imágenes de su hijo en los grupos de Wechat, esta vez acompañados de comentarios sobre el mal comportamiento del menor. Este recurso es estimado por la Agencia y se abre un nuevo expediente. En virtud de los poderes de investigación otorgados a las autoridades de control por el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), la Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos.

La Agencia Española de Protección de Datos resuelve imponiendo una sanción a la Asociación Cultural de una multa de 3.000€, por el uso no autorizado de la imagen del hijo menor de edad del reclamante, sin la legitimación legal exigida al efecto.

La sanción se basa en el incumplimiento de los siguientes preceptos del RGPD, referidos al consentimiento como base legitimadora del tratamiento de datos personales de un menor:

  • El artículo 6.1.a) que impone que el tratamiento de los datos personales será lícito si el interesado dio su consentimiento para uno o varios fines específicos
  • El artículo 8.1 que expone que, cuando se aplique el mencionado artículo 6.1.a) y el niño sea menor de 15 años, el tratamiento únicamente será licito si han prestado consentimiento los titulares de su patria potestad o tutela

Además del incumplimiento de ambos preceptos, la Agencia atribuye a la Asociación reclamada dos agravantes que encontramos en el referido RGDP:

  • La acción negligente no intencional, pero significativa del artículo 83.2.b)
  • La afectación a identificadores personales básicos, en este caso la imagen del menor, según el artículo 83.2 g).

Con todo esto, incurren en una infracción tipificada como “muy grave” en el RGDP, que justifica la decisión por parte de la AEPD.

María Galera, Redacción Equal.

Protección de datos y Brexit ¿En qué situación está Reino Unido?

Reino Unido había traspuesto el Reglamento Europeo de Protección de Datos (RGPD) a su regulación doméstica (Data Protection Act 2018), contando también con una norma nacional complementaria de protección de datos adaptada al RGPD, muy similar a lo llevado a cabo por el resto de los países comunitarios, siendo de aplicación ambas normas.

El 31 de enero de 2020 entra en aplicación el acuerdo del Brexit por el que Reino Unido abandona la Unión Europea (UE),  en ese acuerdo se establece un periodo transitorio de un año de aplicación de toda la legislación de la UE en Reino Unido, por lo tanto, durante todo el pasado año 2020, la normativa en materia de protección de datos se reconocía tal y como se venía aplicando anteriormente.

Tras este año de transición, el 1 de enero de este año, el Reino Unido abandonó el mercado único y la unión aduanera de la UE, así como todas sus políticas. Como consecuencia de ello, perdió todos los derechos y beneficios que tenía como Estado miembro de la UE y no podrá acogerse a los acuerdos internacionales de la Unión.

Con el fin de limitar las perturbaciones en la medida de lo posible, se ha firmado un «Acuerdo de Comercio y Cooperación» (TCA – Trade and Cooperation Agreement) entre la Unión Europea y el Reino Unido

Con este panorama, Reino Unido se encuentra en la situación de que el RGPD ya no es de su obligado cumplimiento como si lo es para el resto de países de la Unión, por lo que sería necesario que apruebe una norma de protección de datos que englobe tanto el ámbito del Reglamento como de su norma adicional.

El mencionado TCA tiene un régimen profesional o más bien una “cláusula puente” que garantiza la plena continuidad de los flujos de datos entre el Espacio Económico Europeo y el Reino Unido sin necesidad de que las empresas y autoridades públicas necesiten poner en marcha ninguna otra  herramienta de transferencia, pero esta solución es aplicable exclusivamente por un periodo máximo de 6 meses, que finalizará el 30 de junio de 2021

De  cara al futuro, el pasado 19 de febrero, la Comisión inicio el procedimiento para la adopción de dos decisiones de adecuación de transferencias de datos personales al Reino Unido: La primera para poder realizar transferencias internacionales de datos, de conformidad y con las garantías que nos ofrece el RGPD, y la segunda para los datos en el ámbito penal y judicial (en aplicación de la Directiva 680/2016, que en España aún no ha sido traspuesta)

En este momento por lo tanto y hasta el 30 de junio, se pueden hacer transferencias internacionales de datos a Reino Unido como si se tratase de movimientos transfronterizos dentro del Espacio Económico Europeo, a la espera de que se aprueben las decisiones de adecuación por parte de las autoridades europeas para dar viabilidad a las futuras transferencias internacionales con el país.

María Galera, Redacción Equal.

Multa de 15.000€ a una comunidad de propietarios por parte de la AEPD

Tutoriales para la configuración de la privacidad

Pasamos horas y horas con nuestros móviles, tablets y portátiles en la Red, pero; ¿Nos preocupa la seguridad del rastro de datos que dejamos en internet? ¿Alguna vez te has parado a revisar la configuración de la privacidad de las aplicaciones que utilizas a diario?.

La Agencia Española de Protección de Datos actualizó la semana pasada su canal oficial de Youtube, donde podemos encontrar su proyecto de videos online “Protege tus datos en internet”, destinado a mostrar al ciudadano cómo puede gestionar su privacidad en la Red.

En el canal podemos encontrar una serie didáctica de videotutoriales, realizados por la Agencia junto con la OSI (Oficina de Seguridad del Internauta) dedicada a detallar paso a paso cómo configurar correctamente la privacidad en los sistemas operativos, navegadores, redes sociales y aplicaciones más utilizadas globalmente.

La Agencia ha actualizado los videos que ya tenía (como los relativos a Facebook, Instagram y Whatsapp) y ha añadido varios nuevos, como los navegadores Chrome y Edge, la red social Tik Tok y la app Telegram. La lista completa de todos los servicios sobre los que instruyen son:
o Redes Sociales: Facebook, Instagram, Tik Tok, Twitter
o Aplicaciones de mensajería instantánea: Telegram, Whatsapp
o Navegadores: Google Chrome, Microsoft Edge, Mozilla Firefox
o Sistemas operativos móviles: iOS Safari, Android

Cada video comienza con una introducción sobre el producto, exponiendo sus posibilidades y su método de funcionamiento. Continúa con un paso a paso, que, apoyado por las imágenes que ves en pantalla, hace muy fácil seguir las instrucciones para poder configurar acertadamente cada aspecto de la privacidad a la que puede llegar el servicio, proporcionando las recomendaciones para llegar al mayor grado de seguridad posible
La manera de activar la autenticación en dos pasos en las redes sociales (que detecta los inicios de sesión en navegadores y dispositivos no reconocidos para asegurarte de que sólo tu tengas acceso a tu cuenta), desactivar el acceso al micrófono y la cámara en las aplicaciones o controlar quien puede ver tu foto de perfil de WhatsApp, son algunas de las instrucciones que podemos encontrar en esta recopilación

Por ejemplo, en el primer vídeo de la serie, dedicado a Facebook, te explica el cómo, a través de los ajustes, configurar tu privacidad para activar la autenticación en dos pasos y recibir alertas de inicio de sesión; cómo elegir quién puede ver tus publicaciones y comentarios, quién puede comentarte y formas de evitar ser encontrado; cómo gestionar tus etiquetas para que tú seas el único que publica en tu perfil; te enseña a bloquear usuarios, a desactivar la ubicación y ocultar tu lista de amigos; así como a gestionar la personalización de la publicidad y a administrar el registro de tu actividad y las copias de tu información

María Galera, Redacción Equal.

 

https://equalprotecciondedatos.com

 

Filtración masiva de emails y contraseñas de Gmail, Outlook y Hotmail

 

 

Más de 3.270 millones de direcciones de correo electrónico con sus contraseñas han sido filtradas en un foro de internet para hackers, convirtiéndose esta en la filtración más importante (y preocupante) de la historia.

Esta filtración apodada como “COMB” (Compilation of Many Breaches), no es una nueva filtración en sí misma, sino una recopilación de todos los datos robados desde 2012 colgados en foros de internet dirigido a delincuentes informáticos. La colección de datos se encuentra archivada en una especie de “contenedor informático”, ordenada alfabéticamente, con sistema de cifrado y protegido con contraseña.

De las filtraciones pasadas compiladas, destaca una filtración masiva que afecto a 117 millones de cuentas de Netflix y LinkedIn en 2017 (la “Breach Compilation”), estos datos unidos a los que los ciberdelincuentes han podido extraer a raíz de ellos, la convierten en la filtración de datos más grande de la historia de internet.

Ahora la pregunta es: “¿Mi correo se habrá visto afectado?”

Como no todo son malas noticias, por fortuna, Cybernews, una agencia de noticias multimedia, ha creado una herramienta online para que podamos comprobar si alguna de nuestras cuentas de correo electrónico se ha visto afectada por esta u otra mega-filtración. Para revisarlo sólo hay que pinchar en el link que os dejamos a continuación y escribir la dirección de email.

https://cybernews.com/personal-data-leak-check/

Si tras clicar en el link has verificado que tu correo electrónico es uno de los afectados, te recomendamos cambiar cuanto antes las contraseñas de todas las cuentas vinculadas a esta dirección.

Hay que destacar la importancia de tener diferentes combinaciones de nombres de usuario y contraseñas para cada cuenta, si no fuese porque la mayoría de usuarios los reutilizan, el impacto del ciberataque habría sido muchísimo menor. Al utilizar la misma combinación continuamente no nos damos cuenta, pero de sufrir un ataque, estamos poniendo en bandeja al hacker el rastreo de todas nuestras cuentas.

Al leer esta noticia pensamos en redes sociales como Facebook, plataformas de entretenimiento como Netflix, correo electrónico… pero tenemos que tener en cuenta que hay otras muchas más importantes como las cuentas en aplicaciones del banco, de comercios electrónicos que tienen acceso a nuestras tarjetas, aplicaciones donde se encuentras nuestros datos de salud, etc.

El avance de la capacidad de ataque de los hackers debe hacernos reaccionar y poner cada vez más barreras a nuestra privacidad.

 

María Galera, Redacción Equal.

 

https://equalprotecciondedatos.com

 

Apple obliga a las aplicaciones a pedir permiso al usuario para rastrearle

 

 

El gran cambio en materia de privacidad llega esta primavera de la mano de Apple: las aplicaciones tendrán que pedir permiso expreso a los usuarios a través de iOS cada vez que deseen rastrear sus datos.

Esta novedad se llama App Tracking y consiste básicamente en dejar que el usuario decida. Este poder de decisión puede suponer un punto y aparte en la relación entre uso de aplicaciones y privacidad, ya que todos los dueños de dispositivos Apple van a poder conocer qué información personal están ofreciendo a las empresas y decidir mediante un simple “clic” si quieren seguir haciéndolo o no. Leer más

Pacto Digital Agencia Española de Protección de Datos

 

 

El pasado 28 de enero, la Agencia Española de Protección de Datos, en el marco del I Foro de Privacidad, Innovación y Sostenibilidad, lanzó el Pacto Digital Para la Protección de las Personas. Esta iniciativa tiene como finalidad fomentar  el compromiso con la privacidad de las empresas en sus políticas de sostenibilidad y modelos de negocio Leer más

Empresa no respeta el derecho de supresión ejercido por un excliente y es sancionada por la AEPD

En este procedimiento la AEPD decide sancionar a una empresa por seguir mandando mails comerciales a un excliente que había solicitado que todos sus datos fuesen eliminados de la base de datos de la empresa sancionada :

Procedimiento Nº: PS/00304/2020
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes ANTECEDENTES

Leer más