Contáctanos
91 745 11 57
info@audea.com

Inclusión en ficheros de morosos por impago de servicios telefónicos no contratados.

Revisando las recientes resoluciones sancionadoras de la AGPD, hemos detectado que una gran mayoría de las mismas resultan impuestas a operadores telefónicos. Los hechos implican la inclusión de los datos personales del supuesto deudor en los ficheros de morosos, y se producen como consecuencia del impago de servicios telefónicos, supuestamente contratados por particulares por medio del teléfono, sin la aplicación de las garantías legales adecuadas.

 Por tal motivo creemos conveniente realizar una serie de recomendaciones encaminadas a evitar que se produzca esta situación.

- Hemos detectado que existen un gran número de contrataciones fraudulentas, efectuadas telefónicamente, por persona distinta del titular de los datos. Ante cualquier indicio de que se está produciendo esta circunstancia recomendamos denunciar ante la autoridad competente.

- La contratación telefónica es un método valido y admitido en derecho, si se hace con las garantías adecuadas. Entre estas garantías será necesario que en el contrato se establezca la aceptación de todas y cada una de las cláusulas del contrato. Posteriormente se enviará inmediatamente al consumidor justificación escrita de la contratación efectuada, donde constarán todos los términos de la misma. Por norma general las operadoras telefónicas están respondiendo que las grabaciones de los contratos no están disponibles en sus ficheros, y no envían posteriormente la justificación de la celebración del contrato. Motivo más que suficiente para que se entienda que el contrato no se ha celebrado.

- La información que trate la operadora telefónica deberá ser exacta y puesta al día, debiendo la operadora implantar los mecanismos necesarios para contrastar los datos que se están transmitiendo telefónicamente. Cualquier comunicación efectuada por el verdadero titular de los datos indicando la suplantación de su personalidad, podría ser indicadora de que los datos que tratan pudieran ser incorrectos. A esta comunicación se debería adjuntar la denuncia que previamente hemos interpuesto.

- Para la inclusión de los datos de impago en los registros o ficheros de impagados se exige que la deuda sea cierta, vencida, exigible y que haya resultado impagada, por tal circunstancia una deuda en la que quede pendiente dilucidar la celebración del correspondiente contrato no es exigible,  hasta la comprobación de la veracidad de los hechos, es decir su certeza.

- También se exige que el acreedor haya requerido de pago al deudor antes de informar los datos a la entidad responsable de la gestión. Requerimiento que debe quedar acreditado necesariamente.

- Además se debe probar que se ha informado previamente de que en caso de impago, se procedería a la inscripción en este tipo de ficheros

- Y por último, si se cumplen todos los requisitos anteriores, el responsable del fichero de morosos, debe notificar a la persona que va a ser incluida en el fichero, con anterioridad, de su inclusión, para que pueda defender su posición. Esta circunstancia también es “olvidada”, en infinidad de ocasiones.

 

Aurelio J. Martínez Ferre

Consultor legal Áudea Seguridad de la Información.

www.audea.com


Solicítanos más información





Cuarta sesión anual abierta de la AEPD: Alojamiento en La Nube

El viernes 27 de enero de 2012 tuvo lugar la 4ª Sesión Anual Abierta de la Agencia Española de Protección de Datos. Si las jornadas de los últimos dos años tuvieron por protagonistas a la Videovigilancia y a la Administración Electrónica, esta vez le tocó el turno al alojamiento de datos personales en La Nube.

¿Qué supone el alojamiento en La Nube desde el punto de vista de la protección de datos y en qué se diferencia de los servicios de hosting tradicionales?

Desde el punto de vista legal, realmente no hay diferencias entre contratar un servicio de alojamiento de datos personales en La Nube y en un hosting que no utilice esta tecnología.

En ambos casos, se trata de una prestación de servicios con acceso a datos personales. Sin embargo, el alojamiento en La Nube y la deslocalización de la información supondrá, en muchos casos, que existan subcontrataciones y alojamientos de la información en terceros países ajenos al Espacio Económico Europeo, y a menudo sin que el cliente esté al tanto de ello.

Unas pocas semanas antes de la sesión abierta de este año, la Agencia lanzó una consulta pública para tomarle el pulso a las empresas españolas. Muchas de las preguntas del cuestionario iban dirigidas a determinar si el marco regulatorio actual es capaz de dar respuesta a esta nueva tecnología que ha venido para quedarse, y seguramente seguirá evolucionando hasta situaciones aún inimaginables.

La respuesta es evidente. La aplicación estricta de la normativa es prácticamente incompatible con el uso de esta tecnología. ¿Por qué?

  • Al alojar datos de carácter personal, responsabilidad de una empresa española, surge la obligación de tener un contrato firmado conforme al artículo 12 de la Ley Orgánica de Protección de Datos, y a los artículos 20, 21, 22 y 26 de su Reglamento de Desarrollo (o conforme al clausulado tipo aprobado por Decisión 2010/87/UE de la Comisión, si el prestador está ubicado fuera del Espacio Económico Europeo, de los países con nivel adecuado de protección, o de las empresas estadounidenses adheridas al tratado de Puerto Seguro).

A nadie se le escapa que los servicios de alojamiento en La Nube acaban siendo prestados, directa o indirectamente, por los gigantes de Internet, que imponen sus contratos de adhesión con todo tipo de Disclaimers a su favor ¿Y cuál es la capacidad negociadora de una empresa española con estos proveedores? Ninguna, y la respuesta de la Agencia en la sesión fue tajante: Si se desea contratar un servicio de alojamiento de datos personales en La Nube, y el contrato de adhesión no cumple con la Ley Orgánica de Protección de Datos, la empresa española no podrá contratar el servicio.

  • Entre las obligaciones del artículo 12 de la LOPD, está la de especificar las medidas de seguridad aplicables, conforme a lo establecido en el Reglamento.

Por la propia naturaleza del servicio de alojamiento, el proveedor definirá las medidas de seguridad que estime adecuadas, pero no es factible que se apliquen unas medidas u otras dependiendo de las necesidades del cliente. Es decir, no van a entrar en ningún momento a discutir si deben aplicar un nivel de seguridad más estricto dependiendo de la sensibilidad de los datos personales que quiera alojar su cliente. Por lo tanto, lo más lógico sería que las medidas de seguridad por defecto cumpliesen con el nivel alto de seguridad, pero es muy improbable que los proveedores implanten exactamente las medidas de seguridad exigidas por el Reglamento.

En todo caso, la respuesta de la Agencia sobre este asunto, ha sido algo más razonable de lo que cabía esperar. Bastará con que se especifiquen las medidas de seguridad reales que aplican el servicio, siempre que éstas garanticen un nivel más o menos equivalente a lo exigido por la normativa. Es decir, se admite que no se cumplan concretamente las medidas de seguridad definidas en el Reglamento, siempre que se implanten medidas alternativas que garanticen la confidencialidad, integridad y disponibilidad de la información. En especial, se destaca la importancia de la auditoría de seguridad para garantizar que las medidas son las adecuadas.

  • Estos servicios suelen configurarse a través de una compleja estructura de subcontrataciones o incluso de reventa del servicio, por lo que, aunque se firme con una empresa española, o europea, el servicio se presta de forma efectiva en otros países. Para que esta estructura sea legal, el cliente debería autorizar expresamente al proveedor para que pueda subcontratar legalmente la prestación del servicio, y en el caso de que la subcontratación implique una transferencia internacional, es necesario dotar el servicio de todas las garantías exigidas por la normativa.

Como novedad, la Agencia ha decidido flexibilizar el criterio que había mantenido anteriormente para la subcontratación con transferencia internacional. Hasta la fecha, era el propio cliente, responsable de un fichero quien debía firmar los contratos y solicitar a la Agencia la autorización para la transferencia internacional (ya fuese por sí mismo, o a través de un poder de representación a favor del proveedor). Es decir, en general, si un cliente contrataba un servicio con un proveedor español, y este quería subcontratar con una empresa de Marruecos, era necesario que el cliente firmase directamente (o por representación) con la empresa de Marruecos, y solicitase la autorización del Director de la Agencia.

La Agencia se ha replanteado este criterio, y ha elaborado un clausulado tipo para permitir que los proveedores (encargados del tratamiento) puedan ser exportadores de datos personales. Sin embargo, esto no deja de ser una transferencia de la responsabilidad de algo que en muchas ocasiones no se va a poder cumplir (por lo que veíamos en el primer punto).

Dejando de lado el tema del alojamiento en La Nube, surgieron algunos otros temas de interés:

  • Se procedió a la entrega de los premios protección de datos 2011.
  • Expectación sobre decisión del Tribunal Supremo con respecto a la resolución del Tribunal de Justicia de la Unión Europea, por la que España habría transpuesto incorrectamente la Directiva de Protección de Datos; en concreto, en lo referente al uso de datos personales sin necesidad de consentimiento de los afectados.
  • Expectación sobre la inminente modificación de la normativa europea de Protección de Datos.
  • Abandono del criterio de la sanción mínima en cada escala de infracción. Tradicionalmente, la Agencia siempre ha ido imponiendo las sanciones mínimas dentro de la escala correspondiente en cada caso (actualmente, 900 euros para las infracciones leves; 40.000 euros para las graves; y 300.000 euros para las muy graves). La Agencia ya ha avisado de que este criterio va a dejar de aplicarse, lo que dará mayor peso a las circunstancias agravantes en cada situación conforme al régimen sancionador actual.
  • Contra el criterio habitual de la Agencia, en la presentación se admitía como válida la posibilidad de redirigir a una página web para cumplir con el deber de información. No obstante, todo parece apuntar a que se trata de una errata, o de una verdad a medias, pues los fundamentos de la mayoría de las resoluciones, justifican que esto no se puede hacer, ya que el acceso a Internet en España, apenas roza el 50% de implantación.

Al igual que en años anteriores, toda la documentación de la jornada se publicará en los próximos días a través de la página web de la Agencia (www.agpd.es).

Por el momento nos tenemos que conformar con este vídeo de sensibilización, que consiguió dibujar más de una sonrisa.

Áudea Seguridad de la Información

José Carlos Moratilla

Departamento Derecho TIC

www.audea.com


Solicítanos más información





Ataques en cliente

Desde hace años la seguridad informática viene tomando cada vez más protagonismo en todos los ámbitos: empresarial, personal o doméstico y, por supuesto, gubernamental. Esta creciente importancia ha proporcionado grandes avances en la seguridad perimetral fundamentalmente a través de sofisticados firewalls, sistemas de detección y de prevención de intrusiones, monitorización constante de la red, servidores mejor securizados, etc.

En los últimos tiempos, y debido a las mencionadas mejoras en el ámbito de la seguridad perimetral, la ciberdelincuencia se ha orientado hacia la parte más débil: el usuario del sistema. ¿Y cómo llegan estos atacantes hasta el usuario? Las vías más comunes, entre otras, son las siguientes:

-         Correo electrónico: muchos de nosotros hemos recibido algún correo, digamos, “sospechoso”, en el que nos adjuntaban un archivo todavía más sospechoso y nos “invitaban” amablemente a abrirlo. O en otros casos, nos incluían un link que en el que debíamos hacer click para obtener fabulosos descuentos o acceder a áreas premium de los servicios más variopintos.

-         Páginas web (phishing): igualmente conocidos son los websites que imitan a otro real (por ejemplo, una imitación de la página de nuestro banco). En muchos casos, salvo que nos fijemos en ciertos detalles de la página que nos pueden dar pistas de que se trata de una “mala copia”, podremos caer en la trampa y pensar que se trata de la página auténtica, por lo que el atacante se habrá hecho con nuestras credenciales de usuario.

-         Vulnerabilidades o exploits del navegador web: ningún navegador parece estar libre de debilidades de seguridad que se van descubriendo cada mes por todo el planeta. El problema en este caso es que la solución es casi siempre reactiva, es decir, el fabricante del navegador nos ofrece un patch o actualización del mismo cuando la vulnerabilidad ya es conocida por un número notable de personas. En el tiempo que transcurra entre que la vulnerabilidad se ha hecho pública y el usuario instala el parche que la corrige, el sistema estará en serio peligro de ser comprometido por un atacante.

-         Controles ActiveX: en ciertas ocasiones, cuando navegamos por Internet, nos aparece un mensaje que solicita nuestra autorización para ejecutar pequeños programas en nuestro propio equipo, como requisito imprescindible para poder continuar con nuestra actividad en la página web en la que nos encontramos. Estos programas provienen del servidor web al que hemos accedido, pero se ejecutan directamente en el ordenador del usuario, por lo que el peligro está claro.

-         Descarga y ejecución de archivos .exe: puede conseguirse a través de técnicas de ingeniería social, es decir, a través del engaño del usuario o del abuso de su confianza, simpatía, etc.

-         Mensajería instantánea: actualmente los programas tipo Messenger están muy extendidos entre los usuarios, que incluso pueden llegar a aceptar como contactos a personas que no conocen, o que no conocen lo suficiente. En estos casos el atacante intentará que la víctima acepte un archivo y lo ejecute en su equipo.

-         Explotación de vulnerabilidades de terceros a través del navegador: no podemos dejar sin comentar otra de las vías por las que un atacante puede llegar a controlar el equipo de un usuario, y esa vía es la de aprovechar a través del navegador de Internet las vulnerabilidades o exploits que se dan en aplicaciones de terceros (distintos al fabricante del navegador en la mayoría de los casos). Especial atención se debe prestar a los numerosos exploits que afectan a conocidos reproductores de vídeo que la mayoría de nosotros utilizamos con notable frecuencia.

Y hasta aquí la primera aproximación a los ataques más comunes que pueden lanzarse para hacerse con el control de un equipo de usuario, que podrá servir al atacante como plataforma de ataque a una red entera o a servidores de la organización a la que pertenezca el usuario.

Queda, pues, patente la necesidad de educar y concienciar a los usuarios, pues es la forma más eficaz de proteger en última instancia toda nuestra red.

Áudea Seguridad de la Información

Manuel Díaz Sampedro

Departamento Gestión de la Seguridad

www.audea.com


Solicítanos más información





La figura del apercibimiento en la Ley Orgánica de Protección de Datos. El requisito de la no sanción o apercibimiento previo.

En otras ocasiones hemos hablado de la figura del apercibimiento, regulado en el artículo 45 de la Ley Orgánica de Protección de Datos, en adelante LOPD, http://www.audea.com/noticias/el-apercibimiento-en-la-lopd.

En esta ocasión quisiera hacer hincapié en uno de los requisitos que la Ley exige para que se pueda aplicar esta figura. El artículo mencionado, en su párrafo 6.b. exige para la aplicación de este beneficio “que el infractor no hubiese sido sancionado o apercibido con anterioridad”.

El requisito tiene su lógica y es que no se pueda beneficiar de esta figura una empresa que constantemente infrinja la LOPD. Pero también merece una crítica, y es que al contrario de lo que ocurre con las infracciones penales, las infracciones administrativas no pueden ser canceladas.

El artículo 136 del código penal indica que “Los condenados que hayan extinguido su responsabilidad penal tienen derecho a obtener del Ministerio de Justicia, de oficio o a instancia de parte, la cancelación de sus antecedentes penales”, poniendo como requisito el no haber vuelto a delinquir en determinados plazos, según el delito cometido con anterioridad. Lo mismo ocurre con las medidas de seguridad impuestas. Con la cancelación de los antecedentes se entiende que el condenado ha cumplido con sus obligaciones con la justicia, y se deben considerar estos como no puestos.

En materia administrativa no he encontrado una norma similar. Sin embargo en aplicación del punto 1 del art. 24 de nuestra Constitución, y según tiene reconocida la Jurisprudencia de la Sala 3ª en lo Contencioso Administrativo, en Sentencias de fecha 14/11/85, 10/11/86 y 10/01/87 afirmó: “Es la doctrina ya consolidada, que los principios inspiradores del derecho penal, son aplicables con ciertas matizaciones al derecho administrativo sancionador… de esta forma, son de común aplicación los principios capitales de la ciencia penal: legalidad, tipicidad, imputabilidad y culpabilidad, proporcionalidad, non bis in ídem, etc. A los que deben añadirse las garantías adjetivas: no indefensión, carga de la prueba, interdicción de la reformatio in peius, etc”. En este sentido la Disposición transitoria primera del actual código penal aplica la disposición más favorable para el reo, aunque los hechos hubieran sido cometidos con anterioridad a la entrada en vigor de la norma. En atención a lo expuesto este principio debería ser aplicable al procedimiento administrativo, se debería aplicar esta figura del apercibimiento, como mas favorable, aunque los hechos se hubiesen cometido con anterioridad a la instauración de este principio.

Además pienso que resultaría un agravio comparativo, además de producir indefensión, que las sanciones administrativas, al contrario que las penales, no pudiesen ser canceladas, y su influencia colgase, cual espada de Damocles, sobre la cabeza del administrado, de por vida.

Abundando en el tema, la prescripción de las sanciones muy graves en la LOPD es de 3 años, tiempo más que suficiente para considerar que un hecho por el que ya ha sido sancionado un administrado debería ser olvidado, principio inspirador de la prescripción. Este principio considero que debería ser aplicado también para la cancelación de antecedentes administrativos, máxime cuando el administrado ya ha cumplido con sus obligaciones de pago de las sanciones.

 

Áudea Seguridad de la Información

Aurelio J. Martínez Ferre

Consultor legal Áudea Seguridad de la Información.

www.audea.com

 


Solicítanos más información





Hackerspace Global Grid

Podría ser el título de una nueva película, o incluso de una serie de televisión, pero no se trata de ninguna de las dos cosas. Se trata, por increíble que pueda sonar, de un proyecto que de llegar a hacerse realidad podría cambiar el panorama de Internet de forma radical.

Desde hace tiempo diferentes grupos de la sociedad civil se vienen quejando de que Internet ya no es lo que era, de que la censura ha conseguido acabar con aquél paraíso del aprendizaje que fue en sus comienzos la World Wide Web. Quizás se ha tratado de un cambio tan gradual y medido a lo largo de los años, que una gran parte de usuarios de la Red lo acepta sin más, porque no le resulta del todo perceptible o, simplemente, no afecta a sus hábitos de navegación ni a sus intereses o hobbies personales.

Pero lo cierto es que para muchos la censura en Internet avanza y avanza, y la Red corre el peligro de convertirse en un mercado más al servicio de los mercados. Evidentemente, eso a mucha gente no le parece un futuro muy prometedor. Entre esa gente, están los miembros del proyecto Hackerspace Global Grid, que tiene como objetivo poner en órbita un satélite inicialmente para poder poco a poco ir desplegando una red que permita, por decirlo en términos fáciles, disponer de una Internet alternativa que no esté cercada por los intereses económicos y políticos de siempre.

La idea ha nacido en el pasado Chaos Communication Congress, celebrado en Berlín, y en principio podría comenzar a tomar forma durante el año 2012. Los usuarios se conectarían a la nueva Red a través de pequeñas estaciones de bajo coste que se venderían sin ánimo de lucro (se ha fijado un precio máximo de 100 euros) o que incluso podrían ser construidas por los propios usuarios. Según uno de los integrantes del proyecto, pretenden tener preparados 3 prototipos en este año 2012 para poder presentarlos en el próximo Chaos Communication Congress.

De nuevo estamos ante un escenario que ya conocíamos, el de la lucha entre quienes pretenden implantar mayores cotas de control social y aquellos individuos que consideran que superar ciertas cotas de control es, simplemente, inaceptable.

Áudea Seguridad de la Información

Manuel Diaz Sampedro

Departamento de Gestión

www.audea.com


Solicítanos más información





Áudea en los Medios
Solicita Información AHORA sin compromiso
 

cforms contact form by delicious:days

Han confiado en nosotros

Entrevista en Business TV

     El Lunes 30 de Enero, Jesús Sanchez Director Ejecutivo de Áudea ha sidoentrevistado en Businnes TV y simultaneado en [...]

Áudea apuesta por la formación en el 2012

Áudea Seguridad de la Información, es una consultora tecnológica que presta servicios profesionales relacionados con las seguridad de la información [...]

¿Quieres formar parte de nuestro equipo de profesionales?

Buscamos profesionales como tú, dedicados a la consultoría, auditoría de seguridad y formación de la seguridad en la información.
Si eres Ingeniero/a Técnico o Superior en Informática [...]

Reputación Online

¿Hablan de su empresa en Internet? ¿Tiene una mala reputación? Nosotros  gestionamos su Reputación Online.  

Newsletter

Introduce tu e-mail para recibir nuestras noticias.

Contacto

  • 91 745 11 57
  • info@audea.com
  • C/ Playa de Liencres 2
    (Centro Europa Empresarial),
    28290 Las Rozas - Madrid

Síguenos también