Contáctanos
91 745 11 57
info@audea.com

Inclusión en ficheros de morosos por impago de servicios telefónicos no contratados.

Revisando las recientes resoluciones sancionadoras de la AGPD, hemos detectado que una gran mayoría de las mismas resultan impuestas a operadores telefónicos. Los hechos implican la inclusión de los datos personales del supuesto deudor en los ficheros de morosos, y se producen como consecuencia del impago de servicios telefónicos, supuestamente contratados por particulares por medio del teléfono, sin la aplicación de las garantías legales adecuadas.

 Por tal motivo creemos conveniente realizar una serie de recomendaciones encaminadas a evitar que se produzca esta situación.

- Hemos detectado que existen un gran número de contrataciones fraudulentas, efectuadas telefónicamente, por persona distinta del titular de los datos. Ante cualquier indicio de que se está produciendo esta circunstancia recomendamos denunciar ante la autoridad competente.

- La contratación telefónica es un método valido y admitido en derecho, si se hace con las garantías adecuadas. Entre estas garantías será necesario que en el contrato se establezca la aceptación de todas y cada una de las cláusulas del contrato. Posteriormente se enviará inmediatamente al consumidor justificación escrita de la contratación efectuada, donde constarán todos los términos de la misma. Por norma general las operadoras telefónicas están respondiendo que las grabaciones de los contratos no están disponibles en sus ficheros, y no envían posteriormente la justificación de la celebración del contrato. Motivo más que suficiente para que se entienda que el contrato no se ha celebrado.

- La información que trate la operadora telefónica deberá ser exacta y puesta al día, debiendo la operadora implantar los mecanismos necesarios para contrastar los datos que se están transmitiendo telefónicamente. Cualquier comunicación efectuada por el verdadero titular de los datos indicando la suplantación de su personalidad, podría ser indicadora de que los datos que tratan pudieran ser incorrectos. A esta comunicación se debería adjuntar la denuncia que previamente hemos interpuesto.

- Para la inclusión de los datos de impago en los registros o ficheros de impagados se exige que la deuda sea cierta, vencida, exigible y que haya resultado impagada, por tal circunstancia una deuda en la que quede pendiente dilucidar la celebración del correspondiente contrato no es exigible,  hasta la comprobación de la veracidad de los hechos, es decir su certeza.

- También se exige que el acreedor haya requerido de pago al deudor antes de informar los datos a la entidad responsable de la gestión. Requerimiento que debe quedar acreditado necesariamente.

- Además se debe probar que se ha informado previamente de que en caso de impago, se procedería a la inscripción en este tipo de ficheros

- Y por último, si se cumplen todos los requisitos anteriores, el responsable del fichero de morosos, debe notificar a la persona que va a ser incluida en el fichero, con anterioridad, de su inclusión, para que pueda defender su posición. Esta circunstancia también es “olvidada”, en infinidad de ocasiones.

 

Aurelio J. Martínez Ferre

Consultor legal Áudea Seguridad de la Información.

www.audea.com


Solicítanos más información





Cuarta sesión anual abierta de la AEPD: Alojamiento en La Nube

El viernes 27 de enero de 2012 tuvo lugar la 4ª Sesión Anual Abierta de la Agencia Española de Protección de Datos. Si las jornadas de los últimos dos años tuvieron por protagonistas a la Videovigilancia y a la Administración Electrónica, esta vez le tocó el turno al alojamiento de datos personales en La Nube.

¿Qué supone el alojamiento en La Nube desde el punto de vista de la protección de datos y en qué se diferencia de los servicios de hosting tradicionales?

Desde el punto de vista legal, realmente no hay diferencias entre contratar un servicio de alojamiento de datos personales en La Nube y en un hosting que no utilice esta tecnología.

En ambos casos, se trata de una prestación de servicios con acceso a datos personales. Sin embargo, el alojamiento en La Nube y la deslocalización de la información supondrá, en muchos casos, que existan subcontrataciones y alojamientos de la información en terceros países ajenos al Espacio Económico Europeo, y a menudo sin que el cliente esté al tanto de ello.

Unas pocas semanas antes de la sesión abierta de este año, la Agencia lanzó una consulta pública para tomarle el pulso a las empresas españolas. Muchas de las preguntas del cuestionario iban dirigidas a determinar si el marco regulatorio actual es capaz de dar respuesta a esta nueva tecnología que ha venido para quedarse, y seguramente seguirá evolucionando hasta situaciones aún inimaginables.

La respuesta es evidente. La aplicación estricta de la normativa es prácticamente incompatible con el uso de esta tecnología. ¿Por qué?

  • Al alojar datos de carácter personal, responsabilidad de una empresa española, surge la obligación de tener un contrato firmado conforme al artículo 12 de la Ley Orgánica de Protección de Datos, y a los artículos 20, 21, 22 y 26 de su Reglamento de Desarrollo (o conforme al clausulado tipo aprobado por Decisión 2010/87/UE de la Comisión, si el prestador está ubicado fuera del Espacio Económico Europeo, de los países con nivel adecuado de protección, o de las empresas estadounidenses adheridas al tratado de Puerto Seguro).

A nadie se le escapa que los servicios de alojamiento en La Nube acaban siendo prestados, directa o indirectamente, por los gigantes de Internet, que imponen sus contratos de adhesión con todo tipo de Disclaimers a su favor ¿Y cuál es la capacidad negociadora de una empresa española con estos proveedores? Ninguna, y la respuesta de la Agencia en la sesión fue tajante: Si se desea contratar un servicio de alojamiento de datos personales en La Nube, y el contrato de adhesión no cumple con la Ley Orgánica de Protección de Datos, la empresa española no podrá contratar el servicio.

  • Entre las obligaciones del artículo 12 de la LOPD, está la de especificar las medidas de seguridad aplicables, conforme a lo establecido en el Reglamento.

Por la propia naturaleza del servicio de alojamiento, el proveedor definirá las medidas de seguridad que estime adecuadas, pero no es factible que se apliquen unas medidas u otras dependiendo de las necesidades del cliente. Es decir, no van a entrar en ningún momento a discutir si deben aplicar un nivel de seguridad más estricto dependiendo de la sensibilidad de los datos personales que quiera alojar su cliente. Por lo tanto, lo más lógico sería que las medidas de seguridad por defecto cumpliesen con el nivel alto de seguridad, pero es muy improbable que los proveedores implanten exactamente las medidas de seguridad exigidas por el Reglamento.

En todo caso, la respuesta de la Agencia sobre este asunto, ha sido algo más razonable de lo que cabía esperar. Bastará con que se especifiquen las medidas de seguridad reales que aplican el servicio, siempre que éstas garanticen un nivel más o menos equivalente a lo exigido por la normativa. Es decir, se admite que no se cumplan concretamente las medidas de seguridad definidas en el Reglamento, siempre que se implanten medidas alternativas que garanticen la confidencialidad, integridad y disponibilidad de la información. En especial, se destaca la importancia de la auditoría de seguridad para garantizar que las medidas son las adecuadas.

  • Estos servicios suelen configurarse a través de una compleja estructura de subcontrataciones o incluso de reventa del servicio, por lo que, aunque se firme con una empresa española, o europea, el servicio se presta de forma efectiva en otros países. Para que esta estructura sea legal, el cliente debería autorizar expresamente al proveedor para que pueda subcontratar legalmente la prestación del servicio, y en el caso de que la subcontratación implique una transferencia internacional, es necesario dotar el servicio de todas las garantías exigidas por la normativa.

Como novedad, la Agencia ha decidido flexibilizar el criterio que había mantenido anteriormente para la subcontratación con transferencia internacional. Hasta la fecha, era el propio cliente, responsable de un fichero quien debía firmar los contratos y solicitar a la Agencia la autorización para la transferencia internacional (ya fuese por sí mismo, o a través de un poder de representación a favor del proveedor). Es decir, en general, si un cliente contrataba un servicio con un proveedor español, y este quería subcontratar con una empresa de Marruecos, era necesario que el cliente firmase directamente (o por representación) con la empresa de Marruecos, y solicitase la autorización del Director de la Agencia.

La Agencia se ha replanteado este criterio, y ha elaborado un clausulado tipo para permitir que los proveedores (encargados del tratamiento) puedan ser exportadores de datos personales. Sin embargo, esto no deja de ser una transferencia de la responsabilidad de algo que en muchas ocasiones no se va a poder cumplir (por lo que veíamos en el primer punto).

Dejando de lado el tema del alojamiento en La Nube, surgieron algunos otros temas de interés:

  • Se procedió a la entrega de los premios protección de datos 2011.
  • Expectación sobre decisión del Tribunal Supremo con respecto a la resolución del Tribunal de Justicia de la Unión Europea, por la que España habría transpuesto incorrectamente la Directiva de Protección de Datos; en concreto, en lo referente al uso de datos personales sin necesidad de consentimiento de los afectados.
  • Expectación sobre la inminente modificación de la normativa europea de Protección de Datos.
  • Abandono del criterio de la sanción mínima en cada escala de infracción. Tradicionalmente, la Agencia siempre ha ido imponiendo las sanciones mínimas dentro de la escala correspondiente en cada caso (actualmente, 900 euros para las infracciones leves; 40.000 euros para las graves; y 300.000 euros para las muy graves). La Agencia ya ha avisado de que este criterio va a dejar de aplicarse, lo que dará mayor peso a las circunstancias agravantes en cada situación conforme al régimen sancionador actual.
  • Contra el criterio habitual de la Agencia, en la presentación se admitía como válida la posibilidad de redirigir a una página web para cumplir con el deber de información. No obstante, todo parece apuntar a que se trata de una errata, o de una verdad a medias, pues los fundamentos de la mayoría de las resoluciones, justifican que esto no se puede hacer, ya que el acceso a Internet en España, apenas roza el 50% de implantación.

Al igual que en años anteriores, toda la documentación de la jornada se publicará en los próximos días a través de la página web de la Agencia (www.agpd.es).

Por el momento nos tenemos que conformar con este vídeo de sensibilización, que consiguió dibujar más de una sonrisa.

Áudea Seguridad de la Información

José Carlos Moratilla

Departamento Derecho TIC

www.audea.com


Solicítanos más información





Entrevista en Business TV

  

 

El Lunes 30 de Enero, Jesús Sanchez Director Ejecutivo de Áudea ha sidoentrevistado en Businnes TV y simultaneado en  Radio Intereconomía por José Cavero en su programa Desayunos Capital. 

En este link podéis ver la entrevista:

http://www.youtube.com/watch?v=9Ts2XDq4r60&feature=youtu.be

Ha sido un placer intervenir en el programa y muchas gracias a todos los que lo han hecho posible.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com


Solicítanos más información





Áudea apuesta por la formación en el 2012

Áudea Seguridad de la Información, es una consultora tecnológica que presta servicios profesionales relacionados con las seguridad de la información desde tres departamentos: legal, gestión y técnico.

Con 10 años de experiencia, Áudea separa los servicios de formación con el fin de englobarlos en un solo departamento dedicado exclusivamente a captar e identificar las necesidades de los clientes para aportar soluciones en materia de formación y responsabilizarse de la gestión integral garantizando así su calidad y servicio.

La nueva oferta formativa de Áudea engloba las modalidades:

  •         Presencial: Nuestros cursos tienen una parte teórica en la que se ofrece una visión específica de las correspondientes normativas, haciendo hincapié en cuestiones de especial interés para el personal asistente y   otra práctica tratando de resolver las cuestiones a las que más frecuentemente se tienen que enfrentar las personas a las que va dirigida la formación.
  •         Mixta (Blended learning): Tomamos lo mejor de la formación presencial y lo mejor de la formación online para alcanzar los distintos objetivos que persigue un programa formativo.
  •        Online (e-learning): Actualmente contamos con una plataforma propia y dos sistemas de gestión de cursos de distribución libre, MOODLE y SCORM. Estas plataformas tecnológicas también se conocen como LMS (Learning Management System).

Entre otros muchos, destacamos estos cursos:

  •        Sistema de Gestión de la Seguridad ISO / IEC 27001
  •        Sistema de Gestión de la Continuidad BS 25999  
  •        Sensibilización
  •        Curso ISO/IEC 20000
  •        Auditoría Normativa
  •       Protección de Datos y Ley de Servicios de la Sociedad de la Información y Comercio Electrónico
  •        Hacking Ético

Los contenidos formativos están diseñados a partir de proyectos reales y con la orientación que demanda el ámbito empresarial, es decir, una formación impartida por y para profesionales, con criterios pedagógicos y con aplicación práctica.

Los títulos de especialización son títulos propios emitidos por Áudea, avalados por su prestigio, experiencia y posicionamiento en el sector.

Para más información envíe un email a info@audea.com o entre en www.audea.com


Solicítanos más información





Boletines de Seguridad de Microsoft. Enero de 2012

Se ha publicado el primer boletín de seguridad del año 2012, presentando 1 vulnerabilidad crítica y 6 importantes, así como su solución inmediata.

Las vulnerabilidades se citan a continuación, así como el enlace para descarga de la actualización que soluciona el problema.

  1. 1.      Vulnerabilidades en Windows Media podrían permitir la ejecución remota de código (2636391). Gravedad: Crítica

Descarga de la actualización:

http://technet.microsoft.com/es-es/security/bulletin/MS12-004

  1. 2.      Una vulnerabilidad en el kernel de Windows podría permitir la omisión de característica de seguridad (2644615). Gravedad: Importante

Descarga de la actualización:

http://technet.microsoft.com/es-es/security/bulletin/MS12-001

  1. 3.      Una vulnerabilidad en Empaquetador de objetos podría permitir la ejecución remota de código (2603381) Gravedad: Importante 

Descarga de la actualización:

http://technet.microsoft.com/es-es/security/bulletin/MS12-002

  1. 4.      Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2646524) Gravedad: Importante 

Descarga de la actualización:

http://technet.microsoft.com/es-es/security/bulletin/MS12-003

  1. 5.      Una vulnerabilidad en Microsoft Windows podría permitir la ejecución remota de código (2584146) Gravedad: Importante 

Descarga de la actualización:

http://technet.microsoft.com/es-es/security/bulletin/MS12-005

  1. 6.      Una vulnerabilidad en SSL/TLS podría permitir la divulgación de información (2643584) Gravedad: Importante 

Descarga de la actualización:

http://technet.microsoft.com/es-es/security/bulletin/MS12-006

  1. 7.      Una vulnerabilidad en la biblioteca AntiXSS podría permitir la divulgación de información 2607664) Gravedad: Importante 

Descarga de la actualización:

http://technet.microsoft.com/es-es/security/bulletin/MS12-007

 

Más información en:

http://technet.microsoft.com/es-es/security/bulletin/ms12-jan

 

Áudea Seguridad de la Información

Departamento Seguridad TIC

www.audea.com


Solicítanos más información





Áudea en los Medios
Solicita Información AHORA sin compromiso
 

cforms contact form by delicious:days

Han confiado en nosotros

Entrevista en Business TV

     El Lunes 30 de Enero, Jesús Sanchez Director Ejecutivo de Áudea ha sidoentrevistado en Businnes TV y simultaneado en [...]

Áudea apuesta por la formación en el 2012

Áudea Seguridad de la Información, es una consultora tecnológica que presta servicios profesionales relacionados con las seguridad de la información [...]

¿Quieres formar parte de nuestro equipo de profesionales?

Buscamos profesionales como tú, dedicados a la consultoría, auditoría de seguridad y formación de la seguridad en la información.
Si eres Ingeniero/a Técnico o Superior en Informática [...]

Reputación Online

¿Hablan de su empresa en Internet? ¿Tiene una mala reputación? Nosotros  gestionamos su Reputación Online.  

Newsletter

Introduce tu e-mail para recibir nuestras noticias.

Contacto

  • 91 745 11 57
  • info@audea.com
  • C/ Playa de Liencres 2
    (Centro Europa Empresarial),
    28290 Las Rozas - Madrid

Síguenos también