Más de 3 millones de españoles, navegan desprotegidos
En España se estima que hay casi 3 millones de Internautas que son víctimas potenciales de los cibercriminales por no disponer de sistemas de seguridad adecuados. Los usuarios se arriesgan a sufrir los ataques de ciberdelincuentes que pueden hacerse con el control de los equipos o conseguir datos personales.
El malware está en permanente en evolución y crecimiento. G Data Security Labs ha contabilizado más de 1 millón de nuevos programas maliciosos en el primer semestre del año.
La compañía ha realizado el estudio ‘Cómo perciben los usuarios las amenazas de Internet’ con la finalidad de conocer como actúan y así usuarios podrán protegerse. Es estudio ha sido realizado a partir de una encuesta internacional online en la que han participado 15.559 internautas de once países con edades comprendidas entre los 18 y los 65 años, consiguiendo así una visión global.
Un uso de Internet sin la protección adecuada implica un riesgo muy alto de convertirse en víctima de los cibercriminales, de acuerdo a un estudio sobre seguridad e Internet elaborado por G Data.
Si en España hay alrededor de 27 millones de internautas según el estudio de la Fundación Telefónica ‘La Sociedad de la Información en España 2010′, esto significaría que casi 3 millones podrían considerarse como víctimas fáciles del cibercrimen.
Áudea Seguridad de la Información
Departamento de Comunicación
Fuente Portaltic
Análisis de la Reforma del Régimen Sancionador de la LOPD
Además de la famosa “Ley Sinde”, la Ley de Economía Sostenible trajo consigo una esperada reforma del régimen sancionador de la Ley Orgánica de Protección de Datos.
A día de hoy se han realizado muchas comparativas entre el antiguo régimen sancionador y el nuevo, pero habiendo pasado unos meses de aplicación práctica, considero oportuno partir de cero y analizar el nuevo régimen sancionador de forma íntegra:
¿Quiénes pueden ser multados?
Según el artículo 43 de la LOPD, están sujetos al régimen sancionador de la LOPD:
Los Responsables de los ficheros; es decir, aquellas entidades que tratan datos personales de forma directa, por ejemplo, de sus empleados o de sus clientes.
Los Encargados del tratamiento; es decir, aquellas entidades que tratan datos personales por encargo del Responsable, por ejemplo, la gestoría que hace las nóminas de los empleados del Responsable, o el callcenter que atiende las llamadas de los clientes del Responsable.
¿Y qué sucede con las administraciones públicas? (empresas públicas, ayuntamientos, etc.). No reciben multas, ya que las pagaríamos los ciudadanos de forma indirecta, pero la agencia de protección de datos que corresponda deberá dictar una resolución exigiendo las medidas que deben adaptarse para solucionar la infracción, y con la posibilidad de abrir un procedimiento disciplinario dentro de la propia administración pública. En principio, esto debería evitar casos tan graves como aquel protagonizado por la DGT y su sistema de consulta de puntos.
¿Y se puede multar a un ciudadano? Mientras los ciudadanos traten datos dentro de su esfera personal o familiar, no. Cualquier otro tratamiento o recogida de datos personales, será potencialmente sancionable.
Como curiosidad, cabe destacar que el artículo 43 de la LOPD no menciona la figura del Responsable del Tratamiento, identificada a lo largo de toda la Ley como sinónimo del Responsable del Fichero. Sin embargo, la Agencia Española de Protección de Datos, la Audiencia Nacional y el Tribunal Supremo entienden el Responsable del Tratamiento como una figura independiente. Esto supone que en caso de recibir una denuncia como Responsable del Tratamiento, podría alegarse que la LOPD no reconoce tal figura dentro de su régimen sancionador (aunque es probable que la AEPD hiciese caso omiso de tal contradicción).
¿Qué actividades pueden ser multadas?
El artículo 44 de la LOPD diferencia 3 grados de infracción: leve, grave y muy grave.
Son infracciones leves:
No inscribir o no tener correctamente inscritos los ficheros en el Registro General de Protección de Datos. Una gran cantidad de ficheros inscritos en el RGPD tienen defectos o campos sin rellenar que actualmente son obligatorios.
No poner la cláusula informativa LOPD en todas las vías de entrada de datos personales. Sólo se apreciará esta infracción en los casos en que no sea necesario el consentimiento inequívoco, ya que en los supuestos en los que sí es necesario, la infracción será grave o, en su caso, muy grave.
No tener un contrato con el Encargado del tratamiento con las cláusulas exigidas por la Ley.
Son infracciones graves:
Incumplir el Principio de Calidad del artículo 4 de la LOPD que, en suma, significa que los datos tienen que ser correctos y actualizados, y deben ser utilizados para la finalidad para la cual se recogieron.
Tratar o ceder datos sin consentimiento inequívoco del afectado cuando éste sea necesario (salvo que sean datos especialmente protegidos)
Vulnerar el deber de secreto con respecto a los datos personales, como por ejemplo, publicarlos en Internet sin consentimiento.
Impedir o poner trabas al ejercicio de los derechos reconocidos por la LOPD (acceso, rectificación, cancelación y oposición).
No implantar correctamente las medidas de seguridad
No hacer caso de los requerimientos de la AEPD u obstruir su función inspectora
Finalmente, son infracciones muy graves:
Tratar datos de forma engañosa o fraudulenta.
Tratar o ceder datos especialmente protegidos sin el consentimiento necesario.
No cesar en el tratamiento de los datos cuando la AEPD haya declarado ilícito tal tratamiento.
Efectuar transferencias internacionales de datos sin cumplir con las obligaciones de la LOPD.
Mi empresa cometió una infracción hace años cuando no sabíamos nada de esta Ley. ¿Me pueden multar? Las infracciones tienen un plazo de prescripción: 1 año para las leves, 2 para las graves y 3 para las muy graves (siempre desde la fecha de comisión de la infracción). Superado este plazo, no se pueden sancionar.
Y ¿a cuánto pueden ascender las multas?
En principio, el importe de las multas debe seguir el siguiente baremo:
Infracciones leves: 900 euros – 40.000 euros
Infracciones graves: 40.000 euros – 300.000 euros
Infracciones muy graves: 300.000 euros – 600.000 euros
Pero mi empresa cometió una infracción grave por accidente, ¿me van a multar con 40.000 euros o con 300.000 euros? La AEPD puede apreciar algunas circunstancias atenuantes o agravantes a la hora de graduar una sanción:
El carácter continuado de la infracción.
El volumen de los tratamientos efectuados.
La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
El volumen de negocio o actividad del infractor.
Los beneficios obtenidos como consecuencia de la comisión de la infracción.
El grado de intencionalidad.
La reincidencia por comisión de infracciones de la misma naturaleza.
La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
Pero los 40.000 como mínimo, no me los quita nadie, ¿no? La AEPD podrá rebajar la multa un escalón (multar como leve una infracción grave, o como grave una infracción muy grave), en los siguientes casos:
Cuando concurran varias circunstancias atenuantes de las expuestas.
Cuando se haya corregido el defecto que dio origen a la infracción.
Cuando se aprecie mala fe por parte del denunciante, provocando la infracción.
Cuando el infractor reconozca espontáneamente su culpabilidad.
Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente (esto quiere decir que, en la compra de una empresa, podríamos ser multados por las infracciones anteriores de la empresa, por lo que es recomendable prever un régimen de responsabilidades muy fino en el contrato que regule tal operación).
Además, excepcionalmente, la AEPD podrá aplicar la figura del Apercibimiento. En tal caso, en lugar de abrir procedimiento sancionador, la AEPD exigiría la subsanación de la infracción en un plazo máximo. En caso de subsanarse correctamente, se archivaría el expediente.
Para ello, tienen que concurrir las siguientes circunstancias:
Que sea una infracción leve o grave (las muy graves no podrán disfrutar de tal posibilidad).
Que la empresa no haya sido multada previamente en materia de Protección de Datos.
Sin duda, lo mejor que puede hacer una empresa es implantar procedimientos para evitar que se comentan infracciones, pero nadie está libre de cometer errores y accidentes, y en esos casos, actuar de buena fe, reconocer el error, y corregirlo de forma diligente, puede ser la diferencia entre tener que cerrar la empresa o disponer de una segunda oportunidad.
Áudea Seguridad de la Información
José Carlos Moratilla
Consultor Legal
www.audea.com
El cese de la actividad de algunas empresas, no implica el cese del deber de proteger los datos de carácter personal
Debido a los tiempos que vivimos, es usual que numerosas empresas cierren sus puertas, y aunque en la mayoría de los casos se trata de pequeños comerciantes autónomos, algunas grandes empresas también han cesado en su actividad, y pueden llevarse “un susto” si no gestionan del mismo modo, la supresión de los ficheros que hubieran dado de alta en la Agencia Española de Protección de Datos.
En total, 125.000 empresas han cerrado en España obligados por la crisis. Murcia lideró el ranking, al perder 7.569 empresas desde el último mes de 2007, o lo que es lo mismo, ha destruido empresas a un ritmo del 16,1%. Comunidad Valenciana y Canarias le precedieron, con 22.830 y 8.669 empresas cerradas, respectivamente.
Al igual que en el inicio de actividades estas empresa debieron inscribir los ficheros de los datos personales que trataban (por ejemplo, los de trabajadores, clientes o proveedores), ya que al finalizar el procedimiento de estos datos, en este caso por cese de actividad, también deben de proceder a su supresión.
Igualmente puede ocurrir que aún manteniendo su actividad, ya no sean necesarios los ficheros inscritos inicialmente, en este caso, también pueden eliminarlos del registro de la Agencia. Entre otras indicaciones, se deberán de aportar nombre del fichero y código de inscripción, así como el motivo de tal supresión.
No obstante hay que tener en cuenta que, hay determinados datos que por motivos fiscales, económicos o de otra índole, no pueden ser destruidos definitivamente. En este caso lo correcto sería “bloquear” esos ficheros, bajo determinadas medidas de seguridad, con el fin de que puedan ser accesibles a las autoridades judiciales o administrativas durante los plazos legalmente establecidos.
Audea Seguridad de la Información S.L.
Departamento Legal
www.audea.com
Fuente: www.cartadeproteccion.com
Turquía prevé censurar Internet mediante filtros obligatorios
‘El Gobierno quiere ser el padre de los ciudadanos’, denuncia un activista.
Bajo el paraguas de una supuesta protección de la infancia, a través de una norma que establece la obligatoriedad de “filtros” sobre los contenidos de Internet, se esconde un control general de la red de redes que el gobierno turco, mediante la Asociación de Telecomunicaciones (BTK), dependiente de la Oficina del primer ministro, pretende llevar a cabo.
Dicha norma entrará en vigor el 22 de agosto y “obligará a todas las empresas proveedoras a ofrecer al usuario cuatro diferentes filtros: infantil, familiar, doméstico y estándar. Sin embargo, no pueden ofrecer la opción sin filtro, según denuncia la revista digital ‘bianet’, que recurrió la norma la semana pasada”.
El Gobierno está elaborando una lista “blanca” y otra “negra” para cada uno de los filtros. El problema radica, según denuncia Mustafa Akdil, presidente de la asociación de ‘internautas’ INETD, en que “no habrá control de expertos independientes. No habrá decisiones judiciales. Nadie se hace responsable. No se puede recurrir. No es democrático. Si hay páginas Web que se deban bloquear, debe hacerse a través de un proceso judicial con expertos y defensa”
En definitiva, se utiliza a los niños como pretexto para practicar el más antiguo de los vicios del poder: la censura. El poder se rige como un gran padre de familia, que decide lo que es adecuado o no para su pueblo, vulnerando así el principio de neutralidad de la red, que proclama, entre otros predicamentos, que la información fluya en Internet de manera libre, sin discriminación alguna en función de origen, destino, protocolo o contenido.
Audea Seguridad de la información S.L.
Departamento Legal
www.audea.com
Fuente: ELMUNDO.ES
http://www.elmundo.es/elmundo/2011/04/22/navegante/1303487164.html
Propiedad Intelectual de la Publicidad II
Durante esta segunda parte en la serie de capítulos que abordaremos el tema de la propiedad intelectual en la publicidad, veremos las formas que disponemos de proteger la publicidad frente a terceros. Toda creación, una vez es divulgada, es susceptible de ser copiada o apropiada por un tercero y ser usada en su favor, aunque esta se encuentre protegida desde su nacimiento. Existe una serie de formulas que ayudarán a proteger dichas ideas que forman parte de los activos de cualquier empresa.
Toda publicidad va englobada en una marca, que representa la identidad de la empresa y puede estar formada por logotipos, palabras o imágenes. Dicha marca puede ser registrada, evitando de esta forma una posible copia y demostrando legalmente su legitimidad. En España debemos acudir al Registro de Marcas y Patentes.
Con el nacimiento de Internet, se abren otras posibilidades para las empresas. Desde hace unos años los nombres de dominio están considerados una parte más de una marca o producto, y estos se costean alto. Las disputas entre las posesiones o robos de los mismos comienzan a ser rutina para algunas empresas que dependen totalmente de su dominio y posición en Internet. Puede ser el caso de las start-ups. Es vital para cualquier empresa saber gestionar bien un dominio, ya que supone abrirse a una relación más cercana con el cliente o usuario. Por ello, debemos adelantarnos y registrar nuestro nombre de dominio como marca antes de que se nos adelanten.
Otra forma que utilizan las empresas es hacer uso de la marca de forma sistemática a lo largo del tiempo. De este modo se aumenta el carácter identificativo y exclusivo de la misma, aumentando con el tiempo su valor.
Si nuestra empresa decide encargar la campaña publicitaria o anuncio a una empresa de publicidad o tercero, debemos asegurarnos que tengamos firmados con ellos un acuerdo de confidencialidad que garantice, por un lado, el secreto del tipo de información a la que estos pueden acceder de la empresa, y por otro, la exclusividad de esa campaña hacia nuestra empresa.
Estas pueden ser algunas de las formas de las que disponemos para proteger nuestras ideas creativas frente a terceros que intenten aprovecharse de ellas. No obstante, no debemos olvidar que la propiedad intelectual protege toda idea desde que consta plasmada, garantizando al autor el goce de una serie de derechos morales y patrimoniales exclusivos.
Áudea Seguridad de la Información
Departamento Legal
Iván Ontañón Ramos
www.audea.com
