Recientemente también se conoció que los iPhone de Apple obtenían los datos de ubicación y .los almacenaban durante un año, aún cuando se desactivaba el software de ubicación. Apple en su momento ideó un parche para corregir el problema; lo cual no evitó la polémica.

Legisladores estadounidenses ya acusaron a la industria tecnológica de recabar dichos datos con fines comerciales y sin consentimiento. Los usuarios ahora quieren ir más allá; buscan una medida cautelar y una indemnización por atentar contra su privacidad, entre otras reparaciones.

Áudea Seguridad dela Información

Departamento Legal

www.audea.com

Fuente: www.abc.es

 Esta figura fue introducida por la Ley 3/2011, de Economía Sostenible que modificó el régimen sancionador de la Ley de Protección de Datos. Faculta a la Agencia, en casos excepcionales, para no abrir procedimiento sancionador frente al infractor y en su lugar apercibirle, entiéndase como hacerle un reproche, por los incumplimientos leves o graves que el infractor hubiese cometido, obligándole a adoptar las medidas correctoras que se estimen convenientes para restituir la situación inicial, en el plazo indicado por la Agencia, y que no se vuelva a producir el incumplimiento de la Ley por los mismos motivos.

 Si no se restituyese la situación en el plazo indicado, la Agencia continuaría con la apertura del procedimiento sancionador.

 Para la aplicación de esta nueva figura se exigen unos requisitos previos o principales, que son que el infractor no fuese sancionado o apercibido con anterioridad y que los hechos fuesen constitutivos como infracción leve o grave según la propia Ley; y unos requisitos accesorios, que no por ello menos importantes, regulados en el art. 45.4 y 45.5 de la misma Ley como pudieran ser el reconocimiento de la responsabilidad, la intencionalidad, volumen de negocio, beneficios obtenidos, regularización de la situación irregular de forma diligente…

 La Audiencia Nacional por su parte también está reconociendo la aplicación de esta figura, cuando la Agencia Española no lo ha hecho, y se cumplen los requisitos exigidos en la Ley (Sentencia de 17 de junio de 2011).

 El procedimiento a seguir sería el siguiente:

 La AEPD recibe denuncia sobre posible vulneración del derecho a la protección de datos de carácter personal. Abre expediente sobre comprobación de los hechos, previa a la apertura del expediente sancionador. En fase de comprobación la AEPD puede solicitar al presunto infractor cuanta documentación estime pertinente. Aunque la LOPD no indica nada sobre el derecho de defensa del presunto infractor, en aplicación del art. 79 de la Ley 30/92 del Procedimiento Administrativo, éste podrá realizar cuantas alegaciones estime conveniente; y realizar comprobaciones presenciales, y en este caso el inspector redactará un acta que será ofrecida para la firma del investigado donde éste podrá efectuar también alegaciones. Como motivos de defensa, en ambos casos,  además de los materiales, podríamos aludir a motivos formales o de procedimiento, como pudieran ser los de prescripción de los hechos.

 Si se comprueba que efectivamente se está vulnerando el derecho, la Agencia puede actuar de dos modos diferentes.

 1º Aplicar la figura del apercibimiento. Para ello deberá comprobar la concurrencia de los requisitos exigidos comentados anteriormente para que se aplique. En este punto, y recordando que uno de los requisitos aplicables es la no sanción o apercibimiento anterior, indicar que si anteriormente el infractor hubiese sido sancionado, o apercibido con anterioridad, se debería comprobar que la sanción hubiere prescrito, en cuyo caso se podría aplicar nuevamente el apercibimiento.

 Se le concederá plazo para que realice las medidas correctoras propuestas, y en el caso de que no las aplicara se abriría expediente sancionador.

  2º Abrir expediente sancionador, en cuyo caso y si al término del mismo se impusiera sanción calificada como leve o grave el sancionado podría recurrir ante la Audiencia Nacional solicitando la aplicación de la figura del apercibimiento, si se diesen los presupuestos habilitantes.

 La aplicación de esta figura supone una nueva oportunidad para la empresa infractora de adaptarse a los requerimientos de la normativa vigente en materia de protección de datos, pero no olvidemos que en teoría sólo se puede aplicar una vez, por lo que lo deseable es que no se tenga que recurrir a ella nunca.

 Aurelio José Martínez

Departamento legal

www.audea.com

Continua activa y con más 32.000 fans. Su funcionamiento cuando opta por la oferta de iPad consiste en dirigirlo una web falsa que no tiene disponible esa oferta para su zona y a cambio ofrece otros productos que en caso de querer uno, vuelven a redireccionar al usuario a otra web que si funciona.

Algo parecido ocurre cuando el usuario se decide por la oferta que le propone conseguir un ordenador Dell gratis o realizar la encuesta que también propone la página y después de la cual, se supone, el usuario recibirá un premio gratis.

BitDefender ha comunicado que “Se trata de una técnica que podríamos calificar de spam ya que se atrae a los usuarios con un cebo y al final se les acaba llevando hasta una tienda de productos de bisutería y réplicas de relojes sospechosamente parecida a muchas de las que se promocionan mediante correos basura o a una de búsqueda de parejas online”.

La encuesta ha estado siendo utilizada por los ciberdelincuentes que han aprovechado la obtención de datos privados de los usuarios como su nombre, su dirección postal, su número de teléfono, etc, y así poder usarlos para campañas de spam o de malware más personalizadas o, incluso, dirigidas a sus teléfonos móviles.

Viendo el tan alto número de fan, hay que tener presente que todavía hay mucho desconocimiento del daño que pueden causar el mal uso de las redes sociales.

BitDefender ofrece gratuitamente la herramienta Safego (http://apps.facebook.com/bd-safego/?ref=ts) que protege contra estas páginas fraudulentas así como contra mensajes de spam, links maliciosas y falsas aplicaciones.

  Áudea Seguridad de la Información

 Departamento de Marketing y Comunicación

 www.audea.com

 Fuente: ABC

A día de hoy se han realizado muchas comparativas entre el antiguo régimen sancionador y el nuevo, pero habiendo pasado unos meses de aplicación práctica, considero oportuno partir de cero y analizar el nuevo régimen sancionador de forma íntegra:

¿Quiénes pueden ser multados?

Según el artículo 43 de la LOPD, están sujetos al régimen sancionador de la LOPD:

Los Responsables de los ficheros; es decir, aquellas entidades que tratan datos personales de forma directa, por ejemplo, de sus empleados o de sus clientes.

Los Encargados del tratamiento; es decir, aquellas entidades que tratan datos personales por encargo del Responsable, por ejemplo, la gestoría que hace las nóminas de los empleados del Responsable, o el callcenter que atiende las llamadas de los clientes del Responsable.

¿Y qué sucede con las administraciones públicas? (empresas públicas, ayuntamientos, etc.). No reciben multas, ya que las pagaríamos los ciudadanos de forma indirecta, pero la agencia de protección de datos que corresponda deberá dictar una resolución exigiendo las medidas que deben adaptarse para solucionar la infracción, y con la posibilidad de abrir un procedimiento disciplinario dentro de la propia administración pública. En principio, esto debería evitar casos tan graves como aquel protagonizado por la DGT y su sistema de consulta de puntos.

¿Y se puede multar a un ciudadano? Mientras los ciudadanos traten datos dentro de su esfera personal o familiar, no. Cualquier otro tratamiento o recogida de datos personales, será potencialmente sancionable.

Como curiosidad, cabe destacar que el artículo 43 de la LOPD no menciona la figura del Responsable del Tratamiento, identificada a lo largo de toda la Ley como sinónimo del Responsable del Fichero. Sin embargo, la Agencia Española de Protección de Datos, la Audiencia Nacional y el Tribunal Supremo entienden el Responsable del Tratamiento como una figura independiente. Esto supone que en caso de recibir una denuncia como Responsable del Tratamiento, podría alegarse que la LOPD no reconoce tal figura dentro de su régimen sancionador (aunque es probable que la AEPD hiciese caso omiso de tal contradicción).

¿Qué actividades pueden ser multadas?

El artículo 44 de la LOPD diferencia 3 grados de infracción: leve, grave y muy grave.

Son infracciones leves:

No inscribir o no tener correctamente inscritos los ficheros en el Registro General de Protección de Datos. Una gran cantidad de ficheros inscritos en el RGPD tienen defectos o campos sin rellenar que actualmente son obligatorios.

No poner la cláusula informativa LOPD en todas las vías de entrada de datos personales. Sólo se apreciará esta infracción en los casos en que no sea necesario el consentimiento inequívoco, ya que en los supuestos en los que sí es necesario, la infracción será grave o, en su caso, muy grave.

No tener un contrato con el Encargado del tratamiento con las cláusulas exigidas por la Ley.

Son infracciones graves:

Incumplir el Principio de Calidad del artículo 4 de la LOPD que, en suma, significa que los datos tienen que ser correctos y actualizados, y deben ser utilizados para la finalidad para la cual se recogieron.

Tratar o ceder datos sin consentimiento inequívoco del afectado cuando éste sea necesario (salvo que sean datos especialmente protegidos)

Vulnerar el deber de secreto con respecto a los datos personales, como por ejemplo, publicarlos en Internet sin consentimiento.

Impedir o poner trabas al ejercicio de los derechos reconocidos por la LOPD (acceso, rectificación, cancelación y oposición).

No implantar correctamente las medidas de seguridad

No hacer caso de los requerimientos de la AEPD u obstruir su función inspectora

Finalmente, son infracciones muy graves:

Tratar datos de forma engañosa o fraudulenta.

Tratar o ceder datos especialmente protegidos sin el consentimiento necesario.

No cesar en el tratamiento de los datos cuando la AEPD haya declarado ilícito tal tratamiento.

Efectuar transferencias internacionales de datos sin cumplir con las obligaciones de la LOPD.

Mi empresa cometió una infracción hace años cuando no sabíamos nada de esta Ley. ¿Me pueden multar? Las infracciones tienen un plazo de prescripción: 1 año para las leves, 2 para las graves y 3 para las muy graves (siempre desde la fecha de comisión de la infracción). Superado este plazo, no se pueden sancionar.

Y ¿a cuánto pueden ascender las multas?

En principio, el importe de las multas debe seguir el siguiente baremo:

Infracciones leves: 900 euros – 40.000 euros

Infracciones graves: 40.000 euros – 300.000 euros

Infracciones muy graves: 300.000 euros – 600.000 euros

Pero mi empresa cometió una infracción grave por accidente, ¿me van a multar con 40.000 euros o con 300.000 euros? La AEPD puede apreciar algunas circunstancias atenuantes o agravantes a la hora de graduar una sanción:

El carácter continuado de la infracción.

El volumen de los tratamientos efectuados.

La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

El volumen de negocio o actividad del infractor.

Los beneficios obtenidos como consecuencia de la comisión de la infracción.

El grado de intencionalidad.

La reincidencia por comisión de infracciones de la misma naturaleza.

La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.

La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

Pero los 40.000 como mínimo, no me los quita nadie, ¿no? La AEPD podrá rebajar la multa un escalón (multar como leve una infracción grave, o como grave una infracción muy grave), en los siguientes casos:

Cuando concurran varias circunstancias atenuantes de las expuestas.

Cuando se haya corregido el defecto que dio origen a la infracción.

Cuando se aprecie mala fe por parte del denunciante, provocando la infracción.

Cuando el infractor reconozca espontáneamente su culpabilidad.

Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente (esto quiere decir que, en la compra de una empresa, podríamos ser multados por las infracciones anteriores de la empresa, por lo que es recomendable prever un régimen de responsabilidades muy fino en el contrato que regule tal operación).

Además, excepcionalmente, la AEPD podrá aplicar la figura del Apercibimiento. En tal caso, en lugar de abrir procedimiento sancionador, la AEPD exigiría la subsanación de la infracción en un plazo máximo. En caso de subsanarse correctamente, se archivaría el expediente.

Para ello, tienen que concurrir las siguientes circunstancias:

Que sea una infracción leve o grave (las muy graves no podrán disfrutar de tal posibilidad).

Que la empresa no haya sido multada previamente en materia de Protección de Datos.

Sin duda, lo mejor que puede hacer una empresa es implantar procedimientos para evitar que se comentan infracciones, pero nadie está libre de cometer errores y accidentes, y en esos casos, actuar de buena fe, reconocer el error, y corregirlo de forma diligente, puede ser la diferencia entre tener que cerrar la empresa o disponer de una segunda oportunidad.

Áudea Seguridad de la Información

José Carlos Moratilla

Consultor Legal

www.audea.com

Se dice posteriormente que el informe de auditoría deberá estar a disposición de las agencias de protección de datos pero no indica durante cuánto tiempo deben conservarse estos informes.

El art. 44.3 h) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, indica que “es infracción grave mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. Dicha infracción prescribirá a los dos años de su comisión, tal y como dispone el art. 47.1 de la LOPD. Así la entidad requerida debería siempre tener a disposición de la Agencia un informe emitido durante los dos años anteriores al momento en el que se solicita el requerimiento.

El siguiente informe jurídico de la Agencia Española de Protección de datos corrobora lo mencionado anteriormente.

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/common/pdfs/2010-0191_Plazo-de-conservaci-oo-n-de-informes-de-auditor-ii-a-de-seguridad.pdf

Sin embargo la Autoridad Catalana de Protección de Datos, considera que el plazo de conservación de estos documentos de Auditoría sería de tres años en el dictamen que a continuación se relaciona.

http://www.apdcat.net/media/dictamen/es_286.pdf#search=”Historias clinicas sin medida de seguridad “

En este dictamen la Autoridad Catalana en un primer momento y con misma fundamentación que la Agencia Española llega a la conclusión que debe ser 2 años el plazo de conservación.

Pero posteriormente considera que el registro de incidencias, puede resultar un valioso elemento probatorio en la investigación de otros tipos de infracciones que tienen atribuido un plazo de prescripción más largo, en el caso de infracciones muy graves, que tendría un plazo de prescripción de tres años.

Pero además el artículo 19 de la LOPD también contempla la responsabilidad por daños o lesiones que las personas afectadas sufran en sus bienes o derechos, ya sea mediante la reclamación de la responsabilidad de la Administración, cuando el daño sea imputable a una Administración pública, o mediante el sistema de responsabilidad extracontractual establecido en el derecho civil. En este sentido, disponer de la documentación relativa a las auditorías puede ser un elemento probatorio importante para la acreditación de la diligencia del responsable en el cumplimiento de las medidas de seguridad exigibles. Al respecto hay que recordar que la letra d) del artículo 121-21 del Libro primero del Código Civil de Cataluña establece que prescriben a los tres años las pretensiones derivadas de responsabilidad extracontractual, y las demás pretensiones al cabo de diez años, salvo la recuperación de la posesión (artículos 121-20 y 121-22). En conclusión, la documentación que forma parte de las auditorías de seguridad requeridas por dicha normativa debe conservarse durante un período mínimo de tres años, o hasta que se realice la auditoría de seguridad siguiente, si esta no se ha efectuado dentro del plazo de dos años exigible.

Audea Seguridad de la Información

Aurelio J. Martínez Ferre.

Departamento Legal

www.audea.com

Algunos miembros de la organización se apresuran a informar de que “la Operación Facebook” está siendo organizada solo por una parte de sus miembros, pero eso no significa que los demás estén de acuerdo con ella. Otros, acusan a los medios de comunicación de mentir, de que todo lo relacionado con esta operación, es una invención ya que ellos prefieren encararse con el “poder real”, y no contra los medios que utilizan como herramientas de difusión de sus mensajes.

Si esto es cierto o no, pronto lo vamos a saber. No obstante, una cosa queda bastante clara, el grupo de ciberactivistas Anonymous se encuentra dividido y algunos expertos ven en estos mensajes la existencia de diferencias bastante profundas en el seno de la organización.

Tampoco la fecha del ataque fijada en 5 de noviembre, es casual ya que será el aniversario del complot de la pólvora, un evento de gran importancia para Anonymous por su relación con el cómic ‘V de Vendetta’.

Áudea Seguridad de la Información

Departamento Legal

www.audea.com

Fuente: www.rtve.es

Ahora el sistema escanea las caras de una nueva imagen que se incorpora, busca entre las fotografías que se han subido anteriormente y si coincide con los rasgos básicos de los rasgos de la nueva imagen, sugiere el etiquetado directo de esa persona.

Cada mes se incorporan 3000 millones de nuevas imágenes en Facebook y se añaden más de 100.000 millones de etiquetas diarias, con lo que la nueva función de etiquetado automático se podría decir que disponen de la mayor y más completa base de datos del mundo.

El problema comienza en que Facebook ha activado el reconocimiento facial por defecto y se sugerirá su identificación de forma automática, a no ser que el usuario navegue por las opciones de privacidad de su perfil, siendo algo desconocido para la mayoría según los expertos. Lo mismo ocurría anteriormente también con las opciones de perfil público o privado.

Alemania ha sido el primer país que ha pedido que desactive el servicio y elimine los datos, argumentando en una violación de la normativa en Protección de Datos al otorgar a los usuarios información engañosa y contradictoria. Además, Google y Apple están probando esta tecnología. Se prevé que las autoridades europeas en esta materia de los países miembros de la UE aborden este tema después del verano con el objeto de analizar si realmente cumple con la legalidad; que en un principio parece ser que no.

Audea Seguridad de la Información

Iván Ontañón Ramos

Departamento Legal

www.audea.com

Áudea Seguridad de la Información

Karol Sedkowski

Consultor Legal

www.audea.com

“La Comisión de Protección de Datos en Andalucía de la Asociación Andaluza de Comercio Electrónico (ANDCE) ha lanzado una Campaña Antispam con el objetivo de reducir el SPAM en nuestra comunidad y ofrecer consejos para controlarlo”.

La Memoria Anual 2010 de la Agencia Española de Protección de Datos, la cual ofreció datos positivos en cuanto al progresivo respeto a los derechos relacionados con la protección de datos en Andalucía, pone sin embargo de manifiesto que las resoluciones sancionadoras por casos de spam “se incrementaron un 27%, hasta alcanzar los 46 procedimientos sancionadores en el 2010, de los que el 6,5% corresponden a procedimientos en Andalucía”, aunque también se hace constar que “del 2009 al 2010, los procedimientos sancionadores sobre spam en Andalucía se han logrado reducir un 40%, gracias a la mayor concienciación de las empresas para evitar ser sancionadas”.

Se entiende por spam o correo basura toda comunicación por vía electrónica no solicitada. El envío de mensajes comerciales o promocionales por correo electrónico u otro medio de comunicación electrónica sin el consentimiento previo está prohibido por la legislación española, tanto por la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico, como por la normativa de protección de datos.

Esta Campaña Antispam se basa en tres pilares fundamentales: informar a los ciudadanos, formarlos a través del curso “Comunicaciones comerciales sin SPAM”, y “denunciar a las empresas que realicen SPAM, así como asesorar a los receptores de SPAM para formular estas denuncias”.

Además, se ofrecen una serie de consejos básicos para reducir el SPAM, tales como el uso de direcciones de correo alternativas, la activación de filtros de correo, “no utilizar nunca configuraciones de buzón global en las cuentas de correo”, así como ser cautelosos a la hora de facilitar el e-mail en formularios de foros, sitios web, etc.

Áudea Seguridad de la Información

Departamento Legal

www.audea.com

Fuente: www.boletindintel.es

Estos ataques según la intervención del subsecretario se han convertido en un problema significativo en los últimos años en los que se han extraído terabytes de información de las redes internas de defensa. El Departamento de Defensa, con sus 15.000 redes y más de 7 millones de dispositivos informáticos ha sido uno de los objetivos preferidos por estos grupos y con la valiosa información que en ellos se contiene, como sistemas de armas y sus capacidades, es un elemento que necesita una seguridad por encima de lo habitual.

Esta nueva estrategia, que ya incluye mejoras como el Comando Cibernético se esta llevando a cabo junto con el Departamento de Seguridad Nacional, habiendo detectado ya más de 60.000 programas de software dañinos. El plan de seguridad se basa en cinco puntos, centrados en rechazar o minimizar las consecuencias de un posible ataque a los sistemas.

Estas informaciones sobre los trabajos de mejora en los sistemas estadounidenses llega en un año en que la acción de diferentes grupos organizados de piratas informáticos están causando grandes problemas de seguridad tanto a Estados como a empresas privadas, creando un ambiente de inseguridad de la información albergada en el ciberespacio.

Áudea Seguridad de la Información

Departamento de Gestión

www.audea.com

Fuente: www.elmundo.es