La red social por excelencia ha sido cuestionada en varias ocasiones desde diferentes organismos alemanes por sus políticas de privacidad, sobre todo por el rastreo de usuarios que realiza a través de las cookies que se instalan automáticamente en sus equipos. En este sentido, la Agencia de Protección de Datos de Hamburgo señala en un informe que las cookies pueden permanecer hasta dos años en el ordenador del usuario aun después de haberse dado de baja en el servicio. Según Johannes Caspar, director de la Agencia de Protección de Datos, “el argumento de que todos los usuarios deben seguir siendo identificables después de que cierren su cuenta en Facebook para garantizar el servicio no se sostiene legalmente”.

Estos nuevos estudios pueden poner en peligro el futuro de Facebook en Alemania y es que las actividades que realiza la compañía estadounidense pueden considerarse contrarias a derecho, incluso creando indefensión a los usuarios, ya que según palabras de Vosskuhle “existe un grave desequilibrio entre el poder de la compañía, cuyos servidores se encuentran fuera de Alemania, y los estados federados, cuya judicatura dispone de una competencia fragmentaria en materia de protección de datos“.

Áudea Seguridad de la Información,

Departamento de Gestión

www.audea.com

Fuente: www.elmundo.es

Entre los sectores que se han notado una mayor actividad en las notificaciones a la AEPD destaca en primer lugar las comunidades de propietarios, con más de 300.000 ficheros inscritos y un incremento de un 25%. Por otro lado, destacan tanto el incremento de las pequeñas y medianas empresas del sector comercio principalmente, como las empresas del sector sanitario; empresas conscientes del tratamiento de datos de salud que realizan.

De los ficheros inscritos, se desprende que 115.000 son de titularidad pública, pertenecientes a las Administraciones Públicas, y 2.400.000 de titularidad privada, habiendo sido inscritos por más de 900.000 empresas y organizaciones. Cataluña, Andalucia y Madrid son las comunidades autónomas que más ficheros inscriben.

La LOPD establece la obligación para todos los organismos y entidades, sean públicas o privadas, dar de alta los ficheros que contengan datos de carácter personal (clientes, pacientes, videovigilancia, personal, etc.), con un simple objetivo; hacer público a los ciudadanos quién trata sus datos y así poder ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Áudea Seguridad de la Información SL

Departamento Legal

Fuente: www.agpd.es

Éstas consisten en suplantar la identidad de la Agencia Española de Protección de Datos, por medio de empresas que registran dominios de Internet con denominaciones similares al de la propia Agencia. Es el caso que tenemos a continuación, en el que el  dominio utilizado es “agenciaprotecciondatos.net”.

Obtenido el dominio, la empresa envía un mensaje de correo anunciando una supuesta inminente Inspección de la AEPD. Una vez se dispone de un dominio basta con buscar empresas cuya cuenta de correo sea pública y se envía un mensaje como el que sigue:

Date: Mon, 26 Sep 2011 10:23:19 +0200

From: info@agenciaprotecciondedatos.net

To: info@__-andalucia.es

Subject: Notificacion Urgente

Estimado Sr __________

Le comunicamos que pronto recibira la visita de un Agente Inspector

para comprobar si cumple con la normativa de LOPD (Ley Organica de Proteccion de Datos)

Le recordamos que deve tener visibles los documentos que acreditan dicha inscripcion en nuestros archivos

Si la gestion de sus datos lo gestiona una empresa o agente autorizado (INFORMATICAS, CONSULTORAS o ADMINISTRADORAS)

deve facilitarnos los datos de la misma para comprobar su inscripcion en nuestros sistemas.

Recordandole que de no cumplir con la normativa vigente sobre la proteccion de datos puede recibir una sancion de 900 a 40.000EUR

Rogamos nos indique su horario laboral para consertar la cita de nuestro agente

De no indicarnos su horario laboral procederemos hacer visita sorpresa

AGENCIA DE PROTECCION DE DATOS

     COORDINADOR DE AGENTES

Aún a pesar de lo pueril del método empleado, el desconocimiento sobre estos temas en algunos ámbitos y el temor que infunde la AEPD en los mismos ha provocado que la APEP haya “puesto estos hechos en conocimiento de las autoridades policiales y administrativas competentes, y sin perjuicio de otras acciones que puedan emprenderse, se hace un llamamiento a quienes los reciban a poner en conocimiento los hechos mediante denuncia formulada ante las Fuerzas y Cuerpos de Seguridad del Estado”, apelando a “las Cámaras de Comercio y a las organizaciones empresariales para que procedan a informar a sus asociados y a prevenir ante este tipo de actuaciones”.

La APEP considera perjudicial esta conducta por cuanto “afecta al buen nombre de una alta institución del Estado, la Agencia Española de Protección de Datos, y genera desconfianza respecto de quienes desarrollan tareas de consultoría con la adecuada profesionalidad”.

Conviene recordar en este punto, y así lo hace la OPEP, que “la implementación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal por todas las organizaciones constituye un proceso beneficioso más allá del mero cumplimiento normativo”, en tanto que provee de seguridad y calidad a todos “los procesos basados en el uso de tecnologías de la información y de las comunicaciones“, otorgando así confianza a “aquellas personas cuyos datos tratamos”.

Áudea Seguridad de la Información

Departamento Derecho NNTT

www.audea.com

FUENTE: www.apep.es

En un primero momento el Gabinete Jurídico de la Agencia de protección de datos elaboró un informe el 140/2006 donde se respondía a una consulta plantada a la agencia sobre video vigilancia en las comunidades de propietarios y así dijo en su momento que las imágenes se considerarán datos de carácter personal si sirven para identificar a las personas que aparecen en las mismas. Estas imágenes pueden o no estar incorporadas a un fichero, puesto que aunque no se encuentren grabadas el simple hecho de la recogida de imágenes conlleva un tratamiento a los efectos del artículo 3.c) de la LO 15/1999, donde se define el tratamiento de datos como “operaciones y procedimientos técnicos de carácter automático o no, que, permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. Por lo tanto y según el artículo 6.1 de la Ley “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

En consecuencia la utilización de videocamaras será posible “siempre que no exista identificación de las personas que aparecen en las mismas o, en caso de existir, las mismas no sean incorporadas a un fichero, ya que en caso contrario será preciso el consentimiento del afectado, de forma que debería comunicarse esta circunstancia a quienes pudieran aparecer en dichas imágenes, debiendo además el fichero resultante ser inscrito en el Registro General de Protección de Datos, conforme requiere el artículo 26 de la Ley Orgánica 15/1999.

Pero aunque no se exija el consentimiento en los casos expresados “ello no exime al responsable del tratamiento del deber de informar a los afectados, en los términos establecidos en el artículo 5.1 de la Ley Orgánica el cual reza lo siguiente “ Los interesados a los que soliciten datos personales deberán ser previamente informados de modo, expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.”

En cuanto al modo en que haya de facilitarse dicha información, debe tenerse en cuenta que es doctrina reiterada de la Audiencia Nacional que corresponde al responsable del fichero la prueba del cumplimiento del deber de informar, y dicha prueba no podría obtenerse en caso de una mera información verbal.

Por otra parte, esta Agencia ha venido considerando suficiente el cumplimiento del deber de información mediante la existencia de un cartel informativo siempre que el mismo resulte claramente visible por parte del afectado, quedando así garantizado que el mismo ha podido tener perfecto conocimiento de la información exigible. y Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

Sin embargo posteriormente a esta resolución la Agencia de protección de datos publicó una instrucción que matizaba ésta, la Instrucción 1/2006 sobre video vigilancia de 8 de noviembre, (B.O.E. nº 296, de 12 de diciembre), regulaba el tratamiento de datos personales con fines de video vigilancia a través de cámaras o videocámaras.

El objeto de esta instrucción es garantizar los derechos de las personas cuyas imágenes son tratadas por medio de video vigilancia, adecuando estos tratamientos a los principios de la LOPD.

En relación con la instalación de sistemas de videocámaras, será necesario averiguar cuales son los bienes jurídicos protegidos y si se cumple con el principio de proporcionalidad, esto implica que si fuese posible se deberán adoptar otros medios menos intrusivos a la intimidad de las personas, con el fin de prevenir interferencias injustificadas en los derechos y libertades fundamentales. Para averiguar si se cumple con el principio de proporcionalidad el Tribunal Constitucional en su Sentencia 207/1996 determina que “Es necesario constatar si cumple los tres siguientes requisitos o condiciones: “si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.

En este sentido, la instalación de cámaras de video vigilancia sería idónea, necesaria y proporcional si la finalidad de la instalación tiene como objetivo controlar robos, actos de vandalismo, o acciones violentas habituales en la finca que se trate.

Pero seguía existiendo un problema y es que era necesario el consentimiento de los afectados por el tratamiento de datos. Como se intuye conseguir el consentimiento de todas y cada una de las personas que pudieran ser grabadas constituye un esfuerzo titánico, y probablemente imposible. Por lo tanto para que sea legítimo el tratamiento éste deberá habilitarse en una Ley. En este sentido, la AEPD considera que el tratamiento de imágenes por razones de seguridad se encuentra amparado en el artículo 5.1 e) de la Ley de Seguridad Privada, que hasta la entrada en vigor la de 25/2009, de 27 de diciembre únicamente podrían realizar las empresas de seguridad debidamente autorizadas por el Ministerio del Interior, que previamente hubiesen cumplido los requisitos legalmente establecidos, (esto es que sean empresas de seguridad autorizadas por el Ministerio del Interior previa inscripción en el Registro del mismo, y que hubieran notificado el contrato).

En el Informe jurídico 0161/2008, posterior al estudiado y ya vigente la instrucción 1/2.006 se añaden una serie de requisitos que no se contemplaban anteriormente, por ejemplo en cuanto al modo de facilitar el derecho de información a los interesados se añade un apartado en el que se indica que “se debe tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el  artículo 5.1 de la Ley Orgánica 15/1999”. En lo que se refiere a la notificación del fichero, el artículo 7 de la Instrucción dispone que: “La persona o entidad que prevea la creación de ficheros de video vigilancia deberá notificarlo previamente a la Agencia Española de Protección de Datos, para su inscripción en el Registro General de la misma… A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real“.

El tratamiento de imágenes sólo puede realizarse por parte de las empresas de seguridad privada. La Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP) regula en su artículo 1.2 que “A los efectos de la presente Ley, únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los jefes de seguridad y los escoltas privados que trabajen en aquéllas, los guardas particulares del campo y los detectives privados”.

El artículo 5.1 e) de la LSP dispone que “Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollen, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad”. Esta previsión se reitera en el artículo 1 del Reglamento de Seguridad Privada, aprobado por Real decreto 2364/1994, de 9 de diciembre (RSP)

De este modo, la Ley habilitaría que los sujetos previstos puedan instalar dispositivos de seguridad, entre los que podrían encontrarse las cámaras, siempre con la finalidad descrita en el citado artículo 1.1.

Para la efectiva puesta en funcionamiento de la medida, el artículo 6.1 dispone que “Los contratos de prestación de los distintos servicios de seguridad deberán en todo caso consignarse por escrito, con arreglo a modelo oficial, y comunicarse al Ministerio del Interior, con una antelación mínima de tres días a la iniciación de tales servicios”.

Por último, el artículo 7.1 establece que “Para la prestación privada de servicios o actividades de seguridad, las empresas de seguridad habrán de obtener la oportuna autorización administrativa mediante su inscripción en un Registro que se llevará en el Ministerio del Interior”.

La inscripción se regula en el artículo 2 del RSP, detallando el Anexo los requisitos que han de reunir estas empresas. No obstante, quedarían excluidas las de ámbito exclusivamente autonómico. Además, el artículo 39.1 dispone que “únicamente podrán realizar las operaciones de instalación y mantenimiento de sistemas de seguridad electrónica contra robo e intrusión y contra incendios las empresas autorizadas”.

En consecuencia, siempre que se haya dado cumplimiento a los requisitos formales establecidos en los artículos precedentes (inscripción en el Registro de la empresa y comunicación del contrato al Ministerio del Interior), las empresas de seguridad reconocidas podrán instalar dispositivos de seguridad, entre los que se encontrarían los que tratasen imágenes con fines de video vigilancia, existiendo así una habilitación legal para el tratamiento de los datos resultantes de dicha instalación, no siendo necesario el consentimiento del afectado.

La aprobación de la Ley 25/2009 (Ley  ómnibus) viene a efectuar modificaciones en diversas leyes. En la materia que nos ocupa debemos analizar el artículo 14 de la Ley 25/2009 donde señala que “La Ley 23/1992, de 30 de julio, de Seguridad Privada, queda modificada en los siguientes términos:

Uno. Se modifica la letra e) del artículo 5.1:

“e) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad, de conformidad con lo dispuesto en la Disposición adicional sexta”.

Dos. Se añade una Disposición adicional sexta:

 “Disposición adicional sexta. Exclusión de las empresas relacionadas con equipos técnicos de seguridad. Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”

Por tanto, la reforma legal permite a cualquier empresa o particular realizar las actividades que se han descrito, sin necesidad de cumplir los requisitos de autorización del Ministerio del Interior, exigidos hasta la fecha.

En definitiva, la mencionada disposición determina que cualquier particular o empresa cuya actividad no sea la propia de una empresa de seguridad privada podrá; “vender, entregar, instalar y mantener equipos técnicos de seguridad” sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas. De este modo, dado que la Ley permite la instalación y mantenimiento de dichos equipos por empresas distintas a las de seguridad privada, legitima a quienes adquieran de estos dispositivos para tratar los datos personales derivados de la captación de las imágenes, sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal y a las finalidades previstas en la Ley de Seguridad Privada, constituyendo un interés legítimo de quienes adquieran estos dispositivos. Por tanto dicho tratamiento de datos, resulta conforme con el artículo 10. 2 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre que señala que “No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando (…) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

- El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.”

No obstante, la instalación de un sistema de video vigilancia conectado a una central de alarma, seguirá necesitando “que el dispositivo sea contratado, instalado y mantenido por una empresa de seguridad privada autorizada por el Ministerio del Interior y que el contrato sea notificado a dicho Departamento”.

Áudea Seguridad de la Información

Aurelio J. Martinez

Departamento Derecho NNTT

www.audea.com

A día de hoy se han realizado muchas comparativas entre el antiguo régimen sancionador y el nuevo, pero habiendo pasado unos meses de aplicación práctica, considero oportuno partir de cero y analizar el nuevo régimen sancionador de forma íntegra:

¿Quiénes pueden ser multados?

Según el artículo 43 de la LOPD, están sujetos al régimen sancionador de la LOPD:

Los Responsables de los ficheros; es decir, aquellas entidades que tratan datos personales de forma directa, por ejemplo, de sus empleados o de sus clientes.

Los Encargados del tratamiento; es decir, aquellas entidades que tratan datos personales por encargo del Responsable, por ejemplo, la gestoría que hace las nóminas de los empleados del Responsable, o el callcenter que atiende las llamadas de los clientes del Responsable.

¿Y qué sucede con las administraciones públicas? (empresas públicas, ayuntamientos, etc.). No reciben multas, ya que las pagaríamos los ciudadanos de forma indirecta, pero la agencia de protección de datos que corresponda deberá dictar una resolución exigiendo las medidas que deben adaptarse para solucionar la infracción, y con la posibilidad de abrir un procedimiento disciplinario dentro de la propia administración pública. En principio, esto debería evitar casos tan graves como aquel protagonizado por la DGT y su sistema de consulta de puntos.

¿Y se puede multar a un ciudadano? Mientras los ciudadanos traten datos dentro de su esfera personal o familiar, no. Cualquier otro tratamiento o recogida de datos personales, será potencialmente sancionable.

Como curiosidad, cabe destacar que el artículo 43 de la LOPD no menciona la figura del Responsable del Tratamiento, identificada a lo largo de toda la Ley como sinónimo del Responsable del Fichero. Sin embargo, la Agencia Española de Protección de Datos, la Audiencia Nacional y el Tribunal Supremo entienden el Responsable del Tratamiento como una figura independiente. Esto supone que en caso de recibir una denuncia como Responsable del Tratamiento, podría alegarse que la LOPD no reconoce tal figura dentro de su régimen sancionador (aunque es probable que la AEPD hiciese caso omiso de tal contradicción).

¿Qué actividades pueden ser multadas?

El artículo 44 de la LOPD diferencia 3 grados de infracción: leve, grave y muy grave.

Son infracciones leves:

No inscribir o no tener correctamente inscritos los ficheros en el Registro General de Protección de Datos. Una gran cantidad de ficheros inscritos en el RGPD tienen defectos o campos sin rellenar que actualmente son obligatorios.

No poner la cláusula informativa LOPD en todas las vías de entrada de datos personales. Sólo se apreciará esta infracción en los casos en que no sea necesario el consentimiento inequívoco, ya que en los supuestos en los que sí es necesario, la infracción será grave o, en su caso, muy grave.

No tener un contrato con el Encargado del tratamiento con las cláusulas exigidas por la Ley.

Son infracciones graves:

Incumplir el Principio de Calidad del artículo 4 de la LOPD que, en suma, significa que los datos tienen que ser correctos y actualizados, y deben ser utilizados para la finalidad para la cual se recogieron.

Tratar o ceder datos sin consentimiento inequívoco del afectado cuando éste sea necesario (salvo que sean datos especialmente protegidos)

Vulnerar el deber de secreto con respecto a los datos personales, como por ejemplo, publicarlos en Internet sin consentimiento.

Impedir o poner trabas al ejercicio de los derechos reconocidos por la LOPD (acceso, rectificación, cancelación y oposición).

No implantar correctamente las medidas de seguridad

No hacer caso de los requerimientos de la AEPD u obstruir su función inspectora

Finalmente, son infracciones muy graves:

Tratar datos de forma engañosa o fraudulenta.

Tratar o ceder datos especialmente protegidos sin el consentimiento necesario.

No cesar en el tratamiento de los datos cuando la AEPD haya declarado ilícito tal tratamiento.

Efectuar transferencias internacionales de datos sin cumplir con las obligaciones de la LOPD.

Mi empresa cometió una infracción hace años cuando no sabíamos nada de esta Ley. ¿Me pueden multar? Las infracciones tienen un plazo de prescripción: 1 año para las leves, 2 para las graves y 3 para las muy graves (siempre desde la fecha de comisión de la infracción). Superado este plazo, no se pueden sancionar.

Y ¿a cuánto pueden ascender las multas?

En principio, el importe de las multas debe seguir el siguiente baremo:

Infracciones leves: 900 euros – 40.000 euros

Infracciones graves: 40.000 euros – 300.000 euros

Infracciones muy graves: 300.000 euros – 600.000 euros

Pero mi empresa cometió una infracción grave por accidente, ¿me van a multar con 40.000 euros o con 300.000 euros? La AEPD puede apreciar algunas circunstancias atenuantes o agravantes a la hora de graduar una sanción:

El carácter continuado de la infracción.

El volumen de los tratamientos efectuados.

La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

El volumen de negocio o actividad del infractor.

Los beneficios obtenidos como consecuencia de la comisión de la infracción.

El grado de intencionalidad.

La reincidencia por comisión de infracciones de la misma naturaleza.

La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.

La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

Pero los 40.000 como mínimo, no me los quita nadie, ¿no? La AEPD podrá rebajar la multa un escalón (multar como leve una infracción grave, o como grave una infracción muy grave), en los siguientes casos:

Cuando concurran varias circunstancias atenuantes de las expuestas.

Cuando se haya corregido el defecto que dio origen a la infracción.

Cuando se aprecie mala fe por parte del denunciante, provocando la infracción.

Cuando el infractor reconozca espontáneamente su culpabilidad.

Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente (esto quiere decir que, en la compra de una empresa, podríamos ser multados por las infracciones anteriores de la empresa, por lo que es recomendable prever un régimen de responsabilidades muy fino en el contrato que regule tal operación).

Además, excepcionalmente, la AEPD podrá aplicar la figura del Apercibimiento. En tal caso, en lugar de abrir procedimiento sancionador, la AEPD exigiría la subsanación de la infracción en un plazo máximo. En caso de subsanarse correctamente, se archivaría el expediente.

Para ello, tienen que concurrir las siguientes circunstancias:

Que sea una infracción leve o grave (las muy graves no podrán disfrutar de tal posibilidad).

Que la empresa no haya sido multada previamente en materia de Protección de Datos.

Sin duda, lo mejor que puede hacer una empresa es implantar procedimientos para evitar que se comentan infracciones, pero nadie está libre de cometer errores y accidentes, y en esos casos, actuar de buena fe, reconocer el error, y corregirlo de forma diligente, puede ser la diferencia entre tener que cerrar la empresa o disponer de una segunda oportunidad.

Áudea Seguridad de la Información

José Carlos Moratilla

Consultor Legal

www.audea.com

El origen de la denuncia fue la celebración del Campus educativo-deportivo puesto en marcha por el Consistorio, en el cual el Ayuntamiento empleó documentos personales y oficiales para que, en su parte trasera, los niños pudieran hacer dibujos.

En la denuncia se relata que se “facilitó papel reciclado para hacer dichos dibujos, apareciendo en el reverso solicitudes, reclamaciones y denuncias presentadas por los algabeños en el Registro General, con sus datos personales”.

La noticia pone de manifiesto el desconocimiento que aún existe en esta materia, el cual también alcanza a los poderes públicos, los cuales debieran velar precisamente por la protección de los derechos de sus administrados.

A buen seguro no es el primer caso (ni será el último) en que este tipo de actuaciones se producen, pero gracias a ese desconocimiento generalizado no se producen más denuncias en este sentido, a pesar del carácter tan flagrante de la infracción.

Áudea Seguridad de la Información

Departamento Legal

www.audea.com

Fuente: giraldainformación

Desde el 2005  los navegadores comienzan a dar la opción de lo que se conoce como “navegación privada” pretendiendo con ella que no se registren datos, cookies, contraseñas…y así no dejar huella.

Consumer deja claro que esto no significa un valor añadido a la seguridad de la información, solamente esta diseñada para no guardar datos. Tampoco resulta una navegación anónima, puesto que no evita el registro del usuario cuando el proveedor de Internet lo controla.

Además aclara que con esta opción el navegador no consigue tener más protección en el campo de la seguridad y que pueden tener fallos, y en ocasiones el historial puede seguir exponiéndose.

Existe otro problema para algunos plugins que no están preparados aun para este modo de navegación privada y por consiguiente continúan guardando datos.

La activación es sencilla. Dependiendo del navegador se activa esta opción en una u otra pestaña: Herramientas (Internet Explorer 8 y Firefox), Archivo (Google Chrome 12), Edición (Safari 5) o en la de Pestañas y Ventanas (Opera 11). Y según qué navegadores existe la posibilidad de que  algunas extensiones se deshabilitan al activar este modo de navegación.

Como conclusión, Consumer pretende no dejar lugar a duda en que si se activa está opción no conseguiremos más protección, en ninguno de los ámbitos de la seguridad de la información, si no que simplemente (si no hay fallos) podremos intentar, al compartir un ordenador, que los otros usuarios no pueda seguirnos el rastro.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: 20 minutos

El hacker logró acceder a la base de datos del foro de la empresa y aunque al parecer no había datos tipo contraseñas, cuentas bancarias etc, sí ha podido robar direcciones, fechas de nacimiento o nombres de usuarios de servicios como Messenger, Yahoo o Skype.

Ha cerrado la web como medida de precaución tras el ataque de inyección SQL. Fue mediante el software del tablón de anuncios por donde consiguió vulnerar la seguridad de la compañía finlandesa.

Nokia ha comunicado  que ha tomado la decisión de mantener la web cerrada hasta que se realicen las investigaciones y evaluaciones de seguridad pertinentes.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: el mundo

Resulta difícil concretar cuando efectivamente se está vulnerando el derecho de un tercero. A los prestadores de servicios de intermediación se les exige una diligencia o cuidado con respecto a las informaciones publicadas en las Web de las que son responsables. La LSSI regula este aspecto en su art. 16 definiendo el principio de conocimiento efectivo, por lo tanto los citados prestadores de servicios de intermediación deberían conocer el alcance y límites del mismo. Este precepto indica que sólo se puede hacer responsable al prestador de servicios de intermediación, de los contenidos o expresiones ilícitos vertidos por otras personas en su página Web, sin participación directa del prestador de estos servicios, cuando tenga conocimiento efectivo de la ilicitud de la actividad o información. Más adelante se encarga de delimitar qué se entiende por conocimiento efectivo indicando que será “Cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución”. Por lo tanto una interpretación restrictiva del artículo conllevaría que primero debe existir un juicio previo por la autoridad competente en el que se debe declarar la ilicitud de la acción o expresión, posteriormente una comunicación al titular de la Web, en la que se le indique la existencia de la resolución condenatoria, y se le invite a retirar el contenido por vulneración de los derechos. Sólo si tras esta comunicación e invitación el Webmaster no retirase el contenido se le podría hacer responsable.

Sin embargo este mismo artículo deja una puerta abierta para que el prestador de servicios de intermediación pueda aportar sus propios procedimientos de control, que en cualquier caso califica de voluntarios. Además se articula lo que considero un “cajón de sastre” en el que se pueden incluir cualquier otro tipo de conocimiento cuando indica  “otros medios de conocimiento efectivo que pudieran establecerse”.

Los Tribunales están dictando Sentencias donde se interpreta tal principio. El Tribunal Supremo, recurriendo para su interpretación a la Directiva de Comercio Electrónico, en Sentencias STS 773/2009, Sala de lo Civil, de 9 de diciembre de 2009, STS 316/2010, Sala de lo Civil, de 18 de Mayo de 2010, y STS 72/2011, Sala de lo Civil, de 10 de febrero de 2011 (caso Ramoncín), indica que “el artículo 16 permite esa interpretación favorable a la Directiva –al dejar a salvo la posibilidad de “otros medios de conocimiento efectivo que pudieran establecerse”–, no cabe prescindir de que la misma atribuye igual valor que al “conocimiento efectivo” a aquel que se obtiene por el prestador del servicio a partir de hechos o circunstancias aptos para posibilitar, aunque mediatamente o por inferencias lógicas al alcance de cualquiera, una efectiva aprehensión de la realidad de que se trate.”

En la Sentencia dictada en el supuesto de Ramoncín se condena a los prestadores de servicios de intermediación por las expresiones vertidas por terceros en su página Web, con fundamento en el art. 16 de la LSSICE, en relación con el artículo 10 de la misma Ley, y ello porque el Webmaster incumplió con la obligación legal de publicar, de forma permanente, fácil, directa y gratuita las informaciones que el mencionado artículo indica, informaciones que permitirían que el tercero afectado pudiera comunicar al responsable de la Web sobre cualquier información que pudiera resultarle perjudicial.

Se indica que el Webmaster tiene una obligación in vigilando sobre los contenidos publicados en su página web, convirtiendo a éste en Juez ante las expresiones que cualquier persona pudiera incluir. Si el administrador tuviese al menos la mera sospecha de que un contenido pudiera vulnerar cualquier derecho de un tercero debería por sí mismo retirar tal contenido en previsión de que el mismo pudiera efectivamente contravenir el derecho. Se pretende que el Webmaster actúe como un inquisidor o censor de las expresiones que se incluyen en las páginas de los que son titulares. Si leemos detenidamente el art. 16 de la mencionada Ley parece desprenderse que el espíritu del mismo no es el que los Juzgados y Tribunales parecen interpretar.

Pero no olvidemos que el administrador de una Web no es un Juez, no tiene porqué conocer pormenorizadamente el derecho, y en cualquier caso para eso están los Juzgados y Tribunales, para velar por el cumplimiento de estos derechos. Imaginemos que se nos condenase a cualquier particular porque en el muro de nuestra vivienda alguien escribiese un “Te quiero Ana” y la tal Ana o su novio se sintiesen ofendidos.

En conclusión, a través de Juzgados y Tribunales se está delimitando el concepto de conocimiento efectivo, y restringiendo la libertad de expresión de los internautas, convirtiendo a los titulares de los servicios de intermediación en censores de las expresiones que se vierten en sus Webs, y convirtiéndolos en responsables de las mismas. Esto obliga a llevar un control exhaustivo de las páginas Web, que puede convertirse en una tarea muy difícil, por no decir imposible, en el caso de medios de gran afluencia de público. Es cierto que no es de recibo que cualquier persona pueda “campar a sus anchas” e infringir los derechos de un tercero. Se debería articular un medio rápido y efectivo para que la labor de vigilancia no se convierta en una labor de reprobación por parte del Webmaster. Esto es en definitiva lo que se pretende hacer con la Ley Sinde en el caso de los Derechos de Autor.

Áudea Seguridad de la Información

Aurelio J. Martínez Ferre

Departamento legal

www.audea.com

Los agentes de la Policía Nacional investigaron las cuentas beneficiarias  e identificaron a la titular, que ahora se haya detenida, una madrileña de 45 años con residencia en Navarra. También se han identificado otras víctimas de la misma estafadora.

Este delito es conceptuado como phishing, y consiste en el envío de  correos spam, donde captan a  personas que quieren ganar dinero desde su casa utilizando sus cuentas bancarias. Estos spam ofrecen un tanto por ciento o sueldo mensual, explicando el novedoso  método para abaratar las transferencias internacionales procedentes de envíos a ONG, transportes…

En el correo se encuentra un formulario donde piden datos personales y número de cuenta, y por otro lado encontramos direcciones de correo donde remitir nuestros datos y para realizar consultas.

Esas direcciones de correo cuelgan de dominios a nombre de las supuestas empresas mercantiles, y para dar credibilidad crean webs sencillas pero de apariencia legal.

Una vez tienen los contactos realizan lo que propiamente conocemos como phishing: se envían correos masivos en nombre de entidades bancarias, consiguiendo a través del engaño a que el supuesto estafado abra una ventana con apariencia de la entidad financiera y le reclaman sus datos de acceso.

Ésta ha sido la manera de actuar de la que ha sido detenida por estafa y blanqueo de capital. 

Áudea Seguridad de la Información

Departamento de Marketing y comunicación

www.audea.com

fuente: PortalTic