Una reclamación del ciudadano X en la consulta de Oftalmología del Centro Periférico de Especialidades de Cartuja por el funcionamiento del servicio se convirtió también en una queja pública de que en el reverso de la hoja de su próxima cita aparecían datos confidenciales de otros pacientes.
El paciente había pasado toda la mañana en la consulta y tras esperar otro tanto para recibir la cita de la próxima revisión se dio cuenta de que en el reverso figuraban datos confidenciales de los enfermos citados en la misma consulta para el pasado 17 de mayo. Según publica hoy IDEAL en una noticia por José R. Villalba, en la hoja figuran datos como los nombres y apellidos de los pacientes, su número de seguridad social, el número de historia clínica de cada uno y los teléfonos de los ciudadanos.
Según la dirección del centro, todo se "debe a un error puntual" ya que todos los papeles con datos confidenciales "se trituran, por tanto entendemos que debió de haber un error humano a la hora de usar una hoja de papel que tenía datos privados de enfermos". De momento, no hay denuncia oficial interpusta, sólo una reclamación ante la oficina del usuario.
Estos datos están protegidos bajo la Ley Orgánica de Protección de Datos 15/1999, de 13 de diciembre y por ser de carácter médico se les aplican las medidas de protección de nivel alto. En 2001, Granada se situó entre las diez provincias más investigadas del país por numerosos casos del uso ilegal de datos en el ámbito sanitario. Las sanciones a los centros que infrigen esta ley puede oscilar entre los 600 y 600.000 euros.
Fuente: El Ideal Granada
Fecha: 25/05/2010
martes, 25 de mayo de 2010
jueves, 13 de mayo de 2010
La Academia Canaria incurrió en una falta ´grave´ al publicar datos de policías
La Agencia Española de Protección de Datos ha emitido una resolución a través de la cual califica de "grave" la aparición en el año 2008 en unos contenedores de basura situados en Añaza de datos personales sobre policías locales de Santa Cruz que habían participado en un curso de ascenso, capacitación y reciclaje en el año 2001. La Agencia requiere ahora a la Academia para que adopte las medidas de orden interno que impidan que en el futuro puedan reproducirse este tipo de situaciones. A partir de aquí se abre el plazo de un mes para determinar el tipo de sanción que se impondrá.
Los hechos se remontan al año 2008 cuando este rotativo publicó un artículo en el que se hacía eco de la aparición de fichas que contenían datos personales de policías locales y de profesores de los cursos, tales como número de carné de identidad, cuentas bancarias, domicilios, teléfonos y curriculos que fueron tirados en la basura. A partir de aquí, la Junta de Personal del Ayuntamiento decidió poco después denunciar estos hechos ante la Agencia Española de Protección de Datos.
Durante la investigación, este organismo pudo comprobar que la denuncia era cierta y se habían depositado en la basura datos personales de los efectivos policiales. Los miembros de la Academia Canaria de Seguridad se defendieron argumentando que la documentación inactiva de cada curso queda archivada en una sala ubicada en la sede de la Academia y se conserva, por motivos normativos, durante un período mínimo de cinco años. "A dicha sala sólo accede el personal autorizado, siendo necesario solicitar la llave de la puerta a la secretaria del director que es quien la custodia", explicaron.
Documentos
Los miembros de la Academia apuntaron que el proceso habitual para eliminar la documentación consiste en la destrucción de la misma mediante máquinas destructoras de papel. Posteriormente, los restos se depositan en bolsas de basura que se tiran a un contenedor en la vía pública. En el caso denunciado ahora, el problema surgió de que la Academia hizo una reestructuración en las dependencias de la sede que también afectó al archivo en el que se custodiaban los documentos, momento en el que se deshizo de los papeles con antigüedad superior a cinco años. Sin embargo, en este caso no se llevó a cabo previamente la destrucción de los documentos.
La directiva de la Academia apunta que el personal de la misma es informado verbalmente de las obligaciones respecto a los tratamientos de datos de carácter personal, así como del procedimiento para destruirlo. En estas dependencias existe un archivo y, además, se cuenta con dos máquinas destructoras de papeles ubicadas una en la zona de admnistración y otra en la de cursos. Curiosamente la Academia no contestó a los requerimientos que le planteó la Agencia de Protección de Datos en lo que se refiere a las instrucciones que se dictaron relativas a la destrucción de la documentación a desechar y las medidas correctoras que se han aplicado o se piensan aplicar para evitar la pérdida de expedientes.
La Agencia considera como hechos probados que se depositaron datos en contenedores de basura y que muchos de ellos eran de carácter personal de participantes en cursos, algunos de los cuales se realizaron en el año 2001 y que correspondían tanto a profesores como a alumnos. Estos informes permanecen ubicados en una sala durante un período mínimo de cinco años a la que sólo puede acceder personal autorizado.
El problema en el caso denunciado es que en el mes de octubre de 2008 se llevó a cabo una reestructuración de las dependencias de la sede de la Academia en Añaza, en la que se deshizo de los documentos con antigüedad mayor de cinco años, momento en el que los papeles se depositaron sin destruir en los contenedores.
Fuente: La Opinión
Fecha: 13/05/2010
Los hechos se remontan al año 2008 cuando este rotativo publicó un artículo en el que se hacía eco de la aparición de fichas que contenían datos personales de policías locales y de profesores de los cursos, tales como número de carné de identidad, cuentas bancarias, domicilios, teléfonos y curriculos que fueron tirados en la basura. A partir de aquí, la Junta de Personal del Ayuntamiento decidió poco después denunciar estos hechos ante la Agencia Española de Protección de Datos.
Durante la investigación, este organismo pudo comprobar que la denuncia era cierta y se habían depositado en la basura datos personales de los efectivos policiales. Los miembros de la Academia Canaria de Seguridad se defendieron argumentando que la documentación inactiva de cada curso queda archivada en una sala ubicada en la sede de la Academia y se conserva, por motivos normativos, durante un período mínimo de cinco años. "A dicha sala sólo accede el personal autorizado, siendo necesario solicitar la llave de la puerta a la secretaria del director que es quien la custodia", explicaron.
Documentos
Los miembros de la Academia apuntaron que el proceso habitual para eliminar la documentación consiste en la destrucción de la misma mediante máquinas destructoras de papel. Posteriormente, los restos se depositan en bolsas de basura que se tiran a un contenedor en la vía pública. En el caso denunciado ahora, el problema surgió de que la Academia hizo una reestructuración en las dependencias de la sede que también afectó al archivo en el que se custodiaban los documentos, momento en el que se deshizo de los papeles con antigüedad superior a cinco años. Sin embargo, en este caso no se llevó a cabo previamente la destrucción de los documentos.
La directiva de la Academia apunta que el personal de la misma es informado verbalmente de las obligaciones respecto a los tratamientos de datos de carácter personal, así como del procedimiento para destruirlo. En estas dependencias existe un archivo y, además, se cuenta con dos máquinas destructoras de papeles ubicadas una en la zona de admnistración y otra en la de cursos. Curiosamente la Academia no contestó a los requerimientos que le planteó la Agencia de Protección de Datos en lo que se refiere a las instrucciones que se dictaron relativas a la destrucción de la documentación a desechar y las medidas correctoras que se han aplicado o se piensan aplicar para evitar la pérdida de expedientes.
La Agencia considera como hechos probados que se depositaron datos en contenedores de basura y que muchos de ellos eran de carácter personal de participantes en cursos, algunos de los cuales se realizaron en el año 2001 y que correspondían tanto a profesores como a alumnos. Estos informes permanecen ubicados en una sala durante un período mínimo de cinco años a la que sólo puede acceder personal autorizado.
El problema en el caso denunciado es que en el mes de octubre de 2008 se llevó a cabo una reestructuración de las dependencias de la sede de la Academia en Añaza, en la que se deshizo de los documentos con antigüedad mayor de cinco años, momento en el que los papeles se depositaron sin destruir en los contenedores.
Fuente: La Opinión
Fecha: 13/05/2010
lunes, 10 de mayo de 2010
UE registra deficiencias en vigilancia de la información
Las autoridades encargadas de la protección de datos en países de la Unión Europea no pueden cumplir sus responsabilidades de manera adecuada, porque tienen facultades limitadas y carecen de suficiente financiación e independencia, dijo el viernes una entidad defensora de los derechos humanos.
La Agencia para los Derechos Fundamentales de la UE (FRA por sus siglas en inglés) señaló que tales autoridades en Austria, Hungría y Polonia no pueden ejecutar sus decisiones, mientras que en Bélgica y Alemania no pueden ordenar que se obstruya, elimine o destruya la información.
En Austria, Bulgaria, Rumania, Chipre, Francia, Grecia, Italia, Letonia, Holanda, Portugal y Eslovaquia, las autoridades necesitan más recursos y personal, agregó.
Quizá la manera como son nombradas o designadas las autoridades encargadas de la protección de datos en Lituania, Letonia, Estonia, Irlanda y Gran Bretaña les impide actuar de manera autónoma, opinó la agencia con sede en Viena.
Fuente: Terra
Fecha: 07/05/2010
La Agencia para los Derechos Fundamentales de la UE (FRA por sus siglas en inglés) señaló que tales autoridades en Austria, Hungría y Polonia no pueden ejecutar sus decisiones, mientras que en Bélgica y Alemania no pueden ordenar que se obstruya, elimine o destruya la información.
En Austria, Bulgaria, Rumania, Chipre, Francia, Grecia, Italia, Letonia, Holanda, Portugal y Eslovaquia, las autoridades necesitan más recursos y personal, agregó.
Quizá la manera como son nombradas o designadas las autoridades encargadas de la protección de datos en Lituania, Letonia, Estonia, Irlanda y Gran Bretaña les impide actuar de manera autónoma, opinó la agencia con sede en Viena.
Fuente: Terra
Fecha: 07/05/2010
CONSEJOS TECH PARA PROTEGER ARCHIVOS MÁS PRIVADOS DE OJOS NON GRATOS
Aunque de las filtraciones de fotos íntimas en Internet se sabe cada cierto tiempo, y sólo cuando afectan a alguien conocido, son casi el pan de cada día en la red.
La clave básica para protegerse de estas publicaciones, que la mayoría de las veces se concretan a través de robos de archivos por terceras personas, es el cuidado que cada persona debe tener hacia la información privada.
Gonzalo Dubost, Gerente Regional para Brasil y el Cono Sur de Imation, señala que lo primero es tener en cuenta que la tecnología actualmente existe, pero que supera el interés del usuario por proteger su información.
Por lo tanto, todo instructivo básico parte de la propia consciencia de las personas de lo importante que es proteger todos los datos que consideren personales y privados (desde fotos y archivos de video, hasta documentos).
Con esa premisa básica las recomendaciones son:
1. Actualmente todos los pendrives y discos duros externos vienen con un software de respaldo y protección de datos que permite tanto encriptar como proteger los datos a través de contraseñas. Lo que hace es particionar el espacio de la unidad, en el tamaño que uno quiera, y conservar una parte sólo reservada para ser vista por el usuario a través de una password personal. Usar esta utilidad (y no borrarla al momento de ver que el dispositivo viene con ella), permite usar este tipo de unidades de almacenamiento sin temor a que un tercero pueda acceder a datos privados.
2. Usar software de backup o respaldo de datos que vienen en unidades externas. De esta forma, se puede respaldar archivos sensibles en pendrives o discos duros portátiles y usando la utilidad antes descrita, aplicar una contraseña que evite que cualquier persona acceda a ellos.
3. En caso de archivos en el computador es posible acceder a software y aplicaciones que crean carpetas privadas, donde guardar los datos privados aplicando contraseña.
Dubost señala que en el caso de la información personal, no es tanta la necesidad de encriptar los datos cómo si de ordenarlos y recogerlos en una carpeta, y esta guardarla en un sitio que esté protegido por contraseña.
"Para un usuario cualquiera no es fácil hackear una contraseña, así es que proteger los datos personales con una clave resulta seguro", señala el ejecutivo.
En el caso de fotos que no son tan privadas y que se quieren publicar en la web pero no con acceso a todo el mundo, también existen formas de filtrar esa información. En Facebook es posible crear grupos donde clasificar a los Amigos o Contactos, y de esta forma cada vez quye se suba un album de fotos definir qué grupo de amigos se quiere vean esas fotos.
Asimismo, todos los servicios de publicación de v ideos o imágenes, como Flickr o YouTube, vienen con opciones que señalan Vista Limitada, o sea definir a los usuarios que realmente se quiere accedan a ver lo que se publicó.
COn esas medidas básicas es posible proteger los datos de cualquier filtración incómoda. No sólo por fotos de desnudos que nucna se pensó que estarían al alcance de todos, sino también con fotos personales o familiares que, por una razón y otra, no se quiere que estén disponibles para todo el mundo.
Fuente: Terra
Fecha: 07/05/2010
La clave básica para protegerse de estas publicaciones, que la mayoría de las veces se concretan a través de robos de archivos por terceras personas, es el cuidado que cada persona debe tener hacia la información privada.
Gonzalo Dubost, Gerente Regional para Brasil y el Cono Sur de Imation, señala que lo primero es tener en cuenta que la tecnología actualmente existe, pero que supera el interés del usuario por proteger su información.
Por lo tanto, todo instructivo básico parte de la propia consciencia de las personas de lo importante que es proteger todos los datos que consideren personales y privados (desde fotos y archivos de video, hasta documentos).
Con esa premisa básica las recomendaciones son:
1. Actualmente todos los pendrives y discos duros externos vienen con un software de respaldo y protección de datos que permite tanto encriptar como proteger los datos a través de contraseñas. Lo que hace es particionar el espacio de la unidad, en el tamaño que uno quiera, y conservar una parte sólo reservada para ser vista por el usuario a través de una password personal. Usar esta utilidad (y no borrarla al momento de ver que el dispositivo viene con ella), permite usar este tipo de unidades de almacenamiento sin temor a que un tercero pueda acceder a datos privados.
2. Usar software de backup o respaldo de datos que vienen en unidades externas. De esta forma, se puede respaldar archivos sensibles en pendrives o discos duros portátiles y usando la utilidad antes descrita, aplicar una contraseña que evite que cualquier persona acceda a ellos.
3. En caso de archivos en el computador es posible acceder a software y aplicaciones que crean carpetas privadas, donde guardar los datos privados aplicando contraseña.
Dubost señala que en el caso de la información personal, no es tanta la necesidad de encriptar los datos cómo si de ordenarlos y recogerlos en una carpeta, y esta guardarla en un sitio que esté protegido por contraseña.
"Para un usuario cualquiera no es fácil hackear una contraseña, así es que proteger los datos personales con una clave resulta seguro", señala el ejecutivo.
En el caso de fotos que no son tan privadas y que se quieren publicar en la web pero no con acceso a todo el mundo, también existen formas de filtrar esa información. En Facebook es posible crear grupos donde clasificar a los Amigos o Contactos, y de esta forma cada vez quye se suba un album de fotos definir qué grupo de amigos se quiere vean esas fotos.
Asimismo, todos los servicios de publicación de v ideos o imágenes, como Flickr o YouTube, vienen con opciones que señalan Vista Limitada, o sea definir a los usuarios que realmente se quiere accedan a ver lo que se publicó.
COn esas medidas básicas es posible proteger los datos de cualquier filtración incómoda. No sólo por fotos de desnudos que nucna se pensó que estarían al alcance de todos, sino también con fotos personales o familiares que, por una razón y otra, no se quiere que estén disponibles para todo el mundo.
Fuente: Terra
Fecha: 07/05/2010
jueves, 6 de mayo de 2010
Protección de Datos archiva la denuncia de Cascos contra el PP de Gijón, que responde con una bofetada
Quien ríe último, ríe mejor. Es lo que deben estar pensando los populares de Gijón ahora que dos instancias, el Comité Nacional de Garantías del PP y la Agencia Española de Protección de Datos, les han dado la razón ante el mismísimo ex vicepresidente Francisco Álvarez-Cascos, quien les denunció por tirar a la basura un archivo con documentación personal. La polémica empezó en abril de 2009, cuando un “ciudadano anónimo” halló la documentación de Cascos “en la acera donde se encuentra la sede del PP de Gijón, en la Plaza del Parchís”. Esta información, difundida por el periódico La Nueva España, le bastó para denunciar el caso ante Protección de Datos y para pedir a Génova un expediente. En una durísima carta dirigida a la cúpula del partido, Cascos acusó a sus compañeros de partido de comportamiento “zafio, vandálico e inaudito”. Seis meses y dos fallos después, éste le ha devuelto la bofetada. La Junta Directiva del PP de Gijón ha emitido un comunicado mostrando su “satisfacción” porque ambos órganos les han dado la razón y “reprobando y lamentando profundamente” la actuación del ex dirigente. Curiosamente, todo apunta a que Álvarez Cascos va a ser el próximo candidato del PP para desalojar del poder en el Principado de Asturias a los socialistas.
En el comunicado acordado ayer, el grupo expresa “su satisfacción porque ambos órganos, uno perteneciente a la estructura de nuestro partido, el Comité Nacional de Derechos y Garantías, y otro que forma parte de la administración pública, la Agencia Española de Protección de Datos, han llegado a la misma conclusión: el Partido Popular de Gijón cumple con su obligación de custodiar la documentación, cualquiera que sea su soporte, de la que es responsable conforme a la Ley”.
La Junta “reprueba y lamenta”
Además de recalcar que las denuncias de Cascos “carecen de fundamentos” y son “inciertas” porque “jamás el PP de Gijón abandonó ni se deshizo de documentación alguna”, la Junta Directiva “reprueba y lamenta profundamente la actuación y manifestaciones realizadas por Francisco Álvarez-Cascos, que por prudencia y respeto a nuestro partido no va a calificar”. Tal y como reuerda El Mundo, la presidenta de los populares gijoneses, Pilar Fernández Pardo, siiempre ha sido enemiga del ex vicepresidente y de hecho encabezaría la corriente interna que se opone a su vuelta a los ruedos políticos. La elección de Fernández Pardo en noviembre de 2003 llevó a Cascos, quien inició su carrera política en Gijón, a darse de baja en aquella localidad para registrarse en Madrid.
“Irresponsabilidad e indignidad”
La lucha entre Cascos y el PP de Gijón comenzó en abril de 2009, cuando La Nueva España publicó el testimonio de un “ciudadano anónimo” que supuestamente se encontró la documentación del ex vicepresidente junto a la sede de ese partido. Aparentemente, el grupo se había deshecho del material aprovechando que hacía obras. La respuesta del ex dirigente fue airada: “Sólo los responsables del PP de Gijón reúnen la doble condición de irresponsabilidad” y “de indignidad para enviar al contenedor de basura el patrimonio que ni siquiera les pertenece”. El partido envió una nota al diario en cuestión negando que hubiera obras, documentación o “correspondencia” del ex número dos del Gobierno en su sede. Además, precisó se tiene contratada a “una empresa especializada para la destrucción de documentos”.
Doble denuncia fallida
En octubre de 2009 Cascos denunció a sus correligionarios ante el Comité de Garantías y Protección de Datos. En una carta remitida por aquella fecha a la sede nacional del partido, tachó de “zafio, vandálico e inaudito” el comportamiento del PP de Gijón solicitando un expediente y una auditoria. Pero en abril de 2010 el Comité exculpó a los acusados y confirmó que “la documentación custodiada se mantiene en buen estado de conservación” y que la destrucción está contratada a una empresa. Ese mismo mes también se pronunció Protección de Datos, que constató que no hay obras en la sede del PP de Gijón desde 2003, que hay contradicciones en el testimonio del ciudadano que halló la documentación y que si Cascos dejó correspondencia en custodia del partido debió firmar un contrato. La Agencia, por tanto, ha procedido a archivar las actuaciones.
Fuente: El Plural
Fecha: 06/05/2010
En el comunicado acordado ayer, el grupo expresa “su satisfacción porque ambos órganos, uno perteneciente a la estructura de nuestro partido, el Comité Nacional de Derechos y Garantías, y otro que forma parte de la administración pública, la Agencia Española de Protección de Datos, han llegado a la misma conclusión: el Partido Popular de Gijón cumple con su obligación de custodiar la documentación, cualquiera que sea su soporte, de la que es responsable conforme a la Ley”.
La Junta “reprueba y lamenta”
Además de recalcar que las denuncias de Cascos “carecen de fundamentos” y son “inciertas” porque “jamás el PP de Gijón abandonó ni se deshizo de documentación alguna”, la Junta Directiva “reprueba y lamenta profundamente la actuación y manifestaciones realizadas por Francisco Álvarez-Cascos, que por prudencia y respeto a nuestro partido no va a calificar”. Tal y como reuerda El Mundo, la presidenta de los populares gijoneses, Pilar Fernández Pardo, siiempre ha sido enemiga del ex vicepresidente y de hecho encabezaría la corriente interna que se opone a su vuelta a los ruedos políticos. La elección de Fernández Pardo en noviembre de 2003 llevó a Cascos, quien inició su carrera política en Gijón, a darse de baja en aquella localidad para registrarse en Madrid.
“Irresponsabilidad e indignidad”
La lucha entre Cascos y el PP de Gijón comenzó en abril de 2009, cuando La Nueva España publicó el testimonio de un “ciudadano anónimo” que supuestamente se encontró la documentación del ex vicepresidente junto a la sede de ese partido. Aparentemente, el grupo se había deshecho del material aprovechando que hacía obras. La respuesta del ex dirigente fue airada: “Sólo los responsables del PP de Gijón reúnen la doble condición de irresponsabilidad” y “de indignidad para enviar al contenedor de basura el patrimonio que ni siquiera les pertenece”. El partido envió una nota al diario en cuestión negando que hubiera obras, documentación o “correspondencia” del ex número dos del Gobierno en su sede. Además, precisó se tiene contratada a “una empresa especializada para la destrucción de documentos”.
Doble denuncia fallida
En octubre de 2009 Cascos denunció a sus correligionarios ante el Comité de Garantías y Protección de Datos. En una carta remitida por aquella fecha a la sede nacional del partido, tachó de “zafio, vandálico e inaudito” el comportamiento del PP de Gijón solicitando un expediente y una auditoria. Pero en abril de 2010 el Comité exculpó a los acusados y confirmó que “la documentación custodiada se mantiene en buen estado de conservación” y que la destrucción está contratada a una empresa. Ese mismo mes también se pronunció Protección de Datos, que constató que no hay obras en la sede del PP de Gijón desde 2003, que hay contradicciones en el testimonio del ciudadano que halló la documentación y que si Cascos dejó correspondencia en custodia del partido debió firmar un contrato. La Agencia, por tanto, ha procedido a archivar las actuaciones.
Fuente: El Plural
Fecha: 06/05/2010
Un estudio de CA revela que sólo un 28% de las empresas europeas dispone de tecnología de prevención de pérdida de datos
CA (NASDAQ: CA), el principal proveedor independiente del mundo de software de gestión TI, anuncia los resultados de un estudio europeo sobre seguridad TI que revela que sólo el 28 por ciento de las organizaciones europeas tiene implantada alguna tecnología de prevención de pérdida de datos (DLP en sus siglas en inglés). Si no se toman las medidas necesarias para identificar los datos confidenciales o sensibles de toda la empresa y para protegerlos ante su pérdida o uso indebido, las organizaciones corren el riesgo de graves consecuencias como el no cumplimiento de políticas o regulaciones, daños a la reputación de su marca y la reducción de su competitividad. El informe, titulado “You sent what? Linking identity and data loss prevention to avoid damage to brand, reputation, and competitiveness”, ha sido elaborado por la firma de investigación Quocirca -en nombre de CA- en 14 países: Alemania, Bélgica, Dinamarca, España, Finlandia, Francia, Holanda, Irlanda, Israel, Italia, Noruega, Portugal, Reino Unido y Suecia.
Según este estudio, los departamentos de TI se esfuerzan por responder a cuestiones relacionadas con el cumplimiento como el estándar Payment Card Industry Data Security Standard (PCI DSS) y la norma de seguridad de la información ISO 27001. Sorprende el hecho de que, a menudo, las empresas desconocen cómo puede ayudarles la tecnología y no son capaces de convencer a los responsables de las líneas de negocio de los riesgos que corren a fin de justificar la inversión necesaria en TI. Esto sucede a pesar de que muchas organizaciones esperan que la privacidad de datos sea el área de regulación que más les va a afectar en los próximos 5 años (con una gravedad del problema puntuada con 3,2 en una escala de 1 a 51).
La falta de tiempo y de recursos, seguidos de la gran cantidad de procesos manuales (puntuadas con 2,82) hace que los responsables de TI tengan dificultades para resolver las cuestiones de cumplimiento. La mayoría de las organizaciones encuestadas también admite que carece de una “visión de cumplimiento” (puntuación 2,7). Todos estos problemas podrían resolverse fácilmente si llevaran a cabo el seguimiento y control de sus datos de manera más efectiva. Sin embargo, esto parece no ser prioritario: el estudio revela que el ‘seguimiento del uso de los datos’, puntuado con un 2,5, no se considera un obstáculo para el cumplimiento de normativas.
El malware sigue siendo la principal preocupación para los gestores de la seguridad TI (puntuado con un 2,9 en una escala de 1 a 53) y, normalmente, se combate con soluciones de seguridad perimetral y control de contenido entrante. El resto de las principales amenazas citadas por los encuestados están relacionadas con el uso de los datos dentro de la organización: uso de Internet (2,7), gestión de datos sensibles o confidenciales (2,7) y la actividad de usuarios internos y externos (2,7). Las tres tienen en común que comparten datos entre los usuarios, a menudo a través de Internet, y éste es el escenario que está detrás de muchos de los incidentes bien conocidos en los que se han perdido datos confidenciales.
Una arquitectura orientada al cumplimiento podría ayudar a aliviar el problema de la pérdida de datos porque enlaza el uso de los datos con las personas a través de políticas de aplicación obligatoria. La arquitectura orientada al cumplimiento se define como “un conjunto de políticas y mejores prácticas que se hacen cumplir siempre que sea aplicable con tecnología, minimizan la posibilidad de pérdida de datos y proporcionan un registro de auditoría para poder investigar las circunstancias en caso de violación de la seguridad”.
Para que una arquitectura orientada al cumplimiento sea efectiva debe constar de tres elementos. En primer lugar, soluciones de gestión de identidades y accesos que permitan comprender las funciones y responsabilidades de las personas, definir y hacer cumplir sus privilegios. Resulta interesante que sólo el 24% de las organizaciones europeas cuenta con un sistema de gestión de identidades y accesos completo. En segundo lugar, es necesario poder localizar y clasificar los datos. En este sentido, sólo el 50 por ciento de los encuestados afirma disponer de un sistema para ello. El tercer y último elemento para una buena arquitectura orientada al cumplimiento es una manera para hacer cumplir las políticas que enlace las funciones o roles de las personas con el uso que hacen de los datos. Muchas herramientas de prevención de pérdida de datos automatizan el segundo y el tercero de los requisitos anteriores, aunque a diferentes grados, pero como hemos visto sólo el 28 por ciento de las organizaciones europeas utiliza este tipo de herramientas.
Además de ofrecer la capacidad de descubrir y clasificar los datos de forma precisa, este planteamiento, que se centra en la identidad, ayuda a la definir las políticas de uso en el contexto del negocio porque permite monitorizar e inspeccionar la información y hace cumplir las políticas predefinidas en función de los derechos de cada individuo. En última instancia, las organizaciones deben lograr el equilibrio entre proteger su información crítica ante los abusos y adoptar medidas de seguridad flexibles que permitan a los usuarios dar su mejor rendimiento.
Las herramientas DLP también se utilizan para controlar información, especialmente porque los organismos reguladores endurecen las medidas obligatorias en un esfuerzo por conseguir una disciplina más creíble y disuasoria. Por ejemplo, algunas organizaciones utilizan herramientas DLP que tienen más funciones de análisis de contenido para identificar y evitar la fijación de precios, manipulación de licitaciones y la connivencia. Otras, en cambio, lo utilizan simplemente para garantizar que sólo se distribuyan las versiones más recientes de los informes públicos. Las herramientas DLP también son clave para educar a los usuarios de la información, impulsando una cultura que observe el cumplimiento en toda la empresa, por ejemplo, alertando a los usuarios de que determinadas acciones con algunos tipos de datos violan las políticas de seguridad corporativas.
Las organizaciones que adoptan todos los elementos de la arquitectura orientada al cumplimiento obtienen los beneficios de este planteamiento de distintas formas:
• El 41% de los encuestados con un sistema completo de gestión de identidades y accesos no tiene problemas con la cancelación segura de los derechos de acceso de los empleados; ese porcentaje baja al 3% para aquellas compañías que no cuentan con semejante sistema.
• Más del 90% de las organizaciones que han implantado tecnología DLP afirma que está bien preparada para proteger su propiedad intelectual y los datos personales, mientras que sólo el 26% de los que no tienen DLP reconoce que lo está.
• Una arquitectura orientada al cumplimiento no tiene que inventarse de cero, sino que puede basarse en estándares de seguridad ampliamente adoptados, como la ISO 27001. La encuesta revela una fuerte correlación entre ambos: el 43% de las organizaciones que ha adoptado el estándar ISO 27001 cuenta con una solución completa de gestión de identidades y accesos, y el 49% también utiliza herramientas de DLP. Por lo tanto, es evidente que estas tecnologías pueden hacer que una organización dé un salto importante hacia un mejor cumplimiento de las regulaciones.
A medida que las organizaciones adoptan cloud computing para procesar y almacenar datos en una infraestructura gestionada por terceros tienen una mayor necesidad de aplicar políticas de seguridad a nivel de datos. La encuesta de CA subraya que la seguridad informática es un factor clave para hacer posible el uso de "cloud computing" (puntuado con 3,2 en una escala de 1 a 54, la segunda puntuación más alta después de "uso de la virtualización” como tecnología clave para facilitar el cloud computing). Las herramientas DLP ayudan a comprender la sensibilidad de los datos y permiten tomar decisiones en tiempo real sobre lo que se puede y lo que no se puede procesar y almacenar en cada entorno cloud. No debe esperarse que los empleados comprendan todos los problemas porque puede que no sean conscientes de que copiar un documento de una ubicación a otra significa moverlo de una infraestructura gestionada internamente a otra gestionada por terceros.
“El informe de CA You sent what? Linking identity and data loss prevention to avoid damage to brand, reputation, and competitiveness es una evidencia clara y oportuna de que las organizaciones requieren una tecnología DLP para apoyar sus necesidades de cumplimiento, proteger el valor de su marca y maximizar su competitividad ", afirma Shirief Nosseir, director de Marketing de Productos de Seguridad en Europa, CA. "A medida que se desdibujan los perímetros de la red, se hace patente que las medidas de seguridad deben aplicarse a los datos a lo largo de su ciclo de vida y no sólo a los activos de red. Es preciso comprender y clasificar la información con políticas que se apliquen determinando quién puede utilizarla y cómo. Enlazar la tecnología de gestión de identidades y accesos con la de prevención de pérdida de datos ofrece la combinación perfecta para lograr este objetivo: permitir a las organizaciones descubrir, monitorizar y controlar la información crítica dondequiera que se encuentre, garantizando al mismo tiempo que la información sólo la utilizan las personas adecuadas de la manera correcta y de acuerdo con sus funciones y privilegios. En esencia, con la proliferación de información sensible que circula entre las empresas, esta combinación permite un enfoque práctico muy necesario para la aplicación del principio de privilegios mínimos justo en el nivel de los datos".
Bob Tarzey, analista y director de la firma Quocirca Ltd. señala: “Las recientes violaciones de datos especialmente sensibles demuestran que los datos almacenados electrónicamente no están suficientemente cuidados. Este fracaso en la protección de datos es costoso y no sólo por las multas que están imponiendo los organismos reguladores. Además de esto, existe el daño que conlleva a la reputación y a la competitividad. Hoy en día existe tecnología para enlazar el uso de los datos con las personas a través de políticas de aplicación obligada. Esto permite establecer una arquitectura orientada al cumplimiento basada en los estándares de seguridad de la información ampliamente aceptados, como la ISO27001. De este modo las organizaciones pueden permitir que se comparta la información de forma segura, tanto interna como externamente, garantizando tanto los procesos de continuidad del negocio como el buen gobierno de los datos”.
Variaciones del mercado
La tecnología DLP está más implantada entre las compañías de telecomunicaciones y medios de comunicación (37%), probablemente por el valor relativamente alto que otorga al uso seguro de los datos, mientras que en el sector industria es donde está menos implantada (18%). Dada la responsabilidad que tienen las administraciones públicas sobre los datos de los ciudadanos y las organizaciones de servicios financieros sobre los datos confidenciales que están en su poder, los bajos niveles de implantación que se registran en este ámbito (26%) deberían ser una preocupación para los organismos reguladores. El uso limitado de la tecnología DLP en el sector industria quizás explica por qué este segmento se siente menos preparado para proteger la propiedad intelectual, en particular en una actividad donde tiene tanta importancia (puntuado 3,3 en una escala del 1 al 55).
Metodología de la encuesta
El estudio ha sido realizado por Quocirca, una firma de investigación y análisis especializada en el impacto de las TIC en el negocio. En la segunda mitad de 2009 se llevaron a cabo un total de 270 entrevistas a directores de TI, responsables de seguridad TI y otros administradores de TI de empresas de 14 países europeos (Alemania, Bélgica, Dinamarca, España, Finlandia, Francia, Holanda, Irlanda, Israel, Italia, Noruega, Portugal, Reino Unido y Suecia). Las empresas encuestadas se encuadran en los sectores de telecomunicaciones y medios de comunicación, industria, servicios financieros y administraciones públicas.
Fuente: Acceso
Fecha: 04/05/2010
Según este estudio, los departamentos de TI se esfuerzan por responder a cuestiones relacionadas con el cumplimiento como el estándar Payment Card Industry Data Security Standard (PCI DSS) y la norma de seguridad de la información ISO 27001. Sorprende el hecho de que, a menudo, las empresas desconocen cómo puede ayudarles la tecnología y no son capaces de convencer a los responsables de las líneas de negocio de los riesgos que corren a fin de justificar la inversión necesaria en TI. Esto sucede a pesar de que muchas organizaciones esperan que la privacidad de datos sea el área de regulación que más les va a afectar en los próximos 5 años (con una gravedad del problema puntuada con 3,2 en una escala de 1 a 51).
La falta de tiempo y de recursos, seguidos de la gran cantidad de procesos manuales (puntuadas con 2,82) hace que los responsables de TI tengan dificultades para resolver las cuestiones de cumplimiento. La mayoría de las organizaciones encuestadas también admite que carece de una “visión de cumplimiento” (puntuación 2,7). Todos estos problemas podrían resolverse fácilmente si llevaran a cabo el seguimiento y control de sus datos de manera más efectiva. Sin embargo, esto parece no ser prioritario: el estudio revela que el ‘seguimiento del uso de los datos’, puntuado con un 2,5, no se considera un obstáculo para el cumplimiento de normativas.
El malware sigue siendo la principal preocupación para los gestores de la seguridad TI (puntuado con un 2,9 en una escala de 1 a 53) y, normalmente, se combate con soluciones de seguridad perimetral y control de contenido entrante. El resto de las principales amenazas citadas por los encuestados están relacionadas con el uso de los datos dentro de la organización: uso de Internet (2,7), gestión de datos sensibles o confidenciales (2,7) y la actividad de usuarios internos y externos (2,7). Las tres tienen en común que comparten datos entre los usuarios, a menudo a través de Internet, y éste es el escenario que está detrás de muchos de los incidentes bien conocidos en los que se han perdido datos confidenciales.
Una arquitectura orientada al cumplimiento podría ayudar a aliviar el problema de la pérdida de datos porque enlaza el uso de los datos con las personas a través de políticas de aplicación obligatoria. La arquitectura orientada al cumplimiento se define como “un conjunto de políticas y mejores prácticas que se hacen cumplir siempre que sea aplicable con tecnología, minimizan la posibilidad de pérdida de datos y proporcionan un registro de auditoría para poder investigar las circunstancias en caso de violación de la seguridad”.
Para que una arquitectura orientada al cumplimiento sea efectiva debe constar de tres elementos. En primer lugar, soluciones de gestión de identidades y accesos que permitan comprender las funciones y responsabilidades de las personas, definir y hacer cumplir sus privilegios. Resulta interesante que sólo el 24% de las organizaciones europeas cuenta con un sistema de gestión de identidades y accesos completo. En segundo lugar, es necesario poder localizar y clasificar los datos. En este sentido, sólo el 50 por ciento de los encuestados afirma disponer de un sistema para ello. El tercer y último elemento para una buena arquitectura orientada al cumplimiento es una manera para hacer cumplir las políticas que enlace las funciones o roles de las personas con el uso que hacen de los datos. Muchas herramientas de prevención de pérdida de datos automatizan el segundo y el tercero de los requisitos anteriores, aunque a diferentes grados, pero como hemos visto sólo el 28 por ciento de las organizaciones europeas utiliza este tipo de herramientas.
Además de ofrecer la capacidad de descubrir y clasificar los datos de forma precisa, este planteamiento, que se centra en la identidad, ayuda a la definir las políticas de uso en el contexto del negocio porque permite monitorizar e inspeccionar la información y hace cumplir las políticas predefinidas en función de los derechos de cada individuo. En última instancia, las organizaciones deben lograr el equilibrio entre proteger su información crítica ante los abusos y adoptar medidas de seguridad flexibles que permitan a los usuarios dar su mejor rendimiento.
Las herramientas DLP también se utilizan para controlar información, especialmente porque los organismos reguladores endurecen las medidas obligatorias en un esfuerzo por conseguir una disciplina más creíble y disuasoria. Por ejemplo, algunas organizaciones utilizan herramientas DLP que tienen más funciones de análisis de contenido para identificar y evitar la fijación de precios, manipulación de licitaciones y la connivencia. Otras, en cambio, lo utilizan simplemente para garantizar que sólo se distribuyan las versiones más recientes de los informes públicos. Las herramientas DLP también son clave para educar a los usuarios de la información, impulsando una cultura que observe el cumplimiento en toda la empresa, por ejemplo, alertando a los usuarios de que determinadas acciones con algunos tipos de datos violan las políticas de seguridad corporativas.
Las organizaciones que adoptan todos los elementos de la arquitectura orientada al cumplimiento obtienen los beneficios de este planteamiento de distintas formas:
• El 41% de los encuestados con un sistema completo de gestión de identidades y accesos no tiene problemas con la cancelación segura de los derechos de acceso de los empleados; ese porcentaje baja al 3% para aquellas compañías que no cuentan con semejante sistema.
• Más del 90% de las organizaciones que han implantado tecnología DLP afirma que está bien preparada para proteger su propiedad intelectual y los datos personales, mientras que sólo el 26% de los que no tienen DLP reconoce que lo está.
• Una arquitectura orientada al cumplimiento no tiene que inventarse de cero, sino que puede basarse en estándares de seguridad ampliamente adoptados, como la ISO 27001. La encuesta revela una fuerte correlación entre ambos: el 43% de las organizaciones que ha adoptado el estándar ISO 27001 cuenta con una solución completa de gestión de identidades y accesos, y el 49% también utiliza herramientas de DLP. Por lo tanto, es evidente que estas tecnologías pueden hacer que una organización dé un salto importante hacia un mejor cumplimiento de las regulaciones.
A medida que las organizaciones adoptan cloud computing para procesar y almacenar datos en una infraestructura gestionada por terceros tienen una mayor necesidad de aplicar políticas de seguridad a nivel de datos. La encuesta de CA subraya que la seguridad informática es un factor clave para hacer posible el uso de "cloud computing" (puntuado con 3,2 en una escala de 1 a 54, la segunda puntuación más alta después de "uso de la virtualización” como tecnología clave para facilitar el cloud computing). Las herramientas DLP ayudan a comprender la sensibilidad de los datos y permiten tomar decisiones en tiempo real sobre lo que se puede y lo que no se puede procesar y almacenar en cada entorno cloud. No debe esperarse que los empleados comprendan todos los problemas porque puede que no sean conscientes de que copiar un documento de una ubicación a otra significa moverlo de una infraestructura gestionada internamente a otra gestionada por terceros.
“El informe de CA You sent what? Linking identity and data loss prevention to avoid damage to brand, reputation, and competitiveness es una evidencia clara y oportuna de que las organizaciones requieren una tecnología DLP para apoyar sus necesidades de cumplimiento, proteger el valor de su marca y maximizar su competitividad ", afirma Shirief Nosseir, director de Marketing de Productos de Seguridad en Europa, CA. "A medida que se desdibujan los perímetros de la red, se hace patente que las medidas de seguridad deben aplicarse a los datos a lo largo de su ciclo de vida y no sólo a los activos de red. Es preciso comprender y clasificar la información con políticas que se apliquen determinando quién puede utilizarla y cómo. Enlazar la tecnología de gestión de identidades y accesos con la de prevención de pérdida de datos ofrece la combinación perfecta para lograr este objetivo: permitir a las organizaciones descubrir, monitorizar y controlar la información crítica dondequiera que se encuentre, garantizando al mismo tiempo que la información sólo la utilizan las personas adecuadas de la manera correcta y de acuerdo con sus funciones y privilegios. En esencia, con la proliferación de información sensible que circula entre las empresas, esta combinación permite un enfoque práctico muy necesario para la aplicación del principio de privilegios mínimos justo en el nivel de los datos".
Bob Tarzey, analista y director de la firma Quocirca Ltd. señala: “Las recientes violaciones de datos especialmente sensibles demuestran que los datos almacenados electrónicamente no están suficientemente cuidados. Este fracaso en la protección de datos es costoso y no sólo por las multas que están imponiendo los organismos reguladores. Además de esto, existe el daño que conlleva a la reputación y a la competitividad. Hoy en día existe tecnología para enlazar el uso de los datos con las personas a través de políticas de aplicación obligada. Esto permite establecer una arquitectura orientada al cumplimiento basada en los estándares de seguridad de la información ampliamente aceptados, como la ISO27001. De este modo las organizaciones pueden permitir que se comparta la información de forma segura, tanto interna como externamente, garantizando tanto los procesos de continuidad del negocio como el buen gobierno de los datos”.
Variaciones del mercado
La tecnología DLP está más implantada entre las compañías de telecomunicaciones y medios de comunicación (37%), probablemente por el valor relativamente alto que otorga al uso seguro de los datos, mientras que en el sector industria es donde está menos implantada (18%). Dada la responsabilidad que tienen las administraciones públicas sobre los datos de los ciudadanos y las organizaciones de servicios financieros sobre los datos confidenciales que están en su poder, los bajos niveles de implantación que se registran en este ámbito (26%) deberían ser una preocupación para los organismos reguladores. El uso limitado de la tecnología DLP en el sector industria quizás explica por qué este segmento se siente menos preparado para proteger la propiedad intelectual, en particular en una actividad donde tiene tanta importancia (puntuado 3,3 en una escala del 1 al 55).
Metodología de la encuesta
El estudio ha sido realizado por Quocirca, una firma de investigación y análisis especializada en el impacto de las TIC en el negocio. En la segunda mitad de 2009 se llevaron a cabo un total de 270 entrevistas a directores de TI, responsables de seguridad TI y otros administradores de TI de empresas de 14 países europeos (Alemania, Bélgica, Dinamarca, España, Finlandia, Francia, Holanda, Irlanda, Israel, Italia, Noruega, Portugal, Reino Unido y Suecia). Las empresas encuestadas se encuadran en los sectores de telecomunicaciones y medios de comunicación, industria, servicios financieros y administraciones públicas.
Fuente: Acceso
Fecha: 04/05/2010
sábado, 1 de mayo de 2010
Se enfrenta a una multa millonaria por revelar datos personales
La Agencia Española de Protección de Datos (AEPD) ha abierto un expediente contra el ayuntamiento de O Grove que, en caso de resolverse en contra de la Administración local, puede dar lugar a una sanción de entre 600 y 60.000 euros, por una falta considera leve, y a otra grave sancionada con entre 60.000 y 300.000.
La queja se debe al enfrentamiento que desde hace años mantienen el concejal delegado de Deportes, Alfredo Bea, y el presidente del Club de Piragüismo Ogrobe, Felipe Besada Porto. El edil, que fue máximo representante del Club Breogán, deportista olímpicos y actualmente presidente de la Federación Gallega de Piragüismo, mantiene con Besada un interminable cruce de acusaciones y enfrentamientos verbales relacionados con el club de Piragüismo Ogrobe. Prácticamente, lo acusa de crear una entidad fantasma ideada únicamente para tratar de percibir subvenciones y disfrutar de las instalaciones municipales.
Este enfrentamiento provocó que Bea aportase en una rueda de prensa "documentos que violan la normativa de protección de datos" sobre Besada, según el denunciante. Entre aquella documentación había certificados, por ejemplo, relacionados con los lugares en los que había estaba empadronado para acceder a licencias de piragüismo. La misma documentación "se difundió por el concejal a través de la cuenta de correo electrónico que posee en el ayuntamiento", sostiene Besada. Éste dice que el concejal trata de beneficiar en exclusiva al Breogán.
Fuente: Faro de Vigo
Fecha: 22/04/2010
La queja se debe al enfrentamiento que desde hace años mantienen el concejal delegado de Deportes, Alfredo Bea, y el presidente del Club de Piragüismo Ogrobe, Felipe Besada Porto. El edil, que fue máximo representante del Club Breogán, deportista olímpicos y actualmente presidente de la Federación Gallega de Piragüismo, mantiene con Besada un interminable cruce de acusaciones y enfrentamientos verbales relacionados con el club de Piragüismo Ogrobe. Prácticamente, lo acusa de crear una entidad fantasma ideada únicamente para tratar de percibir subvenciones y disfrutar de las instalaciones municipales.
Este enfrentamiento provocó que Bea aportase en una rueda de prensa "documentos que violan la normativa de protección de datos" sobre Besada, según el denunciante. Entre aquella documentación había certificados, por ejemplo, relacionados con los lugares en los que había estaba empadronado para acceder a licencias de piragüismo. La misma documentación "se difundió por el concejal a través de la cuenta de correo electrónico que posee en el ayuntamiento", sostiene Besada. Éste dice que el concejal trata de beneficiar en exclusiva al Breogán.
Fuente: Faro de Vigo
Fecha: 22/04/2010
El Supremo da un varapalo al afán recaudatorio de Protección de Datos
Una sentencia anula una sanción de 300.000 euros de la Agencia Española de Protección de Datos a Metrovacesa por ceder el teléfono móvil de un cliente a la Caja de Ahorros del Mediterráneo. El Tribunal entiende que no es una infracción continuada.
Una promotora inmobiliaria que cede el teléfono móvil de un cliente a una caja de ahorros no comete una infracción de protección de datos continuada y, por lo tanto, no puede ser sancionada. Así lo entiende el Tribunal Supremo (TS) en una sentencia que anula una sanción de la Agencia Española de Protección de Datos (AEPD) a Metrovacesa de 300.000 euros, que confirmó posteriormente la Audiencia Nacional. Todo ello, en un momento de crisis en que las promotoras afinan sus estrategias comerciales.
La sentencia, de la que es ponente Luis María Díez-Picazo, es pionera ya que establece la doctrina de la infracción continuada en el campo de la protección de datos. Este concepto es habitual en el ámbito penal, por ejemplo. Además, es una de las muy escasas ocasiones en que el Alto Tribunal admite un recurso contra una sentencia de la Audiencia Nacional que ratifica una sanción de la AEPD. Y, además, la anula.
Los hechos atañen a un ciudadano que recibió llamadas a su teléfono móvil de la Caja de Ahorros del Mediterráneo (CAM) sin que él les hubiera facilitado su número. Le ofrecían servicios relacionados con la compra de un inmueble construido por Metrovacesa. El denunciante había suscrito con esta promotora dos contratos. En ambos la CAM figuraba como avalista de Metrovacesa.
Asimismo, estaba acreditado que ni la CAM ni Metrovacesa tenían en sus ficheros automatizados el dato del móvil del denunciante. Pero en la documentación de Metrovacesa estaba el citado teléfono, en concreto, manuscrito en la cabecera de uno de los contratos.
Además, el número constaba en la relación de compradores de uno de los inmuebles que entregó la CAM asociados a los datos del ciudadano. La caja reconoce que llamó al teléfono móvil del denunciante y le ofreció productos hipotecarios, y le visitó.
Basándose en estos hechos, la AEPD sancionó a la CAM por una infracción del artículo 6 de la Ley Orgánica de Protección de Datos (LOPD), que consiste en tratamiento de datos sin consentimiento del afectado, y a Metrovacesa por una infracción del artículo 11 de la LOPD, que se refiere a la cesión de datos personales a un tercero.
El Supremo, en cualquier caso, recuerda que está acreditado que el número del móvil fue apuntado a mano en el contrato y que la CAM tuvo acceso a este dato en su condición de avalista y que el citado teléfono no figuraba en los ficheros automatizados de Metrovacesa ni de la CAM, por lo que el conocimiento del número por parte de la Caja provino del apunte manuscrito por Metrovacesa.
Por su parte, la sentencia de la Audiencia Nacional entendió que sí existía infracción continuada “mientras se mantengan los efectos lesivos de la infracción”.
El Alto Tribunal también destaca que la cesión de datos personales a un tercero, que sanciona el artículo 11 de la LOPD, es la posibilidad que Metrovacesa dio a la CAM de ver el apunte a mano del número de teléfono móvil del recurrente. Esto pudo ocurrir en el momento de celebración de los contratos.
Según el Supremo, este hecho no puede ser caracterizado como una infracción continuada del artículo 11 de la LOPD, “fundamentalmente porque no hay pluralidad de acciones”. Y, destaca el Alto Tribunal, “sin pluralidad de acciones no cabe hablar de infracción continuada, como destacan, entre otras, las sentencias de esta Sala atinadamente citadas por la recurrente”.
En esta línea, la sentencia recuerda el artículo 74 del Código Penal, que regula el delito continuado, “cuya precisa definición es trasladable al ámbito del derecho administrativo sancionador”.
El citado artículo establece que “el que en la ejecución de un plan preconcebido o aprovechando idéntica ocasión, realice una pluralidad de acciones u omisiones que ofendan a uno o varios sujetos e infrinjan el mismo precepto penal o preceptos de igual o semejante naturaleza, será castigado, como autor de un delito o falta continuados, con la pena señalada por la infracción más grave, que se impondrá en su mitad superior”.
Por último, el Supremo recalca que “la infracción continuada exige una pluralidad de acciones ilícitas de naturaleza semejante” y concluye que “nada de esto se da en el presente caso, sino simplemente la puesta en conocimiento de un tercero del dato personal. Ello ocurrió en un momento determinado del tiempo. Que esa acción pudiera tener consecuencias lesivas en un momento posterior no la convierte en una infracción continuada”.
Fuente: Expansion
Fecha: 26/04/2010
Una promotora inmobiliaria que cede el teléfono móvil de un cliente a una caja de ahorros no comete una infracción de protección de datos continuada y, por lo tanto, no puede ser sancionada. Así lo entiende el Tribunal Supremo (TS) en una sentencia que anula una sanción de la Agencia Española de Protección de Datos (AEPD) a Metrovacesa de 300.000 euros, que confirmó posteriormente la Audiencia Nacional. Todo ello, en un momento de crisis en que las promotoras afinan sus estrategias comerciales.
La sentencia, de la que es ponente Luis María Díez-Picazo, es pionera ya que establece la doctrina de la infracción continuada en el campo de la protección de datos. Este concepto es habitual en el ámbito penal, por ejemplo. Además, es una de las muy escasas ocasiones en que el Alto Tribunal admite un recurso contra una sentencia de la Audiencia Nacional que ratifica una sanción de la AEPD. Y, además, la anula.
Los hechos atañen a un ciudadano que recibió llamadas a su teléfono móvil de la Caja de Ahorros del Mediterráneo (CAM) sin que él les hubiera facilitado su número. Le ofrecían servicios relacionados con la compra de un inmueble construido por Metrovacesa. El denunciante había suscrito con esta promotora dos contratos. En ambos la CAM figuraba como avalista de Metrovacesa.
Asimismo, estaba acreditado que ni la CAM ni Metrovacesa tenían en sus ficheros automatizados el dato del móvil del denunciante. Pero en la documentación de Metrovacesa estaba el citado teléfono, en concreto, manuscrito en la cabecera de uno de los contratos.
Además, el número constaba en la relación de compradores de uno de los inmuebles que entregó la CAM asociados a los datos del ciudadano. La caja reconoce que llamó al teléfono móvil del denunciante y le ofreció productos hipotecarios, y le visitó.
Basándose en estos hechos, la AEPD sancionó a la CAM por una infracción del artículo 6 de la Ley Orgánica de Protección de Datos (LOPD), que consiste en tratamiento de datos sin consentimiento del afectado, y a Metrovacesa por una infracción del artículo 11 de la LOPD, que se refiere a la cesión de datos personales a un tercero.
El Supremo, en cualquier caso, recuerda que está acreditado que el número del móvil fue apuntado a mano en el contrato y que la CAM tuvo acceso a este dato en su condición de avalista y que el citado teléfono no figuraba en los ficheros automatizados de Metrovacesa ni de la CAM, por lo que el conocimiento del número por parte de la Caja provino del apunte manuscrito por Metrovacesa.
Por su parte, la sentencia de la Audiencia Nacional entendió que sí existía infracción continuada “mientras se mantengan los efectos lesivos de la infracción”.
El Alto Tribunal también destaca que la cesión de datos personales a un tercero, que sanciona el artículo 11 de la LOPD, es la posibilidad que Metrovacesa dio a la CAM de ver el apunte a mano del número de teléfono móvil del recurrente. Esto pudo ocurrir en el momento de celebración de los contratos.
Según el Supremo, este hecho no puede ser caracterizado como una infracción continuada del artículo 11 de la LOPD, “fundamentalmente porque no hay pluralidad de acciones”. Y, destaca el Alto Tribunal, “sin pluralidad de acciones no cabe hablar de infracción continuada, como destacan, entre otras, las sentencias de esta Sala atinadamente citadas por la recurrente”.
En esta línea, la sentencia recuerda el artículo 74 del Código Penal, que regula el delito continuado, “cuya precisa definición es trasladable al ámbito del derecho administrativo sancionador”.
El citado artículo establece que “el que en la ejecución de un plan preconcebido o aprovechando idéntica ocasión, realice una pluralidad de acciones u omisiones que ofendan a uno o varios sujetos e infrinjan el mismo precepto penal o preceptos de igual o semejante naturaleza, será castigado, como autor de un delito o falta continuados, con la pena señalada por la infracción más grave, que se impondrá en su mitad superior”.
Por último, el Supremo recalca que “la infracción continuada exige una pluralidad de acciones ilícitas de naturaleza semejante” y concluye que “nada de esto se da en el presente caso, sino simplemente la puesta en conocimiento de un tercero del dato personal. Ello ocurrió en un momento determinado del tiempo. Que esa acción pudiera tener consecuencias lesivas en un momento posterior no la convierte en una infracción continuada”.
Fuente: Expansion
Fecha: 26/04/2010
La mitad de españoles da sus datos en la red sin garantía de seguridad
Los españoles siguen revelando con facilidad sus datos personales, sobre todo en la red. Según un estudio del grupo CPP, una empresa internacional en productos y servicios de asistencia, el 89 por ciento de los españoles conoce y se muestra preocupado por este tipo de delitos, pero más de la mitad, el 56 por ciento, proporciona datos personales por teléfono o internet sin garantías de seguridad. Un 7 por ciento facilita, incluso, datos bancarios.
El robo de identidad consiste en utilizar los datos personales de la víctima para cometer delitos, como obtener créditos, solicitar un número de la seguridad social o alquilar coches o viviendas. El delito más común es la clonación de tarjetas. Antes de la irrupción de las nuevas tecnologías, la forma más común de cometer este fraude era a través del robo de documentos, como el DNI. Ahora, el principal medio es el on-line, declaró a este diario el responsable de producto de CPP, Alberto Tarriño.
Un informe de la Policía desvela que, en 2009, hubo 5.000 denuncias y 635 detenidos por fraudes en internet, la mayoría por robos de identidad. En España, la Ley de Protección de Datos es el marco jurídico que protege a los afectados por estos fraudes. Sin embargo, el mejor mecanismo de protección ante estos delitos es la precaución, ya que, una vez es robada una identidad, es muy difícil demostrarlo. Hay algunas formas de identificar páginas seguras, como el URL, que ha de comenzar por «https://», o la aparición de un icono de candado cerrado, junto a la dirección. Además, es imprescindible no publicar datos personales en las redes sociales.
En el caso de ser víctima de un robo de identidad, lo primero es denunciarlo. Después hay que actuar en función del fraude que se haya producido. Si hay bancos, comercios o sitios web implicados, el ciudadano tiene que notificarlo en cada uno de ellos.
Indefensión
El principal problema de ser víctima de un delito de este tipo, aseguró Tarriño, es la indefensión del afectado, ya que, una vez le ha sido robada la identidad, el delincuente puede volver a utilizarla para cometer nuevos fraudes. Por ejemplo, si una petición fraudulenta de un préstamo es denunciada en una entidad bancaria, el ladrón puede acudir a otro banco para intentarlo de nuevo. Para prevenir estas prácticas, las entidades contratan empresas que tiene ficheros de prevención en fraude. En estos ficheros entran las personas que han sido víctimas de un robo de identidad, y los bancos, antes de aprobar un préstamo, comprueban que el solicitante no se está en el fichero.
Fuente: La Razón
Fecha: 25/04/2010
El robo de identidad consiste en utilizar los datos personales de la víctima para cometer delitos, como obtener créditos, solicitar un número de la seguridad social o alquilar coches o viviendas. El delito más común es la clonación de tarjetas. Antes de la irrupción de las nuevas tecnologías, la forma más común de cometer este fraude era a través del robo de documentos, como el DNI. Ahora, el principal medio es el on-line, declaró a este diario el responsable de producto de CPP, Alberto Tarriño.
Un informe de la Policía desvela que, en 2009, hubo 5.000 denuncias y 635 detenidos por fraudes en internet, la mayoría por robos de identidad. En España, la Ley de Protección de Datos es el marco jurídico que protege a los afectados por estos fraudes. Sin embargo, el mejor mecanismo de protección ante estos delitos es la precaución, ya que, una vez es robada una identidad, es muy difícil demostrarlo. Hay algunas formas de identificar páginas seguras, como el URL, que ha de comenzar por «https://», o la aparición de un icono de candado cerrado, junto a la dirección. Además, es imprescindible no publicar datos personales en las redes sociales.
En el caso de ser víctima de un robo de identidad, lo primero es denunciarlo. Después hay que actuar en función del fraude que se haya producido. Si hay bancos, comercios o sitios web implicados, el ciudadano tiene que notificarlo en cada uno de ellos.
Indefensión
El principal problema de ser víctima de un delito de este tipo, aseguró Tarriño, es la indefensión del afectado, ya que, una vez le ha sido robada la identidad, el delincuente puede volver a utilizarla para cometer nuevos fraudes. Por ejemplo, si una petición fraudulenta de un préstamo es denunciada en una entidad bancaria, el ladrón puede acudir a otro banco para intentarlo de nuevo. Para prevenir estas prácticas, las entidades contratan empresas que tiene ficheros de prevención en fraude. En estos ficheros entran las personas que han sido víctimas de un robo de identidad, y los bancos, antes de aprobar un préstamo, comprueban que el solicitante no se está en el fichero.
Fuente: La Razón
Fecha: 25/04/2010
EL 5% DE LAS EMPRESAS SANCIONADAS EN PROTECCIÓN DE DATOS SON ANDALUZAS
La Comisión de Protección de Datos en Andalucía de la Asociación Andaluza de Comercio Electrónico (ANDCE) informa que la Agencia Española de Protección de Datos ha sancionado, por vulnerar la Ley Orgánica de Protección de Datos en el año 2009, a más de 400 entidades privadas, 19 de ellas en Andalucía, lo que supone casi un 5% del total.
Entre las provincias andaluzas, Málaga es la más sancionada con 8 empresas, le sigue Sevilla con 4, Jaén con 3, Almería con 2, Granada y Cádiz ambas con 1 sanción cada una, y Huelva y Córdoba no han tenido sanciones en el ejercicio 2009.
Las sanciones económicas impuestas oscilan entre los 600 y los 420.000 euros, siendo las más habituales las de 60.000 euros. Todas ellas han supuesto una cifra total de 17.010.529,08 € en multas, de las que un 2% corresponden a entidades andaluzas.
Entre las entidades privadas andaluzas sancionadas se encuentran agencias de viajes, federaciones y clubes deportivos, empresas de moda y complementos, agencias inmobiliarias, comunidades de propietarios, empresas informáticas, ópticas, hoteles y empresas de telecomunicaciones.
La Comisión recuerda a las pymes andaluzas, la necesidad de cumplir con la normativa sobre protección de datos de carácter personal, pues además de ser una obligación legal desde el año 1992, es un signo de calidad y garantía frente a los clientes.
Según datos del Registro General de Protección de Datos, las operaciones de inscripción en materia de protección de datos en el primer trimestre del año 2010 superan los 153.985 ficheros, que comparado con el mismo periodo del año 2009, en el se produjeron 147.336 inscripciones, supone un 4,5% más de inscripciones. Este incremento, según la Comisión, es fruto de una mayor concienciación de la protección de datos por parte de las empresas, ya que cada vez son más las que cumplen la normativa y protegen su información.
En Andalucía hay un total de 222.807 ficheros inscritos frente al 1.771.876 que existen a nivel nacional, lo que representa el 12,57% de la media nacional. Si analizamos los ficheros inscritos que tienen las ciudades andaluzas, figura Málaga con 42.500 (19,07 %), Sevilla con 40.558 (18,02%), Granada con 39.676 (17,80 %), Almería con 23.623 (10,60 %), Cádiz con 23.299 (10,45%), Córdoba con 21.877 (9,8 %), Jaén con 21.638 (9,7%) y Huelva con 9.636 (4,32%).
Para el Presidente de la Asociación Andaluza de Comercio Electrónico y miembro de la Comisión de la Protección de Datos en Andalucía, Pedro Rodríguez López de Lemus, “a pesar de los avances conseguidos en la difusión de la cultura en protección de datos existe aún un gran desconocimiento entre las empresas acerca de sus obligaciones en esta materia y de las desastrosas consecuencias que tiene el hecho de no cumplir la LOPD, como son la pérdida o robo de la información de la empresa, o las elevadas sanciones que se exigen por su incumplimiento”.
RECOMENDACIONES DE LA COMISIÓN DE PROTECCIÓN DE DATOS PERSONALES EN ANDALUCÍA
La Comisión recomienda la adopción de medidas técnicas y organizativas para el tratamiento de los datos personales, que eviten la alteración, pérdida o uso no autorizado por terceros de estos datos. Igualmente, recomienda contar con el consentimiento de los titulares de los datos, e informarles del tratamiento de los mismos, y muy especialmente en las comunicaciones comerciales a través de Internet, recordando que para enviarlas hay que contar con el consentimiento previo del titular de los datos.
Fuente: Acceso. 28/04/2010
Entre las provincias andaluzas, Málaga es la más sancionada con 8 empresas, le sigue Sevilla con 4, Jaén con 3, Almería con 2, Granada y Cádiz ambas con 1 sanción cada una, y Huelva y Córdoba no han tenido sanciones en el ejercicio 2009.
Las sanciones económicas impuestas oscilan entre los 600 y los 420.000 euros, siendo las más habituales las de 60.000 euros. Todas ellas han supuesto una cifra total de 17.010.529,08 € en multas, de las que un 2% corresponden a entidades andaluzas.
Entre las entidades privadas andaluzas sancionadas se encuentran agencias de viajes, federaciones y clubes deportivos, empresas de moda y complementos, agencias inmobiliarias, comunidades de propietarios, empresas informáticas, ópticas, hoteles y empresas de telecomunicaciones.
La Comisión recuerda a las pymes andaluzas, la necesidad de cumplir con la normativa sobre protección de datos de carácter personal, pues además de ser una obligación legal desde el año 1992, es un signo de calidad y garantía frente a los clientes.
Según datos del Registro General de Protección de Datos, las operaciones de inscripción en materia de protección de datos en el primer trimestre del año 2010 superan los 153.985 ficheros, que comparado con el mismo periodo del año 2009, en el se produjeron 147.336 inscripciones, supone un 4,5% más de inscripciones. Este incremento, según la Comisión, es fruto de una mayor concienciación de la protección de datos por parte de las empresas, ya que cada vez son más las que cumplen la normativa y protegen su información.
En Andalucía hay un total de 222.807 ficheros inscritos frente al 1.771.876 que existen a nivel nacional, lo que representa el 12,57% de la media nacional. Si analizamos los ficheros inscritos que tienen las ciudades andaluzas, figura Málaga con 42.500 (19,07 %), Sevilla con 40.558 (18,02%), Granada con 39.676 (17,80 %), Almería con 23.623 (10,60 %), Cádiz con 23.299 (10,45%), Córdoba con 21.877 (9,8 %), Jaén con 21.638 (9,7%) y Huelva con 9.636 (4,32%).
Para el Presidente de la Asociación Andaluza de Comercio Electrónico y miembro de la Comisión de la Protección de Datos en Andalucía, Pedro Rodríguez López de Lemus, “a pesar de los avances conseguidos en la difusión de la cultura en protección de datos existe aún un gran desconocimiento entre las empresas acerca de sus obligaciones en esta materia y de las desastrosas consecuencias que tiene el hecho de no cumplir la LOPD, como son la pérdida o robo de la información de la empresa, o las elevadas sanciones que se exigen por su incumplimiento”.
RECOMENDACIONES DE LA COMISIÓN DE PROTECCIÓN DE DATOS PERSONALES EN ANDALUCÍA
La Comisión recomienda la adopción de medidas técnicas y organizativas para el tratamiento de los datos personales, que eviten la alteración, pérdida o uso no autorizado por terceros de estos datos. Igualmente, recomienda contar con el consentimiento de los titulares de los datos, e informarles del tratamiento de los mismos, y muy especialmente en las comunicaciones comerciales a través de Internet, recordando que para enviarlas hay que contar con el consentimiento previo del titular de los datos.
Fuente: Acceso. 28/04/2010
Alemania denuncia que Street View almacena datos de las redes wi-fi de los particulares
Nueva polémica en Alemania a propósitio de la información que recogen los coches del servicio Street View de Google. El responsable de la agencia de protección de datos de este país, Peter Shaar, ha pedido a la compañía que deje "inmediatamente" de escanear las redes wi-fi desde los coches que recorren las calles para fotografiar una ciudad. Shaar pide, además, que suprima los datos personales que haya recogido en este rastreo de las redes wi-fi. La denuncia ha tenido su réplica por parte de Google Europa. Uno de sus responsables, Peter Fleischer, ha respondido en el blog corporativo que Google nunca ha ocultado que recoja las señales wi-fi de los edificios que fotografía y que así lo hacen otras compañías como Fraunhofer Institute y Skyhook, empresa que lo hace para ofrecer servicios de geolocalización. Éste es el propósito de Google al fichar las redes wi-fi particulares que detecta. Cuando, por ejemplo, un peatón quiere consultar los restaurantes más cercanos al sitio donde está, si está conectado a wi-fi y detecta las redes de la zona, esta información sirve al suministrador de publicidad o contenidos personalizados localizar con más precisión dónde se halla el cliente. Para ello debe tener localizadas estas redes particulares.
La polémica se centra en el tipo de información que almacena Street View. En el blog se explica que "únicamente" recoge la identificación de la red wi-fi (su nombre SSID, Service Set Identifier) y la dirección del router. Los coches de Street View, que llevan una antena en el techo, recogen esta información, que califica de "señales públicas", de forma pasiva, sin solicitar comunicación con las redes detectadas. "No recogemos ninguna información sobre el propietario de la casa donde se detecta la red ni podemos identificar un individuo a partir de los datos recogidos", se afirma en el blog. Las autoridades alemanas, sin embargo, consideran que este censo de redes hogareñas de wi-fi sí supone una intrusión y hacer acopio de información privada.
Street View, el servicio de Google que permite recorrer las calles de una ciudad con imágenes reales, es una fuente de problemas para la empresa. Ha tenido conflictos en Suiza, Reino Unido y, particularmente, Alemania. La ministra federal de protección al consumidor, Ilse Aigner, ha atacado a Street View por la "invasión de la intimidad" de los ciudadanos y ha propuesto estudiar medidas legales. Por su parte, la asociación alemana de ciudades y municipios plantea cobrar al buscador por este servicio. "Los ciudadanos no tendrían que protestar ante la publicación de sus datos privados, sino que Google tendría que estar obligado a obtener el permiso de los ciudadanos para poder publicar las fotografías de sus casas", afirma la organización.
Google Street View es un servicio que fotografía ciudades y ofrece posteriormente una vista de 360 grados de las zonas solicitadas. La cámara se coloca a la altura de 2,50 metros, por lo que las imágenes sortean setos y vallas.
La Unión Europea quiere limitar el empleo de imágenes en Street View. Los consultores sobre privacidad de la UE han remitido un correo a la compañía en el que aconsejan reducir el almacenamiento de las imágenes a seis meses.
Fuente: El País
Fecha: 29/04/2010
La polémica se centra en el tipo de información que almacena Street View. En el blog se explica que "únicamente" recoge la identificación de la red wi-fi (su nombre SSID, Service Set Identifier) y la dirección del router. Los coches de Street View, que llevan una antena en el techo, recogen esta información, que califica de "señales públicas", de forma pasiva, sin solicitar comunicación con las redes detectadas. "No recogemos ninguna información sobre el propietario de la casa donde se detecta la red ni podemos identificar un individuo a partir de los datos recogidos", se afirma en el blog. Las autoridades alemanas, sin embargo, consideran que este censo de redes hogareñas de wi-fi sí supone una intrusión y hacer acopio de información privada.
Street View, el servicio de Google que permite recorrer las calles de una ciudad con imágenes reales, es una fuente de problemas para la empresa. Ha tenido conflictos en Suiza, Reino Unido y, particularmente, Alemania. La ministra federal de protección al consumidor, Ilse Aigner, ha atacado a Street View por la "invasión de la intimidad" de los ciudadanos y ha propuesto estudiar medidas legales. Por su parte, la asociación alemana de ciudades y municipios plantea cobrar al buscador por este servicio. "Los ciudadanos no tendrían que protestar ante la publicación de sus datos privados, sino que Google tendría que estar obligado a obtener el permiso de los ciudadanos para poder publicar las fotografías de sus casas", afirma la organización.
Google Street View es un servicio que fotografía ciudades y ofrece posteriormente una vista de 360 grados de las zonas solicitadas. La cámara se coloca a la altura de 2,50 metros, por lo que las imágenes sortean setos y vallas.
La Unión Europea quiere limitar el empleo de imágenes en Street View. Los consultores sobre privacidad de la UE han remitido un correo a la compañía en el que aconsejan reducir el almacenamiento de las imágenes a seis meses.
Fuente: El País
Fecha: 29/04/2010
Suscribirse a:
Entradas (Atom)
Entradas
