El Supremo condena a un médico a 3 años de prisión

Un médico que ejerce en Menorca ha sido condenado por el Tribunal Supremo a tres años y tres meses de prisión por un delito continuado de descubrimiento de secretos, al haber accedido al historial clínico de su expareja.

… por acceder al historial clínico de su expareja …

Sin autorización ni consentimiento accedió, vía informática, al historial clínico de su excompañera sentimental, así como a los de la hija, hermana y marido de esta mujer.

La Sala Segunda del Supremo ha anulado una condena por falta de injurias leves, dictada por la Sección Segunda de la Audiencia de Palma, y ha ratificado la condena por descubrimiento de secretos.

Ésta incluye, además de la pena de prisión, una multa de 6.000 euros; y otros 6.000 en concepto de indemnización a la mujer, que trabajaba como enfermera en el mismo centro que él cuando sucedieron los hechos, y a la comunidad autónoma de Balears con 2.358 euros.

En la sentencia, los magistrados del Supremo han destacado que el condenado accedió a las bases de datos informática «con interés en acosar a la perjudicada, con la que el acusado había roto una relación, de manera que se expresa en el relato fáctico que la relación era ‘tormentosa’».

Accedió a estos datos protegidos en más de 200 ocasiones entre diciembre de 2009 y febrero de 2011.

Estas actuaciones reiteradas afectaron a la mujer y tres familiares de ella, «lo que es indicativo de un inusitado interés en la búsqueda de información a la que no podía acceder», según la sentencia.

«Esta reiteración de la conducta -queda subrayado en el pronunciamiento del Supremo- supone una agresión continuada en la intimidad de la perjudicada y sus familiares, lo que supone un acceso inconsentido realizado en perjuicio de la titular, perjudicada en su derecho a la intimidad por la conducta del acusado, que la realiza no de forma casual, ni de forma involuntaria, sino reiterada».

Fuente: ultimahora

Protección de datos abre una investigación por la filtración sobre Mossos

La Agencia Española de Protección de Datos (AEPD) ha abierto «actuaciones previas de investigación» por la filtración de datos personales de agentes de los Mossos d’Esquadra tras el ataque informático a la web del Sindicat de Mossos d’Esquadra (AME).

La entidad pública estatal es quien tiene competencias por tratarse de la web de un sindicato, ya que su homólogo autonómico, la Autoritat Catalana de Protecció de Dades, solo tiene competencias sobre el tratamiento de datos que realizan los organismos de la Generalitat, según explicaron varios juristas a este diario.

La agencia estatal tiene competencias porque el ataque ha sido a un sindicato

La AEPD investigará de oficio «el acceso indebido a ficheros que son responsabilidad del Sindicat de Mossos d’Esquadra y su posterior difusión en internet», según explicó un portavoz. La filtración incluye número de agente, nombre y apeliidos, domicilio personal, teléfonos y cuenta bancaria de más de 5.600 policías que han tenido relación con el sindicato desde la creación de la web.

Si la investigación oficial concluyera que hubo negligencia en la custodia del fichero, que estaba correctamente registrado en la AEPD como exige la legislación española, podría imponerle multas de hasta 60.000 euros, como ya apuntó el pasado miércoles el ‘conseller’ de Interior Jordi Jané, aludiendo al límite previsto para una sanción leve. La máxima sanción que puede imponer la agencia llega, sin embargo, a los 600.000 euros, cuando el infractor se hubiera negado repetidamente a resolver el fallo. La página atacada dejó de estar operativa pocas horas después del ataque informático, que se produjo de madrugada.

DATOS DE ESPECIAL PROTECCIÓN

La cuantía de las sanciones que impone la agencia española tienen en cuenta tanto el daño causado como las circunstancias en las que se produce la filtración, pero también diversos atenuantes en la consideración de la gravedad del caso. Los datos de afiliación sindical están considerados, por sí mismos, de especial protección.

Los supuestos autores del ataque informático han divulgado este jueves un vídeo en varias redes sociales con todos los pasos que siguieron para infiltrarse en el servidor de la web atacada y han públicado en páginas de intercambio de archivos la base de datos completa de la página del sindicato.

Fuente: El Periodico

La UE aprueba la Ley de Protección de Datos

El pleno del Parlamento Europeo ha aprobado al reglamento de protección de datos, cuyo objetivo es para garantizar unos estándares comunes adaptados al entorno digital. El pleno también ha dado luz verde al Registro de Pasajeros de Transporte Aéreo.

Tras más de cuatro años de intenso trabajo, el pleno del Parlamento Europeo (PE) aprobó ayer definitivamente el nuevo reglamento general de protección de datos, que reemplaza a la obsoleta directiva sobre la misma materia, ratificada en 1995.

Este nuevo texto, que entrará en vigor 20 días después de su publicación en el Diario Oficial de la UE y que será de aplicación directa en todos los estados, es un paso definitivo para armonizar las normativas vigentes de los países de la UE, para devolver a los ciudadanos el control de sus datos personales y para garantizar unos elevados estándares de protección, confianza y seguridad jurídica.

Entre las disposiciones que aparecen en este extenso trabajo legislativo hay que destacar el derecho de rectificación en Internet -conocido como derecho al olvido-, mediante la modificación o supresión de datos personales; la obligación de obtener un consentimiento claro y afirmativo de los usuarios; el derecho a ser informado sobre un posible pirateo de datos personales; así como multas de hasta el 4% de facturación global de las empresas en caso de infracción sobre estos datos.

Este paquete normativo incluye además una directiva sobre transmisión de datos para cuestiones judiciales y policiales. La intención de este texto es proteger a las personas implicadas en investigaciones policiales o procesos judiciales -víctimas, acusados o testigos- mediante la clarificación de sus derechos y el establecimiento de límites en la transmisión de datos.

Transporte aéreo

El pleno del PE también ha dado luz verde a la creación del polémico registro europeo de datos de los pasajeros de transporte aéreo (PNR, por sus siglas en inglés). Este texto, aplazado durante años por las dudas generadas respecto a un posible problema de privacidad de los pasajeros, se ha desbloqueado por la presión de los gobiernos para contar con ella en la lucha contra el terrorismo yihadista.

Esta medida obligará a las compañías aéreas a entregar a las autoridades nacionales los datos de los pasajeros de sus rutas a terceros países con salida o llegada desde un estado miembro, pero no la de los vuelos intracomunitarios. Además, los países también podrán recoger y procesar los datos PNR en posesión de agencias de viajes y touroperadores, que también gestionan billetes de avión.

Fuente: Expansión

¿Sabias que tu navegador puede cuidar tu privacidad?

Navegar por Internet es parte de nuestro día a día. Al hacerlo casi de manera automática no somos conscientes de la información que exponemos en Internet por el simple hecho de utilizar un navegador web. Aprendamos cómo mejorar nuestra privacidad.

Utilizar un navegador web para buscar información de un nuevo restaurante al que queremos ir, para preparar nuestro próximo viaje, para realizar compras, para nuestro trabajo… es algo muy habitual y en principio sin mayores consecuencias, ¿no?

A veces no somos conscientes de que al navegar vamos dejando parte de nuestros datos, por ejemplo, datos de nuestros dispositivos, de nuestra conexión, datos personales, nuestra ubicación…

Por eso es importante que aprendamos a proteger nuestra privacidad mientras navegamos. Además de configurar adecuadamente la seguridad en el navegador y utilizar la navegación privada cuando lo necesitemos, en este videotutorial veremos cómo configurar las opciones de privacidad de los principales navegadores.

Fuente: osi

¿Qué cambia con la nueva Ley de Protección de Datos?

El pasado 14 de abril el Parlamento Europeo aprobaba finalmente elReglamento General de Protección de Datos (RGPD), una nueva normativa común para los Estados Miembro que viene a actualizar el marco legal que rige el tratamiento de datos personales que se mantenía casi intacto desde el año 1995 con la Directiva 95/46/CE.

Este RGPD, que trae importantes novedades en relación a las garantías y límites en la protección de datos personales, algunas de ellas con un impacto directo en el sector tecnológico, entrará en vigor en los próximos días, si bien no será de aplicación hasta mayo de 2018.

El primer punto importante que tenemos que tener en cuenta es cuándo este RGPD desplegará sus efectos y el ámbito de aplicación territorial. Ahora, las normas de protección de datos vigentes solo entran en juego cuando el responsable del tratamiento, esto es, por ejemplo, la empresa que trata nuestros datos personales, esté establecida en la Unión Europea. Si la empresa que trata nuestros datos personales no tiene un establecimiento en Europa, la normativa comunitaria y la nacional no podrán entrar en juego, por lo que las garantías y límites que establecen no pueden ser aplicados (con algunas excepciones que ahora no vienen al caso).

Pero con la nueva ley de protección de datos nos encontramos ante una situación que pretende proteger los datos personales de los ciudadanos europeos frente al tratamiento que hacen, especialmente, las empresas tecnológicas extranjeras. Cuando sea de aplicación el RGPD, éste será de aplicación por cualquier empresa, con independencia de dónde esté ubicada, siempre que trate los datos personales de un ciudadano de la Unión y cuando las actividades de ese tratamiento estén relacionadas con la oferta de bienes o servicios a estos ciudadanos en la Unión, independientemente de si a estos se les requiere un pago o no. Igualmente, será de aplicación si el tratamiento se realiza para controlar el comportamiento de los ciudadanos de la Unión.

Esto viene a corregir una situación no prevista en el año 1995 (fecha de la actual Directiva de protección de datos) en la que, ante el surgimiento de los grandes gigantes de Internet desde empresas ubicadas en Estados Unidos, los datos personales de los ciudadanos europeos se podían ver desprotegidos o al menos no con las mismas garantías que si los tratase una empresa europea, dado que no era exigible, con carácter general, la aplicación de nuestras garantías y derechos a estos gigantes extranjeros.

Pero como decimos, ahora esto cambia, y si una empresa no europea quiere tratar datos personales de europeos para los tratamientos antes descritos, deberá hacerlo bajo nuestras reglas de protección de datos.

Así por ejemplo, a empresas como Google, Facebook, Linkedin, etc, aunque no estuvieran establecidas en la Unión Europea, les sería de aplicación nuestro RGPD.

ACCESO A DATOS EN LAS APPS: EL JUSTO Y NECESARIO

Para los diseñadores de aplicaciones surge una importante novedad; el RGPD establece ahora que cuando se prevea o se vaya a producir un tratamiento de datos personales, se deberán aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.

En la práctica esto significa que a la hora de desarrollar una aplicación y ponerla en funcionamiento, los parámetros activos por defecto deberán garantizar un tratamiento de datos personales mínimo y necesario para el fin que se persigue. Pongamos el siguiente ejemplo para entendernos: imaginemos la típica aplicación “linterna” para móvil. Esta aplicación deberá venir por defecto configurada de forma que el tratamiento de datos personales que realice sea el imprescindible para hacer funcionar el led correspondiente de la cámara, por lo que si la aplicación accede, por ejemplo, a nuestros contactos, nos encontraríamos con una aplicación ilícita desde el punto de vista del RGPD.

Otra novedad importante es la obligación de notificar una violación de la seguridad de los datos personales. Con el RGPD, las empresas estarán obligadas a notificar en un plazo máximo de 72 horas a la autoridad de control competente (en España lo es la Agencia Española de Protección de Datos) de las violaciones de la seguridad de los datos personales.

Esto significa que cuando una empresa detecte que ha sido objeto de un “hackeo” en el que se han podido ver afectados los datos personales de, por ejemplo, sus clientes, deberá comunicar a la autoridad de control tal circunstancia en ese plazo máximo de 72 horas, indicando, entre otra información, la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; describir las posibles consecuencias de la violación de la seguridad de los datos personales.

Además, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, la empresa deberá comunicar tal circunstancia al afectado o interesado.

Es decir, con la nueva normativa de protección de datos se convierte en una obligación legal para la empresa el informar cuando haya sido “hackeada”, incluso, dependiendo del caso, podría ser obligatorio informar a las víctimas (los clientes de la empresa afectada por ejemplo) de tal circunstancia.

Este sin duda es uno de los mayores retos y dificultades con los que se encontrarán las empresas en el futuro. Hoy en día muchas empresas prefieren no airear sus problemas de seguridad informática por varios motivos (imagen, daño reputacional, incentivar nuevos ataques,…). Pero ahora no tendrán opción: sí o sí deberán notificarlo a la autoridad de control y en muchas casos también a todas las víctimas del fallo de seguridad, bajo pena de multa de hasta 10 millones de euros o del 2% del volumen de negocio total anual global del ejercicio financiero anterior (la cuantía que salga más elevada).

Fuente: Baquia