Guía actualizada sobre el uso de cookies «Agencia Española de Protección de Datos»

 

La Agencia Española de Protección de Datos (AEPD) ha actualizado la Guía sobre el uso de las cookies para adaptarla a las Directrices sobre consentimiento modificadas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD).

Continuar leyendo «Guía actualizada sobre el uso de cookies «Agencia Española de Protección de Datos»»

¿El RGPD de mayo 2018 exime a los pequeños despachos de abogados de la obligación de tener implementada la Protección de Datos?

Con el  RGPD (mayo de 2018) hubo  importantes novedades, implicaciones prácticas y cambios de enorme calado. Tales novedades afectan a cuestiones prácticas como el deber de información, la forma en la que se debe prestar el consentimiento, análisis de riesgos, registro de actividades de tratamiento, protección de datos desde el diseño y por defecto, medidas de seguridad, notificación de “violaciones de seguridad de los datos”, evaluación de impacto sobre la protección de datos, además de introducir nuevas herramientas para el control de los datos. Continuar leyendo «¿El RGPD de mayo 2018 exime a los pequeños despachos de abogados de la obligación de tener implementada la Protección de Datos?»

Protección de Datos sanciona a la ANC y a ÒMNIUM CULTURAL con 440.000 EUROS

 

La Agencia Española de Protección de Datos (AEPD) ha impuesto a la Asamblea Nacional Catalana (ANC) y Òmnium Cultural una multa a cada una de 200.000 euros por vulnerar un artículo de la Ley Orgánica de Protección de Datos (LOPD) con la gigaencuesta soberanista que estas dos entidades realizaron con voluntarios en miles de domicilios de ciudadanos poco antes de la consulta soberanista del 9 de noviembre de 2014. En su resolución la AEPD considera que la ANC y Òmnium incumplieron la normativa que establece que el encuestado debe dar su «consentimiento expreso y por escrito» para el «tratamiento de los datos con carácter personal que revelen ideología, afiliación sindical, religión y creencias». Además, se sanciona a la ANC con otros 40.000 euros por no cumplir con la seguridad de los datos personales que constan en sus ficheros ya que se filtraron. Continuar leyendo «Protección de Datos sanciona a la ANC y a ÒMNIUM CULTURAL con 440.000 EUROS»

Aprendiendo a compartir ficheros en la nube

Una de las grandes ventajas del almacenamiento en la nube, es la posibilidad de compartir nuestros archivos con otras personas, sin tener que hacer uso de soportes físicos y sin las limitaciones del correo electrónico.

Además de tener nuestra información accesible desde cualquier lugar, los servicios de almacenamiento en la nube nos permiten compartir ficheros con otras personas. Si hacemos uso de esta funcionalidad debemos ser cuidadosos para mantener la privacidad de nuestra información.

Independientemente del servicio que utilicemos para almacenar y compartir información en la nube, todos ellos incluyen unas opciones de seguridad y privacidad que debemos configurar adecuadamente para poder sacarle el máximo provecho a esta herramienta sin poner en riesgo nuestra privacidad.

En este videotutorial te enseñamos las claves para intercambiar información de forma segura haciendo uso de los servicios de almacenamiento en la nube.

Fuente: osi

Responsabilidad penal de empresas que no garanticen el correcto funcionamiento de sus medidas para la gestión documental

Las infracciones cometidas por empleados u otros representantes de la empresa en materia de protección de datos, uso indebido de la información o mala conservación documental serán responsabilidad penal de la persona jurídica.

Continuar leyendo «Responsabilidad penal de empresas que no garanticen el correcto funcionamiento de sus medidas para la gestión documental»

La AEPD sanciona a Google por tratar sin consentimiento datos personales recogidos a través wifi con los coches de su servicio Street View

La Agencia constata que Google almacenó datos personales transmitidos a través de redes WiFi abiertas sin que los afectados tuviesen conocimiento de dicha recogida. Continuar leyendo «La AEPD sanciona a Google por tratar sin consentimiento datos personales recogidos a través wifi con los coches de su servicio Street View»

Decálogo de las buenas prácticas en seguridad móvil

La seguridad en las comunicaciones móviles se ha convertido en uno de los pilares básicos en un plan de seguridad de la empresa. Hoy en día nos basamos en los dispositivos móviles para prácticamente todo y éstos se han convertido en el objetivo de los ciberdelincuentes porque saben que de ellos pueden obtener información muy jugosa y que se vendería muy bien en el mercado negro. ¿Vamos a permitirlo?

Si tenemos comerciales viajando de un lado a otro buscando clientes o gestores de obra haciendo su labor de campo fuera de la oficina, tendrán que reportarnos sus actividades a diario y mantenernos informados de sus avances. Les habremos dotado de un móvil de empresa, una tablet y un portátil de última generación. Como no podía ser de otra forma tomaremos medidas para que no se pierda nada de información y no nos «traigan» de ahí afuera nada desagradable. Ya sabéis las wifi de los hoteles y aeropuertos no están protegidas.

No podemos permitir que nos roben lo más importante para nosotros: nuestra información. Para ello, la mejor medida de seguridad es la concienciación de nuestros empleados. En este caso, nuestros comerciales y otros trabajadores en remoto.

Desde INCIBE os proponemos que les hagáis llegar a vuestros empleados «más viajeros» un listado de medidas básicas de seguridad para cuando se encuentren fuera de la empresa. Es una buena base para comenzar con el proceso de concienciación de estos empleados.

Algunos consejos que podemos dar a nuestros empleados son:

    1. Verificar si la política de seguridad de nuestra empresa permite conectar a redes ajenas y las condiciones para ello.

Lo más normal es que en nuestras políticas de seguridad se indique tajantemente que no es recomendable la utilización de redes (wifi o cableadas) ajenas a la empresa y en caso de necesidad se utilicen siempre con ellas una Red Privada Virtual (VPN del inglés Virtual Private Network).

Por supuesto, para que los empleados puedan cumplir con esta regla, es necesario que estas políticas existan, que estén accesibles para el empleado y en caso de poder usar soluciones como Redes Privadas Virtuales, explicarles el procedimiento de uso.

El empleado además tiene la obligación de conocer y cumplir las normativas de la empresa en cuanto a dispositivos móviles, teletrabajo e información almacenada fuera de las instalaciones de la empresa.

2. Nunca dejar un dispositivo móvil o portátil desatendido en un lugar público. De igual manera, si es necesario separarse del dispositivo siempre bloquearlo tal y como hacemos con los equipos de oficina.

Tanto portátiles como dispositivos móviles siempre tienen la opción de bloquearlos cuando no están siendo usados. Los dispositivos tienen que tener esta función activada, de manera que si pasa un tiempo sin uso, se bloqueen automáticamente. En cualquier caso es muy buena práctica bloquear nuestros dispositivos nosotros mismos.

A un atacante le pueden valer 3 minutos para hacer una copia de tu equipo y robar información valiosa para la compañía.

3. Cuando exista la posibilidad de conectar por cable, desconectar las redes wifi y bluetooth si no se van a utilizar.

Las redes wifi y otras redes inalámbricas como bluetooth transmiten ondas electromagnéticas por el aire. Esto quiere decir que cualquiera puede escucharlas, aunque si la información va cifrada no entienda nada. Sin embargo, como la potencia de cálculo va en aumento no se tardará demasiado en romper la seguridad de estas conexiones. De esta forma un atacante acabaría descifrando lo comunicado a través de la red wifi.

Las redes cableadas son más difíciles de comprometer, ya que es necesario acceso físico al cable, un corte, un empalme y escuchar la conversación, que, si va cifrada, también habría que descifrar. Además este tipo de intromisión ya sería considerado como delito.

También se suelen recomendar las conexiones 3G o 4G antes que el uso de redes wifi desconocidas. El grado de seguridad de estas conexiones puede ser similar al de una red wifi con WPA2 (mecanismo de seguridad de estas redes), pero los recursos económicos necesarios para su ataque son mucho más caros que los necesarios para un ataque contra redes wifi con WPA2. A los ciberdelincuentes les va el ahorro: mejor atacar lo más fácil y menos costoso. ¡Pongámoselo difícil!

En caso de no tener otra opción más que conectarse a una red inalámbrica, será imprescindible que la red utilizada tenga un cifrado robusto como WPA2. Aunque la seguridad absoluta no existe, siempre hay que ponerle todas las trabas posibles al ciberdelincuente y el cifrado WPA2 es a día de hoy el más difícil de romper siempre que se utilice una contraseña de cifrado lo suficientemente robusta.

En cualquier caso, una conexión wifi es tan segura como la cantidad de gente que conozca la contraseña de cifrado. Si se trata de un hotspot (una wifi de un bar, una cafetería, etc.) en la que un delincuente solo tiene que preguntar la contraseña para conseguirla, de poco servirá que tenga cifrado WPA2. Es importante tener esto en cuenta, porque no es recomendable conectar los equipos de empresa a redes públicas.

4. En la conexión remota a la red de la empresa, establecer conexión VPN para proteger las comunicaciones.

Aún en el caso de usar redes protegidas con cifrado WPA2, si vamos a acceder remotamente a nuestro equipo de trabajo a servicios alojados por nuestra empresa, será necesario establecer antes una Red Privada Virtual (VPN del inglés Virtual Private Network). Para poder dar este consejo es importante que los servicios corporativos permitan el acceso remoto a través de VPN y explicar a los empleados lo que son estas estas VPN y cómo conectarse a los servicios de la empresa a través de ellas.

5. Mantener el antivirus el equipo permanentemente actualizado.

Es la recomendación básica que se da siempre para evitar la infección por cualquier tipo de malware.

Los equipos móviles también tienen software antivirus. Es recomendable instalar una aplicación de este tipo y mantenerla actualizada en todo momento.

No solo el antivirus debe estar actualizado para detectar el nuevo malware que se crea a diario. También cada día surgen vulnerabilidades de todo tipo de software que los fabricantes de software van reparando, pero estas reparaciones no se aplican a nuestros equipos si no los actualizamos. De ahí la importancia de las actualizaciones periódicas.

Cuando el equipo se encuentra en los dominios de la empresa, es ésta la encargada de mantener actualizados los dispositivos. En el momento en que el dispositivo (móvil, tablet, portátil…) sale de la empresa, es responsabilidad del empleado mantener el equipo actualizado.

Para ello, por supuesto, es necesario formar al empleado en el procedimiento de actualización.

6. Al recibir correos electrónicos, desconfiar de aquellos que lleven ficheros adjuntos sospechosos, provengan de desconocidos o no hayan sido solicitados.

La ejecución de un simple archivo que aparenta proceder de un compañero de trabajo puede provocar una infección no solo de nuestro equipo sino de parte de la empresa con la consiguiente posibilidad de fuga de información, que afectaría a la imagen de la empresa y la podría hacer perder mucho dinero.

Por esta razón es muy importante estar seguros de que conocemos la persona que nos envía el correo, y que si incluye un adjunto, es relativo a un tema conocido y esperamos recibirlo.

7. Nunca instales nuevo software o apps en tu dispositivo móvil de empresa.

No se trata de que no puedas instalar juegos o aplicaciones innecesarias para el trabajo. El problema es que en los markets de apps móviles, tanto oficiales como no oficiales hay millones de aplicaciones que, aparentando ser inocuas, esconden un comportamiento malicioso que podría ocasionar que información confidencial nuestra o de la empresa acabe en manos indebidas.

Por esta razón, deja siempre que sean los servicios especializados de informática de tu empresa los que instalen apps y aplicaciones en tus dispositivos. Si necesitas que se instale una aplicación en tu dispositivo, haz una solicitud formal.

8. Al enviar ficheros con información crítica o confidencial por el método que sea (mensajería instantánea, almacenamiento en la nube, etc.), se deben cifrar los ficheros usando una contraseña antes del envío.

Aunque creamos que estamos seguros, nunca sabemos quién puede estar escuchando nuestra conversación. Si tenemos que enviar un documento con información crítica o confidencial nunca está de más cifrarlo usando una contraseña conocida por el receptor. Con esto nos aseguraremos de que nadie puede interceptar estos envíos y leer la información confidencial que queremos transferir.

La empresa tiene que poner a disposición del empleado este tipo de herramientas de cifrado y enseñarles a usarlas. Es por el bien de todos.

9. Realiza copias de seguridad de tus documentos importantes de forma periódica.

Es responsabilidad de la empresa realizar copias de seguridad de la información crítica cada cierto tiempo. Cuando usamos un dispositivo de la empresa fuera de la misma, esta responsabilidad se traslada a nosotros.

Lo más fácil, si la cantidad de datos no es muy grande es utilizar discos DVD o Blu-Ray para la realización de estas copias. La empresa tiene que proveer de unidades de grabación y discos vírgenes para que el empleado pueda realizar estas copias periódicas.

10. Utiliza diferentes cuentas y perfiles si usas el dispositivo de empresa para temas personales.

De esta manera, si resultaras infectado durante tu navegación personal, la información confidencial almacenada en el portátil no se vería afectada. Y si la empresa tiene perfiles en redes sociales, asegúrate de que no los estés usando durante tus visitas personales a redes sociales.

Conclusión

Los portátiles y móviles de empresa pueden contener información muy importante para nuestra empresa. Por esta razón es muy importante tener algunas precauciones a la hora de trabajar con ellos. Por ejemplo, debemos tener muy claro a que redes podemos y no podemos conectarnos. Por otra parte los dispositivos deben disponer de herramientas especiales que aumenten la seguridad del dispositivo y de nuestras comunicaciones (clientes VPN, herramientas de cifrado, antivirus, etc.).

Por último hay que tener claro que son dispositivos cuya finalidad es laboral. Pero esto no quita que no los podamos utilizar para fines personales aunque siempre siguiendo una serie de precauciones muy importantes como la utilización de diferentes cuentas de usuario para el trabajo y personales, tener mucho cuidado con las webs que visitamos y nunca instalar software/apps por nuestra cuenta.

Seguiremos estos consejos. ¿Acaso vamos a permitirles que nos roben información o que nos infecten?

Fuente: incibe

La Agencia presenta dos nuevas guías

Dos nuevas guías educativas para no cometer ni ser víctima de conductas delictivas en internet.

Además de las fichas, la Agencia ofrece un servicio específico para comunicarse con los más de 8 millones de alumnos escolarizados, padres y profesores, y asesorarles en materia de privacidad y protección de datos.

  • Con estos recursos, la AEPD quiere evitar tanto que los menores puedan cometer un delito como que favorezcan la comisión del mismo por parte de terceros con su propia conducta y sin ser conscientes de ello
  • Las guías pretenden servir como apoyo a la educación en internet de los más de 8 millones de alumnos escolarizados y sus familias

(Madrid, 28 de enero de 2016). La Agencia Española de Protección de Datos (AEPD) ha presentado dos nuevas guías, una dirigida a menores y otra a padres y profesores, para sensibilizar acerca de las graves consecuencias de determinadas conductas realizadas en internet. En las guías didácticas se explica de forma detallada y con ejemplos prácticos cómo una utilización inadecuada de la información personal puede ser no sólo una infracción de la normativa de protección de datos sino que puede ser constitutiva de un delito, en ocasiones por desconocimiento.

El objetivo es que estas guías se utilicen tanto en las aulas como en casa para propiciar un ambiente de concienciación que contribuya a evitar tanto que los menores puedan cometer un delito como que favorezcan la comisión del mismo por parte de terceros con su propia conducta y sin ser conscientes de ello. La finalidad es prevenir que los menores se vean involucrados en situaciones de riesgo que cuando traspasan el mundo offline, debido al efecto multiplicador de la Red, producen un daño difícil de reparar.

La presentación de este material se enmarca en la Jornada ‘Menores, privacidad y conductas delictivas’, celebrada hoy, con la que la Agencia conmemora la décima edición del Día Europeo de Protección de Datos. Las guías han sido elaboradas por la Agencia y han contado con el apoyo de los ministerios de Educación, Justicia, Interior (Secretaría de Estado de Seguridad) e Industria (INCIBE), y las Fiscalías de Menores y Criminalidad Informática. Estos materiales refuerzan el proyecto ‘Tú decides’, un entorno de consulta y apoyo diseñado para menores, así como para padres y profesores.

La Agencia considera imprescindible que los jóvenes posean información adaptada a su edad acerca de las consecuencias que determinadas conductas online pueden acarrear para ellos mismos, sus familiares y otras personas, ya sea por desconocimiento o una falsa sensación de impunidad o anonimato. La primera guía, ‘Sé legal en internet’, dirigida a jóvenes, incluye ocho fichas didácticas en las que se tratan aspectos como la importancia de los datos personales que se comparten y quién pueden verlos, las consecuencias de perder el móvil o de olvidar cerrar la sesión en una red social o las implicaciones de reenviar un vídeo en el que aparecen otras personas, ya sean compañeros o profesores. Asimismo, trata de que los menores reflexionen acerca de cómo se sentirían si, por ejemplo, se difundiera un vídeo en el que aparecen cambiándose de ropa, se comentaran detalles de su enfermedad en una red social, o recibieran amenazas para facilitar datos bancarios de sus familiares.

En las fichas también se explica qué es el ciberbullying, el ciberbaiting, el grooming y el sexting, figuras que podrían llegar a ser delitos, y ofrece consejos para evitar ser objeto de estas conductas o convertirse en partícipe de las mismas. Y, en todo caso, destaca la importancia de que los menores no permitan que nadie les acose, no participen en el acoso a otras personas, ni consientan que se acose a terceros.

El proyecto incluye una segunda guía, ‘Enséñales a ser legales en internet’, dirigida a familiares, profesores y personas próximas al menor, que sirve de complemento a las fichas dirigidas a menores y que facilita orientaciones y pautas útiles en su labor de educación y formación.

La Agencia ha elegido esta temática ante las advertencias de los expertos acerca del incremento de los delitos cometidos por menores a través de internet, y en especial, aquellos que tienen vinculación con el uso de la información personal. Según un estudio de la Comisión Europea, el 50% de los menores de 12 años tiene perfil en las redes sociales y 4 de cada 10 se han visto implicados en situaciones de riesgo en internet. En esta línea, un estudio de la Universidad de Oviedo, realizado con jóvenes de entre 11 y 19 años, concluye que el 90% “comete, padece o conoce” casos de ciberacoso.

Proyecto global de concienciación

Este nuevo material didáctico, que se suma a las guías ‘No te enredes en internet’, y ‘Guíales en internet’, se incorpora a la web ‘Tú decides’. Estos recursos forman parte de un proyecto global de la Agencia, con varias líneas de actuación, que considera la protección de los menores como un tema prioritario. La Agencia dispone de un canal de comunicación para familias, profesores y menores que permite contactar mediante correo electrónico (canaljoven@agpd.es), un teléfono específico de atención (901 233 144) y un sistema de WhatsApp (616 172 204) para informar y asesorar sobre cuestiones relacionadas con la privacidad. El proyecto se enmarca en el convenio suscrito el pasado octubre con el Ministerio de Educación para impulsar la formación y sensibilización de los menores en esta materia, en especial en internet.

Entre las actuaciones adicionales previstas por la AEPD en este campo se encuentra la elaboración de una guía práctica para los centros docentes y las universidades con el fin de resolver sus dudas en relación la protección de datos y la privacidad.

Fuente: agpd

Cuidado con las listas de difusión de WHATSAPP, podrían multarte con hasta 150.000 euros

Seguramente habrás oído hablar del concepto ‘spam’, pero siempre ligado al correo electrónico, y no sólo tiene que ver con este tipo de plataformas para el intercambio de mensajes. Según la legislación española, en relación a la información y el comercio electrónico, la regulación del spam en términos legales afecta al ‘correo electrónico u otro medio de comunicación electrónica equivalente’, punto en el que encaja no sólo WhatsApp sino también las redes sociales como Facebook.

Qué es el spam y por qué podrían multarte con hasta 150.000 euros

El spam es el envío de cualquier tipo de contenido que cumpla con varios puntos. El primero, que el destinatario de estos contenidos no haya solicitado o autorizado su envío, y en segundo lugar que el contenido haya sido enviado de forma automatizada o masiva. Por otro lado, se incluye también en la descripción de spam que el remitente del contenido o los contenidos sea generalmente desconocido para el destinatario. Por lo tanto, una parte importante de los mensajes que los usuarios de WhatsApp envían a través de las ‘listas de difusión’ del servicio, encajan en la definición de spam en términos legales.

Y en nuestro país, la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, en su artículo 21.1 explica que “Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”. Además de esto, en el punto 38.3 c) etiqueta el envío de spam a través de las plataformas electrónicas como infracción grave y en el artículo 39 se establecen importes de entre 30.001 y 150.000 euros por multa como sanción a este tipo de infracciones.

Así, según establece la LSSI, el envío de publicidad de prácticamente cualquier carácter a través de las listas de difusión de WhatsApp podrían conllevar multas de hasta 150.000 euros. Sanciones que aunque, la LSSI no contempla para mensajes más allá de fines publicitarios o comerciales, sí pueden chocar con la legislación en otras vertientes del Derecho, donde se contemplan sanciones de otro tipo contra el spam y por contenidos no relacionados con la publicidad.

Fuente: cincodias

¡Utiliza copia oculta!

El correo electrónico nos permite estar en contacto con amigos y familia, enviar información interesante e incluso organizar planes con mucha gente. Cuando queremos enviar algo a un grupo de personas ¿cómo podemos hacerlo protegiendo su privacidad?

Imaginemos que vamos a dar una fiesta y queremos invitar a un grupo de personas. Querremos enviarles sitio y hora y toda la información relevante para la fiesta. Como el contenido a enviar a todos es el mismo, podemos pensar en enviarles un único correo.

Pero puede darse el caso de que estas personas no se conozcan entre sí. O que no se conozcan lo suficiente para intercambiar sus direcciones de correo electrónico. En casos como este, tenemos en nuestra mano proteger su privacidad y enviar la información de manera que cualquiera que la reciba, no pueda saber a qué más direcciones la hemos enviado. ¿Cómo? Utilizando la copia oculta.

En el videotutorial de hoy veremos cómo podemos realizar el envío de correos con copia oculta. ¡Nuestros contactos agradecerán que lo usemos!

Fuente: Osi