Mantén a salvo tu información digital con estos consejos

Todos nosotros tenemos información personal que no deben caer nunca en manos de ciberdelincuentes. Desde documentos importantes hasta nuestros credenciales del banco, pasando por las contraseñas de servicios de correo electrónico, redes sociales e incluso fotografías de nuestra familia, toda esta información debe estar a salvo siempre, por este motivo hoy te vamos a dar 5 consejos básicos para mantener tus datos personales a salvo.

Continuar leyendo «Mantén a salvo tu información digital con estos consejos»

Insistimos: ¡Haz copias de seguridad!

¿En cuántas ocasiones haber realizado una copia de seguridad de los datos de nuestra empresa nos hubiera ahorrado más de un disgusto?¿cuántas horas (o días) de trabajo nos hubiera ahorrado haber dedicado unos minutos a definir y aplicar una buena política de copias de seguridad? Proteger los datos contra la pérdida, el deterioro, las catástrofes (naturales u obra del hombre) son algunos de los riesgos que podemos mitigar con una copia de seguridad. Historias reales como las que hemos visto en el blog de estas dos empresas: «Hola, he cifrado todos los datos importantes de tu empresa» y «¡Me han cifrado el disco duro!», hubieran sido resueltas de una forma fácil y sencilla con una buena política de copias de seguridad.

Las aplicaciones de backup ofrecen varios tipos de copias. Los tipos de copias de seguridad más corrientes son el backupcompleto, el backup incremental y el backup diferencial.

Por otra parte, históricamente los backups se realizaban sobre dos tipos de soporte básicos, las cintas y los discos. Recientemente con la adopción de los servicios cloud, se ha sumado la opción de los almacenamientos en la nube.

Cada uno de ellos tiene sus ventajas e inconvenientes. En esta serie de posts hablaremos primero de los tipos de backups más comunes y en una segunda entrega sobre los soportes más típicos sobre los que se realizan las copias de seguridad.

Tipos de Backups

Backup completo

Es, tal vez, el tipo de copia de seguridad más realizada. Se trata también del tipo de backup más básico. Consiste, como su nombre indica, en hacer una copia de todos los datos de nuestro sistema en otro soporte (ya sean cintas, discos, Blu-Rays, etc). La ventaja principal de este tipo de copia es que tendremos acceso de una forma sencilla a todos los datos almacenados, lo cual permite restaurarlos fácilmente.

Sin embargo son varios los inconvenientes de los backups completos:

  • Tienen una mayor necesidad de espacio de almacenamiento (Si hacemos una copia de TODOS los ficheros de nuestro sistema TODOS los días tendremos información redundante, ya que habremos almacenado múltiples veces todos los ficheros, incluso los que no han cambiado).
  • El tiempo requerido para realizar la copia es mayor.

Un buen plan de continuidad de negocio (PCN) debería incluir backups completos pero solo cada cierto tiempo. Por ejemplo, una vez a la semana o una vez al mes (dependiendo de las necesidades de almacenamiento de su empresa), y siempre combinando este backup completo con backups incrementales o diferenciales (que pasaremos a describir).
Backup incremental

Un backup incremental sólo copia los datos que han variado desde la última copia de respaldo realizada, sea ésta del tipo que sea (incremental, diferencial o completo). Las aplicaciones de backup registran la fecha y hora de una copia de seguridad, de manera que, cuando se solicita un backup incremental, buscarán la fecha del último backup y sólo almacenaran los archivos que han sido modificados en el sistema desde esa fecha hasta el momento actual.

Como este tipo de backup no almacena todos los ficheros, si no solo los ficheros modificados desde el anterior backup, lasventajas principales son:

  • El espacio necesario es mucho menor que en el backup completo.
  • El tiempo de realización de backup es mucho más corto. En este tipo de copia de seguridad, los únicos ficheros «redundantes» son los que han sido modificados.

El inconveniente viene a la hora de recuperar los datos. Si por ejemplo queremos recuperar un directorio completo cuyos ficheros se han ido modificando poco a poco deberemos recuperar los diferentes ficheros de los diferentes backupsincrementales donde se encuentren, ralentizando así el proceso de recuperación.
Backup diferencial

Un backup diferencial es similar a un backup incremental en la primera vez que se lleva a cabo. Copiará todos los datos que hayan cambiado desde el backup anterior. Sin embargo, cada vez que se vuelva a lanzar, no solo se copiarán los datos que se hayan modificado desde el último backup, si no todos los que se hayan modificado desde el último backup completo. Esto significa que con el tiempo estos backups se van haciendo más grandes, hasta que se vuelve a realiza un backup completo.

Es una opción a medio camino entre los backups completo e incremental. Las principales ventajas son:

  • No requieren tanto espacio de almacenamiento como un backup completo.
  • A la hora de recuperar un fichero, sólo habrá que comprobar su existencia en dos copias de respaldo: la última copia diferencial realizada y el último backup completo realizado. El fichero buscado tendrá que estar, con total seguridad, en uno de esos dos backups.

Como desventajas:

  • No es la solución más «liviana» en cuanto a espacio. En este sentido el backup incremental requiere menos capacidad de almacenamiento.
  • El tiempo de realización de backup es considerable (sin ser tan alto como usar solo backups completos).

Entonces ¿Cuál sería la mejor opción de copias para mi empresa?

Las necesidades de copias de seguridad serán diferentes en cada empresa. Antes de tomar la decisión del tipo backup a realizar, tenemos que hacernos una serie de preguntas: ¿Qué queremos copiar?, ¿Cómo lo vamos a copiar?, ¿Cuándo queremos hacer las copias? y ¿dónde las vamos a almacenar?

Lo primero que tenemos que saber es qué información queremos salvaguardar. Necesitamos diferenciar qué tipo de información se puede considerar crítica para el negocio, ya que no toda la que manejamos en nuestra empresa tiene la misma importancia, ni resulta vital para su continuidad.

También debemos tener claro cada cuánto tiempo vamos a realizar la copia de seguridad y el tiempo que queremos conservarla. Esto variará en función de las necesidades del negocio y de la capacidad de almacenamiento que dispongamos.

Por último es importante medir nuestra capacidad de trabajo con copias de seguridad. El trabajo con copias de seguridad incremental puede ser farragoso, teniendo que revisar hasta 4 o 5 backups para encontrar el fichero que nos interesa.

Así por ejemplo, una pequeña empresa que debe mantener almacenados los datos de facturación, los contenidos de la web, que en general requiera de poco espacio de almacenamiento podría realizar copias de seguridad completas cada semana, sin necesidad de nada más.

En cambio una empresa que desea mantener además los contenidos creados y trabajados por los empleados, aparte del backup completo, deberá tener una copia diaria, que probablemente sea diferencial para facilitar la gestión.

En definitiva, se trata de una decisión muy particular de cada empresa.
Cierre

Cualquiera que sea el tipo de copia de seguridad que realicemos, es importante que planifiquemos adecuadamente la frecuencia y los contenidos de las copias de seguridad con el objetivo de minimizar recursos gastados (ya sea en tiempo de realización de backup, de espacio utilizado, o de servicios contratados).

También debemos tener muy claro qué información es importante tener en copia de respaldo y tener muy claro la manera de recuperar la información en caso de necesidad.

Hacer pruebas antes de que el desastre ocurra no es una pérdida de tiempo, es tiempo ganado cuando necesitemos disponer de nuestra información de forma urgente.

Continuar leyendo «Insistimos: ¡Haz copias de seguridad!»

Tiran a un contenedor expedientes judiciales de un juzgado gaditano

Documentación de toda índole, expedientes, y documentación de todo tipo, con datos personales perfectamente legibles e identificables fueron arrojados ayer a los contenedores de basura más cercanos al que durante décadas ha sido el Juzgado Decano de San Fernando (Cádiz), que se traslada durante este fin de semana para iniciar una nueva andadura en una nueva sede en régimen de alquiler. Continuar leyendo «Tiran a un contenedor expedientes judiciales de un juzgado gaditano»

Multado un bar por no avisar que tenía cámaras de videovigilancia

La Agencia Española de Protección de Datos ha sancionado con 6.500 euros a un bar de la capital por la instalación de videocámaras en el local sin informar a los clientes de la existencia de las mismas y sin inscribir un fichero con la finalidad de Videovigilancia en el registro de dicha agencia.

En la resolución de la AEPD, a la que ha tenido acceso Efe, consta que se abrió en primer momento un expediente de actuaciones previas de investigación para constatar y comprobar la veracidad de la denuncia presentada.En este sentido, en fecha 27 de septiembre de 2012 se solicitó la colaboración de la Policía Local que, en su escrito de respuesta, confirmó la existencia de las cámaras sin cartel informativo.

Continuar leyendo «Multado un bar por no avisar que tenía cámaras de videovigilancia»

La LOPD, El SAFE HARBOR y los datos personales em la nube

Tras la anulación en Octubre de 2015 del acuerdo Safe Harbor están apareciendo noticias que siembran dudas entre las empresas que usan servicios online. ¿Cuál es la realidad? ¿En qué te afecta?

Antes de profundizar, comencemos refrescando algunos conceptos:

¿Por qué es importante la LOPD?

La protección de datos de carácter personal es un derecho fundamental reconocido en la Constitución Española, que atribuye al titular de los datos la facultad de controlar sus datos y disponer y decidir sobre los mismos. Las empresas, en su calidad de agentes que manejan y tratan datos de carácter personal, están obligadas a garantizar el derecho fundamental a la protección de los datos personales de que disponen.

Además, la directiva europea 95/46/CE regula como los estados miembros de la UE deben proceder para velar por los datos personales de sus ciudadanos. Como resultado de su aplicación, en España existen laLey Orgánica de Protección de Datos Personales (LOPD) 15/1999 y el Real Decreto 1720/2007, además de las Instrucciones de la Agencia Española de Protección de Datos (AEPD), que establecen el marco normativo para el tratamiento de datos personales.

¿Qué son los datos de carácter personal?

Cualquier información concerniente a personas físicas identificadas o identificables (nombre, apellidos, dirección, número de teléfono, matrícula del vehículo, correo electrónico, fotografía, imagen de video …), en cuanto permita identificar o haga meramente identificable a cualquier persona física o dirección IP.

Si en la actividad económica que desempeñamos se trabaja con datos personales de personas físicas, estamos obligados al cumplimiento de la normativa vigente para protegerlos. Hay que tener en cuenta que a estos efectos no se consideran personas físicas a las personas fallecidas, a los autónomos en el ejercicio de su actividad, ni a las personas de contacto de sociedades mercantiles con las que tengamos relación comercial.

Cumplimiento de la LOPD

En líneas generales, para garantizar que los datos de carácter personal con los que trabajamos están debidamente protegidos es necesario realizar una serie de actuaciones:

  • Notificar a la AEPD los conjuntos (ficheros) de datos con los que trabajamos
  • Informar a los afectados en el momento de la recogida de los datos de cuál es la finalidad para la que se recogen y qué mecanismos tienen a su disposición para ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
  • Garantizar el cumplimiento de los deberes de secreto y confidencialidad
  • Cumplir las medidas de seguridad adecuadas
  • Elaborar un documento de seguridad que recoja las medidas técnicas y organizativas que se adoptan para garantizar la protección

Transferencias internacionales de datos personales y Safe Harbor

Una transferencia internacional de datos es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE). Ateniéndonos al reglamento existente, cuando se usa un servicio de cloud computing y en él se hace un tratamiendo de datos personales, el proveedor de dicho servicio sería considerado según la LOPD como un encargado de tratamiento. Si además el servicio no está ubicado en la EEE (es decir, es una empresa de otro país), al usarlo estamos realizando una transferencia internacional. Por ejemplo, cuando utilizamos los servidores de Google para gestionar emails de personas físicas, almacenamos ficheros con datos personales en Dropbox, enviamos campañas de email usando Mailchimp…

Si realizamos transferencias internacionales de datos es necesario notificarlo a la AEPD a la hora de inscribir los ficheros, en el apartado dedicado a tal efecto en el sistema NOTA. Si además el importador de los datos (es decir, el servicio que se va a utilizar para gestonar los datos personales) no ofrece un nivel adecuado de protección, es necesario obtener la autorización de la Directora de la AEPD.1

La Agencia Española de Protección de Datos establece qué países además de los del EEE ofrecen un nivel de protección adecuado, y cuáles no (se pueden consultar en este apartado de su web).

Al ser Estados Unidos el país en el que se ubican la mayor parte de las empresas tecnológicas que proveen los servicios cloud más populares, entre la UE y EE.UU. se estableció el llamado Acuerdo Safe Harbor (o de Puerto Seguro), al que podían adherirse empresas de este país para garantizar que ofrecían un nivel de protección conforme con el que exige la normativa de protección de datos personales de la UE. Sin embargo, el 6 de Octubre de 2015 este acuerdo fue derogado por el TJUE, lo que ha sembrado dudas entre las empresas que utilizan servicios «online» de compañías norteamericanas.

Existen algunos supuestos bajo los que no es necesario obtener esa autorización, la mayoría referidos al tipo de tratamiento que se dará a los datos (médico, jurídico,…), y uno que hace referencia al consentimiento inequívoco del afectado a la transferencia internacional de sus datos.

Si se ha anulado este acuerdo… ¿ya no se pueden usar estas aplicaciones en España?

En los últimos días han proliferado las noticias alarmistas al respecto, y como respuesta aclaratoria laAEPD ha emitido un comunicado en el que llama a la calma, informando de que no se ha prohibido su uso ni se van a iniciar procedimientos sancionadores por defecto contra las empresas. Eso si, es necesario que cada empresa revise su situación y tome las medidas necesarias para regularizarse.

¿Cúal es mi situación respecto a la anulación de Safe Harbor?

Si trabajas con datos personales, asumimos que ya inscribiste tus ficheros de datos personales en el Registro General de Datos Personales mediante el sistema NOTA, elaboraste el documento de seguridad, informas a tus usuarios en el momento de la recogida de datos y cumples con todas las medidas de seguridad necesarias. Para determinar si la anulación del acuerdo Safe Harbor te afecta o no, debes seguir los siguientes pasos:

  1. Revisa todas las aplicaciones en las que almacenas datos personales de los cuales eres responsable. Determina si son empresas pertenecientes a países del EEE (o países con un nivel adecuado de protección) o no. Para hacerlo se puede consultar el apartado «privacidad» o «condiciones» de la plataforma, y ver los datos de la empresa. Algunos ejemplos de servicios afectados por la anulación del Safe Harbor son:
    • Correo electrónico (Gmail, Yahoo, Outlook.com…)
    • Gestión de contactos (Google Contacts, WhatsApp…)
    • Almacenamiento de ficheros (DropBox, Google Drive, Box, iCloud…)
    • Herramientas de gestión (Google Calendar, CRMs y ERPs online como SalesForce, Dymanics ERP…)
    • Sistemas de desarrollo cloud (Amazon Web Services, Microsoft Azure…)
    • Herramientas de marketing (MailChimp, TinyLetter…)
    • Plataformas web (Blogger, Etsy, Amazon, WordPress.com…)
    • Plataformas eCommerce (Shopify, Sellro…)
  2. Si todos los servicios que utilizas se ubican en la UE no tienes de qué preocuparte. Pero verificalo bien por si acaso 🙂
  3. Si usas aplicaciones de proveedores en otras ubicaciones, primero debes verificar mediante elservicio de consulta de ficheros inscritos que ofrece la AEPD si has notificado la transferencia en los ficheros de datos personales que tratas con esas aplicaciones.
    1. Si los servicios son de proveedores en países con un nivel adecuado de protección, únicamente debes añadir en la información de tus ficheros que existe transferencia internacional de datos.
    2. Si los servicios los proporcionan empresas incluidas en el Acuerdo de Safe Harbor, la suspensión del acuerdo te afecta, puesto que tras la sentencia estos servicios no ofrecen un adecuado nivel de protección. Además de notificar la transferencia internacional, debes optar por algunos de los procedimientos existentes para regularizar la situación.
    3. Si los servicios los ofrecen empresas que no están en países con un nivel adecuado de protección ni estaban adheridas a Safe Harbor, la ruptura del acuerdo no te afecta, pero estás en una situación irregular que debes subsanar.

Si no notificaste la tranferencia internacional al registrar los ficheros, la AEPD no tiene constancia de que estés haciendo estas transferencias (por tanto no recibirás la comunicación postal que están enviando a las empresas que usan servicios de empresas incluidas en el Acuerdo Safe Harbor y sí lo hicieron), pero igualmente debes adaptar tu situación.

Cómo regularizar la situación si se realizan transferencias internacionales de datos a países no seguros

Si se utilizan servicios que supongan una transferencia internacional de datos alojados en países que no ofrecen un nivel de protección adecuado es importante regularizar la situación antes del 29 de enero de 2016.

Existen tres alternativas para hacerlo:

  1. Regularizar la situación con el proveedor:
    1. Notificar a la AGPD la transferencia internacional mediante el sistema NOTA.
    2. Firmar con la empresa que proporciona el servicio un contrato de responsabilidad de los datos que incluya las denominadas Cláusulas Contractuales Tipo, aportando además traducción jurada en caso de estar en un idioma distinto al español. Estas cláusulas indican las cuestiones exigibles para acreditar que se cumplen los requisitos de protección de datos personales que exige la UE, por lo que los proveedores del servicio se comprometen a prestar el servicio en esas condiciones.
    3. Solicitar autorización al Director de la AGPD para la transferencia internacional.
  2. Acogerse a alguna de las excepciones del artículo 34 de la LOPD. La más accesible es la que mencionábamos antes: “Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”. Para eso, hay que solicitar a los usuarios de los que se traten datos personales el consentimiento expreso e inequívoco para la transferencia, indicándoles que serán tratados en un servicio que no alcanza el nivel adecuado de protección de datos según la normativa europea.
  3. Dejar de usar los servicios afectados si ello no supone un trastorno para del desarrollo de la actividad, eliminando cualquier dato almacenado, y utilizar servicios equivalentes que almacenen los datos en territorio de la UE.

A día de hoy (Diciembre 2015), la situación con algunos de los proveedores más populares es la siguiente:

Fuente: Fundacion CTIC

El Supremo condena a un médico a 3 años de prisión

Un médico que ejerce en Menorca ha sido condenado por el Tribunal Supremo a tres años y tres meses de prisión por un delito continuado de descubrimiento de secretos, al haber accedido al historial clínico de su expareja.

… por acceder al historial clínico de su expareja …

Sin autorización ni consentimiento accedió, vía informática, al historial clínico de su excompañera sentimental, así como a los de la hija, hermana y marido de esta mujer.

La Sala Segunda del Supremo ha anulado una condena por falta de injurias leves, dictada por la Sección Segunda de la Audiencia de Palma, y ha ratificado la condena por descubrimiento de secretos.

Ésta incluye, además de la pena de prisión, una multa de 6.000 euros; y otros 6.000 en concepto de indemnización a la mujer, que trabajaba como enfermera en el mismo centro que él cuando sucedieron los hechos, y a la comunidad autónoma de Balears con 2.358 euros.

En la sentencia, los magistrados del Supremo han destacado que el condenado accedió a las bases de datos informática «con interés en acosar a la perjudicada, con la que el acusado había roto una relación, de manera que se expresa en el relato fáctico que la relación era ‘tormentosa’».

Accedió a estos datos protegidos en más de 200 ocasiones entre diciembre de 2009 y febrero de 2011.

Estas actuaciones reiteradas afectaron a la mujer y tres familiares de ella, «lo que es indicativo de un inusitado interés en la búsqueda de información a la que no podía acceder», según la sentencia.

«Esta reiteración de la conducta -queda subrayado en el pronunciamiento del Supremo- supone una agresión continuada en la intimidad de la perjudicada y sus familiares, lo que supone un acceso inconsentido realizado en perjuicio de la titular, perjudicada en su derecho a la intimidad por la conducta del acusado, que la realiza no de forma casual, ni de forma involuntaria, sino reiterada».

Fuente: ultimahora

Protección de datos abre una investigación por la filtración sobre Mossos

La Agencia Española de Protección de Datos (AEPD) ha abierto «actuaciones previas de investigación» por la filtración de datos personales de agentes de los Mossos d’Esquadra tras el ataque informático a la web del Sindicat de Mossos d’Esquadra (AME).

La entidad pública estatal es quien tiene competencias por tratarse de la web de un sindicato, ya que su homólogo autonómico, la Autoritat Catalana de Protecció de Dades, solo tiene competencias sobre el tratamiento de datos que realizan los organismos de la Generalitat, según explicaron varios juristas a este diario.

La agencia estatal tiene competencias porque el ataque ha sido a un sindicato

La AEPD investigará de oficio «el acceso indebido a ficheros que son responsabilidad del Sindicat de Mossos d’Esquadra y su posterior difusión en internet», según explicó un portavoz. La filtración incluye número de agente, nombre y apeliidos, domicilio personal, teléfonos y cuenta bancaria de más de 5.600 policías que han tenido relación con el sindicato desde la creación de la web.

Si la investigación oficial concluyera que hubo negligencia en la custodia del fichero, que estaba correctamente registrado en la AEPD como exige la legislación española, podría imponerle multas de hasta 60.000 euros, como ya apuntó el pasado miércoles el ‘conseller’ de Interior Jordi Jané, aludiendo al límite previsto para una sanción leve. La máxima sanción que puede imponer la agencia llega, sin embargo, a los 600.000 euros, cuando el infractor se hubiera negado repetidamente a resolver el fallo. La página atacada dejó de estar operativa pocas horas después del ataque informático, que se produjo de madrugada.

DATOS DE ESPECIAL PROTECCIÓN

La cuantía de las sanciones que impone la agencia española tienen en cuenta tanto el daño causado como las circunstancias en las que se produce la filtración, pero también diversos atenuantes en la consideración de la gravedad del caso. Los datos de afiliación sindical están considerados, por sí mismos, de especial protección.

Los supuestos autores del ataque informático han divulgado este jueves un vídeo en varias redes sociales con todos los pasos que siguieron para infiltrarse en el servidor de la web atacada y han públicado en páginas de intercambio de archivos la base de datos completa de la página del sindicato.

Fuente: El Periodico

La UE aprueba la Ley de Protección de Datos

El pleno del Parlamento Europeo ha aprobado al reglamento de protección de datos, cuyo objetivo es para garantizar unos estándares comunes adaptados al entorno digital. El pleno también ha dado luz verde al Registro de Pasajeros de Transporte Aéreo.

Tras más de cuatro años de intenso trabajo, el pleno del Parlamento Europeo (PE) aprobó ayer definitivamente el nuevo reglamento general de protección de datos, que reemplaza a la obsoleta directiva sobre la misma materia, ratificada en 1995.

Este nuevo texto, que entrará en vigor 20 días después de su publicación en el Diario Oficial de la UE y que será de aplicación directa en todos los estados, es un paso definitivo para armonizar las normativas vigentes de los países de la UE, para devolver a los ciudadanos el control de sus datos personales y para garantizar unos elevados estándares de protección, confianza y seguridad jurídica.

Entre las disposiciones que aparecen en este extenso trabajo legislativo hay que destacar el derecho de rectificación en Internet -conocido como derecho al olvido-, mediante la modificación o supresión de datos personales; la obligación de obtener un consentimiento claro y afirmativo de los usuarios; el derecho a ser informado sobre un posible pirateo de datos personales; así como multas de hasta el 4% de facturación global de las empresas en caso de infracción sobre estos datos.

Este paquete normativo incluye además una directiva sobre transmisión de datos para cuestiones judiciales y policiales. La intención de este texto es proteger a las personas implicadas en investigaciones policiales o procesos judiciales -víctimas, acusados o testigos- mediante la clarificación de sus derechos y el establecimiento de límites en la transmisión de datos.

Transporte aéreo

El pleno del PE también ha dado luz verde a la creación del polémico registro europeo de datos de los pasajeros de transporte aéreo (PNR, por sus siglas en inglés). Este texto, aplazado durante años por las dudas generadas respecto a un posible problema de privacidad de los pasajeros, se ha desbloqueado por la presión de los gobiernos para contar con ella en la lucha contra el terrorismo yihadista.

Esta medida obligará a las compañías aéreas a entregar a las autoridades nacionales los datos de los pasajeros de sus rutas a terceros países con salida o llegada desde un estado miembro, pero no la de los vuelos intracomunitarios. Además, los países también podrán recoger y procesar los datos PNR en posesión de agencias de viajes y touroperadores, que también gestionan billetes de avión.

Fuente: Expansión

¿Sabias que tu navegador puede cuidar tu privacidad?

Navegar por Internet es parte de nuestro día a día. Al hacerlo casi de manera automática no somos conscientes de la información que exponemos en Internet por el simple hecho de utilizar un navegador web. Aprendamos cómo mejorar nuestra privacidad.

Utilizar un navegador web para buscar información de un nuevo restaurante al que queremos ir, para preparar nuestro próximo viaje, para realizar compras, para nuestro trabajo… es algo muy habitual y en principio sin mayores consecuencias, ¿no?

A veces no somos conscientes de que al navegar vamos dejando parte de nuestros datos, por ejemplo, datos de nuestros dispositivos, de nuestra conexión, datos personales, nuestra ubicación…

Por eso es importante que aprendamos a proteger nuestra privacidad mientras navegamos. Además de configurar adecuadamente la seguridad en el navegador y utilizar la navegación privada cuando lo necesitemos, en este videotutorial veremos cómo configurar las opciones de privacidad de los principales navegadores.

Fuente: osi

¿Qué cambia con la nueva Ley de Protección de Datos?

El pasado 14 de abril el Parlamento Europeo aprobaba finalmente elReglamento General de Protección de Datos (RGPD), una nueva normativa común para los Estados Miembro que viene a actualizar el marco legal que rige el tratamiento de datos personales que se mantenía casi intacto desde el año 1995 con la Directiva 95/46/CE.

Este RGPD, que trae importantes novedades en relación a las garantías y límites en la protección de datos personales, algunas de ellas con un impacto directo en el sector tecnológico, entrará en vigor en los próximos días, si bien no será de aplicación hasta mayo de 2018.

El primer punto importante que tenemos que tener en cuenta es cuándo este RGPD desplegará sus efectos y el ámbito de aplicación territorial. Ahora, las normas de protección de datos vigentes solo entran en juego cuando el responsable del tratamiento, esto es, por ejemplo, la empresa que trata nuestros datos personales, esté establecida en la Unión Europea. Si la empresa que trata nuestros datos personales no tiene un establecimiento en Europa, la normativa comunitaria y la nacional no podrán entrar en juego, por lo que las garantías y límites que establecen no pueden ser aplicados (con algunas excepciones que ahora no vienen al caso).

Pero con la nueva ley de protección de datos nos encontramos ante una situación que pretende proteger los datos personales de los ciudadanos europeos frente al tratamiento que hacen, especialmente, las empresas tecnológicas extranjeras. Cuando sea de aplicación el RGPD, éste será de aplicación por cualquier empresa, con independencia de dónde esté ubicada, siempre que trate los datos personales de un ciudadano de la Unión y cuando las actividades de ese tratamiento estén relacionadas con la oferta de bienes o servicios a estos ciudadanos en la Unión, independientemente de si a estos se les requiere un pago o no. Igualmente, será de aplicación si el tratamiento se realiza para controlar el comportamiento de los ciudadanos de la Unión.

Esto viene a corregir una situación no prevista en el año 1995 (fecha de la actual Directiva de protección de datos) en la que, ante el surgimiento de los grandes gigantes de Internet desde empresas ubicadas en Estados Unidos, los datos personales de los ciudadanos europeos se podían ver desprotegidos o al menos no con las mismas garantías que si los tratase una empresa europea, dado que no era exigible, con carácter general, la aplicación de nuestras garantías y derechos a estos gigantes extranjeros.

Pero como decimos, ahora esto cambia, y si una empresa no europea quiere tratar datos personales de europeos para los tratamientos antes descritos, deberá hacerlo bajo nuestras reglas de protección de datos.

Así por ejemplo, a empresas como Google, Facebook, Linkedin, etc, aunque no estuvieran establecidas en la Unión Europea, les sería de aplicación nuestro RGPD.

ACCESO A DATOS EN LAS APPS: EL JUSTO Y NECESARIO

Para los diseñadores de aplicaciones surge una importante novedad; el RGPD establece ahora que cuando se prevea o se vaya a producir un tratamiento de datos personales, se deberán aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.

En la práctica esto significa que a la hora de desarrollar una aplicación y ponerla en funcionamiento, los parámetros activos por defecto deberán garantizar un tratamiento de datos personales mínimo y necesario para el fin que se persigue. Pongamos el siguiente ejemplo para entendernos: imaginemos la típica aplicación “linterna” para móvil. Esta aplicación deberá venir por defecto configurada de forma que el tratamiento de datos personales que realice sea el imprescindible para hacer funcionar el led correspondiente de la cámara, por lo que si la aplicación accede, por ejemplo, a nuestros contactos, nos encontraríamos con una aplicación ilícita desde el punto de vista del RGPD.

Otra novedad importante es la obligación de notificar una violación de la seguridad de los datos personales. Con el RGPD, las empresas estarán obligadas a notificar en un plazo máximo de 72 horas a la autoridad de control competente (en España lo es la Agencia Española de Protección de Datos) de las violaciones de la seguridad de los datos personales.

Esto significa que cuando una empresa detecte que ha sido objeto de un “hackeo” en el que se han podido ver afectados los datos personales de, por ejemplo, sus clientes, deberá comunicar a la autoridad de control tal circunstancia en ese plazo máximo de 72 horas, indicando, entre otra información, la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; describir las posibles consecuencias de la violación de la seguridad de los datos personales.

Además, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, la empresa deberá comunicar tal circunstancia al afectado o interesado.

Es decir, con la nueva normativa de protección de datos se convierte en una obligación legal para la empresa el informar cuando haya sido “hackeada”, incluso, dependiendo del caso, podría ser obligatorio informar a las víctimas (los clientes de la empresa afectada por ejemplo) de tal circunstancia.

Este sin duda es uno de los mayores retos y dificultades con los que se encontrarán las empresas en el futuro. Hoy en día muchas empresas prefieren no airear sus problemas de seguridad informática por varios motivos (imagen, daño reputacional, incentivar nuevos ataques,…). Pero ahora no tendrán opción: sí o sí deberán notificarlo a la autoridad de control y en muchas casos también a todas las víctimas del fallo de seguridad, bajo pena de multa de hasta 10 millones de euros o del 2% del volumen de negocio total anual global del ejercicio financiero anterior (la cuantía que salga más elevada).

Fuente: Baquia