Otro fallo en la web del Ayuntamiento deja al descubierto miles de datos

La página web del Ayuntamiento de Sevilla vuelve a tener otro agujero de seguridad que permite consultar datos fiscales que deberían estar protegidos. De nuevo el fallo está en la web de la Agencia Tributaria local, que deja ver todos los datos relacionados con los impuestos municipales, deudas pendientes con la Hacienda local e incluso los números de las cuentas corrientes en las que están domiciliados los recibos. Para ello, sólo es necesario acceder con un certificado digital e introducir un Número de Identificación Fiscal (NIF), para el caso de las personas físicas, o un Código de Identificación Fiscal (CIF), para las personas jurídicas o empresas.

Es el segundo error que deja al descubierto los datos confidenciales de miles de contribuyentes sevillanos que se descubre en la web del Ayuntamiento hispalense en apenas dos meses. A diferencia del primer caso, ahora es necesario acceder a la oficina virtual de la Agencia Tributaria con el certificado digital expedido por la Fábrica Nacional de Moneda y Timbre. Si se dispone de esta firma electrónica, sólo hace falta buscar una pestaña situada en la parte inferior izquierda de la página, en color gris, que indica la opción de cambiar de contribuyente. Se abre otra pestaña que pide un NIF o un CIF. Al introducir uno de estos números, inmediatamente aparece laidentidad de la persona propietaria de ese NIF o la empresa que tiene ese CIF y todo su estado de cuentas actual con el Ayuntamiento.

El internauta puede ver desde las multas impagadas hasta las propiedades inmobiliarias y los vehículos a nombre de la persona o empresa que se consulte. Los bienes inmuebles tributan con el IBI y los coches y motos con el Impuesto de Circulación de Vehículos, de ahí que aparezcan en el registro municipal con todo lujo de detalles. No sólo figuran datos como la marca, modelo o matrícula del vehículo en cuestión, sino incluso la cuenta corriente del banco donde está domiciliado el pago del sello municipal. Igual ocurre con las viviendas o bienes inmuebles en propiedad.

Es decir, sólo introduciendo el DNI de una persona, el usuario puede conocer qué pisos, casas, locales o garajes tiene a su nombre, dónde vive y en qué banco y a qué cuenta tiene asociado el pago de los impuestos. En el caso de las empresas y otro tipo de sociedades, el internauta puede saber también las deudas pendientes con el Ayuntamiento y el plazo que tienen para pagarlas, que suele ser más amplio al tratarse de cantidades mayores, así como el dinero que paga en concepto de Impuesto de Actividades Económicas (IAE)….

LEER NOTICIA COMPLETA

FUENTE ORIGINAL: DIARIO DE SEVILLA

El Supremo reconoce el “derecho al olvido” digital de dos procesados implicados en un caso de drogas en los ochenta

El Pleno de la Sala de lo Civil del Tribunal Supremo ha dictado sobre el llamado “derecho al olvido digital”.

Los hechos se remontan a los años ochenta, cuando dos personas estuvieron implicadas en el tráfico y consumo de drogas; tras cumplir condena por estos hechos rehicieron su vida personal, familiar y profesional.

La noticia sobre su detención, ingreso en prisión y padecimiento del síndrome de abstinencia, aparecía en aquellas fechas en los primeros lugares de las consultas que en los motores de búsqueda de Internet, utilizando como palabras clave sus nombres y apellidos, pues las hemerotecas ya se encontraban digitalizadas.

La empresa editora del diario y responsable de la hemeroteca no atendió la petición de los procesados de adoptar las medidas necesarias para evitar la difusión actual y permanente de la información publicada cuando sucedieron los hechos y, en consecuencia, interpusieron una demanda en protección de su honor, su intimidad y su derecho a la protección de los datos personales.

La sentencia, tras estimar que la acción ejercitada no había caducado, y considerar que el editor de una página web en la que se incluyen datos personales es responsable de que el tratamiento de estos datos respete las exigencias derivadas del principio de calidad de los datos, realiza la ponderación entre el ejercicio de la libertad de información que suponen las hemerotecas digitales, y los derechos al honor, la intimidad y la protección de datos personales de las personas afectadas por las informaciones contenidas en esas hemerotecas digitales.

Es necesario ponderar el potencial ofensivo que para los derechos de la personalidad tiene la información publicada y el interés público en que esa información aparezca vinculada a los datos personales del afectado. Este interés puede justificar que, cuando se trata de personas de relevancia pública o existe un interés histórico, una información sobre hechos que afectan a su privacidad o a su reputación, aun sucedidos mucho tiempo atrás, esté vinculada a sus datos personales (en particular, nombre y apellidos) en las consultas realizadas a través de los buscadores de Internet.

Pero esta vinculación a los datos personales de la información lesiva para el honor y la intimidad en una consulta por Internet va perdiendo su justificación a medida que transcurre el tiempo si las personas concernidas carecen de relevancia pública y los hechos, vinculados a esas personas, carecen de interés histórico, pues aunque el tratamiento de los datos pueda considerarse veraz, ya no resulta adecuado para la finalidad con la que inicialmente fueron recogidos y tratados, y distorsiona gravemente la percepción que los demás ciudadanos tienen de la persona afectada, provocando un efecto estigmatizador e impidiendo su plena inserción en la sociedad.

No obstante, la sentencia puntualiza que el llamado “derecho al olvido digital” no ampara que cada uno construya un pasado a su medida, impidiendo la difusión de informaciones sobre hechos que no se considere positivos, ni justifica que aquellos que se exponen a sí mismos públicamente puedan exigir que se construya un currículo a su medida.

El derecho a la protección de datos personales justifica que, a petición de los afectados, los responsables de las hemerotecas digitales deban adoptar medidas tecnológicas, tales como la utilización de códigos robots.txt o instrucciones noindex, etc., para que la página web de la hemeroteca digital en que aparezca la información obsoleta y gravemente perjudicial no pueda ser indexada por los buscadores de Internet.

Sin embargo, la Sala rechaza la procedencia de eliminar los nombres y apellidos de la información recogida en la hemeroteca, o que los datos personales contenidos en la información no puedan ser indexados por el motor de búsqueda interno de la hemeroteca, pues considera que estas medidas suponen una restricción excesiva de la libertad de información vinculada a la existencia de las hemerotecas digitales.

NOTA DE PRENSA COMPLETA

FUENTE ORIGINAL: CONSEJO GENERAL DE PODER JUDICIAL

Autoridades Protección Datos instan negociar con EEUU tras sentencia Schrems

Tras la reciente sentencia europea sobre el “caso Schrems”, las autoridades europeas de Protección de Datos instan a negociar con las autoridades de EEUU posibles soluciones que permitan transferencias de datos desde la Unión Europea (UE) a Estados Unidos respetando los derechos fundamentales.

Dichas autoridades, reunidas en el Grupo de Trabajo del Artículo 29, del que forma parte la Agencia Española de Protección de Datos (AEPD), han publicado hoy una declaración conjunta sobre las primeras consecuencias a nivel europeo y nacional del reciente fallo del Tribunal de Justicia de la UE sobre el caso Schrems.

Dicha sentencia invalida la decisión de la Comisión que consideraba a Estados Unidos garante de un nivel de protección adecuado de los datos personales mediante el llamado acuerdo de “puerto seguro”, y por ello, se le permitía la transferencia de información perteneciente a ciudadanos europeos.

El fallo europeo de carácter vinculante, que ratifica el criterio del abogado general de la Unión Europea, cuestiona el que las empresas puedan seguir enviando libremente datos personales de sus usuarios desde Europa a EEUU, tras la denuncia del joven universitario Max Schrems contra Facebook por considerar que esta empresa vulnera las reglas europeas de protección de datos.

Las autoridades europeas de Protección de Datos, desde el Grupo de Trabajo, hacen un llamamiento “urgente” a los Estados miembros y a las instituciones europeas para iniciar conversaciones con las autoridades de EEUU y encontrar “soluciones políticas, jurídicas y técnicas que permitan transferencias de datos al territorio de EEUU respetando los derechos fundamentales”.

Según una nota de la AEPD, estas soluciones podrían llegar de las negociaciones de “un acuerdo intergubernamental” que dotara de mayores garantías a los interesados en la UE. Las actuales negociaciones en torno a un nuevo “puerto seguro” podrían ser una parte de la solución.

Las soluciones deberían ir acompañadas de mecanismos claros y vinculantes, e incluir obligaciones sobre la necesaria supervisión del acceso por las autoridades públicas, sobre transparencia, proporcionalidad, mecanismos de reparación y derechos recogidos en la legislación de protección de datos.

En su declaración conjunta, las autoridades europeas de Protección de Datos reiteran su rechazo a la “vigilancia masiva e indiscriminada” en internet, porque la consideran “incompatible con el marco jurídico de la Unión Europea”.

Insisten en que las actuales herramientas de transferencia no resuelven el problema existente y matizan que no consideran seguros para el intercambio de datos aquellos destinos en los que los poderes de las autoridades estatales se exceden más allá de lo necesario en las sociedades democráticas a la hora de acceder a la información.

Se insiste en las responsabilidades compartidas entre las autoridades de Protección de Datos, las instituciones de la UE, los Estados miembros y las empresas para encontrar soluciones sostenibles para aplicar la sentencia del Tribunal.

A las empresas se les pide reflexionar sobre los eventuales riesgos que asumen al transferir datos y considerar la oportuna puesta en práctica de todas las soluciones legales y técnicas para mitigar esos riesgos y respetar el acervo comunitario de protección de datos.

FUENTE ORIGINAL: LA VANGUARDIA

Leer más: http://www.lavanguardia.com/tecnologia/20151019/54438216611/autoridades-proteccion-datos-instan-negociar-con-eeuu-tras-sentencia-schrems.html#ixzz3p0r5egLh.

La AEPD publica el Borrador de su Plan Estratégico y lo somete a consulta pública para conocer la opinión de ciudadanos y organizaciones

El documento, disponible en la página web de la Agencia en versión borrador, tiene como objetivo sentar las bases de las líneas de actuación de la AEPD en el periodo 2015-2019.

La Agencia Española de Protección de Datos (AEPD) ha abierto hoy una consulta pública sobre el Borrador de su Plan Estratégico 2015-2019, un documento que tiene como objetivo sentar las bases de las líneas de actuación de la Agencia para los próximos años en un momento decisivo para la protección de datos, con retos constantes que obligan a escuchar atentamente las necesidades que se plantean.

La Agencia está convencida de que la participación es un elemento esencial sin el que no puede lograrse una protección efectiva del derecho fundamental a la protección de datos y por ello quiere contar con la colaboración de todos los interesados para elaborar la versión final del Plan Estratégico. En este sentido, la consulta pública supone un instrumento de gran utilidad para conocer las propuestas, aportaciones y comentarios de ciudadanos, responsables de tratamiento, expertos en protección de datos y todas aquellas organizaciones públicas y privadas que deseen participar. La consulta está disponibledesde hoy y hasta el próximo 30 de octubre.

El Borrador del Plan Estratégico establece los objetivos que quiere alcanzar la AEPD, planteando una serie de iniciativas específicas estructuradas en cinco grandes ejes estratégicos: Prevención para una protección más eficaz; Innovación y protección de datos: factor de confianza y garantía de calidad; Una Agencia colaboradora, transparente y participativa; Una Agencia cercana a los responsables y a los profesionales de la privacidad; y Una Agencia más ágil y eficiente.

De acuerdo con las previsiones legales y presupuestarias, el Plan recoge los siguientes objetivos, que se desarrollan en el texto a través de medidas concretas:

  • Actuaciones de prevención, especialmente en ámbitos con un gran impacto como la educación y protección de los menores, el tratamiento de datos en el sector sanitario o la contratación fraudulenta.
  • Iniciativas que contribuyan a generar un clima de confianza en el ámbito de la economía digital, favoreciendo la competitividad de las empresas de contenidos digitales o el desarrollo y la innovación de las industrias TIC.
  • Labores proactivas para detectar el impacto que pueden tener los nuevos desarrollos tecnológicos en la privacidad, y que fomenten el cumplimiento de la legislación española y europea en materia de protección de datos.
  • Proyectos que impulsen la comunicación con los ciudadanos y establezcan relaciones estables con los responsables, encargados de tratamiento, y con los profesionales de la privacidad.
  • Mejora continua de la calidad de los servicios de la Agencia, con especial atención a la simplificación de los procedimientos, la reducción de los tiempos de tramitación, la optimización de recursos y el uso intensivo de las herramientas de la Administración electrónica.
  • Respuesta a los retos internacionales, especialmente ante la próxima aprobación del nuevo Reglamento Europeo de Protección de Datos.

Algunas de las medidas recogidas en detalle son las siguientes: protección de los menores, contenidos para ayudar al ciudadano a configurar sus opciones de privacidad y a navegar más seguro; programas de actuación en el sector sanitario; colaboración con las Administraciones Públicas; planificación de inspecciones sectoriales; promoción de modelos de certificación y acreditación; creación de una Unidad de Evaluación y Estudios Tecnológicos; herramientas para facilitar a las pymes el cumplimiento de la normativa; mejora de la competitividad y fomento de la economía digital; incorporación de nuevas fórmulas de comunicación; creación de nuevas guías y fichas prácticas; impulso de la relación con responsables, pymes, profesionales de la privacidad y delegados de protección de datos; simplificación y mejora de la gestión; o estructura del proyecto AEPD digital.

La consulta pública a la que se somete desde hoy el Borrador puede responderse de forma anónima y consta de 14 preguntas, toda ellas de respuesta voluntaria, para que cada participante pueda comentar únicamente el Eje estratégico que le afecte o que le parezca más relevante.

La presentación del Borrador de este Plan Estratégico y la consulta pública que lo acompaña supone una apuesta firme de la Agencia por ultimar un texto que recoja las diferentes necesidades. Además, el hecho de que el documento final vaya a elaborarse tras las opiniones, sugerencias y comentarios recibidos le otorgará un valor añadido, ofreciendo una respuesta útil a todas las partes implicadas.

NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.

La AEPD firma un convenio con el Ministerio de Educación para impulsar la formación de los menores en privacidad y protección de datos

La primera iniciativa de la Agencia tras la firma es la puesta en marcha de un teléfono específico y un servicio de whatsapp como nuevas vías de contacto con jóvenes, padres y profesores.

  • El ministro de Educación, Cultura y Deporte y la directora de la Agencia Española de Protección de Datos suscriben un convenio marco de colaboración para impulsar la formación y sensibilización de los menores en materia de privacidad y protección de datos, en especial en internet
  • La primera iniciativa puesta en marcha por la Agencia tras la firma del  convenio es la apertura de nuevas vías de contacto con jóvenes, padres y profesores
  • La AEPD incorpora la atención personalizada a estos grupos a través de un teléfono especializado y servicio de whatsapp, formas de comunicación que se suman al correo electrónico específico ya existente

(Madrid, 13 de octubre de 2015). El ministro de Educación, Cultura y Deporte, Íñigo Méndez de Vigo, y la directora de la Agencia Española de Protección de Datos, Mar España, han firmado un convenio que tiene por objeto establecer un marco estable de colaboración para realizar proyectos y acciones de carácter educativo en la formación y sensibilización de los menores de edad en materia de privacidad y protección de datos, sobre todo en el ámbito de internet.

El convenio, que se ha anunciado hoy durante la celebración de la Jornada “La mejora de la convivencia en los centros educativos: confiar en la fuerza de la Educación” organizada por el Ministerio de Educación, Cultura y Deporte (MECD), es el primero que se firma entre ambas instituciones y tendrá una duración inicial de cuatro años prorrogables. En virtud del mismo, ambas partes acuerdan realizar actuaciones conjuntas para impulsar la educación de los menores en los entornos digitales, fomentando a la vez la participación tanto de los padres como de los profesores.

La primera iniciativa puesta en marcha por la Agencia tras la firma del convenio es la apertura de nuevas vías de contacto con los más de 8 millones de alumnos escolarizados, padres y profesores, ya que considera que la comunicación con estos colectivos es un elemento imprescindible para solucionar las cuestiones que puedan surgirles en relación con la privacidad y la protección de datos. Así, además de la dirección de correo electrónico que ya estaba disponible como forma de contacto, la AEPD ha puesto en marcha un teléfono específico (901 233 144) y un servicio de whatsapp (616 172 204) orientado resolver las dudas de estos grupos. Con la creación de estas dos nuevas vías, la Agencia quiere acercarse a los tanto a los menores como a los padres y profesores, ofreciendo una atención personalizada.

En la colaboración establecida en el convenio con el MECD se despliegan, por otro lado, varias líneas de actuación que cubren, entre otros aspectos, el desarrollo y difusión de materiales para concienciar a los menores sobre el valor de la privacidad y la importancia de la información que publican en internet.

En paralelo, la Agencia es consciente de que para una adecuada educación digital de los jóvenes es imprescindible contar con el apoyo de sus padres y profesores y que, en ocasiones, estos pueden verse superados en conocimientos digitales por sus propios hijos o alumnos. Por ello, el MECD y la AEPD han acordado realizar acciones conjuntas para la elaboración de recursos formativos para padres, así como la organización de cursos, seminarios y jornadas sobre protección de datos y privacidad para profesores. Ambas entidades contemplan también la creación de materiales que puedan ser utilizados en la docencia para elcontenido curricular sobre tecnologías de la información y la comunicación o la puesta en marcha, en cooperación con las Comunidades Autónomas, de fichas dirigidas a centros educativos.

Al mismo tiempo, en colaboración con todas las Administraciones educativas, desde la Agencia se va a trabajar en el estudio de aquellas áreas que plantean dificultades a los profesores y a los centros educativos en relación con el cumplimiento normativo de protección de datos, articulando los mecanismos que puedan resultar más eficaces.

Además, entre otras iniciativas, la Agencia y el Ministerio colaborarán para la convocatoria de premios y concursos en materia de privacidad y protección de datos dirigidos tanto a los alumnos como a los centros educativos.

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Mirones. Sevilla 17 octubre, 20.30 h. Vincci La Rábida.

Mirar sin ser visto o sentirse observado forma parte de la condición humana. La intimidad y la privacidad son cuestiones muy polémicas que dependen del morbo, de la curiosidad y de los espacios privados. Pero la vida pública está siendo registrada a través de las cámaras de videovigilancia instaladas en nuestras calles que nos acechan continuamente.

¿Por qué tienen tanta obsesión por vigilarnos? ¿Existe el voyeurismo institucional? ¿Realmente las leyes protegen nuestra intimidad? ¿Son las redes sociales un espacio seguro? ¿tenemos derecho a saber de los demás?

El próximo sábado 17 de octubre lo vamos a comprobar en una nueva cata con arte: Los Mirones de la mano de una de las bodegas gallegas más prestigiosas, Bodegas Martín Códax, ubicada junto a la histórica ciudad de Cambados, en pleno corazón del Valle del Salnés, cuna del vino Albariño.

Aprenderemos a mirar sin ser vistos con la gastronomía del Hotel Vincci La Rábida, un establecimiento emblemático en el barrio del Arenal con la intervención del abogado y profesor de la Universidad Pablo de Olavide, Pedro Rodríguez López de Lemus, especializado en derecho de las nuevas tecnologías, con la música en directo de Sparring Son y más sorpresas.

La cata comprende:

  • Cata de cuatro vinos de Bodegas Martín Codax y Cuatro Pasos
  • Martín Codax Albariño
  • Mara Martín
  • Martín Codax Lías
  • Tinto Cuatro Pasos Black
  • Licor de hierbas Martín Codax
  • Maridaje gastronómico del Hotel Vincci La Rábida
  • Tosta de bacalao selecto, dulce de tomate y gratinado de ali-oli
  • Mini brocheta de salmón y brie sobre cebolla caramelizada
  • Carrillera ibérica estofada
  • Tarta de manzana con helado de vainilla
  • Intervenciones culturales y voyeuristas
  • Abogado experto en nuevas tecnologías y Profesor de la Universidad Pablo de Olavide de Sevilla, Pedro Rodríguez López de Lemus. 
  • Música en directo de Sparring Son
  • Sorpresas teatrales

Precio: 35 euros

Plazas limitadas

Imprescindible reservas en catasconarte.net o en el formulario de reservas pinchando aquí.

Sábado, 17 de octubre de 2015 a las 20.30 h, Hotel Vincci La Rábida, Calle Castelar, 24. Sevilla.

Multan a un gimnasio sevillano por exhibir fotos de los socios y facilitar sus datos

La Agencia de Protección de Datos ha sancionado con una multa de 3.500 euros a la empresa Persavi Sport, que explota el gimnasio Sato Sport de Santa Justa, por dos infracciones graves de la Ley de Protección de Datos al usar cámaras en el vestíbulo del establecimiento en el que se exhibían las fotografías de las personas que accedían al edificio y permanecían a la vista de los presentes hasta la entrada del siguiente socio.

El 8 de abril de 2014, un socio del citado gimnasio presentó una denuncia en la Agencia de Protección de Datos comunicando que se habían colocado monitores donde aparecían fotografías de los clientes que acceden a las instalaciones, «estando dichas fotografías a la vista de todas las personas que se encuentran en el hall de entrada». El socio aseguraba que no se había informado en ningún momento a los clientes de esos monitores y que el responsable del gimnasio facilitaba información de los socios a los monitores que prestaban sus servicios allí y que trabajaban como entrenadores personales. Asimismo, solicitó la cancelación de sus datos para que no fuera utilizada su fotografía pero aseguró que no se le dio respuesta alguna.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE: ABCDESEVILLA

La Agencia de Protección de Datos investigó en Sevilla 362 denuncias en 2014

La Agencia de Protección de Datos investigó el pasado año 362 denuncias presentadas por ciudadanos, empresas y asociaciones de consumidores de Sevilla.

Ver noticia completa en fuente original: http://sevilla.abc.es/sevilla/20151012/sevi-agencia-proteccion-datos-investigacion-201510111942.html

El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos

Aunque el Tribunal de Justicia tiene competencia exclusiva para declarar la invalidez de un acto de la Unión, las autoridades nacionales de control a las que se haya presentado una solicitud pueden, aun cuando una Decisión de la Comisión declare que un país tercero ofrece un nivel de protección adecuado de los datos personales, examinar si la transferencia de los datos de una persona a ese país respeta las exigencias de la legislación de la Unión sobre la protección de esos datos así como acudir ante los tribunales nacionales, al igual que la persona interesada, con el fin de que éstos planteen una cuestión prejudicial sobre la validez de esa Decisión.

La Directiva sobre el tratamiento de los datos personales 1 dispone que en principio sólo se pueden transferir dichos datos a un país tercero si éste garantiza un nivel de protección adecuado de dichos datos. También conforme a la Directiva, la Comisión puede declarar que un país tercero garantiza un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales. Por último, la Directiva determina que cada Estado miembro debe designar una o varias autoridades públicas encargadas de controlar la aplicación en su territorio de las disposiciones nacionales adoptadas sobre la base de la Directiva («autoridades nacionales de control»).

El Sr. Maximillian Schrems, ciudadano austriaco, es usuario de Facebook desde 2008. Como ocurre con los demás usuarios que residen en la UE, los datos proporcionados por el Sr. Schrems a Facebook se transfieren total o parcialmente de la filial irlandesa de dicha red social a servidores situados en territorio de los Estados Unidos, donde son objeto de tratamiento. El Sr. Schrems presentó una denuncia ante la autoridad irlandesa de control, considerando que, a la luz de las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o «NSA»), la normativa y la práctica de Estados Unidos no garantizaban una protección suficiente de los datos transferidos a ese país frente a las actividades de vigilancia por las autoridades públicas. La autoridad irlandesa desestimó esa reclamación debido en particular a que, en su Decisión de 26 de julio de 2000 2 la Comisión había considerado que, en el marco del régimen denominado de «puerto seguro», 3 Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos. Seguir leyendo en fuente original. 

COMUNICADO DE PRENSA COMPLETO