Análisis del software preinstalado en dispositivos Android y riesgos para la privacidad de los usuarios

El Instituto IMDEA Networks y la Universidad Carlos III de Madrid han publicado el artículo que presentarán en el 41th IEEE Symposium on Security and Privacy titulado An Analysis of Pre-installed Android Software , al que la Agencia Española de Protección de Datos (AEPD) contribuye con su difusión debido al impacto masivo que los resultados del mismo tienen en la privacidad y la protección de los datos personales de los ciudadanos.

 El estudio, que abarca más de 82.000 apps preinstaladas en más de 1.700 dispositivos Android fabricados por 214 marcas, tiene entre sus objetivos identificar los agentes presentes en el software preinstalado en Android y que utilizan el acceso privilegiado a recursos del sistema para la obtención de datos personales de usuarios; revelar los acuerdos comerciales entre vendedores de dispositivos Android y terceros, incluyendo organizaciones especializadas en la monitorización y rastreo de usuarios y en proporcionar publicidad en Internet; detectar y analizar vulnerabilidades y otras prácticas opacas y analizar la trasparencia en la información proporcionada al usuario.

 Del estudio se desprende, por un lado, que el modelo de permisos del sistema operativo Android y de sus apps permite que un gran número de actores puedan monitorizar y obtener información personal de los usuarios a nivel del sistema operativo y, por otro, que el usuario final desconoce la presencia de estos actores en sus terminales Android y las implicaciones que dichas prácticas tienen sobre su privacidad. Además, la presencia de este software con privilegios de sistema dificulta su eliminación sin ser un usuario experto.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

El Pleno del TC admite a trámite el recurso de inconstitucionalidad del Defensor del Pueblo contra el art. 58 bis.1 de la Ley Electoral que permite a los partidos recoger opiniones políticas de usuarios en internet

El Pleno del Tribunal Constitucional ha decidido por unanimidad admitir a trámite el recurso de inconstitucionalidad presentado por el Defensor del Pueblo contra el artículo 58 bis.1 de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (LREG), incorporado por la disposición final tercera, punto dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

El recurso del Defensor del Pueblo considera que el precepto impugnado vulnera los arts. 9.3, 16, 18.4, 23.1 y 53.1 de la Constitución.

LEER NOTA DE PRENSA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: TRIBUNAL CONSTITUCIONAL

La AEPD publica la Circular sobre el tratamiento de datos personales relativos a opiniones políticas por los partidos

El Boletín Oficial del Estado ha publicado la Circular de la Agencia Española de Protección de Datos (AEPD) sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores. La Circular, que da continuidad al informe que la Agencia publicó el pasado diciembre, está compuesta por una parte expositiva, once artículos, una disposición transitoria y una disposición final.

El texto fija los criterios conforme a los que va a actuar la Agencia en la aplicación de la normativa de protección de datos respecto al tratamiento relativo a opiniones políticas por los partidos al amparo del artículo 58 bis de la LOREG, con el marco del Reglamento General de Protección de Datos (RGPD) y conforme a lo establecido en la Constitución Española, de modo que no conculque derechos fundamentales, como el derecho a la protección de datos de carácter personal reconocido en el artículo 18.4, el derecho a la libertad ideológica del artículo 16, la libertad de expresión e información del artículo 20 o el derecho a la participación política del artículo 23. En consecuencia, la AEPD mantiene en la Circular su interpretación restrictiva de la modificación de la LOREG.

ACCEDER A LA NOTICIA COMPLETA EN SU FUENTE ORIGINA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La AEPD publica un estudio para analizar los flujos de información en apps realizadas para dispositivos Android

La Agencia Española de Protección de Datos (AEPD), ha publicado el estudio técnico Análisis de los flujos de información en Android. Herramientas para el cumplimiento de la responsabilidad proactiva , realizado en colaboración con la Universidad Politécnica de Madrid. El estudio, dirigido fundamentalmente a desarrolladores de apps y responsables de tratamiento de datos personales, pone de manifiesto el elevado riesgo de fugas de información personal que se presenta en el entorno de las aplicaciones móviles, y ofrece una guía para que las organizaciones puedan auditar sus apps, analizando los flujos de información personal en dispositivos Android.

La finalidad es que los responsables del tratamiento de datos dispongan de las herramientas y utilicen las metodologías adecuadas para determinar que la política de privacidad que se le está ofreciendo al usuario cumple con las garantías que exige el RGPD y la Ley Orgánica de Protección de Datos (3/2018).

ACCEDER A LA NOTICIA COMPLETA EN SU FUENTE ORIGINA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La AEPD publica unas orientaciones para la publicación de actos administrativos por parte de las AAPP

La AEPD publica unas orientaciones para la publicación de actos administrativos por parte de las AAPP
dortega
Lun, 03/04/2019

4 de Marzo de 2019

(Madrid, 4 de marzo de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado unas orientaciones para promover la protección de los datos personales de los ciudadanos cuando las Administraciones Públicas realizan publicaciones de actos administrativos. El documento se publica en coordinación con la Autoridad Catalana de Protección de Datos, la Agencia Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía.

La Ley Orgánica 3/2018 de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales incluye en el apartado 1º de su Disposición Adicional 7ª cómo debe identificarse a los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos. Previamente, esta identificación incluía el nombre, apellidos y número íntegro del DNI o documento análogo; sin embargo, para minimizar el impacto en la privacidad de los ciudadanos se debe publicar el nombre, apellidos y cuatro cifras aleatorias del documento oficial de identidad.

Las Autoridades de protección de datos han recibido múltiples consultas sobre la interpretación del primer párrafo de esa Disposición, por lo que publican estas orientaciones con el fin de facilitar un criterio práctico que permita conciliar la publicación de actos administrativos con la protección de datos.

El criterio, provisional hasta que los órganos de gobierno y las administraciones públicas competentes aprueben disposiciones para la aplicación de la Disposición, pretende evitar que la adopción de otras fórmulas pueda dar lugar a la publicación de cifras numéricas de los documentos identificativos de las personas en posiciones distintas, posibilitando la recomposición íntegra de dichos documentos. Para ello, se ha seleccionado aleatoriamente un grupo de cuatro cifras numéricas, que deberían ser las mismas en todas las publicaciones.

Las orientaciones completas pueden consultarse aquí.

El Comité Europeo de Protección de Datos publica unas recomendaciones en caso de un Brexit sin acuerdo

El Comité Europeo de Protección de Datos publica unas recomendaciones en caso de un Brexit sin acuerdo
dortega
Dom, 03/03/2019

3 de Marzo de 2019

(Madrid, 4 de marzo de 2019). El Comité Europeo de Protección de Datos (CEPD), organismo de la Unión Europea del que forma parte la Agencia Española de Protección de Datos, ha aprobado unas orientaciones dirigidas a empresas y entidades públicas que realicen transferencias de datos personales a Reino Unido en caso de producirse un Brexit sin acuerdo. Actualmente, el flujo de datos entre países del Espacio Económico Europeo (EEE) y Reino Unido puede realizarse sin garantías adicionales.

En el caso de un Brexit sin acuerdo, Reino Unido se convertiría en un país tercero desde el 30 de marzo de 2019. La normativa establece que si los datos se envían a países que no pertenecen al EEE habría una transferencia internacional de datos, para cuya realización es necesario que el responsable del tratamiento proporcione las garantías jurídicas adecuadas.

El objetivo de este documento es ayudar a las organizaciones que envíen datos personales a Reino Unido a decidir con antelación qué instrumento jurídico pueden adoptar para seguir realizándolas.

En este escenario, el documento recuerda que la transferencia de datos personales a Reino Unido sólo podrá realizarse amparándose en alguno de estos instrumentos: cláusulas de protección de datos estándar o ad hoc, normas corporativas vinculantes, códigos de conducta y mecanismos de certificación, e instrumentos de transferencia específicos a disposición de las autoridades públicas. A falta de cláusulas estándar de protección de datos u otras garantías alternativas apropiadas, pueden utilizarse excepciones en determinadas condiciones, recogidas en el artículo 49 del Reglamento General de Protección de Datos.

La nota informativa del CEPD ha identificado cinco puntos básicos que tienen que plantearse las organizaciones que envíen datos personales a Reino Unido:

Identificar qué actividades de tratamiento implicarán la transferencia de datos personales al Reino Unido.
Determinar el instrumento de transferencia de datos adecuado para su situación.
Aplicar el instrumento elegido para que esté listo para el día 30 de marzo de 2019.
Indicar en la documentación interna qué transferencias se realizarán al Reino Unido.
Actualizar el aviso de privacidad para informar a los particulares.

Flujo de datos del Reino Unido al EEE

En lo que respecta a las transferencias de datos desde Reino Unido al EEE, según el Gobierno británico, la práctica actual, que permite que los datos personales fluyan libremente, continuará en el caso de un Brexit sin acuerdo