La Agencia presenta una campaña para evitar la difusión de contenidos sexuales o violentos en Internet.

/en /por

La Agencia Española de Protección de Datos (AEPD) ha presentado hoy su campaña ‘Por todo lo que hay detrás’, dirigida a promover la utilización del Canal prioritario de la Agencia para denunciar la difusión en Internet de contenidos sexuales o violentos publicados sin el permiso de las personas que aparecen en ellos, en particular, en casos de acoso a menores o violencia sexual contra las mujeres.

A pesar de las ventajas que proporcionan las nuevas tecnologías y los servicios que estas ofrecen, en ocasiones se utilizan como vía para extender formas de violencia que fomentan la humillación pública de las víctimas, dañando de forma grave su privacidad. ‘Por todo lo que hay detrás’ trata de mostrar la historia que puede haber tras un simple reenvío para evidenciar las graves consecuencias de que se difundan imágenes, vídeos o audios sensibles en internet. Los destinatarios de la campaña, que promueve la denuncia de este tipo de contenidos, no son únicamente las personas que en algún momento pueden ser víctimas de la difusión sino también a todos aquellos que son conocedores de la situación -y que también tienen la posibilidad de denunciarlo ante la Agencia- y a aquellos que, de manera irreflexiva o por desconocimiento, contribuyen a la difusión en Internet de estos contenidos, pudiendo incurrir en no sólo en responsabilidad administrativa sino también disciplinaria, civil y penal.

 

VER NOTICIA EN LA FUENTE ORIGINAL.

FUENTE ORIGINAL: AEPD. 

Cifrado y Privacidad II: El tiempo de vida del dato

/en /por

Cifrado y Privacidad II: El tiempo de vida del dato
rperezm
Mié, 01/22/2020

En el marco de un tratamiento, a la hora de seleccionar un sistema de cifrado hay que tener en cuenta que las opciones disponibles tienen distintas características, por lo que es necesario analizar y elegir el sistema más adecuado para el producto o servicio en el que se va a integrar.

Criptografía y Privacidad II

Cada tratamiento tendrá unos requerimientos particulares en relación con el sistema de cifrado. Por ejemplo, un sistema de pago por visión de eventos deportivos tendrá importantes restricciones de latencia; los procesos de venta en línea precisan un establecimiento ágil del canal seguro; el cifrado integrado en tarjetas inteligentes tendrá limitaciones de memoria; el de sistemas móviles tendrá restricciones de consumo; los desarrolladores de apps buscarán soluciones open-source y multiplataforma; la protección de materias clasificadas requiere de sistemas de cifrado certificados; el cifrado de los discos duros un elevando rendimiento; los servicios de firma necesitan cifrado asimétrico; la protección de grandes volúmenes de datos requieren cifrado simétrico,  etc. En definitiva, el sistema de cifrado integrado en un tratamiento ha de cumplir con los requisitos derivados de los objetivos de negocio.

Un parámetro de capital importancia a la hora de elegir el sistema de cifrado es la fortaleza de este, es decir, la dificultad o cantidad de trabajo requerido para romper un sistema criptográfico. La fortaleza determina la probabilidad de que el sistema pueda ser comprometido dentro de un marco temporal. Cuanto mayor sea la fortaleza del sistema de cifrado mayor será la probabilidad de que la información cifrada permanezca confidencial durante más tiempo, siempre teniendo en cuenta el avance de la tecnología.

Los requisitos de fortaleza del sistema de cifrado difieren de unas aplicaciones a otras. Existen casos, como el de operaciones financieras a corto plazo, en los que la confidencialidad debería garantizarse por algunos días, incluso sólo algunas horas. Información relativa a fusiones, planes de marketing o lanzamientos de productos tienen requisitos de garantía de confidencialidad por algunas semanas o meses. Por otro lado, secretos políticos y diplomáticos han de permanecer confidenciales durante años, incluso por muchos años. La vida del mensaje, entendida como el periodo de tiempo en que es relevante mantener el mensaje confidencial, es distinta para cada tratamiento y es el criterio relevante para determinar los requisitos de fortaleza del sistema de cifrado.

Una fortaleza elevada en el sistema de cifrado es un requisito muy costoso, además, cuando más exigente es ese requisito, más complicado es evaluarlo y entrará en mayor medida en conflicto con el cumplimiento de otros requisitos que el mismo tratamiento precisa, que entre otros son: latencia, tiempo de establecimiento, consumo, recursos, rendimiento, portabilidad, usabilidad, coste, etc.

En el caso de que se utilicen técnicas de cifrado para añadir garantías de protección adicionales al tratamiento de datos personales hay que plantearse qué fortaleza se necesita y, para ello, hay que tener presente cuál es la vida del mensaje desde el punto de vista del RGPD, es decir, el tiempo de vida del dato. Como define el RGPD en el artículo 4.1, un dato personal tiene dicha naturaleza mientras sea información sobre una persona física identificada o identificable, por lo tanto, estamos hablando de requisitos de fortaleza muy elevados (pensemos en los datos recogidos actualmente de menores).

En el caso de que la garantía principal sobre la que descansa un tratamiento sea el cifrado de los datos personales, es necesario realizar la validación de la fortaleza del sistema de cifrado. Existen análisis para dar una estimación de la fortaleza de ciertos sistemas de cifrado, normalmente realizados con muchas limitaciones, ya que solo contemplan el algoritmo, la relación con la longitud de la clave y el modelo de ataque más elemental. Incluso teniendo en cuenta dichas limitaciones de análisis, algoritmos como DES, por ejemplo, se revelan como inadecuados para la protección de información de carácter personal a largo plazo. A la hora de validar el sistema de cifrado es importante tener en cuenta que es mucho más que la verificación del algoritmo, es imprescindible incluir, entre otros, la verificación de los procedimientos de relación de claves; de la entropía y el pre-proceso de los datos; de los protocolos de comunicación; el análisis de la implementación concreta de todos estos elementos y, finalmente, la revisión de los aspectos organizativos de la gestión del sistema y el material de cifra.

Esta validación ha de realizarse “desde el diseño” y estar el sistema de cifrado integrado en el tratamiento tal y como se establece en la Guía de Privacidad desde el Diseño publicada en la AEPD.    

Este post sobre criptografía y privacidad está relacionado con otra entrada publicada anteriormente en el blog de la AEPD titulada ‘Cifrado y Privacidad: cifrado en el RGPD’.

 

Indemnización por la filtración de datos personales en EEUU: estafa online.

/en /por

Las noticias se hacen eco de todo tipo de filtraciones de datos y, últimamente, también de las multas que se imponen a las empresas responsables, algunas de las cuales alcanzan miles de millones. Si las empresas tienen que pagar por las filtraciones de datos, ese dinero se destinará a las víctimas, ¿no?

Un sitio web llamó nuestra atención hace poco. En apariencia propiedad del Fondo para la Protección de Datos Personales, la página web principal señala que la “Comisión de Comercio de los EE.UU.” es la creadora de dicho fondo.

A simple vista, el sitio parece legítimo y, con un diseño sobrio, muestra una gran suma de dinero a la derecha. Un banner en la parte superior de la página anuncia que el fondo indemniza a las víctimas de filtraciones de datos personales y que podrán solicitarlo ciudadanos de todas las nacionalidades.

Para los interesados, el sitio se ofrece a comprobar si alguna vez se ha producido una filtración de tus datos personales. Para ello, tienes que indicar tu nombre, apellidos, número de teléfono y cuentas de redes sociales. Sobre el formulario, se advierte que introducir los datos de otra persona se castigará severamente.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL. 

FUENTE ORIGINAL: KASPERSKY.  

El valor de los datos en el mercado negro de Internet: 870 euros por persona.

/en /por

Que existe un comercio oculto de datos personales es un dato que a pocos sorprende. La irrupción de los móviles conllevó numerosas ventajas, pero también algunas que no lo son tanto: aplicaciones y compañías son capaces de geolocalizar a sus usuarios, conocer sus gustos y sus hábitos más cotidianos y hasta en qué se gastan el dinero. Y eso, lógicamente, tiene un precio. Por primera vez un estudio cuantifica el valor de esos datos en la web oscura, también conocida como Dark Web. Estos datos valen alrededor de 870 euros, según afirma la Universitat Oberta de Catalunya (UOC).

LEER NOTICIA EN SU FUENTE ORIGINAL. 

FUENTE ORIGINAL: LA VOZ DE GALICIA.

¿Conoces Gestiona?

/en /por

¿Conoces Gestiona?
rperezm
Mar, 01/07/2020

Para las empresas y administraciones que traten datos de alto riesgo la AEPD ha desarrollado una herramienta para facilitar la realización de análisis de riesgos y evaluaciones de impacto en protección de datos personales.

Herramienta Gestiona

El Reglamento General de Protección de Datos (RGPD) dispone que los responsables y encargados del tratamiento de datos personales están obligados a hacer un análisis de riesgos e implantar las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, si de este análisis se constata la existencia de un alto riesgo para la protección de datos, también exige que se realice una evaluación de impacto (EIPD).

Para facilitar el cumplimiento de estas obligaciones, la Agencia Española de Protección de Datos ha creado Gestiona_EIPD, una herramienta gratuita diseñada para ayudar a que las empresas y administraciones que efectúen tratamientos de datos de alto riesgo puedan hacer análisis de riesgos o evaluaciones de impacto. También puede ser un recurso útil para las pymes que tengan que llevar a la práctica una EIPD.

La AEPD cuenta en su página web con un listado que incluye los tratamientos de datos en los que se exige la realización de una evaluación de impacto, como recoge el RGPD. Esta lista se complementa con otro listado de los tratamientos en los que no se requiere una EIPD.

Gestiona_EIPD está pensada como un cuestionario online que incide en los aspectos que se deben tenerse en cuenta tanto en los análisis de riesgos como en las evaluaciones de impacto en protección de datos personales. El proceso, en el que la Agencia no conserva ni monitoriza dato alguno, da como resultado una documentación básica que sirve de inicio para comenzar con las actividades de análisis y gestión de riesgos y que serán de ayuda al responsable para cumplir con lo previsto en el Reglamento y la LOPDGDD.

Esta documentación mínima no sólo es una ayuda para cumplir con la norma, sino que también plantea medidas que pueden contribuir a reducir o mitigar los riesgos del tratamiento. No obstante, la Agencia subraya que, en ningún caso, los requisitos de cumplimiento pueden reemplazarse por medidas alternativas técnicas u organizativas. Para obtener más información puede consultarse el Listado de elementos para el cumplimiento normativo del RGPD.

Es importante resaltar que esta documentación básica debe ser completada y analizada por el responsable del tratamiento y, en su caso, el encargado del tratamiento, siguiendo las indicaciones establecidas en la Guía práctica para las evaluaciones de impacto en la protección de datos personales.

Gestiona_EIPD se suma así al catálogo de recursos que la AEPD pone a disposición de las organizaciones para ayudar a cumplir con la normativa de protección de datos, entre las que se encuentra Facilita_RGPD, creada para a las empresas y profesionales que traten datos personales de escaso riesgo. Desde su lanzamiento en septiembre de 2017 ha tenido 800.000 accesos y casi 200.000 empresas han obtenido los documentos mínimos para facilitar el cumplimiento de la normativa.