La Agencia Española de Protección de Datos se ha pronunciado sobre la mirilla digital.

El pasado día 25 de mayo de 2021 tuvo entrada en la AEPD la reclamación de un ciudadano cuyo motivo era la instalación de mirilla digital por parte de un vecino del inmueble con capacidad de grabación y toma de imágenes sin contar con el consentimiento informado de la junta de propietarios. La AEPD ha dictado resolución archivando las actuaciones aunque con ciertos matices y advertencias.

Acceso a la resolución: https://www.aepd.es/es/documento/e-08332-2021.pdf

La AEPD publica una nueva versión de su guía para notificar brechas de datos personales

La AEPD publica una nueva versión de su guía para notificar brechas de datos personales
rperezm
Lun, 05/24/2021

24 de Mayo de 2021
  • El documento tiene como objetivo guiar a los responsables de los tratamientos de datos personales en su obligación de notificarlas a las autoridades de protección de datos y de comunicarlas a las personas cuyos datos se hayan visto afectados
  • Las notificaciones y comunicaciones de brechas que afectan a datos personales son parte de la responsabilidad proactiva establecida en el RGPD
  • La Agencia ha gestionado casi 700 brechas de datos notificadas en 2021, la mayoría producidas por ataques externos e intencionados, siendo el ransomware la amenaza más frecuente

(Madrid, 25 de mayo de 2021). La Agencia Española de Protección de Datos (AEPD) ha publicado hoy una actualización de su ‘Guía para la notificación de brechas de datos personales’, un documento que tiene como objetivo guiar a los responsables de los tratamientos de datos personales en su obligación de notificarlas a las autoridades de protección de datos y comunicárselo a las personas cuyos datos se hayan visto afectados. Esta guía actualiza la versión publicada en 2018, cuando comenzó a aplicarse el Reglamento General de Protección de Datos (RGPD), e incluye la experiencia recogida en este tiempo, tanto a nivel nacional como en relación con los criterios establecidos por el Comité Europeo de Protección de Datos.

El principal propósito de esta actualización es facilitar el cumplimiento de forma eficaz y eficiente de los objetivos últimos de la notificación de brechas de datos personales: la protección efectiva de los derechos y libertades de las personas, la creación de un entorno más resiliente basado en el conocimiento de las vulnerabilidades de la organización y la garantía de una seguridad jurídica al disponer los responsables de un medio para demostrar diligencia en el cumplimiento de sus obligaciones.

Cualquier organización se encuentra expuesta a sufrir una brecha de datos personales que pueda repercutir en los derechos y libertades de las personas, y está obligada a gestionarla de forma adecuada. Este incidente puede tener un origen accidental o intencionado y, generalmente, ocasiona la destrucción, pérdida, alteración, comunicación o el acceso no autorizado a datos personales. La Guía comienza analizando qué es una brecha de datos personales y qué no lo es en el contexto del marco normativo europeo, nacional y sectorial. A continuación analiza cuándo hay que notificar dicha brecha a la autoridad de control, en qué plazo, o quién y qué contenido debe incluir esa notificación. En lo relativo a la comunicación a las personas afectadas, el documento recoge en qué casos hay que realizarla, el contenido y sus plazos.

Las notificaciones y comunicaciones relativas a brechas que afectan a datos personales forman parte de la responsabilidad proactiva establecida en el RGPD, y el hecho de notificarla o comunicarla no implica necesariamente la imposición de una sanción. De hecho, hacerlo en tiempo y forma es una evidencia de la diligencia de la organización, mientras que no cumplir con esa obligación sí está tipificado como infracción.

La Guía ofrece directrices para facilitar y simplificar el cumplimiento de estas obligaciones y, entre otros puntos, orienta sobre algunos plazos que el RGPD deja abiertos, como la notificación de una brecha de datos personales a la autoridad de control de forma gradual, los plazos para comunicarla a las personas cuyos datos se han visto afectados o los relativos a que los encargados de tratamiento informen a los responsables cuando se produce una brecha.

La Agencia ha gestionado más de 700 brechas de datos notificadas en los primeros cinco meses de 2021. La mayoría de ellas se han producido por un ataque externo e intencionado siendo el ransomware la amenaza más frecuente, comprometiendo no solo la disponibilidad sino también la confidencialidad de los datos personales.

Comunicación a los afectados

Como complemento a la presente Guía, la Agencia dispone de una herramienta llamada ‘Comunica-Brecha RGPD’, que ofrece ayuda a las organizaciones para decidir si deben comunicar o no una brecha de datos a las personas afectadas, una obligación independiente a la de notificar dicha brecha a la autoridad de control.

Este recurso se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos indicativos del riesgo asociado a la brecha. Al completar el formulario, y en función de la información que haya sido facilitada, la herramienta aconsejará tres posibles escenarios: que se debe notificar la brecha de seguridad a las personas afectadas al apreciarse un riesgo alto; que no es necesaria dicha comunicación, o que no se puede determinar el nivel de riesgo. La decisión final debe tomarla el responsable en función de los aspectos específicos del tratamiento y de la brecha concreta. En ningún caso la Agencia almacena los datos consignados durante el proceso.

 

IoT (III) Domótica. Internet de las Cosas: riesgos y recomendaciones

IoT (III) Domótica. Internet de las Cosas: riesgos y recomendaciones
rperezm
Vie, 05/21/2021

21 de Mayo de 2021

Cada vez es más habitual encontrar elementos del hogar que se han transformado en dispositivos inteligentes con conectividad a Internet. Tanto es así, que es habitual ver este tipo de dispositivos en los catálogos de tiendas de muebles e incluso supermercados, incorporándose a los hogares rápidamente. Por ello, es necesario prestar atención y entender los riesgos para la privacidad que podrían implicar, y que se ven incrementados cuando se hace un uso inadecuado.

La gama de dispositivos IoT domóticos está evolucionando constantemente. De forma continua surgen nuevos productos orientados a proporcionar servicios más confortables en el hogar, que pueden manejarse desde Apps instalas en dispositivos móviles o integrados en asistentes de voz.

El IoT supone una evolución de la domótica tradicional, en la que los dispositivos incorporan una capa de inteligencia y conectividad que permite que se adapten mejor a las necesidades domésticas. Algunos ejemplos son persianas motorizadas, sensores de temperatura y humedad, controladores de climatización, bombillas inteligentes, cerraduras electrónicas, interruptores o centralitas de alarma.  

La mayoría de estos dispositivos están diseñados para que su gestión o uso precise conectividad a Internet y acceso a servicios en la nube. Los riesgos para la privacidad que se derivan van más allá de los problemas de seguridad. Este modelo de IoT supone la comunicación y gestión de datos personales por terceros, y el tratamiento de datos personales adicionales, como son metadatos de comunicación.

Un dispositivo IoT genera una gran cantidad de datos que son enviados y tratados por distintos servicios en Internet para satisfacer las solicitudes de los usuarios. Sin embargo, podrían utilizarse para muchas otras finalidades, como por ejemplo la elaboración de perfiles de comportamiento. De esta forma, el riesgo para los ciudadanos es mayor cuanto mayor es el número de servicios que tratan estos datos personales. Es más, la integración de dispositivos de distintos fabricantes podría aumentar dicho riesgo, por ejemplo, cuando se ha de utilizar una App distinta en la que hay que registrarse para cada fabricante.

Un ejemplo de materialización del riesgo, en este caso debido a una brecha de seguridad, ocurrió en 2016 cuando se produjo el ataque DDoS más dañino de la historia debido a la falta de actualizaciones de seguridad en estos dispositivos. Otros ejemplos podrían ser el secuestro de los dispositivos del hogar y su control por parte de terceros o las brechas de datos personales.

Dispositivos como mirillas o cerraduras que se controlan desde Apps instaladas en móviles implica el tratamiento de imágenes, vídeo, audio e información sobre los hábitos de las personas. Esta información, junto con otros datos de las personas, puede utilizarse para la generación de perfiles y diversas finalidades adicionales.

Los dispositivos inteligentes implementan distintas formas de conectividad. Las más habituales son:

  • Conexión distribuida: los dispositivos se conectan directamente a un router wifi, que realiza la función de gateway hacia la nube del fabricante, gestionado mediante su propia App. La conexión es individual, utilizando protocolos como HTTP o HTTPS. Ejemplos de estos dispositivos suelen ser las cámaras IP, algunos enchufes inteligentes o mirillas electrónicas.
  • Conexión centralizada: los dispositivos se conectan a través de un hub o gateway que centraliza las comunicaciones, siendo dicho hub el único dispositivo que se conecta a Internet directamente. En este caso las comunicaciones suelen utilizar protocolos inalámbricos específicos de domótica como Zigbee y Z-wave, y en menor medida Bluetooth.
IoT III (blog)- Conexión distribuida
IoT III (blog)- Conexión distribuida

 

IoT III (blog)- Conexión centralizada
IoT III (blog)- Conexión centralizada

Dada la diversidad de opciones disponibles, es habitual que en una misma vivienda se incorporen dispositivos de diferentes fabricantes, lo que produce una mezcla heterogénea de las configuraciones anteriores.

En un futuro inmediato se espera la adopción masiva de dispositivos IoT conectados, a través de 5G, a la nube del fabricante, y a la que se deberá acceder a través de una App. Esta nueva forma de conectar los dispositivos IoT podría suponer nuevos riesgos para la privacidad de las personas. Puede obtener más información sobre los riesgos de 5G en la Nota Técnica: Introducción a las tecnologías 5G y sus riesgos para la privacidad.

IoT III (blog)- Conexión IoT a través de 5G
IoT III (blog)- Conexión IoT a través de 5G

A nivel de comunicaciones internas en los dispositivos domóticos, tanto Zigbee como Z-Wave son los estándares más utilizados por los diferentes fabricantes, incluso algunos dispositivos incorporan ambas tecnologías. Estos protocolos también suelen estar incluidos como una funcionalidad en altavoces inteligentes o SmartTVs permitiendo su integración completa con el resto de dispositivos IoT del hogar. Zigbee y Zwave cuentan con bastantes años de uso y evolución, pero no están libres de vulnerabilidades, malas implementaciones o configuraciones.

Zigbee es un estándar abierto ideado para que los dispositivos consuman poca energía. Dicho estándar Minimiza los envíos de información, pasando la mayoría del tiempo en estado latente captando datos, y permite disponer de hasta 65.000 dispositivos como sensores de temperatura, de puertas o ventanas que con una simple pila de botón puede dar servicio durante años. También existen otros dispositivos como enchufes inteligentes, motores de puertas o bombillas que utilizan este protocolo a través de la red eléctrica. Los dispositivos de nuestro hogar conforman una red Zigbee. Opera a 2,4GHz intercambiando información con el gateway. La cobertura inalámbrica es de hasta 20 metros. Además, los dispositivos conectados a la red eléctrica funcionan como repetidores para los dispositivos de batería.

Z-Wave es un estándar propietario similar a Zigbee. Algunas diferencias son el número de dispositivos en una red que pasa a 232, la frecuencia para Europa es 868MHz y la cobertura inalámbrica es de hasta 100 metros de distancia. También cuenta con una arquitectura en la que los dispositivos enchufados a la red eléctrica dan servicio a los dispositivos de batería.

Es importante que las personas tomen conciencia de que los dispositivos inteligentes son algo más que un electrodoméstico tradicional. Van a interactuar en la realización de las labores cotidianas de las personas realizando un gran número de tratamientos de datos. A la hora de adquirirlos debe adoptarse una actitud crítica y exigente hacia las garantías de privacidad. El criterio de selección no solo ha de basarse en el precio o las características principales que se ofertan. El usuario debe comprobar que ofrezcan las suficientes garantías sobre sus datos personales.

Los fabricantes y desarrolladores deben aplicar medidas de protección de datos por defecto y desde el diseño. Los tratamientos que realicen deben ser de acuerdo con los principios del RGPD, prestando especial atención a la seguridad de los tratamientos, las posibles transferencias internacionales de datos, la transparencia en las finalidades para las que se tratarán los datos personales, la elaboración de perfiles y las decisiones automáticas individualizadas. En particular, debe evitarse el uso de protocolos que utilizan claves de cifrado por defecto, y que son públicas, o la posibilidad de añadir dispositivos a la red de forma automática, sin control del interesado.

Puede ampliar información sobre protección de datos y privacidad en Internet en el sitio web Innovación y Tecnología de esta Agencia, así como en nuestro blog:

 

La Agencia imparte el seminario ‘Privacidad, sostenibilidad e innovación’ durante los cursos de verano de la Universidad Menéndez Pelayo

La Agencia imparte el seminario ‘Privacidad, sostenibilidad e innovación’ durante los cursos de verano de la Universidad Menéndez Pelayo
scabellosp
Mié, 05/19/2021

19 de Mayo de 2021
  •   El seminario se celebra los días 7, 8 y 9 de julio
  •   Inscripción y programa

 

(Madrid, 19 de mayo de 2021). La Agencia Española de Protección de Datos (AEPD) imparte del 7 al 9 de julio el seminario ‘Privacidad, sostenibilidad e innovación’, que se enmarca en las Actividades de Verano 2021 de la Universidad Internacional Menéndez Pelayo (UIMP) de Santander.

El programa de Responsabilidad Social de la AEPD, alineado con los Objetivos de Desarrollo Sostenible de la Agenda 2030, implica la asunción por parte de la Agencia de un compromiso ético, especialmente dirigido a la ciudadanía, la educación y los menores y la igualdad de género, directamente relacionado con la tutela del derecho fundamental a la protección de datos.

El seminario analizará la aplicación práctica del modelo de cumplimiento y supervisión del Reglamento General de Protección de Datos, que ha generado importantes novedades en las bases jurídicas del tratamiento de datos, especialmente respecto del consentimiento y el interés legítimo; en la tramitación de reclamaciones, tanto mediante medidas correctivas como mediante la imposición de importantes sanciones económicas, así como en la promoción de sistemas de autorregulación a través de códigos de conducta. Y también en la aplicación del Reglamento a nuevas tecnologías, como la inteligencia artificial, el big data, las redes 5G, el internet de las cosas o el blockchain. Ello ha exigido una respuesta que garantice una aplicación coherente de la norma en el ámbito de la Unión por parte del Comité Europeo de Protección de Datos.

Asimismo, se abordará la sentencia del Tribunal de Justicia de la Unión Europea sobre el denominado caso Schrems 2, que ha marcado novedosos criterios con importantes consecuencias prácticas para la realización de transferencias internacionales de datos a terceros países sin nivel adecuado de protección. Por otro lado, la interrelación entre el Reglamento y la normativa reguladora de la publicidad online y de las cookies y otras tecnologías similares serán temas que también se tratarán durante el seminario.

En el ámbito de la pandemia de COVID-19, las iniciativas relacionadas con la emisión de certificados interoperables que garanticen la libre circulación dentro de la Unión Europea, la finalidad de dichos tratamientos a nivel europeo y sus posibles usos secundarios por parte de los Estados miembros complementan el contenido del curso.

Toda la información, incluida la referente a la matriculación, está disponible en la página web de la UIMP.

 

La AEPD publica una guía sobre protección de datos y relaciones laborales

La AEPD publica una guía sobre protección de datos y relaciones laborales
rperezm
Mar, 05/18/2021

18 de Mayo de 2021
  • La guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo como de la patronal y organizaciones sindicales
  • El documento aborda cuestiones que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales, los sistemas internos de denuncias, el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control

(Madrid, 18 de mayo de 2021). La Agencia Española de Protección de Datos (AEPD) ha publicado hoy la guía ‘Protección de datos y relaciones laborales’ con el objetivo de ofrecer una herramienta práctica de ayuda a las organizaciones públicas y privadas para un adecuado cumplimiento de la legislación. Esta guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo y Economía Social como de la patronal y organizaciones sindicales.

La aplicación del Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) ha supuesto una serie de cambios tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte de los empresarios. Asimismo, la guía también aborda temas que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales de la persona trabajadora, los sistemas internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control.

El documento comienza recogiendo las bases que legitiman el tratamiento de datos personales, la información que es necesario facilitar y los derechos de protección de datos aplicados al entorno laboral. Aborda también el principio de minimización, ya que la ejecución del contrato de trabajo no implica que el empleador pueda conocer cualquier tipo de dato personal de las personas trabajadoras. Además de los deberes de secreto y seguridad (que los datos personales sólo sean conocidos por el afectado y por aquellos usuarios de la organización con competencias para usar, consultar o modificar esos datos), el documento también recoge los límites al tratamiento de datos en los procesos de selección y contratación de personal.

En el apartado de selección de personal y redes sociales, la Agencia detalla que las personas no están obligadas a permitir que el empleador indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato. Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida y para ello será necesario informar de ello a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Por otro lado, la Agencia aclara que la empresa no está legitimada para solicitar ‘amistad’ a las personas candidatas para que éstas proporcionen acceso a los contenidos de sus perfiles.

En cuanto a los sistemas internos de denuncias o whistleblowing, la Agencia considera que la información tanto a los denunciantes como a los potenciales denunciados reviste un carácter primordial. La LOPDGDD admite sistemas de denuncias anónimas y, en caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo y no debe facilitarse su identificación al denunciado. Además, el personal con funciones de gestión y control de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo.

En lo referente al registro de jornada obligatorio, la Agencia recomienda que se adopte el sistema menos invasivo posible y este no puede ser de acceso público ni estar situado en un lugar visible. Asimismo, los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación. Es el ejemplo de una persona trabajadora itinerante cuyo registro de jornada se realiza por geolocalización. La finalidad ese registro es comprobar cuándo comienza y finaliza su tiempo de trabajo pero no verificar dónde se encuentra en cada momento, ya que el tratamiento de datos de geolocalización requiere de una base jurídica específica.

La guía también incorpora una novedad relevante sobre el derecho del comité de empresa a ser informado por la empresa de los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial, incluida la elaboración de perfiles, que pueden incidir en las condiciones, el acceso y mantenimiento del empleo. Esta novedad, aprobada en el reciente RD-ley 9/2021, que modifica el Estatuto de los Trabajadores, constituye un precedente de transparencia adicional a las garantías de la normativa de protección de datos.

Otro de los aspectos que aborda el documento es la difusión de las ayudas concedidas por acción social, especificando que las empresas no pueden publicar el listado de ayudas adjudicadas y denegadas en una página web de libre acceso, o en un tablón de anuncios situado en una zona abierta al público. En el caso de que las ayudas se vinculen con categorías especiales de datos (por ejemplo, ayudas por hijos con discapacidad) la publicidad de la concesión de la ayuda no ha de permitir la identificación del afectado.

La guía ‘Protección de datos y relaciones laborales’ también aborda la protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género y determina que sus datos personales y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada. Así, recoge que deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la acosadora, con objeto de preservar la identidad de estas. Además, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a la condición de mujer superviviente a la violencia de género cuando resulte necesario para el cumplimiento de las obligaciones legales pero, en todo caso, la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar esa información con la trabajadora.

La Agencia también aborda en la guía la tecnología wearable. La AEPD indica que monitorización de datos de salud a través de dispositivos inteligentes, como pulseras o relojes, está, por lo general, prohibida, a menos que esté establecida por ley o reglamentariamente, dado que no se enmarca en la vigilancia de la salud propia de la prevención de riesgos laborales, supone el tratamiento de una categoría especial de datos (salud) sin una base jurídica, no cuenta con una finalidad legítima y vulnera el principio de proporcionalidad, dado que conlleva una monitorización permanente y permitiría al empleador acceder a datos de salud específicos, y no exclusivamente a la valoración sobre la aptitud para desempeñar el trabajo.

Acceso al webinario ‘Interfaz cerebro-computador y protección de datos cerebrales’ en el ciclo ‘Mujer y ciencia’

Acceso al webinario ‘Interfaz cerebro-computador y protección de datos cerebrales’ en el ciclo ‘Mujer y ciencia’
rperezm
Mié, 04/28/2021

28 de Abril de 2021

En el marco de los compromisos de la Agencia en materia de Responsabilidad Social y Sostenibilidad, especialmente en el ámbito de la tecnología y la protección de datos y de la igualdad de género, la AEPD inicia el ciclo 2021 sobre ‘Innovación y Protección de Datos. Mujer y Ciencia’, con el que pretende mantener un debate riguroso sobre temas de actualidad.

El jueves 6 de mayo, a las 17 horas, se iniciará el Ciclo 2021 de webinarios ‘Innovación y Protección de datos. Mujer y Ciencia’. El primero de ellos será impartido por Yasna Vanessa Bastidas, licenciada en ciencias jurídicas, Universidad San Sebastián de Valdivia (Chile) y abogada por la Excelentísima Corte Suprema de Chile. Además de Máster en propiedad intelectual y derecho de las nuevas tecnologías y Máster en protección de datos, Universidad Internacional de la Rioja, España y candidata a doctor en derecho, Universidad Carlos III de Madrid.

Ha participado como investigadora del Instituto de derecho informático de los Ríos, Valdivia (Chile) y en el Grupo de Investigación TRES-i “trabajo líquido y riesgos emergentes en la sociedad de la información” de la Universidad Internacional de la Rioja, España.

Galardonada con el premio Iberoamericano de Protección de datos “Valentín Carrascosa 2020”, Federación Iberoamericana de Asociaciones en Derecho e Informática (FIADI) y el premio de Investigación en protección de datos Emilio Aced 2020 de la Agencia Española de Protección de datos.

Su conferencia llevará por título ‘Innovación, protección de datos y transformación digital. Interfaz cerebro-computador y protección de datos cerebrales’. El acceso al webinario se llevará a cabo a través del siguiente enlace.

 
Acceso a los webinarios del ciclo Mujer y Ciencia 2020

Los webinarios realizados con anterioridad pueden verse aquí:

Materiales de difusión de la iniciativa ‘Lo paras o lo pasas’

Materiales de difusión de la iniciativa ‘Lo paras o lo pasas’
rperezm
Mar, 04/27/2021

27 de Abril de 2021

‘Lo paras o lo pasas’ pretende fomentar el uso del Canal Prioritario para denunciar la publicación en Internet de contenidos sexuales o violentos

La Agencia Española de Protección de Datos ha lanzado una serie de carteles para contribuir a la difusión del Canal prioritario de la Agencia a través de diferentes vías. El objetivo es que los más jóvenes conozcan que pueden denunciar la publicación en Internet de vídeos o fotos de contenido sexual o violento difundidos sin el consentimiento de las personas que aparecen en ellos.

Con esta iniciativa la Agencia se dirige a todas las personas que en algún momento pueden recibir un contenido de este tipo, aunque inicialmente no lo grabasen ellas. Al ver publicado ese vídeo o fotografía cada persona debe decidir qué hacer: si se convierte en cómplice o si va a actuar. El objetivo es transmitir que todas las personas pueden denunciar ante la Agencia la difusión de ese tipo de contenidos y que no sólo tiene una responsabilidad quien inicialmente decide publicar un contenido de carácter sexual o violento sin el permiso de la persona que aparece en las imágenes sino todos aquellos que contribuyen a su difusión a través de diferentes vías.

HTTPS: Cifrado en la web

HTTPS: Cifrado en la web
scabellosp
Mar, 04/20/2021

20 de Abril de 2021

En la actualidad, la mayoría de los sitios web utilizan HTTPS por defecto y se ha convertido en una herramienta indispensable para la privacidad, ya que permite el cifrado de las comunicaciones extremo a extremo

En la gran mayoría de ocasiones que se navega por Internet a través de un navegador web o una app en un dispositivo móvil, se utilizan conexiones cifradas mediante el protocolo de comunicaciones HTTPS (HyperText Transfer Protocol Secure o HTTP sobre TLS). Esta técnica se aplicó inicialmente para asegurar las comunicaciones en medios de pago o banca online. En la actualidad, la mayoría de los sitios web utilizan HTTPS por defecto y se ha convertido en una herramienta indispensable para la privacidad, ya que permite el cifrado de las comunicaciones extremo a extremo, es decir, entre las dos partes que se comunican.

HTTP (Hypertext Transfer Protocol) es el protocolo usado en Internet para las comunicaciones entre los navegadores o Apps y los servidores web. Creado en la década de 1990 y actualizado en el 2000, en su configuración original no contaba con medidas que aseguraran la confidencialidad de las comunicaciones, al igual que todos los protocolos creados en esa época. Una forma de resolver esta carencia es a través de la tecnología de VPN (red privada virtual) que permite tunelizar y cifrar estos protocolos inseguros a través de herramientas de terceros.

Una actualización de HTTP, publicada en 2015 y conocida como HTTP2, sí tenía en cuenta el cifrado de las comunicaciones de extremo a extremo, pero de forma opcional. La versión HTTP3, publicada recientemente, entre otras mejoras, incluye el cifrado de las comunicaciones como una medida obligatoria. De momento, representa sólo el 7% de uso en Internet, pero se espera una adopción muy rápida de este protocolo ya que contribuirá positivamente a la privacidad en Internet.  

En paralelo a la evolución de HTTP, y para suplir las carencias originales de HTTP, la empresa Netscape desarrolló el protocolo SSL (Secure Socket Layer), un añadido para trabajar con HTTP, que permite realizar el cifrado de la información transmitida y asegurar tanto la integridad como la confidencialidad.
Adoptado como estándar de facto en el cifrado de las comunicaciones en Internet a través de integración con HTTP, SSL ha pasado a denominarse TLS (Transport Layer Security). TLS 1.0 se implementó en 1999 y, posteriormente, para hacer frente a diferentes problemas de seguridad, ha tenido varias actualizaciones. En la actualidad se encuentra en la versión TLS1.3 que es el estándar usado por la nueva versión HTTP3.

Las aplicaciones de HTTP sobre TLS, o HTTPS, proporciona confidencialidad e integridad en las comunicaciones, y autenticidad en cuanto a que podemos confirmar que accedemos al servidor escrito en la barra de direcciones del navegador. Sin embargo, no hay que olvidar que existen ataques como el phishing. Dichos ataques incluyen un enlace que redirige a un dominio fraudulento, con una dirección engañosa, incluso con un certificado válido para ese dominio. Estos ataques pretenden obtener datos personales con finalidades no legítimas suplantando la web de la entidad legítima.

Para asegurar la compatibilidad con herramientas no actualizadas, los sitios web suelen permitir conexiones con protocolos que no incorporan garantías adecuadas. Desde los organismos de ciberseguridad no se recomienda usar versiones anteriores a TLS1.2 por considerarse inseguros. Los administradores de los sitios web deberán configurar los servidores para que sólo acepten las últimas versiones de TLS. Además, también es recomendable realizar comprobaciones de las vulnerabilidades de TLS. Para ello, los usuarios pueden emplear herramientas, ya sean online o instalables de forma local, como testssl.sh que permiten auditar la seguridad de nuestro servidor respecto al uso de HTTPS.

Los usuarios pueden cerciorarse de no usar protocolos inseguros en nuestros navegadores. A continuación, se proporcionan pautas de configuración para los navegadores más comunes:

Chrome/Edge
Para Chrome/Edge en las propiedades de internet, en las opciones avanzadas desmarcando las versiones más antiguas.

TLS

Firefox
En firefox escribiendo about:config, buscar tls (3 se refiere a TLS1.2 y 4 a TLS1.3)

Firefox

Con estas configuraciones se evita el acceso a una página web con versiones de cifrado que no proporcionan el mismo nivel de seguridad a nuestras comunicaciones que TLS 1.2 o TLS 1.3.

Actualmente la mayoría de los navegadores avisan al usuario cuando se está utilizando una conexión considerada como insegura. Por ejemplo, véase en las siguientes figuras la comparación entre la advertencia del navegador al utilizar TLS 1.3 (segura) o TLS 1.0 (insegura).

Información
Detalles técnicos
Conexión segura por defecto.
blog https cifrado 5
blog https cifrado 6
Conexión no segura (forzando cifrado débil en el navegador).

Puede obtener más información en el sitio web Innovación y Tecnología de esta Agencia, así como en nuestro blog:

 

‘Lo paras o lo pasas’: denuncia a través del Canal Prioritario la difusión de contenidos sexuales o violentos

‘Lo paras o lo pasas’: denuncia a través del Canal Prioritario la difusión de contenidos sexuales o violentos
rperezm
Jue, 04/15/2021

15 de Abril de 2021

El Canal Prioritario ofrece una vía para denunciar la difusión ilegítima en Internet de estos contenidos sensibles, incluso sin ser la persona afectada

‘Lo paras o lo pasas’, nueva iniciativa de la Agencia para fomentar el uso del Canal Prioritario para denunciar la difusión de contenidos sexuales o violentos

‘Lo paras o lo pasas’, nueva iniciativa de la Agencia para fomentar el uso del Canal Prioritario para denunciar la difusión de contenidos sexuales o violentos
rperezm
Jue, 04/15/2021

15 de Abril de 2021
  • El Canal Prioritario ofrece una vía para denunciar la difusión ilegítima en Internet de contenidos sensibles, sexuales o violentos, incluso sin ser la persona afectada
  • El año pasado la AEPD tramitó como urgentes casi medio centenar de denuncias, con 29 peticiones de retirada de contenidos realizadas
  • Los casos más frecuentes planteados ante la Agencia están relacionados con la difusión de contenidos de carácter sexual grabados con o sin el consentimiento de la mujer que aparece en ellos pero difundidos sin su permiso, la grabación de agresiones a menores de edad y personas LGTBIQ+ y la publicación de perfiles falsos en páginas pornográficas
  • La efectividad en la retirada de contenidos se sitúa en torno al 86%
  • La difusión de la iniciativa ha contado con la colaboración de la actriz Ana Milán, que ha publicado en sus redes sociales un hilo en el que reflexiona sobre el poder que tiene cada persona para frenar ese tipo de contenidos al recibirlos o verlos publicados

 

(Madrid, 15 de abril de 2021). La Agencia Española de Protección de Datos (AEPD) ha puesto en marcha hoy la iniciativa ‘Lo paras o lo pasas’, un proyecto para difundir la utilización del Canal prioritario de la Agencia para denunciar la difusión de contenido sexual o violento difundido a través de Internet sin el consentimiento de las personas.

Con esta iniciativa la Agencia se dirige a todas las personas que en algún momento pueden recibir un contenido de este tipo, aunque inicialmente no lo grabasen ellos. Al recibir ese vídeo o fotografía cada persona debe decidir qué hacer: si se convierte en cómplice o si va a actuar para parar la cadena. El objetivo es transmitir que todos podemos denunciar ante la Agencia la difusión de ese tipo de contenidos y que no sólo tiene una responsabilidad la persona que inicialmente decide difundir un contenido de carácter sexual o violento sin el permiso de la persona que aparece en las imágenes sino todos aquellos que contribuyen a su difusión a través de diferentes vías.

Para llevar a cabo la difusión de #LoParasOLoPasas la Agencia Española de Protección de Datos ha contado con la colaboración de Ana Milán (Twitter e Instagram), que ha planteado en sus redes sociales qué harían sus seguidores si reciben un vídeo de carácter sexual grabado sin el consentimiento de la mujer que aparece en el mismo. La actriz reflexiona sobre la importancia y el poder que tiene cada persona en ese momento para poner freno a ese contenido: “Eres la solución o eres cómplice”.

La iniciativa ‘Lo paras o lo pasas’ forma parte del Pacto Digital para la Protección de las Personas, un proyecto para fomentar la protección de datos y el uso responsable de las nuevas tecnologías en el que las entidades adheridas, más de 200 en este momento, se comprometen a difundir entre sus usuarios, clientes y empleados el Canal prioritario.

Durante el año 2020 la AEPD ha recibido 358 peticiones de retirada de contenidos sexuales o violentos a través del Canal Prioritario. Tras su análisis se han tramitado como urgentes casi medio centenar de estas peticiones por encontrarse dentro de los objetivos de este Canal, solicitando en 29 de estos casos la retirada urgente de los contenidos a los proveedores de servicios, que era lo que solicitaba el denunciante. Entre los casos más frecuentes planteados ante la Agencia se encuentra la difusión de vídeos o fotografías de carácter sexual grabadas inicialmente con el consentimiento de la mujer que aparece en ellos pero difundidas sin su permiso a través de páginas pornográficas, contenidos sexuales grabados sin consentimiento y difundidos posteriormente, la grabación de agresiones y humillaciones a menores de edad y personas LGTBIQ+ y la publicación de perfiles falsos en páginas web pornográficas utilizando la imagen real y el número de teléfono de mujeres sin su consentimiento. De hecho, en algunos de los casos, las mujeres afectadas no son conscientes de que esos contenidos se están difundiendo hasta que alguien cercano las avisa de ello. El porcentaje de efectividad del Canal Prioritario en la retirada de estos contenidos se situó en torno al 86% tras el envío de la medida cautelar a las páginas que lo alojan. En general, la retirada de contenidos se produce en un plazo de 72 horas cuando el responsable de la plataforma se encuentra en España.

Por otro lado, la Agencia tiene abiertos en este momento 19 actuaciones previas de investigación y 3 procedimientos sancionadores contra los responsables de haber subido este tipo de contenidos a la Red o de haber creado los perfiles falsos.

Acerca del Canal prioritario

El Canal prioritario ofrece una vía rápida y gratuita para denunciar la publicación en Internet de contenidos sexuales o violentos difundidos sin el permiso de las personas que aparecen en ellos, en particular, en casos de acoso a menores o violencia sexual contra las mujeres pero también en situaciones de violencia digital de todo tipo. Además, esta denuncia es independiente de las que puedan plantearse ante las Fuerzas y Cuerpos de Seguridad del Estado o la Fiscalía.

La Agencia, como autoridad independiente, puede adoptar medidas urgentes para limitar la difusión y el acceso a los datos personales. Tras el análisis de la denuncia (que puede ser realizada tanto por la víctima como por un tercero), la Agencia puede determinar la adopción de medidas cautelares para evitar la continuidad del tratamiento ilegítimo en casos particularmente graves. Al tiempo, la Agencia también valora la apertura de un procedimiento sancionador contra los responsables de haber realizado el tratamiento ilegítimo.

  • La denuncia de fotografías, vídeos o audios de contenido sexual o violento difundidos en Internet sin el consentimiento de las personas afectadas puede realizarse a través de este enlace
  • En el caso de los menores de 18 años, la Agencia también ha habilitado una forma de contacto para denunciar la difusión de este tipo de contenidos