De la inscripción de ficheros al registro de actividades

/en , /por

De la inscripción de ficheros al registro de actividades
dortega
Mar, 11/27/2018

27 de Noviembre de 2018

La obligatoriedad actual de inscribir los ficheros en la Agencia por parte de aquellos que tratan datos será sustituida a partir del 25 de mayo de 2018 por la de contar con un registro de actividades

(16 de marzo de 2017). El 25 de mayo de 2018 comenzará a aplicarse el Reglamento General de Protección de Datos y, en consecuencia, desaparece la primera de las obligaciones del responsable que trata datos de carácter personal: la notificación gratuita de ficheros ante el Registro General de Protección de Datos de la AEPD.

Las dos normas de aplicación en España en materia de protección de datos de carácter personal desde 1992, la derogada LORTAD y la actual LOPD, habían previsto como primera obligación del responsable  comunicar a la Agencia los ficheros empleados en su actividad y que contengan datos de carácter personal, describiendo qué datos se recogen, con qué fin, de quién se recogen, qué medidas de seguridad se van tomar sobre los mismos, si el fichero es automatizado, manual o mixto y si esos datos van a cederse a terceros o si van a transferirse fuera del Espacio Económico Europeo.

La obligación, que en el caso de ficheros de titularidad pública comenzaba por la publicación en el correspondiente Diario Oficial de la descripción del fichero por parte del responsable, se convirtió en  la puerta de entrada a la protección de datos para buena parte de las entidades. Los empresarios y las administraciones empezaban a ser conscientes ante qué estaban cuando se encontraban frente a un formulario de notificación y tenían la necesidad de describir los puntos antes mencionados. Tras esta obligación, la primera pero no la única como la misma resolución de inscripción recuerda al responsable, debe observar el resto de  obligaciones que la legislación impone.

El Registro General de Protección de Datos atiende al responsable del fichero en sus obligaciones, entre otras, de inscripción de ficheros y es el responsable de dar publicidad a los mismos  a través de la página web de la Agencia. El objetivo es que el ciudadano pueda  conocer de la forma más exacta posible qué se está realizando con sus datos de carácter personal cuando los aporta a una administración pública o a una entidad privada, y dónde puede ejercer  sus derechos en protección de datos.

La inscripción de ficheros en el Registro General de Protección de Datos creció de manera exponencial a partir del año 2006 con la aparición del formulario electrónico NOTA y la posibilidad de emplear un procedimiento de administración electrónica completo para este proceso. Las  estadísticas de inscripción de ficheros muestran además el impulso que, en enero de 2008, supuso la aparición del Reglamento de desarrollo de la LOPD (RLOPD).

En la actualidad el Registro de Ficheros mantiene  un crecimiento anual de un 9% y sobre él se realizan una media de 2.754 operaciones diarias (datos de 2016), observándose una evolución en el tipo de operaciones que sobre él se ordenan. Se ha pasado de una masiva inscripción de alta de ficheros a la recepción de un número importante de operaciones de inscripción de modificación y de supresión que atiende a la necesidad de mantener la inscripción actualizada y que aparece estipulada en el artículo 58 del RLOPD. Los ficheros evolucionan, cambian su finalidad, se recogen otros datos de las personas que forman el colectivo objeto del mismo y hay que suprimirlos si deja de existir la razón por la que fueron creados o la entidad que se declaraba responsable.

La aplicación del nuevo Reglamento General de Protección de Datos a partir del 25 de mayo de 2018 supone al responsable  obligaciones distintas en materia de protección de datos. El artículo 30 estipula que cada responsable y, en su caso, su representante llevarán un registro de actividades de tratamiento efectuadas bajo su responsabilidad. El responsable se encuentra por tanto, nuevamente, ante la necesidad de describir qué datos recoge, con qué fin los trata, a quién o quiénes los comunica, si los transfiere a terceros países, qué medidas técnicas y organizativas aplicará para preservar su seguridad, y cuándo podrá suprimirlos.

Es en este punto donde la existencia del Registro de Ficheros puede convertirse en  una herramienta de ayuda y un punto de partida ante la tarea que será obligatoria a partir del 25 de mayo de 2018.

El responsable con los ficheros actualmente inscritos en la Agencia ya hizo en su día un ejercicio de descripción de los tratamientos de datos de carácter personal que llevaba a cabo cuando se vio en la obligación de realizar la Notificación de sus ficheros. En este punto, será evidente el paso de ese conjunto de ficheros a la elaboración del Registro de las actividades del tratamiento y la puesta al día de sus obligaciones en materia de protección de datos.

Tengo derecho a no recibir publicidad ¿Qué es la Lista Robinson?

/en , /por

Tengo derecho a no recibir publicidad ¿Qué es la Lista Robinson?
dortega
Lun, 11/26/2018

26 de Noviembre de 2018

Podemos inscribirnos en este servicio de manera gratuita para oponernos a que se traten nuestros datos con fines comerciales

La LOPD especifica dos formas para que podamos oponernos a que se traten nuestros datos con fines comerciales:

1. Dirigiendo una solicitud a quien está utilizando los datos con fines publicitarios, o

2. Registrando en un denominado “fichero de exclusión publicitaria” los datos que no queremos que se utilicen para enviarnos publicidad

La primera de estas posibilidades está recogida en el artículo 30.4 de la LOPD, dedicado a los tratamientos con fines de publicidad y de prospección comercial. En él se afirma que “los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud”. Esta posibilidad, entre otros casos, es para aquellos casos en los que nuestros datos hayan sido obtenidos de fuentes accesibles al público (como las guías telefónicas, por ejemplo).

La segunda opción viene recogida en el artículo 49.1 del Reglamento de desarrollo de la LOPD, que prevé la creación de ficheros comunes de exclusión publicitaria en los que se podrán registrar las personas que no deseen recibir comunicaciones comerciales: “Será posible la creación de ficheros comunes, de carácter general o sectorial, en los que sean objeto de tratamiento los datos de carácter personal que resulten necesarios para evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad”.

En España, actualmente, sólo existe un fichero común de exclusión publicitaria: la  Lista Robinson, gestionado de forma independiente por la Asociación Española de Economía Digital.

En este servicio podemos inscribirnos de manera gratuita y seleccionar el medio o medios (teléfono, publicidad postal, etc.) a través de los cuales no queremos recibir publicidad de las entidades que empleen nuestros datos personales obtenidos de fuentes públicas o bases de datos de las que no sean responsables para el desarrollo de las campañas publicitarias. Estarían excluidos los casos en los que nosotros mismos hayamos autorizado a una empresa a enviarnos publicidad. En este último caso, si quisiéramos oponernos a que nos la enviaran deberíamos dirigirnos directamente a la empresa.

Si nos estamos planteando inscribirnos en esta lista para dejar de recibir comunicaciones comerciales, la siguiente pregunta será: ¿Hasta qué punto están las empresas obligadas a consultar ese archivo antes de enviarme publicidad? Respecto a la obligatoriedad de consulta (tanto por asociados como por no asociados de esta Asociación), el artículo 49.4 del Reglamento de desarrollo de la LOPD establece que “quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa a ese tratamiento”. Por tanto, tanto asociados como no asociados deben consultar dicho listado.

En este enlace podemos consultar el reglamento completo de la Lista Robinson, donde Adigital especifica cuestiones como que la inclusión será eficaz en el plazo de tres meses a partir de la fecha en la que nos demos de alta.

El examen de aplicaciones (II): los permisos que solicita la app

/en , /por

El examen de aplicaciones (II): los permisos que solicita la app
dortega
Lun, 11/26/2018

26 de Noviembre de 2018

El sistema operativo permite limitar el uso que una aplicación puede hacer de nuestra tableta o teléfono.

En un artículo anterior nos referíamos a  las tiendas de apps y qué implicaciones podían tener para la seguridad de nuestros datos. En esta ocasión nuestro examen se va a centrar en los permisos que solicita la aplicación.

En los dispositivos móviles populares, las aplicaciones y los juegos se ejecutan en espacios aislados (los llamados sandboxes o areneros) junto con los datos y la configuración. El sistema operativo, por su parte, se encarga de gestionar los permisos para que puedan comunicarse y usar los distintos servicios del dispositivo. Los permisos que solicitan las aplicaciones pueden variar de unos sistemas a otros pero los más habituales son el acceso al almacenamiento, a los contactos, a la cámara, al micrófono, a los SMS, a las llamadas, a la ubicación geográfica, a los dispositivos externos conectados, o a los perfiles en redes sociales.

Cada vez que añadimos una aplicación o un juego nuevo a nuestro dispositivo, este le pedirá al sistema operativo los permisos que necesita. Por ejemplo, las aplicaciones de mensajería y redes sociales requieren muchas veces acceso a la cámara, a los contactos y a nuestra colección multimedia; o un antivirus puede pedir acceso a los ficheros del sistema para analizarlos. A veces no es fácil imaginar para qué necesita realmente una aplicación todos los permisos que pide: algunos juegos quieren permiso para acceder a las llamadas, simplemente para interrumpir la partida cuando entra una llamada; o algunas aplicaciones solicitan conocer la ubicación geográfica para enviar ofertas o anuncios según dónde estemos.  Una app que requiera unos permisos excesivos debería hacernos sospechar sobre sus intenciones, ya que podría obtener datos del sistema o de nuestra actividad y enviarlos a un tercero. También deberíamos ser prudentes si al actualizar una aplicación nos piden permisos nuevos.

La buena noticia es que nosotros podemos participar en la gestión de los permisos que les damos a las aplicaciones; la mala es que no siempre es fácil. El proceso es distinto en cada sistema operativo, y a veces no tenemos la información o el tiempo necesario para tomar una buena decisión. Los fabricantes buscan un equilibrio entre la precisión que demandan los usuarios más avanzados y la sencillez para usuarios más confiados, y entre los sistemas más populares y sus versiones encontramos todas las tendencias.

También son varios los momentos en que podemos gestionar los permisos. En un sistema muy conocido, cuando elegimos una app o un juego que nos gusta, la tienda de aplicaciones ya nos informa de los permisos requeridos, y nos pide que aceptemos su concesión antes de dejarnos descargarla; en otro sistema igualmente popular, la aplicación se descarga primero y después, durante la instalación es cuando nos enteramos de los permisos que quiere que le concedamos. Algunos permisos en ciertos dispositivos soportan más opciones que el simple ‘Aceptar’ o ‘Rechazar’, y permiten, por ejemplo, que la aplicación acceda a servicios como la ubicación geográfica o la red, pero solamente cuando el usuario realmente la está usando. Con tanta diversidad de opciones no nos queda otro remedio que explorar en los ajustes de nuestro dispositivo y ver las opciones que ofrece.

Además de en la descarga y en la instalación,  en cualquier momento podemos revisar y cambiar los permisos de aplicación. Desgraciadamente, aquí nos encontramos también que los ajustes son distintos en cada teléfono o tableta. Algunas plataformas prefieren agrupar las aplicaciones bajo los permisos, con lo que podemos ver o limitar, por ejemplo, qué aplicaciones están usando la ubicación geográfica o una red social; mientras que otras prefieren poner los permisos bajo las aplicaciones, mostrando por ejemplo una fila de selectores de permisos que requiere determinado juego.

Obviamente, si denegamos un permiso a una aplicación su comportamiento puede variar, e incluso la aplicación completa puede dejar de funcionar. Sin embargo, también puede seguir funcionando adecuadamente para lo que necesito, y asegurarme un poco de privacidad.

Es posible controlar parcialmente los permisos en dispositivos que usan otras personas: por un lado, en el ámbito de los móviles de trabajo, las organizaciones pueden gestionar de forma muy detallada e incluso dinámicamente muchos de los permisos de aplicación, usando un gestor de dispositivos móviles o MDM. En el lado doméstico las distintas plataformas permiten habilitar mecanismos de control parental y perfiles de usuario. En el extremo opuesto, un dispositivo  rooteado o desbloqueado puede tener un gestor de permisos en su sistema diferente al que estableció el fabricante, por lo que de nuevo hay que recordar el riesgo que supone si no se controla adecuadamente.

En resumen, los permisos son una parte importante de nuestro examen de aplicaciones porque nos permiten, en primer lugar,  tener un mayor control sobre la información que facilitamos a terceros y, además,  limitar los riesgos de la actividad de una aplicación presuntamente dañina en nuestro dispositivo. Por eso, la revisión o incluso el ajuste de los permisos de cualquier app o juego nuevo o actualizado es una actividad muy recomendable. Y puesto que los mecanismos de gestión de permisos son distintos en cada sistema, es importante que dediquemos unos minutos a revisar los ajustes y conocer así las posibilidades que ofrece.

La Agencia Española de Protección de Datos ha lanzado una  

Guía sobre la privacidad y la seguridad en internet

 elaborada junto al INCIBE que incluye algunas fichas para concienciar (que no asustar) a los usuarios de los riesgos de las apps.

Seguridad en tus contraseñas

/en , /por

Seguridad en tus contraseñas
dortega
Dom, 11/25/2018

25 de Noviembre de 2018

Llevamos buena parte de nuestra vida privada en nuestros dispositivos móviles, ¿tienes protegida esta información?

Algunas de las contraseñas más utilizadas son “123456”, “12345678”, “qwerty” o “password” ¿Utilizas tú alguna de ellas? ¿Para acceder a qué servicios?

Las contraseñas son la llave que permite cerrar la puerta de determinados servicios donde probablemente tengas almacenada mucha información personal y, si son tan sencillas como las anteriores, estás facilitando a terceros el acceso a tus datos personales. Además, si terceras personas descubren tu contraseña podrían publicar en las redes sociales como si fueses tú, leer y contestar a tus correos personales, acceder a tu servicio de banca online o comprar en tu nombre. La Guía de Privacidad y seguridad en internet, elaborada por la Agencia Española de Protección de Datos y el Instituto Nacional de Ciberseguridad, incluye  la Guía sobre la privacidad y la seguridad en internet (fichas 2 y 3). Se trata de fichas muy sencillas ofrecen las claves necesarias para crear y recordar contraseñas robustas.

Pero además, ¿te has parado a pensar toda la información privada que almacenan tus dispositivos móviles? Hoy en día llevamos buena parte de nuestra vida privada en nuestros dispositivos móviles: datos de contacto, la agenda personal, fotos de nuestra familia y amigos, vídeos e incluso informes de trabajo. Por otra parte, no serías el primero que pierde o al que le roban el móvil o la tableta. ¿Tienes protegida esta información?

En la guía también te explicamos por qué es importante proteger adecuadamente estos dispositivos y te damos recomendaciones para que lo hagas de una forma muy sencilla. Una buena medida para salvaguardar todos tus datos personales es hacer copias de seguridad de los dispositivos móviles antes de tener un problema. En la guía también encontrarás consejos y recomendaciones para realizar copias de seguridad, ya que si ocurriese cualquier incidente podrías recuperar toda la información con facilidad.

La guía incluye 18 fichas, todas ellas muy gráficas. Además de lo que hemos comentado, hay muchos otros motivos por los que deberías echarle un vistazo: ¿sabes si una página web es fiable?, ¿te has preguntado si es necesario facilitar a terceros tantos datos personales como te piden?, ¿sabes identificar timos en servicios de mensajería instantánea? Y, para finalizar, ¿te has parado a pensar quién puede ver lo que publicas en una red social?

¿Por qué es importante tu privacidad?

/en , /por

¿Por qué es importante tu privacidad?
dortega
Dom, 11/25/2018

25 de Noviembre de 2018

La iniciativa TestdePrivacidad.org, en la que participa la AEPD, trata de difundir, informar y sensibilizar sobre la importancia de proteger la información personal en el entorno digital.

La Agencia Española de Protección de Datos ha lanzado en los últimos meses diferentes materiales que tratan de concienciar a los usuarios sobre la importancia de proteger su privacidad en los entornos digitales. La  

Guía sobre la privacidad y la seguridad en internet

, los vídeos tutoriales que enseñan a gestionar  quién puede ver los datos que publicamos en las redes sociales, las  guías para niños, padres y profesores o la publicación de diferentes contenidos de carácter práctico son algunas de las iniciativas puestas en marcha.

En la Agencia estamos convencidos de que el uso de los datos personales que hacen empresas, organismos públicos y organizaciones debe de ser compatible con el derecho a la protección de datos y la privacidad de los ciudadanos. En este sentido, la Asociación de Usuarios de Internet (AUI) ha lanzado la iniciativa  TestdePrivacidad.org, en la que la AEPD participa como embajadora, para difundir, informar y sensibilizar sobre la importancia de la privacidad en el entorno digital y dar a conocer iniciativas que permitan una mejor gestión de la misma.

La presentación de este proyecto se realizará en Madrid el próximo jueves 16 de marzo, y la AEPD participará en ella. Si quieres asistir a la presentación de esta iniciativa,  en este enlace puedes inscribirte. La entrada es libre, pero es necesario registrarse. Además de presentar las herramientas, a la jornada acudirán instituciones, reguladores, empresas, partidos políticos y sociedad civil para exponer sus reflexiones en esta materia.

Jornada sobre PRIVACIDAD y CIUDADANÍA DIGITAL

Cuándo: Jueves, 16 de marzo (11:30 – 14:00 horas)
Dónde: Auditorio Espacio Telefónica (C/ Fuencarral 3, Madrid)

El objetivo de esta iniciativa es aportar a los ciudadanos información, conocimiento, consejos y herramientas para que puedan encontrar respuesta a cuestiones básicas que afectan a sus datos personales en los entornos digitales. ¿Qué es la dirección IP? ¿Qué son las cookies, qué implicaciones tienen en nuestra privacidad y cómo bloquearlas o eliminarlas? ¿Qué es la huella digital y cómo cambiarla? ¿ Quién recoge datos tuyos cuando visitas otras webs? o ¿ Cómo mejorar tu privacidad? son algunas de las preguntas para las que podrás encontrar respuesta en esta web. Además, cada respuesta se complementa con consejos, informaciones de interés y acciones que puede llevar a cabo para mejorar la privacidad en relación con la cuestión o tema de la pregunta.

El nuevo Reglamento y las transferencias internacionales

/en , /por

El nuevo Reglamento y las transferencias internacionales
dortega
Sáb, 11/24/2018

24 de Noviembre de 2018

El Reglamento General de Protección de Datos introduce novedades importantes en el régimen de autorización y notificación previa de las transferencias internacionales de datos

Las transferencias internacionales de datos de carácter personal adquirieron una mayor relevancia pública tras las revelaciones de Snowden y, sobre todo, con la sentencia del Tribunal de Justicia de la Unión Europea, de octubre de 2015,  que invalidó la Decisión de Puerto Seguro de la Comisión Europea que consideraba que las entidades de EEUU adheridas a dicho sistema proporcionaban un nivel adecuado de protección. Esta sentencia dio lugar a que muchos responsables de ficheros adquirieran consciencia de que estaban realizando transferencias internacionales con motivo de la contratación de determinados servicios, fundamentalmente de  cloud computing.

Puerto Seguro fue sustituido por  Escudo de la Privacidad como sistema para poder transmitir datos a los EEUU, pero no vamos a centrarnos en él sino en las novedades que el  Reglamento General de Protección de Datos (RGPD) establece en la regulación de las transferencias internacionales de datos.

El RGPD parte de los criterios ya establecidos en la Directiva 95/46 e incorporados en la legislación interna española, es decir, que sólo se podrán transmitir datos a aquellos países, territorios, sectores u organismos internacionales respecto de los que la Comisión Europea haya considerado que disponen de un nivel adecuado de protección o, en otro caso, se aporten garantías suficientes o se den algunas de las circunstancias previstas como excepciones, y siempre y cuando se observen los demás requisitos del Reglamento.

El RGPD introduce novedades que afectan a todo el régimen de transferencias internacionales, pero vamos a fijarnos en las que hacen referencia al régimen de autorizaciones que supone un cambio radical con el modelo de la actual normativa.

La primera cuestión es que el RGPD establece sin duda alguna que el exportador de datos puede ser tanto un responsable como un encargado del tratamiento, precisión con la que definitivamente se pone fin a las restricciones legales de determinados Estados miembros en los que el exportador ha de ser siempre el responsable del tratamiento. Ello da lugar a que los prestadores de servicio establecidos en terceros países se encuentren en mejor situación a la hora de subcontratar en esos u otros terceros países que los prestadores de servicios establecidos en la UE. Situación que, en nuestro ámbito, fue abordada por la Agencia Española de Protección de Datos mediante la adopción de un modelo de cláusulas contractuales que ofrecen las garantías adecuadas para las transferencias internacionales de encargados establecidos en España a subencargados en terceros países.

Asimismo, se amplía el abanico de instrumentos en los que se pueden incluir y aportar las garantías adecuadas para proteger los derechos de los afectados como consecuencia de la transferencia de datos. Se incorporan los códigos de conducta y los mecanismos de certificación como instrumentos que pueden incorporar esas garantías, además de las Normas Corporativas Vinculantes (conocidas por sus siglas en inglés, BCR) para los grupos multinacionales que, aunque en la práctica ya están operativas, merced al trabajo del Grupo de Trabajo del Artículo del 29 (GT29), por primera vez se reconocen con rango legal, lo que va a posibilitar su uso en aquellos Estados miembros que hasta la fecha no las consideran válidas al derivar la vinculación no sólo de la vía contractual sino también de declaraciones unilaterales. Esta gama más amplia de instrumentos tendría que facilitar la labor de los exportadores al disponer de más entre los que elegir.

Pero donde más evidente son las novedades que introduce el RGPD es en el régimen de autorización y notificación previa de las transferencias internacionales, que quedan reducidas a muy pocos supuestos.

La actual normativa aplicable obliga a los exportadores de datos a solicitar de la Agencia Española de Protección de Datos una autorización previa para poder transferir datos a importadores establecidos en países que no cuentan con un nivel adecuado de protección, siempre que aporten las garantías suficientes, y a notificarle las transferencias cuando se dirigen a países que sí disponen de dicho nivel adecuado o, en otro caso, se realizan al amparo de alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica de Protección de Datos. En el marco del RGPD las transferencias se pueden llevar a cabo sin necesidad de autorización previa, salvo que las garantías se aporten a través de un contrato ad hoc o de un acuerdo administrativo entre autoridades públicas, ni de notificación a la autoridad de control, salvo que se amparen en la excepción basada en el interés legítimo imperioso del responsable del tratamiento y se cumplan los demás requisitos que para este supuesto establece el RGPD.

Modificaciones sustantivas que, sin duda, van a facilitar las relaciones comerciales y la cooperación internacional al evitar tener que solicitar la autorización de la Agencia en la mayoría de los casos, pero al mismo tiempo garantizando los derechos de los afectados en la transmisión de los datos fuera de la UE.

El examen de aplicaciones (I)

/en , /por

El examen de aplicaciones (I)
dortega
Vie, 11/23/2018

23 de Noviembre de 2018

Valorar el sitio desde el que vamos a descargar una app es un primer paso en materia de privacidad y seguridad

Hace algunos años, cuando queríamos comprar una aplicación o un juego para nuestro ordenador, pagábamos una cantidad de dinero y a cambio recibíamos un CD. En la actualidad, el precio de las aplicaciones no siempre es tan evidente. Ahora, descargamos las apps en nuestros teléfonos y tabletas a través de internet y empezamos a utilizarlas. Proponemos la realización de un examen de apps en el que hay cuatro temas: la tienda (I), los permisos (II), los términos y condiciones (III), y los datos personales (IV).

En este primer artículo nos centraremos en el primero de ellos y en entradas posteriores abordaremos los siguientes para superar la prueba con seguridad.

La tienda de aplicaciones

Cuando descargamos la app o el juego de la tienda “oficial” del fabricante del dispositivo o del sistema operativo, podemos confiar en que los responsables de este canal han tomado ciertas medidas: por un lado, las aplicaciones han pasado unas mínimas pruebas de seguridad sobre un sistema de características equivalentes al nuestro; también han formalizado un contrato con el desarrollador; y además han identificado sus productos mediante un certificado. No es una garantía absoluta, pero es un primer paso de seguridad.

Algunos colectivos, como grandes corporaciones empresariales y centros gubernamentales, con miles de dispositivos móviles de sus empleados, tienen sus propias tiendas exclusivas de aplicaciones. En ellas solamente se publican aquellas que tienen interés para su misión y que además han superado pruebas de sus propios departamentos de seguridad. En estos colectivos los permisos de descarga de otras tiendas y otras políticas de seguridad de los móviles de los empleados están restringidos. Esto sucede porque cada vez las organizaciones son más conscientes del valor de los datos almacenados en los móviles y tabletas de sus empleados, y empiezan a tomar medidas de seguridad específicas como ya se toman para los PCs y los equipos en red.

Los particulares, si además de la confianza que nos da la propia tienda de aplicaciones queremos garantías adicionales sobre la bondad de una app, tenemos que fijarnos en algunos detalles: por ejemplo, la página de la app en la tienda proporciona información sobre si la aplicación contiene publicidad o ventas, lo que puede ser una pista de por qué se ofrece la app o el juego; el apartado con las demás aplicaciones del mismo desarrollador puede darnos pistas sobre sus intenciones al ofrecer una aplicación gratuita; y las opiniones de otros usuarios que han descargado la aplicación y escriben sobre ella nos pueden dar señales sobre sus problemas o los riesgos que han detectado.

Esta información puede ser verídica, pero hay que tener en mente que en algunos casos puede haberse falseado. Existen incluso servicios profesionales que se encargan de dar buena reputación a aplicaciones dañinas, descargándola o puntuándola miles de veces como si tuviera miles de usuarios entusiastas. También existen mecanismos por los que los usuarios solamente pueden descargar o acceder a funcionalidades de una aplicación tras haberla votado positivamente o haberla recomendado en redes sociales. Las tiendas persiguen este tipo de trampas, pero aun así se dan muchos casos.

Las dudas sobre la reputación de una aplicación o juego no solamente afectan a las descargas nuevas, sino también a las actualizaciones. Tras una nueva versión de un programa o un juego ya instalado puede haber un cambio de proveedor y un cambio de finalidad: puede darse el caso de organizaciones que compran a los desarrolladores sus aplicaciones publicadas en las tiendas con el objetivo de aprovechar la comunidad de usuarios existente para introducir algún tipo de malware en las actualizaciones del código o introducir en ellas su publicidad.

Un caso delicado de tratar son las tiendas que de manera abierta proporcionan aplicaciones no aprobadas por los fabricantes. Si bien es posible que una aplicación no pudiera distribuirse desde una tienda oficial por una simple cuestión de política comercial, en ocasiones las tiendas no oficiales albergan aplicaciones que representan verdaderos agujeros de seguridad y que nunca superarían los controles de otros proveedores. Para ahondar en el riesgo, las aplicaciones ofrecidas por estas tiendas requieren en muchas ocasiones que el móvil o la tableta hayan sido desbloqueados. El desbloqueo o  rooteo de un móvil es un proceso por el cual se proporciona al usuario y a las aplicaciones la llave maestra para acceder a ficheros restringidos, o incluso para modificar partes del propio sistema operativo.

El desbloqueo de un móvil y el uso de aplicaciones de tiendas no oficiales pueden proporcionar a determinados usuarios avanzados unas funcionalidades mayores que las que ofrecía el dispositivo de fábrica. Sin embargo, el coste que asumen es un riesgo para la seguridad de sus datos, los sensores de su teléfono o tableta, y para las redes que utilizan y comparten con nosotros. Es un proceso que vulnera las garantías de los fabricantes y deja sin valor las pruebas de seguridad de las aplicaciones instaladas. Es también una alteración de un sistema certificado, equivalente a la manipulación del motor de un coche o de un electrodoméstico, que nunca debe hacerse sin conocer bien las implicaciones que tiene.

En la era de las aplicaciones móviles no debemos andar con miedo, pero sí tomar decisiones conscientes y ser selectivos con la tienda de aplicaciones que nos provee. Solamente así podremos responder con acierto en el primer tema de nuestro examen.

La Agencia Española de Protección de Datos ha lanzado una  

Guía sobre la privacidad y la seguridad en internet

 elaborada junto al INCIBE que incluye algunas fichas para concienciar (que no asustar) a los usuarios de los riesgos de las apps.

Modificación de la Ley Orgánica del Régimen Electoral General (LOREG)

/en , /por

Modificación de la Ley Orgánica del Régimen Electoral General (LOREG)
dortega
Vie, 11/23/2018

23 de Noviembre de 2018

(Madrid, 23 de noviembre de 2018). La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales incluye una modificación de la Ley Orgánica del Régimen Electoral General (LOREG).

 En relación con el contenido de este artículo, la AEPD −que tiene entre sus competencias aplicar e interpretar la normativa de protección de datos con arreglo a las garantías establecidas en el RGPD− ha señalado que no se permitirá a los partidos políticos perfilar datos ideológicos, sexuales, de religión o de cualquier otro tipo que se puedan obtener de los ciudadanos en las redes sociales u otros servicios de internet.

Tampoco se permitirá a los partidos el envío de publicidad o propaganda electoral basada en un perfil ideológico a partir de información obtenida en los citados servicios. El envío de propaganda debe identificar, en cualquier caso, su naturaleza electoral, garantizando asimismo que los ciudadanos puedan ejercitar de forma sencilla y gratuita del derecho de oposición.

En este contexto, la AEPD ha manifestado su iniciativa para coordinarse con la Junta Electoral Central, señalando que, en el ejercicio de sus competencias, vigilará con especial diligencia y rigor el cumplimiento de la normativa de protección de datos.

Además, la Agencia ha precisado que en el listado de tratamientos que están obligados a realizar una evaluación de impacto, que va a presentar próximamente al Comité Europeo de Protección de Datos, estarán incluidos los realizados por partidos políticos que vayan a utilizar datos de las redes sociales u otros servicios de internet amparándose en esta modificación de la LOREG.

Aprobada la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales

/en , /por

Aprobada la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales
dortega
Vie, 11/23/2018

23 de Noviembre de 2018

La normativa, que ha obtenido un apoyo parlamentario del 93%, adapta el derecho español al modelo establecido por el RGPD.

La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales ha sido aprobada con un 93% de apoyo parlamentario. La nueva normativa, que adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD), introduce novedades mediante el desarrollo de materias contenidas en el mismo.

La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directo.

Otro de los aspectos novedosos incluidos en la nueva normativa es que se reconoce específicamente el derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos. La medida limita el ejercicio de estos derechos cuando el fallecido lo hubiera prohibido.

En cuanto a los menores, la Ley fija en 14 años la edad a partir de la cual se puede prestar consentimiento de manera autónoma. También se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.

La Ley refuerza, como propuso la Agencia, las obligaciones del sistema educativo para garantizar la formación del alumnado en el uso seguro y adecuado de internet, incluyéndola de forma específica en los currículums académicos y exigiendo que el profesorado reciba una formación adecuada en esta materia. A tal efecto, el Gobierno deberá remitir en el plazo de un año desde la entrada en vigor de la Ley un proyecto de ley dirigido específicamente a garantizar estos derechos y las administraciones educativas tendrán el mismo plazo para la inclusión de dicha formación en los currículums.

El texto regula, asimismo, el derecho al olvido en redes sociales y servicios de la sociedad de la información equivalentes. Se exceptúa la supresión cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domésticas.

Por otra parte, la Agencia ha propuesto que se recogieran en la Ley los sistemas de denuncias internas anónimas, a través de los cuales puede ponerse en conocimiento de una entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la normativa. Estos sistemas son imprescindibles para que las personas jurídicas puedan acreditar la diligencia necesaria para quedar exentas de responsabilidad penal. De este modo, la Ley dota a las empresas de un mecanismo que les permite conciliar su propio derecho con el derecho a la protección de datos de las personas.

Además, la Ley actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Asimismo, refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos digitales puestos a disposición de los empleados, complementando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados.

Otra novedad es la referida a la regulación de los sistemas de información crediticia (los conocidos como ficheros de morosos), que reducen de 6 a 5 años el periodo máximo de inclusión de las deudas y en los que se exige una cuantía mínima de 50 euros para la incorporación de las deudas a dichos sistemas. Con la anterior Ley, no existía una cantidad mínima.

Por último, se modifica la Ley de competencia desleal, regulando como prácticas agresivas las que tratan de suplantar la identidad de la Agencia o sus funciones y las relacionadas con el asesoramiento conocido como ‘adaptación a coste cero’ a fin de limitar asesoramientos de ínfima calidad a las empresas. 

Cámaras on-board y protección de datos

/en , /por

Cámaras on-board y protección de datos
dortega
Jue, 11/22/2018

22 de Noviembre de 2018

Las cámaras on-board suelen incorporarse para captar imágenes durante el recorrido. La captación y grabación de ciertas imágenes puede suponer un tratamiento de datos, por lo que procede valorar la legitimación para el mismo.

La proliferación del uso de cámaras con fines de seguridad motivó que la Agencia Española de Protección de Datos publicase la  Instrucción 1/2006 para adecuar estos tratamientos de datos a la normativa.

Esta instrucción se completó con la publicación de la  Guía de Videovigilancia, cuya actualización está contemplada en el  Plan Estratégico 2015-2019 de la Agencia, así como con la emisión de  informes jurídicos, y fichas informativas específicas (por ejemplo, videovigilancia en comunidades de vecinos, en la plaza de garaje o en viviendas unipersonales).

La evolución tecnológica de los últimos años ha provocado que surjan nuevos instrumentos a través de los cuales se puede realizar la captación de imágenes, como los drones, las cámaras-globos y las denominadas cámaras on-board. Estas últimas suelen incorporarse en los vehículos, o en los cascos de los ciclistas o motociclistas, captando imágenes durante el recorrido.

La Agencia Española de Protección de Datos se ha pronunciado en el  informe jurídico 0456/2015, sobre la utilización de este tipo de cámaras con la finalidad de obtener pruebas para denunciar si se cometen infracciones de tráfico.

Partiendo de que ciertas imágenes pueden ser un dato de carácter personal, y que su captación y grabación supone un tratamiento de datos, procede valorar la legitimación sobre la que se permitiría dicho tratamiento.

Por ello, debe considerarse si procedería aplicar a este tipo de grabaciones la regla del interés legítimo regulado en el artículo 7.f) de la Directiva 95/46, por lo que procede realizar la oportuna ponderación en relación a “si existe un interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos que prevalezca sobre interés o los derechos y libertades fundamentales del interesado” o si por el contrario deben prevalecer estos últimos sobre el interés del responsable.

Como nos hemos referido anteriormente, la finalidad de la grabación es la obtención de pruebas para denunciar infracciones de tráfico y el interés legítimo invocado se referiría al derecho fundamental a la tutela judicial efectiva, que regula el artículo 24 de nuestro texto constitucional, y sobre el cual esta Agencia ya se ha manifestado en alguna ocasión.

En este sentido, esta ponderación para determinar la aplicación del interés legítimo requiere, además de tener en cuenta el principio de proporcionalidad, que se incorporen una serie de cautelas al respecto, de tal forma que no procede una implantación genérica y sin límites.

Como expone el informe jurídico citado con anterioridad, de entre estas cautelas pueden destacarse alguna de las siguientes:

La activación de la grabación cuando se produzca un evento concreto, o bien su activación manual;
El acceso a las imágenes únicamente en caso de que ocurra el citado evento;
Difuminar la imagen de las personas o datos como las matrículas que no estén vinculadas al accidente en cuestión;
Las diferentes fórmulas que se adopten en relación al cumplimiento con el derecho de información a los interesados.