Blockchain y protección de datos

Blockchain y protección de datos
dortega
Mié, 12/05/2018

5 de Diciembre de 2018

Todas las transacciones realizadas con bitcoins quedan registradas en un libro mayor y éste se encuentra replicado en infinidad de ubicaciones.

Blockchain es la tecnología definida en 2009 por quien dijo llamarse  Satoshi Nakamoto, personaje del que existen dudas sobre su verdadera identidad, para crear la moneda virtual  bitcoin.

Su diseñador definió dos características básicas: una primera que impide que el poseedor de una moneda pueda gastarla dos veces y una segunda consistente en la no existencia de un banco central que dé sustento a la misma actuando de tercero de confianza.

La ausencia en el bitcoin de esta figura de tercero de confianza se suple con el registro y anotación de todas y cada una de las transacciones que tienen lugar con la moneda en un “libro mayor contable” del que existen multitud de copias públicamente disponibles, de forma que es posible rastrear por qué identidades del blockchain ha pasado cada bitcoin.

La existencia de múltiples copias distribuidas del libro mayor es lo que proporciona seguridad a la moneda ya que, si alguien pretendiera manipular una transacción de pago o cobro, tendría que manipular la mayoría de las copias del libro mayor y ello requeriría de esfuerzos desproporcionados, tanto mayores cuanto mayor sea el número de copias del libro.

A pesar de que todas las transacciones realizadas con bitcoins quedan registradas en el libro mayor y éste se encuentra replicado en infinidad de ubicaciones, la privacidad de los intervinientes en las transacciones queda garantizada en la medida en que cada interviniente opera con un identificador, visible en el Blockchain, pero cuya relación con la persona que lo opera sólo es conocida por éste, por lo que es el propio usuario el que mantiene el control sobre su identidad.

El éxito que viene acumulando el bitcoin ha puesto el foco en la tecnología que lo sustenta, de tal manera que están surgiendo múltiples aplicaciones para Blockchain que van más allá de las monedas virtuales. Este efecto se ha visto aumentado tras la incorporación a la tecnología Blockchain de una nueva funcionalidad denominada contratos inteligentes o “smart contract”, que permite no sólo registrar en el libro mayor una transacción sino un contrato o conjunto de transacciones susceptibles de ser ejecutadas en el futuro si se dan una serie de condiciones que se estipulan en el propio contrato.

El campo de nuevas aplicaciones es tan amplio que cubre todo tipo de sectores como el financiero, seguros, energía, telecomunicaciones, salud, justicia, administración pública, registros públicos y privados, etc; así como tecnología de base para todo tipo de transacciones en el marco del Internet de las cosas. De aquí que se hable del fenómeno blockchain como la “revolución industrial de internet”.

Desde el punto de vista de la protección de datos y la privacidad, no cabe duda de que habrá que seguir muy de cerca el desarrollo y expansión de esta tecnología. Si bien por un lado aspectos ya citados y relativos al anonimato, junto con la posibilidad de utilizar múltiples identificadores (en los que algunos pueden ser anónimos pero otros no) puede contribuir a que los usuarios mantengan control sobre su privacidad, no están claros todavía como se podría implantar el derecho de supresión en una tecnología que no permite, en origen, alterar el libro mayor de transacciones.

En este sentido, el  Reglamento General de Protección de Datos que será aplicable en mayo de 2018 incorpora mecanismos tales como la protección de datos desde el diseño y por defecto, así como las evaluaciones de impacto en la protección de datos que serán claves para alinear el desarrollo de la tecnología Blockchain con la protección de datos de carácter personal.

Los ataques ‘ransomware’ y cómo protegerse

Los ataques ‘ransomware’ y cómo protegerse
dortega
Mar, 12/04/2018

4 de Diciembre de 2018

En un mundo cada vez más comunicado no queda más opción que conocer las amenazas y contar con las salvaguardas adecuadas.

En los últimos días han sido noticia los ataques informáticos que han sufrido varias empresas españolas y de todo el mundo. Los expertos hablan de un repunte de actividad en este tipo de amenazas, y cada día son muchos los ordenadores que se ven afectados por ellas. En este post vamos a ver qué son los ataques ransomware y cómo actuar ante ellos.

Los ataques ransomware

Un ataque  ransomware o secuestro de información se produce cuando una organización criminal consigue que se ejecute un programa dañino en nuestro equipo, infectándolo. Para que un programa entre en nuestro ordenador y se ejecute, lo más fácil es que llegue a través de una página web, un correo electrónico o el intercambio o descarga de ficheros. En algunos casos, los programas maliciosos también se han propagado a través de pendrives, CDs de programas gratuitos o cualquier otro engaño que lleva a un usuario a introducir un dispositivo en su ordenador.

Esta infección va a consistir en que el programa atacante cifra los ficheros de datos del ordenador atacado, de manera que no serán accesibles hasta que se descifren de nuevo. Si el dueño del equipo atacado paga cierta cantidad en un tiempo dado, se le enviará la clave, podrá descifrar sus datos y recuperar la normalidad; si no lo hace, los datos quedarán inservibles o se borrarán definitivamente.

Para recibir los pagos sin ser identificados, los atacantes exigen una transferencia a una cuenta de otro país y en ocasiones el pago debe hacerse en una moneda no sujeta al control de ningún gobierno, como  los Bitcoins u otras monedas virtuales (esta es una de las razones por el que el uso de las monedas virtuales se ha cuestionado desde su origen). El rescate no tiene por qué ser una cantidad elevada, puesto que los delincuentes saben que una pequeña cantidad fácil de pagar (varios cientos de dólares) multiplicada por múltiples infecciones de ordenadores les puede proporcionar un beneficio más seguro que una cantidad grande.

Algunos de los ataques ransomware más sofisticados no se conforman con atacar al ordenador que ha recibido el programa dañino, sino que presentan un comportamiento vírico, utilizando el equipo atacado como anfitrión para propagarlo a otros equipos cercanos de la misma red, o enviarlo por correo a los contactos. Aunque los ataques ransomware son relativamente antiguos, cada vez son más comunes y más sofisticados. Uno de los ataques más conocidos entre los particulares es el denominado ‘virus de la Policía’, donde el programa atacante muestra el logo de la policía y presenta el secuestro como una supuesta inmovilización y multa legal al usuario por visitar webs con contenidos para adultos.

El ataque ransomware del pasado 12 de mayo fue un ejemplo de cómo aprovechar una serie de vulnerabilidades para perpetrar un ataque complejo: el programa dañino se distribuye dentro de un fichero adjunto en un correo que un usuario abre y ejecuta. Este programa no solo secuestra los ficheros del ordenador atacado, sino que aprovecha una vulnerabilidad conocida pero no parcheada de las unidades de red local, y extiende el ataque a otros equipos de la misma. En ese momento la organización atacada no tiene un incidente aislado, sino que todo su parque de ordenadores puede estar secuestrado, y propagando el ataque a sus socios y clientes.

Por qué es efectivo

Los sistemas operativos, los navegadores y los antivirus de los ordenadores, así como los equipos de seguridad perimetral de las redes corporativas son cada vez más sofisticados para evitar intrusiones, pero su propia complejidad hace que cada día aparezcan nuevos agujeros de seguridad que son aprovechados por los atacantes. Prácticamente a diario los fabricantes de los sistemas publican actualizaciones y parches (actualizaciones parciales) que solucionan entre otros temas problemas de seguridad detectados por sus propios laboratorios o denunciados por otros usuarios o por centros de alerta (CERTS , del inglés Computer Emergency Response Team). Pero la producción y aplicación de estas vacunas no es instantánea, y en ese intervalo los sistemas están expuestos a amenazas que son incluso conocidas.

Cuando un fabricante tiene noticia de una debilidad en uno de sus sistemas que puede ser aprovechada para que un programa atacante penetre, sus laboratorios de seguridad intentan reproducir el problema y diseñar una solución lo más inocua posible para el comportamiento del sistema. Esta solución se prueba y se distribuye a los clientes registrados para que puedan aprovecharla. Además de las pruebas del fabricante, a veces las grandes corporaciones hacen sus propias pruebas antes de distribuir los parches para ver si son incompatibles con algunos de los programas que usa la organización. Así, cada día, los responsables de seguridad de una organización se enfrentan a múltiples amenazas: nuevos programas dañinos recién aparecidos, programas dañinos ya conocidos por los fabricantes y para los que se está diseñando la cura correspondiente; y programas dañinos para los que ya hay vacuna pero no se ha distribuido o no se ha implantado todavía por problemas de compatibilidad.

Soluciones

No existe una protección absoluta para proteger un ordenador que intercambia ficheros con el exterior: siempre va a existir un grado de exposición mayor o menor a los programas dañinos, y es un riesgo que hay que gestionar.

En primer lugar, es preciso complicar todo lo posible el trabajo a los atacantes: se necesita contar con un buen diseño de seguridad de las redes de la organización y una buena concienciación de los usuarios. Los equipos deben tener versiones actualizadas y convenientemente parcheadas de los sistemas operativos, el software antivirus y el software de navegación. Esta actualización permanente exige, entre otros aspectos, tener al día los contratos de mantenimiento del software con los proveedores. La seguridad puede ser incómoda 364 días al año, pero puede ser vital el día 365 si la organización se ve comprometida.

En segundo lugar, hay que tener previsto el peor escenario: qué sucede si mi ordenador o los ordenadores de una parte de mi organización se ven atacados. Hay que tener un plan de actuación y estar en disposición de ejecutarlo. Este segundo aspecto es uno de los más difíciles de conseguir en muchas organizaciones, puesto que exige el compromiso de la dirección para, llegado el momento, tomar decisiones difíciles como parar la producción y comunicar que se ha producido el ataque.

El tercer lugar, una vez que el problema está controlado y no se está propagando, es el momento de analizar los daños y efectuar las reparaciones que sean posibles. En el caso del ransomware, son muchas las organizaciones que han conseguido revertir el secuestro de sus ordenadores sin pagar un rescate, que posiblemente sea la peor de las soluciones. En España, por ejemplo, podemos contar con la ayuda del  INCIBE, que  ofrece diversos servicios gratuitos. Por otro lado, algunas asociaciones como  No more Ransom también trabajan para combatir este tipo de amenazas. Otra solución que siempre debería estar entre las posibles es la recuperación de una copia de seguridad de los datos una vez que el agujero de seguridad se ha cerrado. Para que esta solución sea aplicable se precisa realizar copias de seguridad con una periodicidad alta, y tener la certeza de que la recuperación de los datos copiados es posible (el sistema de copias de seguridad debe evolucionar con el resto de los sistemas de la organización y ser a la vez el más seguro de ellos).

En un mundo cada vez más comunicado no nos queda más opción que conocer las amenazas y tener las salvaguardas adecuadas. Es preciso considerar la seguridad desde el diseño de los sistemas y las redes de cualquier empresa u organización (nuestra red doméstica también es una organización importante). Es preciso proporcionar a los aspectos de seguridad un mantenimiento adecuado y sobre todo concienciar a los usuarios y a los responsables de la necesidad de cumplir las normas. En los momentos ‘tranquilos’ deben prepararse los planes de contingencia precisos para que sean efectivos en los momentos más ‘confusos’ de una compañía. Y por último deben contarse con una estrategia de copias de los datos para minimizar los daños de un eventual ataque.

La AEPD ayuda a las empresas y organizaciones a desarrollar sus políticas de seguridad orientadas principalmente a la protección de los datos personales. La  

Guía sobre la privacidad y la seguridad en internet

 es un buen punto de partida para concienciar y explicar algunos conceptos clave a los usuarios finales. Por otra parte, la guía  

 explica algunos principios de la seguridad de una forma muy clara para personas sin experiencia en sistemas de información.

La importancia de la información por capas en el Reglamento General de Protección de Datos

La importancia de la información por capas en el Reglamento General de Protección de Datos
dortega
Lun, 12/03/2018

3 de Diciembre de 2018

El marco aplicable a partir del 25 de mayo de 2018 obliga a proporcionar a los ciudadanos más información de la que exige expresamente la actual Directiva, de la que emana la LOPD.

La obligación de informar a los interesados cuanto se van a recabar, usar o almacenar datos personales ya estaba recogida en la Directiva 95/46/CE (Directiva de la que emana la actual LOPD). Sin embargo, el nuevo  Reglamento General de Protección de Datos (RGPD) concede una mayor importancia a la información que se debe proporcionar a los ciudadanos cuyos datos van a tratarse, y contempla una lista exhaustiva de los contenidos que deben ser expuestos.

Esta obligación debe estar en consonancia con otro importante mandato: el de informar de forma concisa, inteligible y con un lenguaje claro y sencillo. En la actualidad abundan los casos de cláusulas informativas o políticas de privacidad cuya lectura puede prolongarse durante horas y que no se caracterizan por su claridad y concisión. La tarea de aunar ambas obligaciones representa todo un reto, puesto que cumplir la primera sin tener en cuenta la segunda debilitaría el derecho de los interesados a recibir una información adecuada y comprensible recogido en el nuevo Reglamento y podría llegar a considerarse una infracción de sus disposiciones.

La Agencia Española de Protección de Datos presentó recientemente nuevos materiales para ayudar a las pymes a  cumplir con el nuevo Reglamento, en colaboración con las autoridades catalana y vasca de Protección de Datos. Entre ellos se incluía la  

Gua para el cumplimiento del deber de informar

, en la que se ofrecen recomendaciones y soluciones prácticas sobre los modos de proporcionar esta información dando así cumplimiento al nuevo marco normativo.

Una de las propuestas contenida en la Guía sugiere presentar la información que exige el Reglamento por capas: una primera que incluya un nivel básico de la información requerida, de forma estructurada y muy concentrada, para remitir posteriormente a otra capa que contenga esa información más detallada. El enlace entre capas dependerá del medio en que se proporcione la información.

En muchos casos la forma más adecuada será ofreciendo en la primera capa un enlace a otras direcciones web. En otros casos la primera capa podrá dirigir a una segunda que se encuentre impresa en el reverso de un formulario. En todo caso, el objetivo central es que en el primer bloque de información no falte ningún aspecto relevante, aunque sea expuesto de forma sintética, y que para el interesado resulte evidente y sencillo el modo de acceder a la información completa en las siguientes capas.

Podemos encontrar claros ejemplos que ponen de manifiesto la utilidad de presentar la información mediante capas, como es el caso de los avisos de cámaras de videovigilancia. De otra forma no sería posible condensar toda la información relevante sobre el tratamiento de datos. Otro ejemplo son los avisos de cookies en páginas web, en los que se informa del tratamiento de datos de los usuarios efectuado mediante estos dispositivos y del seguimiento que se hace de los lugares visitados, remitiendo a una capa adicional para obtener más información.

La propuesta de presentar la información por capas sugiere que el cumplimiento de esta obligación podría llevarse a cabo a través de tablas informativas visualmente similares a las tablas nutricionales de los productos que compramos en el supermercado. El Reglamento, de hecho, prevé que la información pueda ir acompañada de iconos, que la hagan más comprensible, accesible e intuitiva.

Esta iniciativa presentada por la AEPD y las autoridades autonómicas se alinea con la intención del legislador europeo de buscar fórmulas que promuevan la presentación de información de manera más sencilla y simplificada.

¿Qué es un Delegado de Protección de Datos?

¿Qué es un Delegado de Protección de Datos?
dortega
Sáb, 12/01/2018

1 de Diciembre de 2018

Esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones

El Reglamento General de Protección de Datos (RGPD) configura una serie de “medidas de responsabilidad activa” aplicables a los responsables, y en ocasiones, también a los encargados de tratamiento.

En el

Reglamento General de Proteccin de Datos

 se analizan estas medidas distinguiendo las siguientes: análisis de riesgos, registro de actividades de tratamiento, protección de datos desde el diseño y por defecto, medidas de seguridad, notificación de “violaciones de seguridad de los datos”, evaluación de impacto sobre la protección de datos, y finalmente, el delegado de protección de datos.

Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

Es decir, al Delegado de Protección de Datos, que deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos, que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.

No obstante, lo anterior, conviene precisar dos cuestiones al respecto:

El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado;
El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.

Con la finalidad de generar confianza en los ciudadanos, que son los propietarios de sus datos personales, la Agencia Española de Protección de Datos (AEPD) está impulsando junto con Entidad Nacional de Acreditación (ENAC), los trabajos para desarrollar un modelo de certificación como Delegado de Protección de Datos, que será utilizado por aquellas entidades que deseen realizar certificaciones de este tipo.

Asimismo, y con la finalidad de que todos los implicados puedan participar en este modelo, la AEPD también ha impulsado la creación del Comité de Expertos del Esquema de Certificación de Delegados de Protección de Datos, del que forman parte asociaciones y entidades representativas de varios sectores, así como las Autoridades de Protección de Datos de Cataluña y País Vasco.

En este sentido, el modelo en el que se está trabajando funcionará a través de dos esquemas de certificación de la siguiente forma:

En primer lugar, existirá un esquema que acredite aquellas entidades para que, a su vez, puedan actuar como certificadoras de Delegados de Protección de Datos. Corresponderá a ENAC acreditar a las mencionadas entidades, siempre y cuando acrediten cumplir el citado esquema.
En segundo lugar, habrá otro esquema para certificar a Delegados de Protección de Datos, es decir, los requisitos necesarios para que se pueda obtener esta certificación.

Ambos esquemas serán aprobados por la Agencia Española de Protección de Datos durante el primer semestre de 2017, siendo la AEPD propietaria de los citados esquemas.

Por último, indicar que si bien esta certificación como DPO es totalmente voluntaria y, por tanto, para su ejercicio no es necesario poseer la misma, el hecho de obtenerla supone una garantía tanto de la competencia profesional certificada como del ejercicio de la mencionada competencia.

Concurso para colegios ‘Cómo mejorar tu privacidad en internet’

Concurso para colegios ‘Cómo mejorar tu privacidad en internet’
dortega
Vie, 11/30/2018

30 de Noviembre de 2018

El Día de internet lanza un conjunto de actividades con el objetivo de promover el buen uso de las nuevas tecnologías.

Como cada año,  el Día de internet, proyecto de cuyo Comité de Impulso forma parte la Agencia Española de Protección de Datos y que se celebra el 17 de mayo, lanza un conjunto de actividades para los colegios con el objetivo de  promover el buen uso de las nuevas tecnologías por parte de centros escolares, profesores y alumnos, al mismo tiempo que los familiares toman conciencia de la importancia de estas para el desarrollo de los menores.

En esta edición se han programado tres actividades destinadas a cada franja de edad:  primaria, secundaria y bachiller.

El certamen  ‘Cuéntanos cómo hacer un mejor uso de internet’ está destinado a los más pequeños y cuenta con la colaboración de la Agencia, que aporta los materiales incluidos en su proyecto  Tudecideseninternet.es para la elaboración de los trabajos ya que el tema propuesto para en el concurso para los alumnos de primaria es “Cómo mejorar tu privacidad en internet”.

Los trabajos deben ser originales, en forma de cuento, poesía – ambos con extensión de un folio máximo – o dibujo (manual y tamaño A4) sobre cómo mejorar tu privacidad en internet. La participación de los menores se realiza con la ayuda de los profesores que, además de coordinar y validar los trabajos presentados, tienen que hablar sobre este tema con los niños para que preparen sus trabajos.

La organización ha incorporado, entre otros materiales, las guías  ‘No te enredes en internet’ y  ‘Sé legal en internet’, orientadas a los niños, y  ‘Guíales en internet’ y  ‘Enséñales a ser legales en internet’, para padres y profesores, así como  un cómic con test de evaluación.

Todos los trabajos pueden votarse y valorarse online, y  en este enlace se pueden consultar el detalle de todas actividades previstas para los colegios.

Los premios se entregarán en el acto central del #DiadeInternet, que se celebrará en el Senado el  17 de mayo en un acto para conmemorar la efeméride y en el que se premia tanto al alumno como al profesor que ha coordinado los trabajos en ese colegio. Se premiará un trabajo por cada una de las categorías (primaria, secundaria y bachiller) y, en el caso del concurso de los alumnos de primaria, los ganadores recibirán una tableta para el profesor y una consola para el alumno. La Organización del concurso también ha previsto premiar al colegio que presente una mayor participación.

El plazo para presentar los trabajos de los alumnos de primaria  finaliza el 7 de mayo.

El examen de aplicaciones (III): los términos y condiciones

El examen de aplicaciones (III): los términos y condiciones
dortega
Jue, 11/29/2018

29 de Noviembre de 2018

¿Por qué es importante prestar atención a los textos que acompañan a las apps que descargamos?

Después de la  selección de la tienda de apps y de la configuración de  los permisos de la aplicación en nuestro dispositivo llega el momento de fijarnos en una tercera barrera que protege nuestra privacidad.

Los términos y condiciones, o condiciones de uso y contratación, políticas de privacidad y otros documentos son elaborados por el proveedor del servicio (en este caso de la entidad que gestiona la app) y en ellos se regula la relación del usuario con respecto a los servicios que se ofrecen y los datos personales que se manejan. Una de las primeras acciones que el proveedor nos obliga a hacer cuando adquirimos o instalamos la aplicación, y siempre antes de usarla, es manifestar nuestra aceptación de los términos y condiciones. Esta aceptación antes era implícita en muchos casos ( si usted está aquí utilizando este programa está aceptando los términos…), pero los proveedores la van explicitando cada vez más. Por ejemplo, se muestran los términos y al en la parte final se incluye un botón para aceptarlos o abandonar, o se muestra una casilla de verificación y un enlace que lleva a la página de los documentos.

Si bien cada proveedor redacta sus propios términos y condiciones, las legislaciones nacionales de muchos países prevén cuáles son los contenidos que un documento de este tipo debe tener. En España, las principales normas a considerar son la  LSSI (Ley 34/2002 de Servicios de la Sociedad de la Información y el Comercio Electrónico de 11 de julio) que regula las condiciones de contratación básicas para productos y servicios digitales, y la  LOPD (Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal) que se encarga de regular la recogida y gestión de los datos personales con los que opera la app.

Los términos y condiciones pueden variar enormemente según el origen de las apps o su grado de madurez y su complejidad, pero algunos contenidos típicos serían los datos de contacto del titular, los códigos de conducta, responsabilidades y mecanismos para la resolución de conflictos, precios e impuestos, publicidad, propiedad intelectual, etc. Dentro de la política de privacidad debe informarse de la existencia de ficheros de datos de carácter personal, de la identidad y los datos de contacto de su responsable o representante, de su finalidad y destino, y de la posibilidad de ejercer  los derechos ARCO (acceso, rectificación, cancelación y oposición), entre otros. Por último, muchas veces se incluyen en el mismo documento, o por separado, unas reglas de uso y convivencia para los usuarios, las condiciones para los menores, e incluso el ideario de la compañía.

La importancia de los términos y condiciones no suele apreciarse cuando estamos satisfechos con las apps. Sin embargo, si surge algún problema derivado del uso de la misma que puede acarrearnos pérdidas de datos o incluso riesgos para nuestra privacidad o para otras personas, probablemente será cuando nos acordemos de cuáles eran las condiciones para usar o dejar de usar el producto y cuáles son las responsabilidades de cada parte.

Ahora que ya hemos visto por qué son necesarios los términos y condiciones y la necesidad de conocerlos y aceptarlos antes de disfrutar de nuestras apps,  ¿dónde puede estar el problema? Pues, fácilmente, surgen tres: uno, la longitud excesiva de estos documentos; dos, un lenguaje jurídico difícil de entender, frecuentemente traducido de otro idioma y de otro sistema legal; y tercero, una tendencia a cambiar y actualizarse igual que se actualizan las propias apps.

La desorbitada longitud de los documentos de términos y condiciones en las apps es una queja clásica de los usuarios. En mayo del pasado año, el Consejo del Consumidor de Noruega estudió el tiempo que llevaría leer los términos y condiciones de todas las apps que llevan los ciudadanos en sus teléfonos inteligentes, e incluso grabó un vídeo con unos sufridos voluntarios leyendo monótonamente los documentos. Cualquiera de nosotros puede calcular de forma aproximada cuánto se tardarían en leer los términos y condiciones y documentos asociados de nuestras apps favoritas. Por ejemplo, las condiciones de las dos redes sociales más populares tienen una longitud de 8.858 y 7.642 palabras, respectivamente; las del juego más descargado de las tiendas en 2016, 11.845 palabras; y una aplicación para saber el tiempo atmosférico en todo el mundo, 4.983 palabras. Teniendo en cuenta que la velocidad media de lectura de un adulto en castellano está entre 200 y 300 palabras por minuto, y que usamos habitualmente unas 14 apps de las 30 que llevamos instaladas en nuestros teléfonos inteligentes, deberíamos emplear entre 8 y 16 horas seguidas de lectura para superar la prueba.

En cuanto la complejidad del lenguaje, es una dificultad importante sobre todo si consideramos que las apps son casi un estándar que descargan e instalan personas con diferentes niveles de formación.

El último obstáculo para tener una buena comprensión de los términos y condiciones en todo momento es el de las actualizaciones. Las apps van cambiando sus términos y condiciones periódicamente para adaptarse a cambios normativos, protegerse de vacíos legales que les han perjudicado, acomodarse a la legislación de nuevos países donde se aterrizan y para dar cabida a nuevos servicios en sus plataformas. Una de las apps de redes sociales que hemos observado lleva diez cambios en siete años. Si bien estos cambios suelen anunciarse a los usuarios por correo o al entrar en la aplicación, no todo el mundo puede dedicar tanto tiempo para conocer y valorar las novedades.

Vistos los problemas con los términos y condiciones,  ¿qué debemos hacer los usuarios de apps cuando vamos a instalar una nueva aplicación?Lo primero, comprobar que los documentos están y son accesibles: es decir, la página se abre y está en un idioma que conocemos. La segunda recomendación es más flexible: sería deseable sería hacer una lectura rápida buscando los elementos principales que hemos identificado antes, o los que más nos preocupan. Obviamente, un responsable que va a implantar una app en los 2.000 teléfonos corporativos de su organización debería hacer una lectura más detallada que un usuario doméstico que está instalando un juego para su uso personal. Puesto que el riesgo es diferente en ambas situaciones, la atención también debe ser distinta. Por último, si en los términos y condiciones vemos algo poco claro, que en un momento puede perjudicarnos o hacernos rehenes de un producto, debemos consultar a terceros o buscar otra app alternativa que nos dé más garantías. Para el caso de las actualizaciones, el criterio de lectura puede ser el mismo: a mayor riesgo, mayor atención, y en caso de duda, considerar sustituir por otra app.

Afortunadamente la sociedad cada vez es más consciente del problema que supone que la relación entre el usuario y el proveedor del servicio sea oscura y poco manejable, y ya se están tomando medidas.

El nuevo  Reglamento Europeo de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del consejo de 27 de abril de 2016) en su artículo 60 propone los iconos normalizados como una representación fácilmente visible, inteligible y claramente legible del tratamiento de datos previsto.

Por último, algunas  comunidades de usuarios se han lanzado a reescribir los términos y condiciones de apps muy extendidas de una forma simplificada, y a compartirlos en la Red.

Qué son las brechas de seguridad, cómo te pueden afectar y cómo protegerte

Qué son las brechas de seguridad, cómo te pueden afectar y cómo protegerte
dortega
Mié, 11/28/2018

28 de Noviembre de 2018

Te ofrecemos algunos consejos que debes tener en cuenta si crees que tu información puede haberse visto comprometida

Los vehículos en los que nos trasladamos son cada vez más seguros gracias a la eficacia de las medidas de seguridad que incorporan. En cualquier caso, no puede afirmarse que los vehículos sean completamente seguros, ya que el riesgo sigue existiendo. Los sistemas informáticos en los que nuestros datos personales son almacenados y procesados también son cada vez más seguros pero, como cualquier otro producto o servicio, se encuentran  sujetos a posibles errores o fallos de funcionamiento que, en ocasiones, pueden terminar afectando a nuestra información personal, permitiendo que otras personas puedan tener acceso a nuestros datos personales. Esto es lo que se conoce como una “brecha de seguridad”.

En la actualidad, la Ley General de Telecomunicaciones (LGT) obliga a los operadoras de servicios de comunicaciones electrónicas a  notificar las brechas de seguridad que afecten a datos personales, pero como consecuencia de la aplicación del nuevo Reglamento General de Protección de datos ( RGPD) el 25 de mayo de 2018 esta obligación afectará a todos los responsables del tratamientos de datos personales. Con independencia de esa obligación legal, algunas entidades responsables ya comunican sus brechas de seguridad tanto a la Agencia Española de Protección de Datos como a los propios afectados.

Con frecuencia, cuando se nos informa  acerca de una posible brecha de seguridad nos pueden dar alguna información sobre las medidas que han tomado o alguna recomendación para mitigar en lo posible la repercusión que pueda tener para nuestra información personal. Posiblemente hayas recibido en algún momento una de estas comunicaciones en la que se te informa que tu información personal se ha visto afectada y que deberías tomar algunas medidas. Puede que te den alguna indicación de la información que se ha visto afectada o comprometida, pero siempre tendrás que  valorar el alcance o las posibilidades de que esa información abra las puertas a otras informaciones sobre tu persona. Por ejemplo, es posible que para no tener que recordar muchas contraseñas utilices para todos los servicios en los que te registras el mismo identificador (tu dirección de correo electrónico) y la misma contraseña. Si la brecha de seguridad ha dejado al descubierto tu contraseña significa que alguien podría utilizar tus datos personales y tu contraseña en cualquiera de los servicios en los que te hayas registrado: correo electrónico, redes sociales, portales de compras online, banca electrónica, etc.

Cuando se ve afectada tu contraseña la primera medida que deberías de tener en cuenta es cambiarla. Y si has utilizado la misma contraseña en varios servicios deberías cambiarla en todos aquellos en los que hubiera sido utilizada. En ningún caso es recomendable que utilices la misma contraseña en varios servicios. Para  gestionar tus contraseñas puedes consultar las fichas número dos y tres de  

Guía sobre la privacidad y la seguridad en internet

 donde te damos algunas sugerencias para la gestión de tus contraseñas.

Y no olvides que si se hubieran podido ver comprometidos tus datos bancarios, como por ejemplo los números de tus tarjetas de crédito, deberías ponerlo en conocimiento de tu banco de inmediato para que te sugiera cuáles serían las medidas más apropiadas a tener en cuenta.

Aquí puedes consultar el post que publicamos con  consejos y recomendaciones a los usuarios de Yahoo ante el hackeo de sus sistemas]

De la inscripción de ficheros al registro de actividades

De la inscripción de ficheros al registro de actividades
dortega
Mar, 11/27/2018

27 de Noviembre de 2018

La obligatoriedad actual de inscribir los ficheros en la Agencia por parte de aquellos que tratan datos será sustituida a partir del 25 de mayo de 2018 por la de contar con un registro de actividades

(16 de marzo de 2017). El 25 de mayo de 2018 comenzará a aplicarse el Reglamento General de Protección de Datos y, en consecuencia, desaparece la primera de las obligaciones del responsable que trata datos de carácter personal: la notificación gratuita de ficheros ante el Registro General de Protección de Datos de la AEPD.

Las dos normas de aplicación en España en materia de protección de datos de carácter personal desde 1992, la derogada LORTAD y la actual LOPD, habían previsto como primera obligación del responsable  comunicar a la Agencia los ficheros empleados en su actividad y que contengan datos de carácter personal, describiendo qué datos se recogen, con qué fin, de quién se recogen, qué medidas de seguridad se van tomar sobre los mismos, si el fichero es automatizado, manual o mixto y si esos datos van a cederse a terceros o si van a transferirse fuera del Espacio Económico Europeo.

La obligación, que en el caso de ficheros de titularidad pública comenzaba por la publicación en el correspondiente Diario Oficial de la descripción del fichero por parte del responsable, se convirtió en  la puerta de entrada a la protección de datos para buena parte de las entidades. Los empresarios y las administraciones empezaban a ser conscientes ante qué estaban cuando se encontraban frente a un formulario de notificación y tenían la necesidad de describir los puntos antes mencionados. Tras esta obligación, la primera pero no la única como la misma resolución de inscripción recuerda al responsable, debe observar el resto de  obligaciones que la legislación impone.

El Registro General de Protección de Datos atiende al responsable del fichero en sus obligaciones, entre otras, de inscripción de ficheros y es el responsable de dar publicidad a los mismos  a través de la página web de la Agencia. El objetivo es que el ciudadano pueda  conocer de la forma más exacta posible qué se está realizando con sus datos de carácter personal cuando los aporta a una administración pública o a una entidad privada, y dónde puede ejercer  sus derechos en protección de datos.

La inscripción de ficheros en el Registro General de Protección de Datos creció de manera exponencial a partir del año 2006 con la aparición del formulario electrónico NOTA y la posibilidad de emplear un procedimiento de administración electrónica completo para este proceso. Las  estadísticas de inscripción de ficheros muestran además el impulso que, en enero de 2008, supuso la aparición del Reglamento de desarrollo de la LOPD (RLOPD).

En la actualidad el Registro de Ficheros mantiene  un crecimiento anual de un 9% y sobre él se realizan una media de 2.754 operaciones diarias (datos de 2016), observándose una evolución en el tipo de operaciones que sobre él se ordenan. Se ha pasado de una masiva inscripción de alta de ficheros a la recepción de un número importante de operaciones de inscripción de modificación y de supresión que atiende a la necesidad de mantener la inscripción actualizada y que aparece estipulada en el artículo 58 del RLOPD. Los ficheros evolucionan, cambian su finalidad, se recogen otros datos de las personas que forman el colectivo objeto del mismo y hay que suprimirlos si deja de existir la razón por la que fueron creados o la entidad que se declaraba responsable.

La aplicación del nuevo Reglamento General de Protección de Datos a partir del 25 de mayo de 2018 supone al responsable  obligaciones distintas en materia de protección de datos. El artículo 30 estipula que cada responsable y, en su caso, su representante llevarán un registro de actividades de tratamiento efectuadas bajo su responsabilidad. El responsable se encuentra por tanto, nuevamente, ante la necesidad de describir qué datos recoge, con qué fin los trata, a quién o quiénes los comunica, si los transfiere a terceros países, qué medidas técnicas y organizativas aplicará para preservar su seguridad, y cuándo podrá suprimirlos.

Es en este punto donde la existencia del Registro de Ficheros puede convertirse en  una herramienta de ayuda y un punto de partida ante la tarea que será obligatoria a partir del 25 de mayo de 2018.

El responsable con los ficheros actualmente inscritos en la Agencia ya hizo en su día un ejercicio de descripción de los tratamientos de datos de carácter personal que llevaba a cabo cuando se vio en la obligación de realizar la Notificación de sus ficheros. En este punto, será evidente el paso de ese conjunto de ficheros a la elaboración del Registro de las actividades del tratamiento y la puesta al día de sus obligaciones en materia de protección de datos.

Tengo derecho a no recibir publicidad ¿Qué es la Lista Robinson?

Tengo derecho a no recibir publicidad ¿Qué es la Lista Robinson?
dortega
Lun, 11/26/2018

26 de Noviembre de 2018

Podemos inscribirnos en este servicio de manera gratuita para oponernos a que se traten nuestros datos con fines comerciales

La LOPD especifica dos formas para que podamos oponernos a que se traten nuestros datos con fines comerciales:

1. Dirigiendo una solicitud a quien está utilizando los datos con fines publicitarios, o

2. Registrando en un denominado “fichero de exclusión publicitaria” los datos que no queremos que se utilicen para enviarnos publicidad

La primera de estas posibilidades está recogida en el artículo 30.4 de la LOPD, dedicado a los tratamientos con fines de publicidad y de prospección comercial. En él se afirma que “los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud”. Esta posibilidad, entre otros casos, es para aquellos casos en los que nuestros datos hayan sido obtenidos de fuentes accesibles al público (como las guías telefónicas, por ejemplo).

La segunda opción viene recogida en el artículo 49.1 del Reglamento de desarrollo de la LOPD, que prevé la creación de ficheros comunes de exclusión publicitaria en los que se podrán registrar las personas que no deseen recibir comunicaciones comerciales: “Será posible la creación de ficheros comunes, de carácter general o sectorial, en los que sean objeto de tratamiento los datos de carácter personal que resulten necesarios para evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad”.

En España, actualmente, sólo existe un fichero común de exclusión publicitaria: la  Lista Robinson, gestionado de forma independiente por la Asociación Española de Economía Digital.

En este servicio podemos inscribirnos de manera gratuita y seleccionar el medio o medios (teléfono, publicidad postal, etc.) a través de los cuales no queremos recibir publicidad de las entidades que empleen nuestros datos personales obtenidos de fuentes públicas o bases de datos de las que no sean responsables para el desarrollo de las campañas publicitarias. Estarían excluidos los casos en los que nosotros mismos hayamos autorizado a una empresa a enviarnos publicidad. En este último caso, si quisiéramos oponernos a que nos la enviaran deberíamos dirigirnos directamente a la empresa.

Si nos estamos planteando inscribirnos en esta lista para dejar de recibir comunicaciones comerciales, la siguiente pregunta será: ¿Hasta qué punto están las empresas obligadas a consultar ese archivo antes de enviarme publicidad? Respecto a la obligatoriedad de consulta (tanto por asociados como por no asociados de esta Asociación), el artículo 49.4 del Reglamento de desarrollo de la LOPD establece que “quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa a ese tratamiento”. Por tanto, tanto asociados como no asociados deben consultar dicho listado.

En este enlace podemos consultar el reglamento completo de la Lista Robinson, donde Adigital especifica cuestiones como que la inclusión será eficaz en el plazo de tres meses a partir de la fecha en la que nos demos de alta.

El examen de aplicaciones (II): los permisos que solicita la app

El examen de aplicaciones (II): los permisos que solicita la app
dortega
Lun, 11/26/2018

26 de Noviembre de 2018

El sistema operativo permite limitar el uso que una aplicación puede hacer de nuestra tableta o teléfono.

En un artículo anterior nos referíamos a  las tiendas de apps y qué implicaciones podían tener para la seguridad de nuestros datos. En esta ocasión nuestro examen se va a centrar en los permisos que solicita la aplicación.

En los dispositivos móviles populares, las aplicaciones y los juegos se ejecutan en espacios aislados (los llamados sandboxes o areneros) junto con los datos y la configuración. El sistema operativo, por su parte, se encarga de gestionar los permisos para que puedan comunicarse y usar los distintos servicios del dispositivo. Los permisos que solicitan las aplicaciones pueden variar de unos sistemas a otros pero los más habituales son el acceso al almacenamiento, a los contactos, a la cámara, al micrófono, a los SMS, a las llamadas, a la ubicación geográfica, a los dispositivos externos conectados, o a los perfiles en redes sociales.

Cada vez que añadimos una aplicación o un juego nuevo a nuestro dispositivo, este le pedirá al sistema operativo los permisos que necesita. Por ejemplo, las aplicaciones de mensajería y redes sociales requieren muchas veces acceso a la cámara, a los contactos y a nuestra colección multimedia; o un antivirus puede pedir acceso a los ficheros del sistema para analizarlos. A veces no es fácil imaginar para qué necesita realmente una aplicación todos los permisos que pide: algunos juegos quieren permiso para acceder a las llamadas, simplemente para interrumpir la partida cuando entra una llamada; o algunas aplicaciones solicitan conocer la ubicación geográfica para enviar ofertas o anuncios según dónde estemos.  Una app que requiera unos permisos excesivos debería hacernos sospechar sobre sus intenciones, ya que podría obtener datos del sistema o de nuestra actividad y enviarlos a un tercero. También deberíamos ser prudentes si al actualizar una aplicación nos piden permisos nuevos.

La buena noticia es que nosotros podemos participar en la gestión de los permisos que les damos a las aplicaciones; la mala es que no siempre es fácil. El proceso es distinto en cada sistema operativo, y a veces no tenemos la información o el tiempo necesario para tomar una buena decisión. Los fabricantes buscan un equilibrio entre la precisión que demandan los usuarios más avanzados y la sencillez para usuarios más confiados, y entre los sistemas más populares y sus versiones encontramos todas las tendencias.

También son varios los momentos en que podemos gestionar los permisos. En un sistema muy conocido, cuando elegimos una app o un juego que nos gusta, la tienda de aplicaciones ya nos informa de los permisos requeridos, y nos pide que aceptemos su concesión antes de dejarnos descargarla; en otro sistema igualmente popular, la aplicación se descarga primero y después, durante la instalación es cuando nos enteramos de los permisos que quiere que le concedamos. Algunos permisos en ciertos dispositivos soportan más opciones que el simple ‘Aceptar’ o ‘Rechazar’, y permiten, por ejemplo, que la aplicación acceda a servicios como la ubicación geográfica o la red, pero solamente cuando el usuario realmente la está usando. Con tanta diversidad de opciones no nos queda otro remedio que explorar en los ajustes de nuestro dispositivo y ver las opciones que ofrece.

Además de en la descarga y en la instalación,  en cualquier momento podemos revisar y cambiar los permisos de aplicación. Desgraciadamente, aquí nos encontramos también que los ajustes son distintos en cada teléfono o tableta. Algunas plataformas prefieren agrupar las aplicaciones bajo los permisos, con lo que podemos ver o limitar, por ejemplo, qué aplicaciones están usando la ubicación geográfica o una red social; mientras que otras prefieren poner los permisos bajo las aplicaciones, mostrando por ejemplo una fila de selectores de permisos que requiere determinado juego.

Obviamente, si denegamos un permiso a una aplicación su comportamiento puede variar, e incluso la aplicación completa puede dejar de funcionar. Sin embargo, también puede seguir funcionando adecuadamente para lo que necesito, y asegurarme un poco de privacidad.

Es posible controlar parcialmente los permisos en dispositivos que usan otras personas: por un lado, en el ámbito de los móviles de trabajo, las organizaciones pueden gestionar de forma muy detallada e incluso dinámicamente muchos de los permisos de aplicación, usando un gestor de dispositivos móviles o MDM. En el lado doméstico las distintas plataformas permiten habilitar mecanismos de control parental y perfiles de usuario. En el extremo opuesto, un dispositivo  rooteado o desbloqueado puede tener un gestor de permisos en su sistema diferente al que estableció el fabricante, por lo que de nuevo hay que recordar el riesgo que supone si no se controla adecuadamente.

En resumen, los permisos son una parte importante de nuestro examen de aplicaciones porque nos permiten, en primer lugar,  tener un mayor control sobre la información que facilitamos a terceros y, además,  limitar los riesgos de la actividad de una aplicación presuntamente dañina en nuestro dispositivo. Por eso, la revisión o incluso el ajuste de los permisos de cualquier app o juego nuevo o actualizado es una actividad muy recomendable. Y puesto que los mecanismos de gestión de permisos son distintos en cada sistema, es importante que dediquemos unos minutos a revisar los ajustes y conocer así las posibilidades que ofrece.

La Agencia Española de Protección de Datos ha lanzado una  

Guía sobre la privacidad y la seguridad en internet

 elaborada junto al INCIBE que incluye algunas fichas para concienciar (que no asustar) a los usuarios de los riesgos de las apps.