Protección de datos en boutiques jurídicas.

/en /por

Entre los bufetes llamados «boutique» por su especialización en un área concreta destacan la firma Fernándes-Palacios, de propiedad industrial; Pedro López de Lemus, en protección de datos; Rosa Morán y Pilar Troncoso en Derecho de Familia; AATI Concursal, en Derecho Mercantil; o Bocanegra en Derecho Penal. Ellos son como «lobos esteparios» en la jungla de los grandes despachos de abogados.

Por su parte, José Joaquín Gallardo, de Gallardo Abogados y 24 años decano de los Abogados de Sevilla, afirma que «la tendencia es efectivamente el asociacionismo entre letrados y despachos, y el incremento de relaciones de colaboración entre bufetes y otros profesionales, como arquitectos, economistas, procuradores… Se usan mucha fórmulas para asociarse. Lo que es cada vez más inusual es que un profesional ejerza solo la actividad sin relaciones de colaboración con otros que le auxilien». A su juicio, el gran cambio en la abogacía ha sido pasar del abogado generalista al abogado especializado. Esa especialización no está regulada pero viene impuesta por la complejidad del ordenamiento jurídico y por la necesidad de prestar un mejor servicio».

Otras fuentes de información jurídica indican que «cuando llega un cliente al despacho no quieres que se te vaya de ninguna manera a otro bufete donde pueden ofrecerle lo mismo que tú. Frente a ello, la forma de competir es dar un servicio multidisciplinar, que lleva en muchos casos a la concentración de despachos».

LEER NOTICIA EN SU FUENTE ORIGINAL.

FUENTE ORIGINAL: ABC SEVILLA.

El reconocimiento facial es cada vez algo más habitual.

/en /por

La serie británica de ciencia ficción Black Mirror cada vez se asemeja más a la realidad. Esta gira en torno a cómo la tecnología afecta a nuestras vidas, e ilustra sistemas de tratamiento de información que  se están utilizando hoy en día, como es el caso del reconocimiento facial. No estamos diciendo que el reconocimiento facial sea tecnología nueva ya que su origen se remonta entorno al 1960. Lo realmente novedoso son los fines y usos para los que se utiliza esta tecnología actualmente.

¿Qué es el reconocimiento facial?

El reconocimiento facial es una técnica que posibilita la extracción de un dato biométrico, utilizando el rostro del individuo,  que permite la identificación unívoca de una persona.

La tecnología biométrica permite el reconocimiento inequívoco de personas a través de sus características físicas, fisiológicas o de comportamiento.

La gran particularidad de los datos biométricos en general es que son universales porque se extraen de rasgos físicos o biológicos presentes o latentes, generalmente, en todo individuo.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL. 

FUENTE ORIGINAL: LEGALTODAY.

La AEPD lanza una serie de consejos para comprar durante el Black Friday.

/en /por

Es muy importante que utilices páginas oficiales y/o de confianza con prestigio contrastado y que tengan una conexión segura (protocolo https). Si vas a comprar a través de una app, asegúrate de que es la oficial, comprueba quién es el desarrollador y valora si es necesaria la información que te solicita.

En ambos casos, comprueba la finalidad para la que se van a tratar tus datos y asegúrate de que el procedimiento para ejercer tus derechos de acceso, rectificación, supresión, portabilidad, limitación del tratamiento y oposición es sencillo. Cuando te exijan crear una cuenta para comprar utiliza contraseñas con números, letras y caracteres especiales sin datos que se puedan deducir fácilmente (cumpleaños, aniversarios, etc.) y nunca las compartas.

Piensa si debes comprar si en la tienda online no se identifica al responsable del tratamiento de datos, su dirección y contacto, condiciones de venta, devoluciones o reclamaciones y referencias legales.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL.

FUENTE ORIGINAL: AEPD. 

El INE realizará un seguimiento de los teléfonos móviles.

/en /por

En la era de la privacidad, cualquier movimiento enfocado a recopilar datos personales suscita una gran inquietud entre los ciudadanos. El seguimiento y vigilancia de las personas preocupa, máxime a los continuos escándalos que surgen por parte de las empresas tecnológicas. En este contexto, la iniciativa del Instituto Nacional de Estadística (INE) de seguir los movimientos de los móviles durante ocho días en los próximos meses de cara a realizar un estudio de movilidad ciudadana, según confirman fuentes del organismo a ABC de la información adelantada por «El País».

Para ello, el organismo demoscópico ha alcanzado un acuerdo con las tres principales operadoras nacionales, Vodafone, Orange y Movistar, que han confirmado a su vez a este diario el proyecto en que se obtendrá una cesión de datos procedentes de la ubicación de los móviles de los usuarios. «Es completamente legal porque es un uso estadístico de datos agregados y anonimizados», manifiestan fuentes de las empresas de telecomunicaciones. Fuentes del INE, por su parte, han insistido a ABC que se trata de datos «agregados y anonimizados» con lo que resulta «imposible» identificar a ninguna persona con sus nombres y apellidos porque se trata de únicamente «recuentos».

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL. 

FUENTE ORIGINAL: ABC.

¿Cómo se deben tratar nuestros datos médicos? Nueva guía de la AEPD.

/en , , /por

La Agencia Española de Protección de Datos (AEPD) ha publicado la «Guía para pacientes y usuarios de la sanidad», un documento que da respuesta a las dudas más frecuentes que suelen plantearse los ciudadanos cuando se tratan sus datos personales por parte de centros, administraciones y profesionales sanitarios y que tiene por objeto facilitarles el conocimiento de sus derechos.

La guía aborda en su primera parte cuestiones generales de la normativa de protección de datos que se aplican a los tratamientos de datos de salud, indicando asimismo qué derechos tienen los pacientes y usuarios de la sanidad en relación con el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018. Así, el documento destaca la obligatoriedad de facilitar información al usuario, recogiendo los distintos puntos que deben facilitarse de forma concisa, transparente, inteligible y con un lenguaje claro y sencillo. A ello se suman los principios que deben cumplirse en el tratamiento de datos personales, cuestiones comunes a los derechos de los usuarios (obligación de atenderlo, plazo, gratuidad, etc.) y cuestiones específicas referidas al acceso a la historia clínica.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL.

FUENTE ORIGINAL: AEPD

Compras seguras en el Black Friday y CyberMonday

/en /por

Compras seguras en el Black Friday y CyberMonday
dortega
Jue, 11/21/2019

Llegan el viernes y el lunes más populares del año en cuanto a compras. Te ofrecemos algunos consejos para que sean seguras

Compra de manera segura en Black Friday y CyberMonday

El Black Friday y el CyberMonday ya están de nuevo entre nosotros. Descuentos y ofertas nos animan a consumir y a comprar productos a través de Internet. Para que tus compras desde el comienzo de la campaña de Black Friday hasta la finalización del CyberMonday sean un éxito, desde la Agencia Española de Protección de Datos queremos recordarte algunos consejos que pueden serte útiles.

 

¿Dónde vas a comprar?

Es muy importante que utilices páginas oficiales y/o de confianza con prestigio contrastado y que tengan una conexión segura (protocolo https). Si vas a comprar a través de una app, asegúrate de que es la oficial, comprueba quién es el desarrollador y valora si es necesaria la información que te solicita.

En ambos casos, comprueba la finalidad para la que se van a tratar tus datos y asegúrate de que el procedimiento para ejercer tus derechos de acceso, rectificación, supresión, portabilidad, limitación del tratamiento y oposición es sencillo. Cuando te exijan crear una cuenta para comprar utiliza contraseñas con números, letras y caracteres especiales sin datos que se puedan deducir fácilmente (cumpleaños, aniversarios, etc.) y nunca las compartas.

Piensa si debes comprar si en la tienda online no se identifica al responsable del tratamiento de datos, su dirección y contacto, condiciones de venta, devoluciones o reclamaciones y referencias legales.

¿Cómo vas a pagar?

Te aconsejamos utilizar una tarjeta de uso exclusivo para realizar los pagos a través de Internet, no envíes nunca dinero en efectivo y, si haces compraventa online de segunda mano, asegúrate de quién es el comprador/vendedor antes de pagar. En el caso de que se realicen compras fraudulentas con tu tarjeta, anúlala, denúncialo a la Policía y reclama la devolución de los cargos.

Y recuerda que además…

  • Debes sospechar de mensajes alarmistas que soliciten pinchar en un enlace o descargar un fichero adjunto así como de mensajes que te pidan tus datos personales, por ejemplo tus datos bancarios.
  • Para enviarte comunicaciones comerciales, deben haber recabado tu consentimiento previo mediante casillas sin premarcar, además de facilitarte un procedimiento sencillo y gratuito para oponerte al tratamiento de tus datos si así lo deseas.
  • Las páginas, en este caso las tiendas online, no pueden tratar los datos de los menores de 14 años sin el consentimiento de sus padres o tutores.

Si quieres más información sobre este tema o de alguno de los puntos en concreto, te recomendamos la Guía de compra segura en Internet, donde encontrarás información añadida, por ejemplo, sobre el desistimiento, las garantías o qué hacer en el caso de haber recibido un producto defectuoso.

Cifrado y Privacidad: cifrado en el RGPD

/en /por

Cifrado y Privacidad: cifrado en el RGPD
dortega
Vie, 11/15/2019

El uso de cifrado o de técnicas de cifrado o criptográficas es un elemento básico de seguridad en la política de información de una entidad y, en particular, es una de las garantías adicionales que se pueden emplear para reducir el riesgo en el tratamiento de datos de carácter personal.

2019-11-15-cifrado

En el RGPD se encuentran referencias expresas al cifrado en el considerando 83, donde se establece que el cifrado es una de las medidas posibles que pueden emplear tanto responsables como encargados del tratamiento para mitigar el riesgo:

“Cons. 83. A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.”

En el artículo 6 “Licitud del Tratamiento” en el apartado 4, se establece, en su letra e), el cifrado como una de las garantías adecuadas para determinar la compatibilidad de un tratamiento para un fin distinto para el que se recogieron los datos:

“Art. 6.4 Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.”

En el artículo 32 Seguridad del tratamiento, en su apartado 1, letra a), incluye el cifrado como una de las posibles medidas de seguridad a adoptar tanto por responsables como por encargados:

“Art. 32.1 Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales

…”

Finalmente, en el artículo 34 “Comunicación de una violación de la seguridad de los datos personales al interesado”, en el apartado 3 letra a), se establece el cifrado como una de las medidas que, en el caso que se haya producido un acceso no autorizado, eximen de la obligación de comunicación de la brecha de seguridad a los sujetos de los datos comprometidos:

“Art. 34.3.   La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:

a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado.

…”

En la LOPDGDD, que complementa el RGPD, no se encuentran nuevas referencias al cifrado.  

En abril de 2018, el entonces Grupo del Artículo 29, ahora Comité Europeo de Protección de Datos, publicó una Declaración sobre el cifrado y su impacto en la protección de los individuos con respecto a la protección de sus datos personales en la Unión Europea. En el texto se considera el cifrado como un elemento capital para garantizar la privacidad de las comunicaciones y defiende la necesidad de implementar sistemas de cifrado robustos, eficientes y estandarizados para la protección de la privacidad de los ciudadanos europeos.

La Declaración establece el cifrado como un elemento necesario e irremplazable para garantizar la privacidad de la comunicación en Internet y que dicha protección ha de implementarse de extremo a extremo, es decir, directamente entre los usuarios finales sin elementos intermedios que tengan acceso a la información.

Dichos sistemas no pueden tener limitaciones en su rendimiento con el propósito de permitir la supervisión de las comunicaciones por las autoridades policiales o judiciales. La necesidad de levantar el velo de las comunicaciones para la investigación de actividades criminales no justifica la incorporación de vulnerabilidades secretas en los sistemas de cifrado, como claves maestras o puertas traseras.

Para terminar este post, el Dictamen 05/2014 sobre técnicas de anonimización del Grupo del Artículo 29 establece los límites del cifrado con relación a los datos de carácter personal:

“Las técnicas de seudonimización más utilizadas son las siguientes:

– Cifrado con clave secreta:

Ni el cifrado ni la codificación con clave sirven en sí mismos para que un interesado no pueda ser identificado, ya que aún se puede acceder a los datos originales o deducirlos, al menos si están en manos del responsable del tratamiento…

Es engañoso fiarse exclusivamente de la solidez del mecanismo de cifrado como medida del grado de anonimización de un conjunto de datos,…”

En definitiva, el uso de cifrado es una de las garantías que se pueden incorporar en un tratamiento para gestionar el riesgo, en particular cuando la comunicación se realice a través de Internet, cuando los datos personales se van a utilizar para un fin distinto de aquél para el que se recogieron, como técnica apropiada de seudonimización o cuando se ha producido una brecha de seguridad. Además, las aplicaciones de cifrado no pueden ver reducida su fortaleza por consideraciones de seguridad a cualquier nivel.

Sin embargo, hay que tener presente que la utilización de cifrado no elimina la naturaleza de dato de carácter personal, por lo que la información cifrada no es información anonimizada.

El Tribunal Supremo confirma la condena a una empresa por orientar una de sus cámaras simuladas de vídeo hacia una propiedad colindante

/en /por

La Sala Primera del Tribunal Supremo ha confirmado una sentencia de la Audiencia Provincial de Baleares que condenaba a una sociedad por intromisión ilegítima en la intimidad del demandante.

Dicha sociedad era propietaria de una finca contigua a la del demandante, con servidumbre de paso a favor de esta última. La sociedad instaló dos cámaras de seguridad que eran una simple carcasa alimentada por una batería, no aptas para grabar, y con una mera función disuasoria.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: PODER JUDICIAL

Brechas de seguridad: protégete ante la pérdida o robo de un dispositivo portátil

/en /por

Brechas de seguridad: protégete ante la pérdida o robo de un dispositivo portátil
dortega
Lun, 10/14/2019

En esta entrada destacamos algunas medidas, como el cifrado de dispositivos, que permiten limitar el impacto en caso pérdida o robo de dispositivos portátiles.

2019-10-02-seguridad

¿Qué riesgos supone el uso de estos dispositivos?

En un mundo totalmente globalizado e interconectado, es habitual en el día a día intercambiar información o tenerla disponible para poder utilizarla en múltiples localizaciones y de forma flexible, tanto a nivel personal como a nivel profesional.

El uso de dispositivos portátiles se ha popularizado por su gran versatilidad y precios asequibles, lo que nos facilita tener a mano los informes en los que estamos trabajando, la presentación que tenemos que realizar, fotografías, o en definitiva cualquier información que necesitemos utilizar de manera flexible desde diversos equipos. Teléfono inteligente, tableta y ordenador portátil son hoy en día herramientas imprescindibles en el trabajo.

De la principal ventaja de este tipo de dispositivos, que es precisamente la portabilidad, surge un factor de riego adicional muy importante, como es la posibilidad de pérdida o robo de estos dispositivos. Adicionalmente, no se debe olvidar que estos dispositivos, como cualquier otro dispositivo informático, se enfrentan a muchos otros tipos de riesgos que deberán ser tratados adecuadamente.

En caso de pérdida o robo de un dispositivo de este tipo estaremos ante una brecha de confidencialidad por posibles accesos indebidos a los datos almacenados en el dispositivo y/o brecha de disponibilidad en caso de no tener una copia recuperable de los datos. Precisamente, este tipo de brechas de seguridad  representa más del 20% de las notificaciones recibidas en la AEPD relacionadas con estos incidentes, por lo que resulta muy interesante poner de manifiesto qué medidas de seguridad pueden ayudar a mitigar las consecuencias negativas de la pérdida o robo de un dispositivo de este tipo.

Medidas de seguridad

Como norma general, y atendiendo a los principios establecidos en el RGPD, se deben minimizar los datos personales almacenados/procesados en dispositivos portátiles, utilizándolos para acceso remoto a los mismos en la medida de lo posible.

Hay tres medidas de seguridad particularmente efectivas para minimizar los posibles daños causados por una brecha de seguridad debida a la pérdida o robo de un dispositivo portátil.

  • El cifrado de los datos en el dispositivo es una medida efectiva para evitar el acceso no autorizado a los datos en caso de pérdida o robo. Es importante recordar que los datos personales, aunque estén cifrados, siguen siendo datos de carácter personal.
  • Mantener una copia de los datos en otro soporte o copia de seguridad es una medida efectiva para combatir la pérdida de disponibilidad de los datos.
  • Contar con una contraseña de bloqueo de pantalla y/o autenticación de usuario en el dispositivo igualmente robusta y conservada de forma segura. Esta última medida de seguridad no es aplicable a dispositivos de almacenamiento extraíbles.

Las tres medidas son importantes, cada una es efectiva sobre diferentes aspectos de la seguridad de los dispositivos, por lo que deben utilizarse de forma conjunta.

En teléfonos inteligentes y tabletas relativamente actuales, la opción de cifrado suele estar activada por defecto, pero es necesario comprobar que efectivamente está activada y que se ha seleccionado un clave de cifrado suficientemente robusta que debe ser mantenida de forma segura.

Para ampliar información sobre estas medidas de seguridad se puede consultar la Ficha 1 de la Guía de privacidad y seguridad en internet de la AEPD.

En todo caso, antes de utilizar dispositivos portátiles, cualquier organización debería regular en la política de seguridad su uso basándose en un análisis de los riesgos que presentan según las características particulares de los tratamientos de datos que realiza.

En la política de seguridad se debe establecer si se permite o no su utilización, y en caso afirmativo, cuáles son las medidas a aplicar para minimizar el riesgo, como por ejemplo establecer qué tipo de dispositivos se pueden utilizar; qué tipo de información se puede almacenar en estos dispositivos; las categorías de datos; establecer limitaciones de tamaño; autorizar únicamente aquellos que sean estrictamente necesarios; mantener un inventario de estos dispositivos; garantizar la seguridad de los dispositivos y/o equipos a los que se conectan; formar y concienciar a los empleados sobre los riesgos, así como de la necesidad de cifrar  y hacer copias de seguridad. Sobre todo, se debe ser consciente del riesgo de pérdida o robo de estos dispositivos y tener previsto un plan de actuación para poder responder lo más rápidamente y de forma efectiva.

Tanto la efectividad de las medidas aplicables, como la conveniencia de utilizar estos dispositivos o sustituirlos por otras soluciones, debe revisarse periódicamente dentro de los planes de gestión del riesgo de la organización.

¿Qué hacer en caso de pérdida o robo?

En cuanto tengamos indicios de la pérdida o robo de un dispositivo debemos empezar a actuar lo antes posible.

En caso de que el dispositivo contenga datos de carácter personal se tendrá que, como mínimo, hacer frente a las obligaciones establecidas en los artículos 33 y 34 del RGPD.  En general, el primer paso será poner el incidente en conocimiento del responsable de tratamiento para que se pueda activar el plan de actuación. El responsable tiene que saber exactamente qué información contenía el dispositivo y disponer de un plan de actuación para poder gestionar el incidente de seguridad.

En particular, si se trata de una brecha de seguridad que afecta a datos personales se deberá notificar la misma a la AEPD cuando exista un riesgo para los derechos y libertades para las personas físicas dentro del plazo de 72h desde que se conoce el incidente. Además, se deberá comunicar a los afectados cuando este riesgo sea alto.

La valoración de estas circunstancias y la decisión sobre notificar a la AEPD y a los afectados corresponde al responsable de tratamiento.

En general, para dispositivos de almacenamiento extraíbles, siempre que los dispositivos estén cifrados con un algoritmo criptográficamente fuerte, la clave de cifrado sea robusta y no se haya visto comprometida, y se disponga de una copia de seguridad de los datos, se podría considerar que la confidencialidad e integridad de los datos no están comprometidas y por tanto no es necesario notificar la brecha a la AEPD ni a los afectados, siempre y cuando el riesgo principal derive de la falta de disponibilidad de dicha información.

Para el caso de dispositivos con sistema operativo, como son teléfonos inteligentes, tabletas y ordenadores portátiles, habrá que considerar además si los mecanismos y las credenciales de autentificación de usuarios en el sistema operativo, o patrón/clave de desbloqueo en caso de teléfonos inteligentes y tabletas, son suficientemente robustas y no han sido comprometidas para tomar la decisión de notificar la brecha de seguridad.

En cualquier caso, los detalles de la brecha de seguridad deberán quedar registrados en el registro de incidentes de seguridad de la organización.

I Congreso Internacional ICT 2020 «El Derecho y la criminología ante la nueva era digital» Sevilla 20 y 21 de enero de 2020

/en /por

La Universidad Loyola Andalucía celebra los días 20 y 21 de enero de 2020 en Sevilla el I Congreso Internacional ICT 2020 para identificar y analizar los desafíos suscitados por la revolución tecnológica digital.

Una excelente oportunidad para profundizar en los retos que esta nueva era plantea al Derecho y a la Criminología con la ayuda de un destacado grupo multidisciplinar de expertos, y para la creación y consolidación de redes científicas y profesionales de colaboración.

Puede encontrar toda la información del Congreso en: https://www.ict2020.es/