¿Qué puede hacer una cámara térmica o un control de fiebre en locales y comercios contra el coronavirus y cómo se manejan los datos que obtendría?

Con las nuevas fases de desescalada llegan nuevas incógnitas sobre cómo se va a reanudar la actividad económica y social y qué puede hacer la tecnología para ayudar en el proceso. En algunas informaciones se habla ya de la toma de la temperatura para entrar a ciertos comercios y locales e incluso de la instalación de cámaras térmicas que lo hagan de manera automatizada. Desde la perspectiva de la protección de datos, este asunto es algo delicado, sobre todo en el ambiente laboral y en las medidas tomadas para los empleados, y a nivel epidemiológico no es la práctica más avalada tampoco.

La Agencia Española de Protección de Datos (AEPD) habla de ese último punto para explicar los supuestos en los que se podría utilizar esta tecnología de una manera que no sea de lo más intrusiva: si hay que hacerse, que se haga, pero que al menos tenga el visto bueno de las autoridades sanitarias y que esté contemplado el uso que se le va a dar a los datos de salud que se recojan sobre esta práctica. Ya se ha denunciado ante este organismo a alguna empresa por esta práctica al considerar que vulnera derechos.

Las evidencias epidemiológicas sobre el control de la temperatura corporal como factor decisivo continúan siendo escasas

La Organización Mundial de la Salud (OMS) se pronunció sobre la eficacia de los escáneres térmicos para detectar a personas infectadas con COVID-19. Dice que los escáneres térmicos son efectivos a la hora de detectar personas que han desarrollado fiebre como consecuencia del nuevo coronavirus, pero no pueden detectar a las personas infectadas que aún no presentan fiebre (algunas personas infectadas tardan entre 2 y 10 días en tener fiebre). Y no solo eso, sino que hay muchas personas que no llegan a tener fiebre pero sí desarrollan otros síntomas o que "la disimulan mediante el uso de antipiréticos".

Los métodos o aparatos por los que se mide la temperatura también son importantes, porque pueden dar resultados más o menos precisos sobre la temperatura, y tampoco hay, por el momento, ninguna directriz fijada sobre qué temperatura deberían tomar (hipotéticamente) los empresarios que introdujeran estas medidas y tecnologías.

“La fiebre, en sí misma, no es indicativa de COVID-19 ni de ninguna enfermedad concreta. Es síntoma y signo de múltiples enfermedades, no solo infecciosas”, aclaran desde el grupo de comunicación de la Sociedad Española de Microbiología a Maldita Tecnología.

Es necesaria esta especificación porque, como señalan, el principal problema epidemiológico “son los portadores presintomáticos y asintomáticos, que no tienen fiebre y escaparían a este control” y a cualquier otro basado en síntomas: “Un control de temperatura no garantiza en ningún momento que no pasen personas contagiosas sin síntomas o con sintomatología leve. Por el contrario, es posible detectar como sospechosas a personas que no padecen COVID-19”.

Sí que consideran que en un “escenario pandémico de vigilancia epidemiológica exhaustiva” tomar la temperatura puede ser “útil” como un “cribado sencillo para, de una forma muy inespecífica, detectar posibles casos activos de infección”. La cuestión es que a nivel privado y de pequeños negocios podría no ser “procedente” debido a la “falta de competencia de los propietarios para interpretar este síntoma inespecífico”, según señalan.

“El control de temperatura sin prescripción por parte de la autoridades sanitarias no está recomendado en ninguna de las circunstancias”, resume Jesús Molina Cabrillana, secretario de la Sociedad Española de Medicina Preventiva Salud Pública e Higiene y jefe del servicio de Medicina Preventiva del Complejo Hospitalario Universitario Insular Materno Infantil de Las Palmas de Gran Canaria. “La fiebre puede tener diversos orígenes (no solo las infecciones), puede verse afectada por antitérmicos y no siempre está presente en COVID”, explica.

Cuando comenzó la pandemia, este tipo de controles se implantaron en aeropuertos y puertos de algunos países, y ya entonces varios estudios determinaron que es un método con baja efectividad y un problema para el caso de los falsos negativos. 

¿Mi temperatura corporal es un dato personal?

La temperatura corporal y un posible síntoma de fiebre o febrícula es un dato propio de salud que no puede tratarse a la ligera. En el Reglamento General de Protección de Datos (RGPD) este tipo de información goza de una protección especial.

“Este tratamiento de toma de temperatura supone una injerencia particularmente intensa en los derechos de los afectados. Por una parte, porque afecta a datos relativos a la salud de las personas, no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus”, afirma la AEPD en un comunicado emitido el 30 de abril.

Aquí se añade la preocupación de que la temperatura corporal, aislada de otro tipo de información, no tiene por qué revelar la identidad de una persona, pero sí produce cierto estigma al darse por hecho que con síntomas de fiebre esta padece COVID-19: “las consecuencias de una posible denegación de acceso pueden tener un importante impacto”, se explica.

La AEPD incide en que “estas medidas deben aplicarse sólo atendiendo a los criterios definidos por las autoridades sanitarias”, tanto en lo relativo a la “utilidad” que pueda tener como en su “proporcionalidad”. Y que “esto es especialmente aplicable en los casos en que la toma de temperatura se realice utilizando dispositivos (como, por ejemplo, cámaras térmicas) que ofrezcan la posibilidad de grabar y conservar los datos o tratar información adicional, en particular, información biométrica.”

Medidas aparte: ¿pueden las empresas hacer esto? “En España, las empresas tienen el deber de proteger la salud de sus trabajadores, velar por la salud de los empleados y sí están legitimados para llevar a cabo determinados tratamientos, pero con algunas particularidades”, explica Ruth Benito Díaz, abogada especializada en protección de datos y miembro de CovidWarriors.

Y bajo ese supuesto, recogido en el art. 22.1 de la Ley de Prevención de Riesgos Laborales, es como la AEPD afirma que esta recogida de datos podría justificarse jurídicamente: porque los empleadores tienen que garantizar la seguridad y la salud de las personas trabajadoras. En principio, los datos de salud “los deben poder manejar únicamente personal sanitario, mutuas o los servicios de prevención de riesgos laborales, pero no la empresa en sí”, añade Benito Díaz.

Jorge García Herrero, abogado especializado de Secuoya Group, sostiene que “cualquier control sobre el trabajador debe ser fundamentado documentalmente como necesario, proporcional y limitado” y que “cualquier medida de control de estas características realizada por la empresa a través de personal propio sobre toda la masa de trabajadores debería venir precedida de una evaluación de impacto en privacidad”. Lo que viene a decir que si la medida es estrictamente necesaria, bien. Pero que si no, habría que plantearse una alternativa.

Sanidad no ha transmitido ninguna recomendación a los comercios de implantar estas medidas de control

A 5 de mayo, el Ministerio de Sanidad no ha transmitido ninguna recomendación a los locales y establecimientos que pueden ir abriendo en las distintas fases de desescalada sobre la toma de temperatura corporal. Si bien en lo que respecta a determinados comercios y servicios en una de las órdenes ministeriales del Boletín Oficial del Estado (BOE) se habla de establecer “el aforo máximo y las distancias mínimas que es necesario respetar”, así como medidas para garantizar la seguridad, no hay nada especificado sobre impedir el acceso si alguien tiene fiebre. Desde el departamento también han confirmado que no hay ninguna recomendación al respecto.

En el artículo 3 de la Orden SND/388/2020 del 3 de mayo, además se especifica los casos en los que un trabajador no podrá incorporarse a su puesto de trabajo en un establecimiento comercial:

Y en el caso del acceso de clientes que acudan a los establecimientos que abran, se fijan las siguientes pautas a cumplir:

¿Puedo negarme a que me tomen la temperatura si me lo piden en un establecimiento?

Es la gran pregunta, en vista de que muchos establecimientos pueden implantar este sistema si así lo consideran. En el caso de los trabajadores, se deben cumplir una serie de requisitos para que la empresa pueda hacer un reconocimiento médico que incluya la toma de temperatura en el marco de la pandemia de COVID-19: que la medida sea proporcional, idónea y necesaria y que cuente con el consentimiento de los trabajadores o de los representantes de los trabajadores, en su defecto.

Fabián Valero, abogado especialista en derecho laboral en el grupo Zeres, explica que hay dos derechos fundamentales que están en conflicto en este caso: el derecho a la intimidad y el derecho a la vida e integridad física. Ninguno desaparece al firmar un contrato con una empresa, pero sí que te integras en una estructura empresarial cuya dirección podrá organizar tu trabajo y determinar ciertas medidas.

Según el artículo 4 y 5 del Estatuto de los Trabajadores, los trabajadores tienen derecho a una protección efectiva de la salud y una prevención de riesgos laborales adecuada, pero también tienen la obligación de acatar instrucciones de la empresa. Frente a una pandemia que puede afectar al colectivo de los trabajadores, el reconocimiento médico se podría hacer solo con los tres requisitos, según Valero, entre ellos determinar si la medida es “idónea”, “proporcional” y “necesaria”. Si cumple con esos tres supuestos, podría hacerse si el trabajador lo consiente.

Y si no, con "una excepción, que dice que una situación de riesgo inminente o grave para el resto de trabajadores, para el propio trabajador o terceros, la empresa puede hacer un reconocimiento médico, con previo informe de los representantes de los trabajadores”, explica Valero.

Si soy un cliente, la situación puede ser complicada, sobre todo si es a través de una tecnología como una cámara térmica, que probase que tengo una temperatura corporal elevada y que luego se me identificase, en consecuencia. La AEPD no lo categoriza de ilegal siempre y cuando se haga una evaluación apropiada de la medida y se integre la protección adecuada al tratamiento de los datos personales obtenidos.

“En el caso de la comprobación de la temperatura corporal como medida preventiva de la expansión de la COVID – 19, esa base jurídica no podrá ser, con carácter general, el consentimiento de los interesados”, explica la AEPD. Con eso se refiere a que las personas afectadas que quieran entrar a un establecimiento que impone esta norma no podrían negarse a someterse al control de temperatura, por ejemplo, por lo que tampoco existiría la “libertad” de dar nuestro consentimiento para hacerlo. O lo tomas o lo dejas.

#coronavirus #covid19 #agenciaespañoladeprotecciondedatos #protecciondedatos #coronavirustemperaturacorporal

Fuente: Maldita

Facua llevará ante la AEPD a Google

La brecha de datos que sufrió Google+ en agosto de 2018, que afectó amás de 500.000 usuarios y que ha terminado con el cierre de la red social(previsto para dentro de 10 meses) tendrá sus consecuencias en España. Porque Facua-Consumidores en Acción ha decidido denunciar este incidente ante laAgencia Española de Protección de Datos (AEPD).Desde la organización argumentan quedatos como nombres de usuario, correos electrónicos, direcciones, fotografías y todo tipo de información sensible habrían podido estar expuestos durante los últimos tres años, a pesar de que la multinacional ha asegurado que las publicaciones y los mensajes no han sido filtrados.

Según asegura Facua en un comunicado, teniendo en cuenta el alto número de cuentas que se han visto afectadas, “con gran probabilidad se habrá producido el acceso no autorizado a datos de consumidores residentes en España, donde la red social tiene mucha presencia”. Para justificar la demanda, la organización recuerda que elReglamento Europeo 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, recoge que el tratamiento de sus datos personales solo será lícito si “el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”, entre otros.

Asimismo,el artículo 32 de la misma normativa establece que “el responsabley el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”, entre otras,“la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”.

De igual forma, Facua también invoca a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)que indica que los responsables de los ficheros, Google en este caso, “deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Además, tanto el Reglamento como la LOPDprohíben el tratamiento de datos personales que revelen el origen étnico y racial, las opiniones políticas y las convicciones religiosas o filosóficas, entre otras, salvo consentimiento expreso y por escrito del interesado. Facua entiende que, dado el carácter de una red social como Google+, caben muchas posibilidades de que los datos personales que fueron filtrados entren en esta categoría de‘ especialmente protegidos’,teniendo en cuenta el tipo de información que suelen subir los usuarios a las redes sociales”.

Segundo gigante ante la AEPD en pocas semanas

Google+ no ha sido la única red social que Facua ha llevado ante la AEPD en los últimos tiempos. De hecho, Facebook también fue denunciada por la brecha de datos que hace escasas semanas dejó a merced de los cibercriminales los datos yperfiles de 50 millones de usuarios.La organización pidió un expediente sancionador porque entiende que los supuestos autores de este ciberataque masivo“podrían haber sustraído datos personales de terceros recogidos en Facebook, en cuyo caso habrían tenido acceso a informaciones personales de millones de ciudadanos”.

Fuente: computerworld

Las cámaras para controlar la temperatura a los clientes en las tiendas se multiplican ante el silencio de Sanidad sobre la posible vulneración de derechos

El Corte Inglés planea tomar la temperatura a sus clientes mediante cámaras termográficas.  Mientras la compañía mide sus pasos, crece la incertidumbre sobre este tema.

La Agencia Española de Protección de Datos (AEPD) advertía hace días con este comunicado que el uso de estas cámaras genera un "importante impacto" en la privacidad de las personas. Además, el organismo de control lamentaba que grandes empresas y establecimientos de todo tipo estaban adoptando iniciativas como esta sin la "determinación previa" del Ministerio de Sanidad.

El Gobierno, por ahora, ni confirma ni desmiente si recomendará implementar estas cámaras térmicas. "Las decisiones que se vayan tomando se irán comunicando", zanjan fuentes del Ministerio.

Con todo, la AEPD incide en que este tipo de actuaciones deben esperar a lo que diga Sanidad. "Hay un porcentaje de personas contagiadas sin síntomas que no presenta fiebre", remacha el texto, que recuerda que además "puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus".

De hecho, el organismo de control asegura que estas medidas se han de aplicar con criterios sanitarios también por "proporcionalidad". "Hasta qué punto es esa utilidad —la de las cámaras termográficas— suficiente para justificar el sacrificio de los derechos individuales que las medidas suponen, (...) y hasta qué punto se podrán sustituir por otras menos intrusivas".

La AEPD teme que el uso de este tipo de cámaras, capaces de detectar la temperatura corporal de la gente, provoquen señalamientos públicos. Un ejemplo es cuando se impida el acceso a un establecimiento por presentar fiebre: la agencia entiende que se estaría "desvelando a terceros" que la persona afectada "puede haber sido contagiada por el virus".

Lo cierto es que no hay normativa específica que ampare el uso de cámaras termográficas en establecimientos para controlar a clientes, por lo que las empresas como El Corte Inglés y otros tantos establecimientos comerciales —incluyendo empresas municipales de ayuntamientos como el de Córdoba— que plantean hacer uso de ellas podrían acabar encontrándose con que no pueden implementar dicha tecnología.

¿Es la temperatura corporal un dato personal?

Está claro que la "nueva normalidad" que impone la crisis del coronavirus supondrá, irremediablemente, profundos cambios en los hábitos y la asunción de nuevas normas. Pero todavía no está del todo claro cómo afectará el uso de estas cámaras térmicas a la privacidad de los ciudadanos.

Es necesario precisar que la temperatura corporal puede entenderse como un dato personal. Lo explica nítidamente el experto en privacidad, el abogado y consultor Borja Adsuara: "Un dato personal es un dato asociado a una persona física, sea esta identificada o identificable". Si hay una cámara termográfica apuntando a una marabunta de gente, no se está llevando a cabo un tratamiento de datos.

Sin embargo, la implantación de estas cámaras para controlar el acceso a recintos cerrados sí podría significar un tratamiento de datos que ahora mismo no está regulado: de ahí el comunicado de la AEPD que pide, con urgencia, pautar y regular la implantación de estos instrumentos.

El también abogado Daniel López Carballo, de ECIJA, defiende que la temperatura no es necesariamente un dato personal que tenga que ser tratado, pero puede darse el caso de que las imágenes de una cámara termográfica se puedan asociar con las imágenes que se obtengan con otra tecnología, por ejemplo una cámara de vigilancia. En ese caso, Adsuara detalla que esa persona pasa a ser "identificable".

Lo que dice la AEPD en esencia es que si utilizan la temperatura corporal detectada por una cámara termográfica para impedir el acceso de una persona, esta persona se verá expuesta frente a todo el mundo que guardase cola. Todos sabrán que se trata de una persona cuya temperatura corporal es anómala. En realidad, esto no significa que sea una infectada por COVID-19: la fiebre puede ser ocasionada por otras causas.

En el trabajo sí se ampara tomar la temperatura a los empleados

Otra cuestión es el ámbito laboral. López Carballo incide en que si te toman la temperatura en tu puesto de trabajo, de facto estás identificado: como empleado. En este caso la toma de temperatura sí estaría amparada legalmente, considera el socio de ECIJA.

De hecho, la propia AEPD reconoce en un documento de preguntas habituales que "verificar si el estado de salud de los trabajadores puede constituir un peligro" es "obligatorio para el empleador", y que esta labor "debería ser realizada por personal sanitario".

Pero aquí impera otra realidad: "Este aspecto se antoja complicado al encontrarnos en diferentes empresas y comercios que no contarán con personal sanitario que pueda llevar a cabo estas funciones". López Carballo deduce que se podrá contar con el personal de la Seguridad Privada para acometer estas funciones.

Marzo piensa igual. "El personal de seguridad sí está sujeto a una obligación de sigilo profesional —similar a la de los sanitarios— por su propia normativa sectorial", detalla. También se pregunta que "cómo es posible" que la autoridad de control no concrete más este supuesto.

De momento, en el ámbito laboral, lo único que la AEPD ha dicho es que las tomas de temperatura "deben respetar la normativa de protección de datos, obedecer a la finalidad específica de contener el coronavirus, y no extenderse a otras finalidades distintas".

Fuente: businessinsider

Distintos bancos han empezado aalertara sus clientesde la posibleclonación de las tarjetas de crédito y débitoque han usado para comprar vuelos deAir Europa, por lo que les han instado abloquearlas y a revisar sus cuentaspara comprobar que no tienenningúncargo sospechosoen los últimos meses.

Según han explicado los clientes, hoy mismo les ha llegado unsms alertando delproblema de seguridadque puede haber dejado al descubierto los datos de sus tarjetas, que han podido ser duplicadas. Una de estas entidades esColonya Caixa Pollença, que ha remitido entre los posibles afectados el siguiente mensaje:"Su tarjeta está afectada por un compromiso de seguridad de un comercio ajeno a Colonya. Contacte con su sucursal para bloquear la citada tarjeta". Así, además de ofrecer la posibilidad de bloquear las tarjetas afectadas, los bancos han pedido a sus usuarios que compruebensus cuentas vinculadas a estas tarjetaspara ver si detectan algún cargo irregular.

Diversas fuentes afirman que la compañía afectada poresta fuga de datos es Air Europa.Si bien desde las entidades en ningún momento han mencionado ante sus clientes al responsable de esta brecha de seguridad, muchos de estos usuarios han deducido que setrataba de Air Europapor haber utilizado la tarjeta solo en compras de vuelos de esta aerolínea.

En estos momentos, los bancos y la aerolínea trabajan conjuntamente para solventar este error,para el cual las entidades ya han puesto en marcha todos los protocolos de seguridad.

Fuente: diariodemallorca

El 26 de marzo, portales internacionales dieron a conocer la aprobación del Parlamento Europeo de la nueva ley de copyright. Algunos lo consideraron un "día negro para internet", la catalogaron de "polémica" y hasta ya le dicen adiós a los memes en redes sociales. Pero, ¿de qué se trata esta nueva ley? ¿Por qué tiene en vilo a los internautas? La nueva normativa, conocida como la ley de copyright fue aprobada por el Parlamento Europeo con 348 votos a favor y 274 votos en contra.

El argumento a favor explica que "con esta nueva legislación, los gigantes de internet dejarán de lucrarse a costa del trabajo de periodistas y artistas que distribuyen sin remunerarles. Las nuevas normas buscan proteger los derechos de los creativos en el entorno digital y afectan a operadores como YouTube, Facebook y Google News".

Así, los artículos 11 y 13 (artículos 15 y 17 de la nueva ley); el primero afecta a buscadores y productores de noticias, mientras que el segundo se dirige a plataformas de contenido como YouTube. Estas plataformas deberán reforzar sus algoritmos para desarrollar un sistema que impida la publicación de cualquier contenido que contenga recursos con copyright.

La mayor parte de eurodiputados populares y socialdemócratas, y liberales votaron a favor del texto y destacaron el hecho de que los creadores europeos vayan por fin a recibir remuneración por su trabajo.


La contraparte: "Internet pierde su esencia"

El Artículo 11 (ahora 15), sobre usos digitales de las publicaciones de prensa, establece la implementación de una especie de tasa Google o Canon AEDE (Asociación de Editores de Diarios Españoles), dos tipos de impuestos diferentes.

Los editores de publicaciones de prensa podrían gestionar sus derechos de autor, cobrando o no, a quienes les enlacen o les usen de fuente, un importe por hacer uso de dicha información con derechos de autor.

En tanto el Artículo 13 (ahora 17), sobre la vigilancia de contenidos protegidos por parte de proveedores, obligaría a las plataformas de contenidos a monitorear lo que los usuarios suben para comprobar si se violan o no los derechos de autor.

Cada servicio tendría que crear un sistema tipo Content ID de YouTube que permitiría detectar violaciones de los derechos de autor. No solo de música, sino de cualquier contenido. Sitios como Wikipedia -una excepción según la UE- o GitHub que abogan por la información compartida, estarían entre los afectados.

Este artículo señala en su apartado 1 que "los proveedores de servicios de la sociedad de la información que almacenen y faciliten acceso público a grandes cantidades de obras u otras prestaciones cargadas por sus usuarios adoptarán (...) las medidas pertinentes para asegurar el correcto funcionamiento de los acuerdos celebrados con los titulares de derechos para el uso (...) o para impedir que estén disponibles en sus servicios (...)".
 
Se incluye "el uso de técnicas efectivas de reconocimiento de contenidos". Estas técnicas sugeridas por la propia directiva serán, señala el apartado 3 del artículo, "adecuadas y proporcionadas, teniendo en cuenta en particular, la naturaleza de los servicios, la disponibilidad de las tecnologías y su eficacia a la luz de la evolución tecnológica".

De esta forma, "los sitios que permitan a los usuarios publicar textos, sonidos, códigos, imágenes fijas o en movimiento u otras obras protegidas por derechos de autor para consumo público tendrán que filtrar todas las contribuciones de sus usuarios mediante una base de datos de obras protegidas por derechos de autor". En esa definición entrarían desde Twitter a Wikipedia, pasando por foros o comunidades.

Carlos Sánchez Almeida, especializado en delitos informáticos e internet y director legal de la PDLI, considera la propuesta actual como "un agravio comparativo a favor de los titulares de derechos de autor".

No obstante, el texto aprobado por mayoría en el Parlamento deberá ser adaptado a la legislación de cada uno de los países miembro en un máximo de dos años. Y es precisamente aquí donde cada país decidirá qué partes de la reforma incluye o deja fuera de su normativa nacional.

#SaveYourInternet

Los más de cinco millones de firmas en change.org no fueron suficientes para que se detuviera la votación de la nueva ley. Y aunque la normativa ya fue aprobada, las firmas siguen llegando, con miras de alcanzar los seis millones.

#protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro #leycopyright

Fuente: todotvnews

Cómo mejorar la seguridad en Internet en 10 pasos

La seguridad en Internet está amenazada por todo tipo de malware, el robo de datos o la invasión a la privacidad. La era de la movilidad, la domótica, el coche inteligente o la Internet de las Cosas, han aumentado enormemente los dispositivos conectados, la manera de alojar información y el modo de acceder a servicios y aplicaciones en línea de todo tipo con las que conectamos a diario centenares de millones de usuarios, aumentando los riesgos de seguridad para consumidores y empresas.

El auge de fenómenos como el BYOD, a pesar de sus múltiples ventajas, es todo un desafío para los departamentos TI ante la multiplicación del número de dispositivos que se conectan a las redes empresariales y tienen acceso a los datos corporativos. Más aún, el aumento del teletrabajo y tele-estudio por la pandemia del coronavirus ha complicado la situación de la ciberseguridad al sacar fuera de las redes perimetrales empresariales (generalmente mejor protegidas que las caseras) millones de equipos.

Seguridad en Internet

Conseguir el 100% de seguridad y privacidad en una red global y en un mundo tan conectado es simplemente imposible a pesar de la mejora de la protección por hardware y software implementada por fabricantes de equipos y proveedores de sistemas y aplicaciones.

Sin embargo, desde el apartado del cliente podemos y debemos aumentar la protección observando una serie de consejos como los que te vamos a recordar en este artículo y que incluyen el fortalecimiento de las cuentas on-line, aplicaciones, equipos y las precauciones debidas en el uso de Internet y sus servicios. Y mucho, mucho sentido común.

1- Protege los navegadores

Todos los navegadores web incluyen características avanzadas de seguridad cuya activación debemos revisar y configurar porque son las aplicaciones con las que accedemos a Internet y sus servicios. Además de revisar el cifrado de extremo a extremo en la sincronización o el aislamiento de procesos (sandbox), debemos prestar atención a los avisos sobre sitios inseguros. También debemos revisar las extensiones instaladas porque algunas son fuente frecuente de introducción de malware.

Para mejorar la privacidad, nada mejor que usar el modo incógnito, una función que hoy ofrecen todos los grandes proveedores como sesión temporal de navegación privada que no comparte datos con el navegador, no guarda información sobre páginas web, ni historial de navegación, caché web, contraseñas, información de formularios, cookies u otros datos de sitios web, borrando éstas u otros archivos temporales cuando finalizamos la sesión.

2- Gestiona bien las contraseñas

Las violaciones masivas de la seguridad de los servicios de Internet están a la orden del día y con ello millones de contraseñas quedan expuestas. La realidad es que las contraseñas son un método horrible tanto en seguridad como en usabilidad, pero hasta que no se consoliden métodos más avanzados que tienen que llegar de la identificación biométrica, tenemos que seguir utilizándolas.

La regla de oro es tener una contraseña fuerte y distinta para cada sitio web. Las contraseñas largas y aleatorias previenen los ataques de fuerza bruta y el uso de una contraseña diferente para cada cuenta evita tener todas ellas comprometidas a la vez cuando se produce una violación de datos. Los gestores de contraseñas que sean capaces de generar y recordar decenas de contraseñas, son una buena herramienta para reducir los errores humanos.

3- Usa la autenticación de dos factores

La autenticación de dos factores (o en dos pasos) proporciona un nivel adicional de seguridad en las cuentas ya que no basta con vulnerar el nombre de usuario y contraseña. El servicio está disponible en la mayoría de servicios importantes de Internet y conviene utilizarlo siempre que podamos.

Generalmente, utiliza un código de verificación servido mediante una aplicación móvil o SMS, como un mecanismo para confirmar la identidad del usuario pero añadiendo seguridad adicional al uso de las contraseñas. Este método, dificulta enormemente los ciberataques, especialmente los de ‘fuerza bruta’.

4- Utiliza soluciones de seguridad

Sistemas operativos como Windows incluyen la solución de seguridad nativa Windows Defender como protección básica para un consumidor. Es lo mínimo que debemos usar o -mejor- apostar por los proveedores especializados que ofrecen un buen número de soluciones de seguridad, muchas de ellos gratuitas. Usuarios avanzados o profesionales deberían valorar el uso de una suite de seguridad comercial integral y también otras herramientas de seguridad como un firewall.

Sistemas de cifrado de datos como BitLocker, disponible en algunas ediciones de Windows, son de gran utilidad para usuarios empresariales, ya que permite cifrar o “codificar” los datos de un equipo para mantenerlos protegidos haciendo frente a amenazas como el robo de datos o la exposición en caso de pérdida, el robo o la retirada inapropiada de equipos.

5- Actualiza sistemas operativos y aplicaciones

Todos los sistemas operativos tienen mecanismos automáticos o manuales para instalar actualizaciones de seguridad. Son parches de seguridad que se entregan cada cierto tiempo contra amenazas conocidas y son de obligada instalación.

Tan importante -o más- que lo anterior es la actualización de aplicaciones instaladas a las últimas versiones ya que éstas suelen incluir parches de seguridad. Cuando las versiones son más antiguas, tienen mayor riesgo de ser atacadas por ciberdelincuentes que encuentran vulnerabilidades en el programa, con especial incidencia en algunas como Java, Adobe Flash o Reader.

6- Cuidado con las redes inalámbricas gratuitas

Los puntos de acceso gratuitos se han extendido por múltiples zonas en poblaciones, zonas de restauración, aeropuertos, estaciones de tren o metro, hoteles y en todo tipo de negocios. Varios estudios han confirmado la inseguridad intrínseca de estas redes inalámbricas públicas y la facilidad de los ciberdelincuentes para aprovecharlas.

Deben evitarse siempre que se puedan optando por redes de banda ancha móvil dedicadas de mayor seguridad y en su defecto solo usarse para navegación intrascendente y ocasional, sin emplearlas para accesos a servicios delicados como banca on-line o aquellos que requieran autenticación real de usuario.

7- Usa VPN para mejorar la privacidad

El uso de redes privadas virtuales es una opción para los que buscan una mayor privacidad  y con ello mayor seguridad en Internet, ya que ocultan la dirección IP del usuario y redirigen el tráfico a través de un túnel VPN cifrado.

Ese grado de «invisibilidad» ofrece mejoras directas de seguridad contra ataques informáticos, de privacidad frente al robo de datos y la apropiación de identidades, y otras ventajas añadidas como proteger la identidad en línea, salvaguardar las transacciones electrónicas y compras por Internet o permitir seguridad en el uso de redes Wi-Fi públicas.

8- Valora las llaves de seguridad hardware para cuentas vitales

Para cuentas vitales, especialmente en entornos empresariales, conviene hacer una inversión adicional para proteger las cuentas usando un mecanismo de seguridad por hardware. Generalmente es un dispositivo en formato pendrive que se conecta a un puerto USB y contiene un motor de cifrado de alta seguridad.

Todo el proceso se realiza dentro del hardware y aunque no se han mostrado totalmente infalibles cuando utilizando conexiones por Bluetooth, por lo general aumentan enormemente la seguridad que logramos mediante software.

9- Utiliza copias de seguridad

Ya decíamos que la seguridad al 100% en una red global no existe y no sólo por el malware, ya que un error en el hardware puede provocar la pérdida de la preciada información personal y/o profesional. La realización de copias de seguridad es por tanto altamente recomendable para un usuario y profesional que pretenda proteger la información personal y corporativa de un equipo informático. además de ser una tarea de mantenimiento que contribuye a la salud del hardware.

Las copias de seguridad deben almacenarse en un dispositivo de almacenamiento externo al de nuestro equipo o en un servicio de almacenamiento en nube que ante cualquier ataque nos permita recuperar los datos.

10- Sentido común

La prudencia es una de las barreras preferentes contra el malware y conviene extremar la precaución contra ataques de phishing o ransomware que a poco que prestemos atención podremos prevenir, porque usan el descuido del usuario.

Para ello, debemos evitar la instalación de aplicaciones de sitios no seguros; la apertura de correos electrónicos o archivos adjuntos no solicitados que llegan de redes sociales o aplicaciones de mensajería; la navegación por determinadas páginas de Internet; o usar sistemas operativos y aplicaciones sin actualizar, que contienen vulnerabilidades explotables por los ciberdelincuentes en las campañas de malware.

Fuente: Muyseguridad

Coronavirus y protección de datos: cuando el interés público se impone a la privacidad

La detección precoz de los casos compatibles con covid-19 y la vigilancia epidemiológica para rastrear los sospechosos son claves para controlar la transmisión de la enfermedad, según el Ministerio de Sanidad. Y, por ello, la figura del rastreador se está revelando como primordial en la lucha contra la pandemia, ya que su labor, tirar del hilo, es esencial a la hora de contener la propagación del virus.

¿Cabe la posibilidad de que una autoridad sanitaria comunique a amigos, compañeros de trabajo o familiares que alguien está infectado del coronavirus? ¿Pueden los empresarios tratar la información de si sus trabajadores tienen, o han tenido, la enfermedad? ¿Tiene un empleado la obligación de informar a su empresa de que está en cuarentena preventiva o afectado por la covid-19? Ante la avalancha de preguntas y disparidad de opiniones, la propia Agencia Española de Protección de Datos (AEPD) publicó un informe hace unos meses para arrojar luz y total claridad en estos aspectos.

Cabe destacar que el derecho a la protección de datos tiene origen en el artículo 18 de la Constitución Española (“Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito”). Este derecho se mantuvo en vigor durante el estado de alarma, y por supuesto sigue vigente hoy día, una vez superada esa situación excepcional.

En su informe, la AEPD afirma que el Reglamento General de Protección de Datos reconoce que, en situaciones excepcionales como la actual, “la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público como en el interés vital del interesado y otra persona física”. Y es precisamente al reconocer la protección de esa “otra persona física” cuando se está legitimando el tratamiento de datos personales del individuo en aras de la protección al contagio de terceros. En consecuencia, el choque de derechos colectivos e individuales se resuelve en favor de la protección de la salud pública.

Conocimiento de una empresa

Así que sí, una empresa puede conocer de las autoridades sanitarias si uno de sus trabajadores está infectado o no, “para así diseñar los planes de contingencia necesarios” para salvaguardar la salud del resto. Dicha información “debería proporcionarse sin identificar a la persona afectada a fin de mantener su privacidad” si de este modo es posible proteger al resto del personal. Solo en el caso de que dicha protección no pudiera garantizarse con una información parcial, “o la práctica sea desaconsejada por las autoridades competentes, en particular las sanitarias”, se proporcionará la identificación.

La empresa también puede preguntar directamente a sus trabajadores, aunque dichas preguntas “deben limitarse exclusivamente a indagar sobre la existencia de síntomas”, o sobre si el empleado “ha sido diagnosticado como contagiado o sujeto a cuarentena”. Cuestionarios de salud más extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad, sí contravendrían la protección de datos del empleado.

¿Y puede la empresa pedir a sus empleados o a visitantes ajenos datos sobre países que hayan visitado anteriormente, o si presentan síntomas relacionados con el coronavirus? “Sí, siempre que la información solicitada se limite a preguntar por visitas a países de alta prevalencia del virus, y en el marco de incubación de la enfermedad”, las dos semanas anteriores a dicha consulta.

Y sí, los trabajadores afectados por la cuarentena deben informar su empresa y al servicio de prevención o a los delegados de prevención de que se encuentran en esa situación. Y es que el derecho de no informar sobre el motivo de una baja laboral por enfermedad queda “suspendido” frente a la defensa de otros derechos como el de la protección de la salud del resto de trabajadores en situaciones de pandemia y de la defensa de la salud de toda la población.

La toma de temperatura, a debate

Mención aparte merece para la Agencia Española de Protección de Datos la toma de temperatura en espacios y lugares públicos, ya que esta medida puede suponer un asalto injustificado a nuestros datos personales. La AEPD lo tiene claro: “Este tratamiento supone una injerencia particularmente intensa en los derechos de los afectados”. En concreto, porque “afecta a datos relativos a la salud de las personas, no solo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino porque, a partir de él, se asume que una persona padece o no una concreta enfermedad”.

Según la agencia, “una eventual denegación de acceso a un espacio público estaría desvelando a terceros, que no tienen ninguna justificación por conocer esta información, que la persona afectada tiene una temperatura corporal por encima de lo que se considera no relevante y, sobre todo, porque puede haber sido contagiada por el virus”. Por ello, Protección de Datos recuerda que hay “un porcentaje de personas asintomáticas que no presentan fiebre, que la fiebre no siempre es un síntoma presente y que puede haber personas que presenten elevadas temperaturas por causas ajenas al coronavirus”.

En el entorno laboral, la AEPD matiza que las pruebas de fiebre “podrían quedar amparadas en la obligación que tienen los empleadores de garantizar la seguridad y la salud de las personas trabajadoras a su servicio”.

¿Protegen nuestros datos las aplicaciones de rastreo de contagios?

En principio, sí. Radar Covid, por ejemplo, es una aplicación disponible ya en la tienda de aplicaciones de Google (App Store se sumará también) y está impulsada por el Gobierno. Notifica al usuario si ha estado en contacto con algún positivo diagnosticado, pero no recoge el nombre, correo electrónico, número de teléfono ni geolocalización de quien se la descarga. Dicho de otra forma, recoge los movimientos de forma anónima y alerta a quienes hayan estado próximos en caso de infección, sin indicarles en ningún momento la fecha, hora o lugar de exposición.

#agenciaespañoladeprotecciondedatos #protecciondedatos #informacionpersonal #covid19 #usoinapropiadodeinformacion 

Fuente: Heraldo

Leer nuestras noticias tiene...

¡¡PREMIO!!

Te acabas de llevar10 ENTRADAS para la feria del RAM de 2019. El PRIMERO que nos diga en la publicación de Facebook que las ha encontrado se las lleva!!¡¡CORRE!! 

** Solo se permite un premio por persona **

Es muy probable que en estos últimos días hayas oído hablar sobre el “timo de la multa del radar”. Si no sabes muy bien que es, debes estar atento porque todos los conductores estamos expuestos a esta nueva estafa. Coincidiendo con el aumento de los controles de velocidad que la DGT está llevando a cabo esta semana, los delincuentes envían mediante correo electrónico una supuesta multa por exceso de velocidad.

La Guardia Civil ha informado por redes sociales de esta nueva estafa: “El ‘timo de la multa del radar” consiste en el envío de un correo electrónico con un supuesto boletín de denuncia y un enlace para descargar la fotografía. Si pinchas en este enlace se instalará en tu pc un programa que robará tus contraseñas y datos bancarios. Ojo al _“Phishing”.

En un primer momento puede parecer real: la DGT aparece como remitente, la multa tiene todos los datos del infractor, y receptor del email, e incluye la foto tomada por el radar en el momento de la supuesta infracción. El problema está precisamente en la foto, a la que podremos acceder tras pinchar en un enlace que, aunque no lo sepamos, es malicioso. Tras hacer click en este, se descargará un archivo que permitirá a los estafadores acceder a todas nuestras contraseñas y claves, incluidas las que utilizamos para pagar con tarjeta y las de la cuenta bancaria.

Lo primero que tenemos que saber es que la DGT no envía las multas por correo eléctronico, sino que utiliza el correo certificado para notificar las infracciones. Se trata, por tanto de un nuevo caso de phising cuyo objetivo es robar todos tus datos. Si recibes un correo electrónico de este tipo, no pinches y bórralo cuanto antes. Además, para ayudar a captar a los delincuentes, se recomienda que te pongas en contacto con el Grupo de Delitos Telemáticos de la Guardia Civil. Y recuerda que a través de la web de la DGT puedes consultar las multas pendientes de pago.

Fuente: Internautas

Detenidas 22 personas, ocho en Mallorca, por estafar 108.000 euros con el método 'phishing'

Agentes de la Guardia Civil de Valencia, en el marco de la operación 'MUZIB', han detenido a 22 personas, 8 de ellas en Mallorca, por estafar presuntamente más de 108.000 euros a 61 perjudicados. Al parecer, los detenidos realizaban transferencias repetitivas, de no más de 500 euros en cada operación para no ser descubiertos, llegando incluso en algún caso a vaciar una cuenta con 8.000 euros en tan sólo 16 transacciones, según ha informado el Instituto Armado. 

Facebook mostrará a los usuarios los datos personales que cruza con otras webs

Facebook ha presentado una nueva funcionalidad que permitirá a sus usuarios conocer qué datos estaba recibiendo la red social de otras páginas y apps a las que accedía el usuario desde fuera de su entorno. Es decir, conocer qué información recopila Facebook de sus usuarios cuando navegan por páginas que no tienen nada que ver con su actividad en la red social, un extremo que la empresa en el pasado había negado que realizara y que ahora solo admite sobre web con las que "tiene acuerdos".

La implantación llega tras las multas de varios organismos europeos, entre ellas de la Agencia Española de Protección de Datos (AEPD), a la empresa de Mark Zuckerberg por realizar estos trasvases sin permiso. La recopilación fue demostrada por un estudio de la universidad de Lovaina, que extendía la recogida de datos de la red incluso a usuarios que no tenían cuenta en ella gracias al Facebook Login (un sistema para registrarte en una página usando la cuenta de Facebook) o el Social Sharing (compartir en redes sociales).

La AEPD demostró que la red social recopilaba, almacenaba y utilizaba datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación con fines publicitarios directamente, mediante la interacción con sus servicios o desde páginas de terceros, "sin informar claramente al usuario sobre el uso y finalidad que le va a dar a los mismos, y ni siquiera los cancela de modo adecuado cuando un usuario se da de baja". 

Ahora, bajo el epígrafe “Actividad fuera de Facebook”, la empresa de Mark Zuckerberg promete que el usuario podrá acceder a un resumen de las apps y web que envían información sobre su actividad y eliminar esta información de su cuenta, si quiere.

Según la compañía, se trata de "ofrecer a las personas más transparencia y control en Facebook junto con nuevas actualizaciones en la biblioteca de anuncios, las actualizaciones en 'por qué veo este anuncio' y el lanzamiento de la nueva funcionalidad '¿por qué veo esta publicación?”. Esto es, según el propio Facebook, que si un usuario ha estado viendo anuncios de zapatos en una web, Facebook puede saber que le interesan los zapatos y enseñarle anuncios sobre ello.

Implantación gradual

Según la red social, esta recopilación permitirá que el usuario pueda "desconectar esta información de su cuenta" y elegir que Facebook no la recopile.  La funcionalidad, sin embargo, no será inmediata sino que comenzará a implantarse gradualmente a usuarios y por países. España estará entre los primeros, junto con Corea del Sur e Irlanda.

La empresa asegura que esta nueva función se ha implantado por presión de usuarios y legisladores, y señala que han "realizado investigaciones durante meses para recibir opiniones y sugerencias de personas en Facebook, expertos en privacidad, legisladores, anunciantes y grupos del sector".  Y señala que han tenido que ir adaptando la herramienta.

"Por ejemplo, cuando la función ya llevaba varios meses desarrollándose, nos pidieron una opción para desconectar la actividad futura en internet solo en empresas concretas, no necesariamente en todas a la vez. También escuchamos de expertos en privacidad que era importante tener la posibilidad de reconectar con aplicaciones o sitios webs especificos al mismo tiempo que mantenemos la actividad futura desconectada", afirman en un artículo firmado por dos directivos de la compañía, Erin Egan, directora de políticas de privacidad, y David Baser, director de gestión de productos.

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

Fuente: Elperiodico

Fallo de seguridad en Facebook deja al descubierto 50 millones de cuentas

No son buenos tiempos para Facebook, y no es para menos, ya que la red social ha sufrido un hackeo masivo a 50 millones de cuentas que puede provocar serias consecuencias en el prestigio de la compañía.

Poco después de conocerse el trato que Facebook da a tu número de teléfono, la misma se vio obligada a confirmar a través de un comunicado que había sido víctima de un ciberataque muy peligroso por culpa de un fallo de seguridad en la función "Ver como".

Un error en un código da vía libre a los hackers

La pesadilla de Facebook comenzó en la tarde del martes, 25 de septiembre, cuando su equipo de ingenieros descubrió que no todo estaba como debía. La seguridad de Facebook tenía un fallo grave y los piratas informáticos ya se habían dado cuenta de ello con anterioridad.

La situación era grave, ya que implicaba a 50 millones de cuentas, un número bastante importante del total de usuarios de la red social. Aunque la investigación aún sigue en curso, desde Facebook han querido informar ya a todos de los detalles del ciberataque.

Según leemos en el comunicado, todo procede de un fallo de seguridad en el código de la función "Ver como". Si no eres usuario de la red o no has utilizado esta herramienta, debes saber que la misma permite ver tu propia cuenta como si lo estuviese haciendo otro contacto.

Ese fallo en el código permitía a los hackers robar los tokens de acceso a Facebook, es decir, las claves digitales que posibilitan que un usuario no tenga que poner la contraseña siempre que accede a la app de la red social. De esta forma, los atacantes tenían libre acceso a las cuentas afectadas.

Llama la atención que Facebook reconoce que el problema se inició en julio de 2017,cuando introdujo cambios en la herramienta para subir vídeos a la plataforma. Esa reforma provocó fallos en "Ver como", aunque los hackers tuvieron que realizar un complejo trabajo para descubrirlos y aprovecharse de ellos.

Facebook asegura que el acceso a cuentas ha sido limitado

Vale, el fallo existía en el código de "Ver como", pero ¿qué han podido ver los hackers? Facebook ha hecho un llamamiento a la calma explicando que los atacantes no pasaron de las páginas de perfil de las cuentas, por lo que no entraron ni en fotos, ni mensajes privados ni información de tarjetas de crédito.

Sin embargo, es notorio que los hackers han estado atacando durante varios días aprovechando la falla en la seguridad de Facebook. Tal y como reconoce la compañía, descubrieron el error tras encontrar el 16 de septiembre que la actividad de los usuarios en "Ver como" era mayor de la habitual.

Como hace poco que comenzó la investigación, la compañía aún no puede confirmar si los hackers han accedido a algunos datos o los han utilizado para fines negativos. Pese al poco recorrido del estudio, ha avisado de que los responsables han podido acceder a apps como Instagram o Spotify si los usuarios afectados las utilizaban con su cuenta de Facebook.

Los propios responsables de la compañía han reconocido que este es el ciberataque más grave al que esta se ha enfrentado en toda su historia. No solo preocupan las 50 millones de cuentas afectadas ya, sino los posibles daños potenciales de un ataque tan peligroso.

¿Qué ha hecho Facebook al respecto?

Tras conocer dónde se originó el problema, es necesario saber cómo Facebook se ha enfrentado a tal hackeo. Tal y como asegura en el comunicado, el primer paso fue arreglar el fallo de seguridad e informar al FBI de lo que había sucedido, por lo que ya trabaja codo a codo con esta fuerza del orden.

En segundo lugar, Facebook ha restablecido ya los tokens de esas 50 millones de cuentas implicadas en el ciberataque. La misma medida tomará con otros 40 millones de perfiles que han participado en "Ver como" durante el mismo año y que podrían estar en peligro.

Esta decisión provocará que alrededor de 90 millones de usuarios tengan que volver a acceder con su contraseña la próxima vez que inicien sesión. Al hacerlo, podrán ver una nota explicativa de parte de Facebook en la que conocerán qué ha pasado exactamente con el hackeo.

Finalmente, la función de "Ver como" queda suspendida por el momento, hasta que se resuelva este grave problema. Facebook pretende informar de todo lo sucedido a sus usuarios, aunque es muy probable que ni la compañía descubra nunca a los culpables ni las consecuencias de sus actos.

"Quizá no lo sepamos nunca", ha afirmado Guy Rosen, vicepresidente de producto de Facebook. Tendremos que seguir atentos a las próximos capítulos de una película terrorífica para la compañía que demuestra que ninguno de sus usuarios está a salvo. Ni Mark Zuckerberg ni Sheryl Sandberg, jefa de operaciones de la compañía, cuyas cuentas están dentro de los 50 millones afectados.

Fuente: urbantecno, abc

Entre las brechas de datos masivas sucedidas en empresas sobradamente reconocidas y los repetidos escándalos protagonizados por Facebook, el 2018 fue el año en que la protección de datos personales empezó a generar titulares– y preocupación- en todo el mundo. Y como punto de inflexión entre todos estos casos está el GDPR, el nuevo Reglamento General de Protección de Datos europeo de obligado cumplimiento desde el 25 de mayo del año pasado.

Además de daños reputacionales, el GDPR conlleva importantes multas por incumplimiento, pudiendo alcanzar los 20 millones de euros o el 4% de los ingresos anuales de una empresa. El nuevo imperativo de ciberseguridad corporativa pasa de la remediación a la prevención y protección de los datos personales almacenados.Ya no vale con reaccionar una vez sufrida la exfiltración de datos, sino que para eludir el GDPR la única manera es su cumplimiento, anticipándonos a los incidentes sobre los datos de carácter personal (PII).

Ya a finales de 2018 empezaron a llegar las primeras sanciones. La más alta fue una multa de 400.000€ a un hospital portugués. Y esta semana, hemos sido testigos de la primera multa millonaria a una de las empresas de mayor facturación mundial: Google.

El CNIL (Comisión Nacional de Informática y Libertades), la agencia de protección de datos francesa, ha multado a Google LLC 50 millones de eurospor incumplimiento de las reglas del GDPR acerca de la transparencia y de la ausencia de una base legal válida de procesamiento de los datos personales destinados a fines publicitarios.

Está claro que el importe de la multa es mayúsculo. Sin embargo, está lejos de lo que podría haber supuesto para las arcas de Google ya que Alphabet, la empresa matriz, tenía ingresos de más de 97,5 mil millones de euros en 2017; por lo que la multa podría haber ascendido a 3,9 mil millones de euros.

Otro punto álgido en el caso es debido a que el GDPR establece que la investigación de un caso se tiene que llevar a cabo en el país donde la empresa investigada tenga su centro de acciones. Aunque la sede europea de Google está en Irlanda, la CNIL considera que esta sede no toma decisiones acerca del procesamiento de datos personales y que, por lo tanto, la queja es contra Google LLC en EE.UU.

Echando la vista atrás, vemos que el origen de las primeras quejas acerca de Google se remontan al mismo día 25 de mayo, minutos después de la entrada en vigor del reglamento, cuando la organización sin ánimo de lucro noyb.eu interpuso las primeras reclamaciones contra varias empresas, incluido Google. El grupo de derechos digitales francés la Quadrature du Net también registró una queja acerca de Google pocos días después.

Ambos reclamos están relacionadas con el consentimiento forzado; alegan que la empresa carece de una base legal sólida para procesar los datos personales de sus usuarios, ya que les obligó a consentir a un tratamiento de datos que éstos no entendían.

Según la CNIL, cuando un usuario crea una cuenta de Google en un móvil Android, reciben mucha de la información que requiere el GDPR – categorías de datos personales, los propósitos del procesamiento de datos, etc. – pero afirman que la información está “excesivamente diseminada entre varios documentos, con botones y enlaces que hay que seguir para tener acceso a la información.”

“Solo se puede acceder a la información relevante tras varios pasos, que a veces implica hasta 5 o 6 acciones,” dice la CNIL. También alega que la información ofrecida por Google es muy vaga y genérica a la hora de explicar a sus usuarios sobre cómo se usarán sus datos, y que hay una falta de información acerca de cuánto tiempo permanecerán almacenados. Otro problema era la casilla de “estoy de acuerdo con los términos del servicio de Google”, en vez de casillas con opciones más detalladas. La conclusión de la CNIL es que Google no tiene el permiso válido de sus usuarios, ya que el consentimiento no era ni “especifico” ni “inequívoco” como requiere el GDPR.

Fuente: Pandasecurity

Instalación de cámaras en plazas de garaje

En anteriores artículos hablábamos de la obligatoriedad de cumplir con la normativa en protección de datos por parte de las Comunidades de Propietarios y, en su caso, cuando se procede a la instalación de cámaras de videovigilancia y seguridad. Es decir, cuando las cámaras son instaladas en elementos comunes, pero, ¿Qué ocurre con las plazas de garaje?

Hay que diferenciar varios supuestos. En primer lugar, si las plazas se encuentran cerradas, garantizando no grabar zonas comunes, ni a personas que pudieran acceder libremente, puesto que, si acceden violentando o forzando la entrada, cometerían un delito y la grabación estaría legitimada para la denuncia de los hechos. Y, en segundo lugar, si, por el contrario, al estar abiertas cabe la posibilidad de que por ellas transite o pueda acceder personas, las cuales podrían ser grabadas, independientemente de que hayan invadido una propiedad privada.

En el primero de los supuestos, las plazas cerradas, se podría decir que la plaza de garaje es considerada una zona privativa, entendida como ámbito doméstico, lo cual, supone la eximente de aplicación del RGPD, por lo que no estaríamos obligados a cumplirlo, siempre y cando, se garantice no grabar zonas comunes, pasillo o carril de tránsito y circulación entre plazas, por ejemplo, cuando la persiana esté abierta.

En el segundo de los supuestos, plazas abiertas, el cual es el supuesto más habitual, al limitarse actualmente el cerramiento de plazas de garaje, la colocación de videocámaras está sujeta a la autorización previa de la comunidad de propietarios (recordemos que se necesita el voto favorable de 3/5) y, además, estaríamos obligados al cumplimiento de la normativa en protección de datos, por lo que se deben de tener en cuenta las recomendaciones de la Agencia Española de Protección de Datos, AEPD:

Si por tu plaza de garaje pueden pasar vecinos u otras personas -por ejemplo, el portero de la finca- aunque se trate de un espacio privado y tengas reservado su uso para tu vehículo, se considera un lugar de libre acceso y se aplican los requisitos recogidos en la Instrucción 1/2006 de la AEPD sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Pese a que tengas pensado instalar una videocámara dirigida exclusivamente a tu plaza de garaje es más que probable que captes, aunque sea tangencialmente, imágenes de espacios comunes o de las plazas colindantes, por lo que, en todo caso, deberás contar con el acuerdo de la comunidad de propietarios, recogido en acta, para poder efectuar dicha instalación.

Debes informar mediante carteles ubicados en una zona visible de que la zona está siendo videovigilada (la Agencia tiene un modelo de cartel que puedes utilizar). En el cartel debe indicarse claramente la identidad del responsable de la instalación. También debes informar de ante quién pueden ejercer sus derechos los afectados y dónde pueden hacerlo.

Las imágenes no se pueden conservar por más de un mes desde su captación. 

Fuente: Laregion

Intento de fraude por 'phishing' a los clientes de Correos Express

El Grupo de Delitos Telemáticos de la Guardia Civil (GDT) alerta de un fraude mediante phishing que intenta suplantar a Correos. A través de las redes sociales este departamento de la Benemérita, creado en 1996 y que investiga los delitos informáticos, se hace a su vez eco de una denuncia por parte de Correos Express.

Según esta algunos clientes reciben por correo electrónico un mensaje que persigue suplantar la identidad del servicio. Asegura que su pedido ha sido recibido y «está listo para su entrega, pero no hemos podido confirmar la dirección». A continuación se pide al usuario que verifique la identidad y dirección de entrega clicando en un enlace. Ese paso es justo lo peligroso y lo que deben evitar aquellos que reciban este mensaje.

Además, para presionar al cliente, se le dice que en caso contrario su paquete será remitido nuevamente al «enviador».

El anglicismo phishing remite a una fórmula bastante común y no necesariamente muy compleja de estafa electrónica. Literalmente los ciberdelincuentes que la utilizan buscan pescar información sensible del usuario, como datos personales, contraseñas o números de cuenta bancarios para poder obtener un beneficio ilícito.

Conllevan la instalación de programas dañinos para los terminales informáticos o teléfonos móviles que caen en sus garras, y es mediante un rastreo y seguimiento de esos dispositivos como se obtienen los datos útiles para sus espurios fines. Por tanto la recomendación de las autoridades para todos los que se encuentren con un mensaje sospechosos es borrarlo de inmediato, y jamás pinchar en los enlaces que contiene.

#agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

Fuente: Ultimahora

Una noche de verano para olvidar. Un cliente de un prostíbulo de s’Arenal finalizó la visita al club de alterne ebrio, sin 2.480 euros, semidesnudo y vestido con medias de mujer. La Fiscalía acusa a tres trabajadores del establecimiento de estafar al hombre y grabarle en una situación comprometida. El ministerio público reclama una condena de cuatro años de cárcel para cada uno de los sospechosos, dos mujeres y un hombre.

Los hechos se remontan a la madrugada del 27 de agosto de 2018. Los acusados, entre las 03.00 y las 05.30 horas, se aprovecharon del estado de embriaguez de la víctima, que solicitó una consumición y un servicio sexual por 300 euros.

Los trabajadores del local le cargaron, a lo largo de la madrugada, diversas cantidades en las tres tarjetas de crédito que portaba el perjudicado. Introducían el pin que les proporcionó y que servía para las tres tarjetas. En una de ellas, de débito, constan cargos de 220 y 610 euros. En otra, de crédito, faltaban 615 y en la última desaparecieron 1.335.

Los acusados, según la Fiscalía, grabaron al hombre sin consentimiento en el momento que firmó una de las operaciones de pago en estado de semiinconsciencia, semidesnudo y con medias de mujer.

Estafa y revelación de secretos

El ministerio público acusa a los tres trabajadores del prostíbulo situado en s’Arenal por un presunto delito de estafa y otro de revelación de secretos. Por el primero solicita una pena de un año de cárcel para cada uno y por el segundo pide tres años de prisión. Además, la Fiscalía reclama sendas multas de 20 meses a razón de 10 euros diarios.

Agentes de la Policía Nacional se hicieron cargo de la investigación de lo ocurrido. Los tres acusados, que deberán devolver al perjudicado la cantidad que supuestamente le estafaron, serán juzgados próximamente en Palma.

#protecciondedatos #usofraudulentodedatos #videovigilanciamallorca #grabarsinpermiso

Fuente: Ultimahora

La Agencia Española de Protección de Datos (AEPD) ha avisado de que la navegación privada o de incógnito no resulta efectiva para prevenir el seguimiento de los dispositivos (móvil, tableta, portátil u ordenador), "proyectando una falsa sensación de seguridad".

Así lo pone de manifiesto la Agencia en su estudio 'Fingerprinting o huella digital del dispositivo', donde aborda esta técnica de identificación y rastreo de los usuarios a través de sus dispositivos y para el que ha analizado más de 14.000 páginas web dirigidas al público español, describiendo las técnicas más utilizadas para realizar ese perfilado.

La huella digital del dispositivo es un conjunto de datos extraídos del dispositivo del usuario que permiten individualizar "de forma unívoca" dicho terminal. "Dado que lo habitual es que las personas no compartan sus equipos, individualizar el terminal supone individualizar a la persona que lo utiliza y, en consecuencia, poder realizar un perfil de la misma", añade

En este sentido, advierte de que el perfilado no se limita a recopilar y analizar los hábitos de navegación o las búsquedas que realiza, sino a extraer geolocalización, datos de configuración del sistema y las aplicaciones, programas instalados, movimientos del ratón, etc. La combinación de esta y otra información permite confeccionar una huella digital única del dispositivo que lo singulariza y, por lo tanto, diferencia de forma unívoca a cada usuario en internet.

El informe publicado en febrero, el organismo explica que muchos navegadores tienen la opción de navegación privada o de incógnito, una opción con la que los usuarios "tienen la sensación de que su navegación es segura y no será rastreable".

"Puede dar la sensación de que la navegación permite que el usuario esté protegido frente al uso de la huella digital, pero es una sensación de falsa seguridad, pues a las técnicas usadas en la confección de la huella les resulta transparente la navegación privada, ya que las características que chequea la huella son las mismas, con navegación privada o sin ella, y el equipo del usuario quedará igualmente individualizado. Así pues, en este sentido, la navegación privada no es efectiva", destaca

NI INFORMACIÓN NI CONSENTIMIENTO

El informe concluye que "con mucha frecuencia" se emplean estas técnicas para recoger datos del equipo del usuario "sin ofrecerle información y sin solicitarle su consentimiento", y que el conjunto de datos recabados "puede ser tan extenso, o enriquecerse de tal forma, que puede llegar a recoger incluso categorías especiales de datos".

Asimismo, el documento advierte de que, "en la mayoría de los casos", al usuario no se le proporcionan herramientas para poder evitar "de forma efectiva" la recogida de datos y no se le ofrecen medios para ejercer los derechos establecidos en el Reglamento General de Protección de Datos (RGPD) cuando se recogen o asocian a datos personales.

En este contexto, el organismo que lidera Mar España aconseja que los usuarios utilicen la opción 'Do not track' del navegador, que permite dejar constancia de que se quiere evitar el seguimiento; instalar bloqueadores que permiten eludir la publicidad y el rastreo; deshabilitar el uso de Javascript; alternar entre distintos navegadores o ejecutar el acceso a internet en máquinas virtuales.

En relación con los consejos para la industria, se ofrecen recomendaciones tanto para los desarrolladores de productos y servicios, como para aquellas entidades que explotan los datos obtenidos a partir de la huella del dispositivo.

Para las entidades que quieran explotar datos obtenidos a partir de la huella del dispositivo, la Agencia indica que el responsable del tratamiento debe abstenerse de recabar y tratar la huella y cualquier otro dato asociado a la misma si el usuario no ha dado su consentimiento. Además, agrega que toda aplicación de huella debería chequear el estado de la opción Do Not Track.

En términos generales, el estudio recomienda a las entidades que utilizan el fingerprinting contar con los servicios de un Delegado de Protección de Datos, y deberán realizar un análisis de riesgos de protección de datos relativos a los derechos y libertades de los afectados.

"Si de dicho análisis se deriva que el nivel de riesgo es elevado, será entonces obligada la realización de una Evaluación de Impacto para la Protección de Datos (EIPD) para establecer las medidas necesarias que garanticen la protección de los derechos de los usuarios", concluye.

#agenciaespañoladeprotecciondedatos #ttcsempresadeseguridad #protecciondedatos #leyorganicadeprotecciondedatos

Fuente: Lavanguardia

.

La AEPD las sanciona a dos tiendas Xiaomi ya que vulneran la protección de datos en España

Teknautas lo adelantó el pasado mes de septiembre: dos tiendas Xiaomi de Madrid habían dejado al descubierto datos de sus clientes, incumpliendo la Ley Orgánica de Protección de Datos (LOPD) y el nuevo Reglamento General de Protección de Datos (RGPD, o GDPR, por sus siglas en inglés). El hecho hizo que Facua denunciase a las tiendas ante la Agencia Española de Protección de Datos (AEPD), que acaba de imponerles una sanción.

Los datos de clientes, a la vista de todos

La infracción tuvo lugar en la Xiaomi Mi Store Sol (calle Carretas 5, junto a la Puerta del Sol) y en la Mi Store La Vaguada. En los móviles que había en exposición para sus clientes, las tiendas tenían configurada una cuenta de Gmail desde la que, a diario, enviaba la caja y facturación del establecimiento durante la jornada. Además, en los correos también aparecían los datos personales de los empleados de dichas tiendas, así como, en ocasiones, los de algunos clientes que habían comprado.

A Alfonso Jesús Cabezuelo, uno de los miembros de La Manada, le ha llegado una notificación de la Agencia de Protección de Datos: la apertura de un expediente sancionador de 150.000 euros por grabar y difundir un vídeo de la víctima durante la primera noche de los sanfermines de 2016, cuando sucedieron los hechos por los que fueron condenados a nueve años de prisión por abuso sexual con prevalimiento, a la espera de que se pronuncie el Tribunal Supremo.

La AEPD publica una guía con recomendaciones sobre protección de datos en la utilización de drones

La Agencia Española de Protección de Datos (AEPD), ha publicado la Guía Drones y Protección de Datos, que analiza las operaciones que se efectúan con drones distinguiendo entre las que no tratan datos, las que eventualmente podrían captar información y aquellas cuyo fin implica un tratamiento de datos personales, como en el caso de la videovigilancia o la grabación de eventos.

La guía pone de manifiesto cómo se ha generalizado el uso de drones en el ámbito civil y el crecimiento exponencial que está experimentando la utilización de estas aeronaves no tripuladas. Estos equipos son susceptibles de incorporar no sólo GPS y cámaras de vídeo sino también escáner 3D o sistemas de detección de dispositivos móviles, y su empleo puede suponer un impacto en el derecho a la protección de datos de las personas y, por extensión, una lesión de sus derechos y libertades.

El artículo 26 del Real Decreto 1036/2017, de 15 de diciembre, por el que se regula la utilización civil de las aeronaves pilotadas por control remoto, establece la obligación de adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad. La guía, publicada por la AEPD, proporciona orientaciones a los operadores de drones que registren o procesen imágenes, vídeos, sonido, datos biométricos, de geolocalización o de telecomunicaciones, entre otros, relacionados con personas identificadas o identificables para cumplir con lo establecido en el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018.

El documento está dividido en cinco secciones. Las tres primeras están dedicadas a los tipos de operaciones que se pueden llevar a cabo con drones, clasificándolos según el tratamiento de datos. Así, distingue un primer tipo que comprende operaciones con configuraciones muy básicas, que carecen o no hacen uso de dispositivos de captación de imágenes, sonido o cualquier otro tipo de información personal. En esta categoría podrían incluirse usos de ámbito recreativo o deportivo.

Un segundo tipo comprende casos como el empleo de drones para la inspección de infraestructuras, la confección de planos de terrenos u otros servicios de vídeo para cine, televisión o publicidad, en los que se puede producir una captura de datos personales de forma no intencionada. Una tercera posibilidad es que la finalidad para la que se usa el dron implique un tratamiento de datos personales de forma inherente. En los tres casos, la AEPD ofrece recomendaciones para aficionados y para operadores profesionales de drones, tanto en aquellos casos en los que decidan sobre la finalidad del tratamiento de datos como en los que llevan a cabo un encargo de tratamiento.

Consejos previos

La guía destina un apartado específico a ofrecer recomendaciones previas al manejo de un dron cuando sea de aplicación la normativa de protección de datos personales. Entre ellas, valorar la necesidad de evaluar los riesgos que pueda implicar el tratamiento para los derechos y libertades de las personas y, si fuera necesario, realizar una evaluación de impacto sobre la protección de datos (EIPD); llevar a cabo un análisis de riesgos si la EIPD no fuera precisa, o tener en cuenta que, si se captan imágenes para uso personal, éstas no deben publicarse en internet de manera que sean accesibles indiscriminadamente cuando sea posible identificar a personas o se muestren espacios privados, como viviendas, jardines o terrazas.

Finalmente, recoge un apartado con preguntas frecuentes donde se plantean dudas prácticas relacionadas con los posibles tratamientos de datos personales captados desde un dispositivo de este tipo.

Fuente: Cuadernosdeseguridad

La Agencia Española de Protección de Datos (AEPD) ha avisado este jueves a los partidos políticos que "no se va a permitir el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas, y no se va permitir el envío de información personalizada basada en perfiles ideológicos". La directora de este regulador independiente con capacidad sancionadora, Mar España, ha querido aclarar la interpretación que la Agencia hará de la nueva Ley Orgánica de Protección de Datos que se aprobó ayer en el Senado.

España ha asegurado en una reunión informativa que la aplicación de la norma por parte de la AEPD será "la más garantista posible" en lo referente a la posibilidad de generar bases de datos con información ideológica de los ciudadanos. El órgano, encargado de interpretar y aplicar la ley, entiende que esta no autoriza a los partidos a llevar a cabo esta práctica y anuncia que adoptará una actitud "extremadamente rigurosa y vigilante" para impedirla. En esta línea, ha advertido que puede sancionar a los partidos que la lleven a cabo con hasta 20 millones de euros.

"La Agencia no va a valorar si está bien redactado o no, aunque lo que sí trasladó la Agencia durante las negociaciones fue que quizá el marco más adecuado para una modificación de ese calado no era el marco de la protección de datos", ha revelado este jueves España.

La AEPD afirma que el rastreo de las redes sociales y páginas web por parte de los partidos solo podrá ser usado para "pulsar la opinión pública" de forma anónima, pero que estos no podrán utilizar esa información para enviar propaganda personalizada.

Los partidos podrán enviar propaganda al móvil aunque nunca les hayas dado tu número  

Lo que ha reconocido España es que ni la interpretación más garantista de la ley por parte de la AEPD podrá impedir que los partidos rastreen las redes hasta encontrar los datos de contacto de los ciudadanos, como el número de teléfono o email, y se pongan en contacto con ellos sin su consentimiento previo. 

Esta práctica esta prohibida para el resto de empresas y organizaciones, que no pueden enviar propaganda si no existe una relación contractual previa y el ciudadano está de acuerdo. Con la modificación de la ley electoral vía ley de protección de datos aprobada este miércoles en el Senado,  los partidos han añadido una excepción para sí mismos que les permite el envío de spam durante las campañas electorales a partir de datos que encuentren en Internet.

¿Cuál es la justificación de esta excepción? "Eso tendrán que preguntárselo a los partidos que han negociado la ley, a la Agencia solo le corresponde interpretarla", ha contestado España. La directora de la AEPD sí ha querido reseñar que los partidos tendrán la obligación de garantizar una manera sencilla y efectiva para oponerse al envío de esa publicidad electoral. 

Los Tribunales tendrán que decidir 

Sobre la posibilidad de que la Agencia lleve a cabo otra interpretación de la ley cuando cambie su dirección (el mandato de España concluye en 2019) y permita a los partidos llevar a cabo las actuaciones que ahora les negará, España ha opinado que "para entonces ya habrá un posiciamiento jurídico firme".

La directora de la AEPD confirma así la previsión de muchos juristas, que explican que la ley terminará en los tribunales. Unidos Podemos anunció este miércoles que recurrirá la ley al Tribunal Constitucional, mientras que hoy se han unido a esa voluntad organizaciones como la Asociación de Usuarios de Internet.

Fuente: eldiario