Protección de Datos reprocha a Inteco los fallos en su seguridad
El Instituto Nacional de Tecnologías de la Comunicación (Inteco), y cuyo único socio es la entidad pública empresarial Red.es, sufrió el pasado año un ataque informático que posibilitó el robo de datos confidenciales de alumnos y su publicación masiva en otras páginas web como 'confianzaonline.es'. Ahora, la Agencia Española de Protección de Datos ha lanzado una advertencia al Inteco por las carencias en su seguridad. No en vano, debido al ataque, un hacker tuvo acceso a 20.258 datos personales.
Pese a que desde Inteco llegaron a realizar un comunicado pidiendo disculpas a los alumnos afectados, el alcance del ataque se ha conocido completamente ahora, en una resolución de la agencia. Según afirma la agencia, el problema que permitió acceder a los datos es que la Web del Inteco no estaba diseñada para ejercer ningún tipo de control de acceso sobre sus procedimientos y ?resulta que se habilitó como público el acceso a una plataforma en internet". Así, dos personas aprovecharon la vulnerabilidad del sistema informático para acceder a Inteco a través de Webs de Rusia y Suecia.
Inteco alegó durante el procedimiento que había adoptado medidas elevadas de seguridad, y que la existencia de vulnerabilidades fue aprovechada por un intruso dotado de elevados conocimientos técnicos. Según alegó Inteco, ?no cabía imputarle responsabilidad alguna por una intrusión organizada y planeada?
Para la agencia, sin embargo, los hechos suponen la comisión por parte de Inteco de una infracción del artículo 9.1 de la LOPD, por la falta de medidas de seguridad del sistema de información, que posibilitó el acceso al perfil de 20.246 usuarios, llegándose a comprobar por la agencia que se habían llegado a publicar en otra Web posteriormente más de 1.000 datos personales.
A pesar de todo esto, la agencia ha decidido no sancionar a Inteco, al considerar que reaccionó de forma diligente, dirigiéndose a los sitios web en los que fueron publicados los datos y a Google para que los datos fueran retirados de dichos sitios web, y ?que la incidencia no resulta de una ausencia total de medidas de seguridad?
FUENTE:Qué.es
La Fundación Hospital San Juan de Dios se niega a facilitar datos
En menos de 24 horas, la Fundación Hospital San Juan de Dios, que custodia el archivo de la maternidad donde dio a luz Inés Arjona, ha dado un giro radical. Este diario solicitaba en la mañana del miércoles información sobre la estancia de esta mujer y las circunstancias del parto en 1977 y la fundación se apresuraba a responder que no había registro alguno. Al percatarnos de un error en la fecha se volvieron a solicitar los datos, pero esta vez la respuesta ha sido bien distinta. "Tras realizar consulta con nuestro asesor en protección de datos, nos ha sido comunicado que facilitar a Diario CORDOBA la información que se nos solicita podría vulnerar la Ley Orgánica de Protección de Datos de Carácter Personal 15/1999". La carta está firmada por su presidente, el sacerdote Pedro Crespo Hidalgo, máximo responsable de la fundación, y en ella se añade que "dicha ley permite la consulta de datos a la persona 'dueña' de los mismos, o en cualquiera de los supuestos recogidos, una investigación judicial, por ejemplo".
La maternidad se abrió en 1954 y las mercedarias de la Caridad prestaban el servicio. Fue suprimido en 1984 ante la caída de la natalidad y el propio Crespo señalaba que "por aquí pasaban todas las mujeres de Priego porque no había otro sitio para dar a luz hasta que se abrió el hospital de Cabra".
FUENTE:Diario Córdoba
CAMPAMENTOS Y COLEGIOS PROHIBEN TOMAR FOTOS
“Hemos convertido los recuerdos fotográficos en algo perverso”
Todas las fotos que hacemos son a larga distancia, de espaldas y a ser posible con casco”, explica Florentino Quiñones, director de la empresa de tiempo libre CICLAN y veterano organizador de campamentos. Hasta el año pasado su empresa –que organiza campamentos en el Pirineo para más de 300 niños– repartía fotos a los padres como recuerdo, algo que han dejado de hacer por miedo a que algún padre les denuncie. Siguen haciendo fotos, pero como recuerdo personal. Aún así obligan a los padres a firmar un documento que les da permiso para sacar las instantáneas y cuando las toman procuran que no aparezca el rostro de ningún niño.
Quiñones cree que estamos perdiendo el norte: “Estamos llegando a un grado de psicosis espectacular. Algo tan bonito como un recuerdo fotográfico lo estamos convirtiendo en algo perverso. Hay colegios que han dejado de hacer orlas por el lío que suponían las autorizaciones y hay padres que piden explícitamente que sus hijos no salgan en ninguna foto, aunque no vayan a hacerse públicas en ningún momento”.
Cuando aparece una foto de un niño en Internet, aunque no sea culpa del centro, te llaman los abogados para pedir dineroAurelio García, director técnico del Colegio Balder de Las Rozas (Madrid), comparte las preocupaciones de Quiñones. En su opinión, “se está saliendo todo de madre” y no cree que sea malo que un niño tenga una foto con sus compañeros como recuerdo. Pese a esto, en su centro está prohibido el uso de móviles o cámaras, para evitar que aparezcan fotos de niños y docentes en las redes sociales, y para las excursiones, por ejemplo, piden permiso expreso a los padres. “Todo esto se hace por influencia de los americanos”, cuenta. "Hay padres que quieren hacer negocio con todo esto. A nosotros no nos ha ocurrido, pero sí a otros colegios. Cuando aparece una foto de un niño en Internet, aunque no sea culpa del centro, te llaman los abogados para pedir dinero”.
Los límites que marca la ley
A juzgar por los hechos, y tal como se vive este tema en el entorno educativo, parece que está completamente prohibido tomar fotografías de menores. Lo cierto es que la Ley Orgánica de Protección de Datos (LOPD), que es la que regula este asunto, no prohíbe expresamente que se hagan fotografías, pero sí que se haga público cualquier dato personal de un niño menor de 14 años sin permiso de sus padres. Y, según la misma ley, una fotografía en la que se reconozca al menor tiene rango de dato personal.
Los recuerdos fotográficos junto a compañeros de clase o tienda de campaña podrían convertirse en algo del pasadoEl problema, como en tantos otros casos, reside en considerar qué se considera público. Y es que en Internet la frontera entre lo público y privado se difumina, y son muchos los casos de padres que se han sentido agraviados porque un compañero de su hijo ha colgado una foto de éste en una red social. La propia Agencia Española de Protección de Datos, en un documento de recomendaciones sobre el tratamiento de la información de niños, aconseja a las instituciones educativas que extremen las precauciones en lo que se refiere a Internet, y apunta que “no es aconsejable publicar fotos que identifiquen a un niño, por ejemplo situándole en el contexto de un colegio y/o actividad determinados”.
Puede que el colegio o campamento no haga esto, pero no pueden asegurar por completo que no lo hagan los propios niños. Por ello y, para curarse en salud, muchos centros educativos y empresas de actividades de tiempo libre optan por prohibir que los niños y docentes tomen cualquier tipo de fotografía. En definitiva, los recuerdos fotográficos junto a compañeros de clase o tienda de campaña podrían convertirse en algo del pasado.
“Esto no atenta contra el honor ni la intimidad”
Un colegio puede tomar la medida que considere, pero no tiene por qué hacerlo porque lo diga un padreJavier Urra, psicólogo y Defensor del menor de la Comunidad de Madrid entre 1996 y 2001, cree que “no podemos estar con la norma y la escopeta en la mano en todo momento”. En su opinión, “los niños tienen derecho a hacer fotos entre ellos y llevárselas a casa”, algo que considera “sano y normal”. Según cuenta, muchos centros educativos no permiten que ningún niño ni profesor saque fotos porque algún padre les ha dicho que no quiere que haya imágenes de su hijo, algo que considera injusto: “Un colegio puede tomar la medida que considere, pero no tiene porque hacerlo porque lo diga un padre. Eso es sólo la opinión de un señor que no tiene porque ser la del resto. Los colegios tienen asociaciones de padres y madres de alumnos dónde se debería decidir sobre estos temas, acordando que es lo mejor para los niños. Y lo normal es que los niños tengan derecho a hacerse fotos con sus amigos. No atenta contra el honor ni la intimidad de nadie”.
El psicólogo cree también que se tiene que tener en cuenta la opinión de los niños: “Hay que ver qué edad tiene el chico para ver si se le hace caso a él o al padre”. Y es que, tal como explica la LOPD, la decisión sobre la imagen personal pasa a ser del menor cuando cumple 14 años.
Los padres se sienten responsables de su bienestar y quieren percibir que controlan dónde aparecen sus hijosLo que parece claro es que Internet ha creado un problema dónde antes no lo había. Según explica Silvia Álava, psicóloga clínica especialista en infancia, “antes se revelaba una foto y se la enseñaba a quien quería verla. Ahora la puede ver todo el mundo y se pierde el control sobre ella”. A la psicóloga le parece razonable que los padres sepan qué fotos de sus hijos están colgadas en Internet: “Hay padres que son muy permisivos con las fotos que sus hijos suben a Internet, pero hay otros que no quieren que los suyos figuren en la red. No es tanto que al niño le puede hacer daño esto, pero los padres se sienten responsables de su bienestar y quieren percibir que controlan dónde aparecen sus hijos”.
El problema suele ser siempre el mismo. Si un solo padre se queja es demasiado complicado permitir que haya fotografías en las que no aparezca un niño en concreto y los centros optan por cortar el grifo del todo. A Urra no le parece razonable, y cree que los centros deberían permitir que los niños sigan haciendo fotos sin que salga este niño, pero Álava advierte que “un niño no va a entender por qué el resto de sus compañeros pueden hacerse fotos y él no”. Quizás, y tal como dice Urra, deberíamos relajarnos y “no hacer de todo un problema”.
FUENTE:El Confidencial
POR VULNERAR EL PRINCIPIO DE SEGURIDAD
Sanción grave al Servicio de Empleo de la Región de Murcia
La Agencia Española de Protección de Datos ha notificado esta semana una resolución sobre un expediente en el que lleva investigando durante más de un año al Servicio de Empleo y Formación de la Comunidad Autónoma de la Región de Murcia. En el mismo, se estudiada si el sistema de reserva y consulta de cita previa por internet, y la gestión de colas en las conocidas como “oficias del paro”, se ajustaba o no a la Ley Orgánica de Protección de Datos.
Y finalmente la Agencia ha concluido el expediente sancionando con nivel grave al SEF y abriéndole un nuevo expediente para requerirle que en el plazo de un mes proceda a cambiar el sistema sancionado.
El expediente sancionador resuelto, abierto tras otro de actuaciones previas tramitado a principios del pasado año, fue consecuencia de la denuncia de un joven murciano, Pedro Jesús Fernández, que comprobó cómo algunos de sus datos personales, como el teléfono y los motivos de sus visitas al paro, podían quedar revelados a terceros a través de la web del SEF. Este fallo afecta potencialmente a todos los usuarios del sistema de cita previa por internet de las oficinas de desempleo y prestaciones.
La base de la denuncia era que al tener que indicar el número de teléfono y los motivos de la visita para poder concertar cita previa, y que el único sistema de identificación era el número de DNI, sin ninguna contraseña u otro dato de seguridad, cualquiera que supiera el DNI de otra persona puede acceder a la web del SEF y consultar sus próximas visitas y sus datos.
Además, como al llegar a la oficina hay que pasar por una máquina donde introducir el DNI y recoger el ticket de espera de llamada, al imprimirse éste incluye el número de DNI. Si se pierde el ticket, se deja en el mobiliario de la sala, o se tira a la salida, cualquiera que se haga con un ticket de otra persona ya dispone de su número de DNI y puede acceder al listado de futuras citas y a los datos que se hayan incluido en su solicitud.
Para la Agencia Española de Protección de Datos, este sistema ha resultado contrario al artículo 9 de la vigente Ley Orgánica de Protección de Datos, por lo que “ha existido vulneración del principio de seguridad de los datos”, según se indica en la resolución definitiva, notificada esta semana al denunciante y que concluye con que “el SEF ha incurrido en la infracción grave prevista”.
Por ello, y ya que el SEF solo lo ha modificado eliminando la casilla del teléfono, pero incluyendo una nueva con texto abierto para indicar “Motivos”, la Agencia ha abierto un nuevo expediente de actuaciones previas, requiriendo que se modifique el sistema en el plazo de un mes, algo que podría acabar derivando en una segunda sanción si no se subsana.
Además, la resolución indica que solo puede ser recurrida por el SEF ante la sala de lo Contencioso-Administrativo de la Audiencia Nacional.
Para Pedro Jesús Fernández, denunciante de esta situación, que no solo le afectaba a él sino que es extensiva a todos los usuarios del SEF, incluidos los actuales, “esta denuncia tenía como único fin que los datos de todos los usuarios de estas oficinas se custodien de manera segura, y que el trago de tener que acudir una y otra vez a las mismas en busca de empleo, no se vea agravado con que cualquier desaprensivo pueda intentar hacer un uso indebido de las cuestiones personales de cada uno, y de datos como el número de teléfono o las gestiones realizadas en la oficina”.
LEER ARTICULO:http://vegamediapress.net/not/2336/sancion_grave_al_servicio_de_empleo_de_la_region_de_murcia/
FUENTE:Vega Media Press
El PSOE incumplió la Ley de Protección de Datos, con las retribuciones municipales
La Agencia Española de Protección de Datos lo considera infracción grave, pero no sanciona
El PSOE riojano incumplió la Ley de Protección de Datos al publicar, en una web, su Grupo Municipal del Ayuntamiento de Cenicero, todas la retribuciones de la plantilla municipal. Según los datos, la Agencia Española de Protección de Datos (AEPD) ha estimado la denuncia de dieciséis personas frente al Grupo Municipal Socialista del Ayuntamiento riojano de Cenicero, que exponían que a través de la web del PSOE de La Rioja, podía accederse sin ningún tipo de restricción a un listado de los salarios de la plantilla del Ayuntamiento, publicados con motivo de la difusión del presupuesto de 2011.
Según declara la AEPD en su reciente resolución «se ha producido una vulneración del deber de secreto, dado que la información difundida contiene datos de carácter personal concerniente a los denunciantes, y que procede calificar la infracción como grave».
El Grupo Municipal Socialista, declaró durante las actuaciones de inspección de la AEPD que «la información difundida en la web incluyó, por error, el documento con los datos personales en cuestión, que fueron retirados y borrados en el mismo instante en el que se les comunicó de forma verbal y que se pidió disculpas a los afectados».
A pesar del incumplimiento del PSOE, la Agencia Española de Protección de Datos no ha impuesto ningún tipo de sanción económica, pero ha comunicado el expediente al Defensor del Pueblo y ha solicitado al Grupo Municipal Socialista que comunique las medidas correctoras que adopte en materia de protección de datos. Según el despacho de abogados Salirdeinternet, si esta infracción se hubiese sancionado económicamente, podría haber alcanzado los 300.000 euros
FUENTE:El Correo Digital (Vizcaya)