¡¡ Feliz 2008 !!

lunes, 31 de diciembre de 2007

Sólo quiero felicitaros el año 2008, que en pocas horas estará ya con nosotros.

Que en el nuevo año 2008, se cumplan todos nuestros proyectos e ilusiones!!!

Torino

Hoy se publica en el BOE, la LISI

sábado, 29 de diciembre de 2007

Efectivamente, en el día de hoy se publica en el BOE la LISI o LEY 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.

Esta ley modifica entre otras leyes:

Por fin, se ha aprobado el Reglamento de desarollo de la Ley Orgánica de Proteccion de Datos

viernes, 21 de diciembre de 2007

¡¡¡ No me lo puedo creer !!!
Se ha aprobado el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (LOPD), en el Consejo de Ministros de hoy.


El caso que ayer ya recibí rumores por varias vías en el cual me decian, que era posible que se aprobara hoy, y me lo tomé un poco a broma pese a no ser 28 de Diciembre.
Hoy he estado impaciente consultando la página web del Consejo de Ministros, hasta que "a eso de" las 15 horas se ha incluido el resumen del Consejo de Ministros de hoy.
¡¡¡No me lo podía creer!!!
¡¡ Eran verdad lo que me decían ayer aquellos rumores !!


Dos años y medio ha pasado desde que la Agencia Española de Protección de Datos realizara aquel Curso de Verano en la Universidad Complutense de Madrid en el año 2004, con motivo de debatir sobre ésta materia.

Al curso del Escorial del 2004 le siguieron el Curso del al UIMP en Santander en el año 2005 y el Curso de Verano de la Universidad Complutense de Madrid en el año 2006, al cual pude asistir.
En el Curso de Verano del año 2006, se nos prometió a los alumnos del mismo (en su mayoría profesionales del sector) que para Noviembre de dicho año se aprobaría. Han pasado 13 meses después de la fecha prometida hasta que por fin se ha aprobado.
Por el medio han habido muchos contratiempos y cambios, que han hecho que se retrasara su aprobación hasta el día de hoy.


Pego aquí abajo el extracto de la noticia, del propio Consejo de Ministros de hoy:


APROBADO EL REGLAMENTO DE DESARROLLO DE LA LEY ORGANICA DE PROTECCIÓN DE DATOS

La norma acrecienta la seguridad jurídica y resolverá determinadas cuestiones o lagunas interpretativas que actualmente existen.


Se aplica también a los ficheros y tratamientos no automatizados (papel) y se fijan criterios específicos sobre las medidas de seguridad de los mismos.

Se garantiza que las personas, antes de consentir que sus datos sean recogidos y tratados, puedan tener un pleno conocimiento de la utilización que se vaya hacer de estos datos.


El interesado dispondrá de un medio sencillo y gratuito para ejercitar su derecho de acceso, rectificación, cancelación y oposición, sin tener que usar correo certificado ni otros medios que le supongan un gasto adicional.


Todos los datos derivados de la violencia de género pasan del nivel básico de seguridad a un nivel alto.


El Consejo de Ministros ha aprobado un Real Decreto por el que se aprueba el Reglamento que desarrolla la Ley Orgánica de Protección de Datos de carácter personal y se fija su entrada en vigor tres meses después de su publicación en el Boletín Oficial del Estado.


El Reglamento acrecienta la seguridad jurídica y resolverá determinadas cuestiones o lagunas interpretativas que pudieran existir en la actualidad, con especial atención a todo aquello que pueda suscitar una mayor sensibilidad a los titulares del derecho y los sujetos obligados por la Ley. Recoge, además, la interpretación que de la Ley Orgánica han efectuado los Tribunales a través de la jurisprudencia.


Innovaciones más destacables

  • La norma incluye expresamente en su ámbito de aplicación a los ficheros y tratamientos de datos no automatizados (en papel) y fija criterios específicos sobre medidas de seguridad de los mismos.

  • Igualmente, regula todo un procedimiento para garantizar que cualquier persona, antes de consentir que sus datos sean recogidos y tratados, pueda tener un pleno conocimiento de la utilización que estos datos vayan a tener.

  • Aunque la norma no es de aplicación a personas fallecidas, para evitar situaciones dolorosas a sus allegados se prevé que éstos puedan comunicar al responsable del fichero el fallecimiento y solicitar la cancelación de los datos.

  • Para mejor garantizar el derecho de las personas a controlar la exactitud y utilización de sus datos personales, se exige de manera expresa al responsable de esos ficheros de datos que conceda al interesado un medio sencillo y gratuito para permitir a aquéllas ejercitar su derecho de acceso, rectificación, cancelación y oposición. En la misma línea, se prohíbe exigir al interesado el envío de cartas certificadas o semejantes, o la utilización de medios de telecomunicaciones que impliquen el pago de una tarifa adicional.


Incremento de medidas de seguridad

Se incrementa la protección ofrecida a los datos de carácter personal en varios aspectos:

  • Pasan de un nivel básico de seguridad al nivel medio los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social que tengan relación con sus competencias y las mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social.

  • También pasan al nivel medio de seguridad los ficheros que contengan datos de carácter personal sobre características o personalidad de los ciudadanos que permitan deducir su comportamiento.

  • Igualmente, desde un nivel básico pasan al nivel medio los ficheros de los que son responsables los operadores de servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas sobre datos de tráfico y de localización. Además, se exige a estos operadores establecer un registro de acceso a tales datos para determinar quien ha intentado acceder a esos datos, fecha y hora en que se ha intentado este acceso y si ha sido autorizado o denegado.

  • Desde el nivel básico de seguridad pasan a un nivel alto todos los datos derivados de la violencia de género.

  • Sobre éstos y los restantes datos personales incluidos en el nivel alto de seguridad se incorpora la obligación de cifrar estos datos si se encuentran almacenados en dispositivos portátiles.

  • Para facilitar a los obligados a cumplir las medidas de seguridad, se exige que los productos de software destinados al tratamiento de datos personales incluyan en su descripción el nivel de seguridad, ya sea básico, medio o alto, que permiten alcanzar de acuerdo con el Reglamento.

  • Por otra parte, se establecen ciertas especialidades para facilitar la implantación de medidas de seguridad, que incidirán sobre todo en el ámbito de las PYMES. Por ejemplo, bastará con aplicar las medidas de seguridad de nivel básico, en lugar de las de nivel alto, respecto a datos especialmente protegidos cuando sólo se utilicen para el pago de cuotas a las entidades de las que los titulares de los datos sean miembros. Lo mismo se permite respecto a los datos referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez, cuando tengan por única finalidad cumplir una obligación legal. Esto es particularmente aplicable a los datos relativos a la afiliación sindical o respecto a la salud en los ficheros de nóminas.


Medidas de seguridad específicas para ficheros y tratamientos no informatizados (papel)

El Reglamento concede una atención especial a estos dispositivos de almacenamiento y custodia de documentos, con el fin de que se garantice la confidencialidad e integridad de los datos que contienen.

Se exigirá la aplicación de unos criterios de archivo que garanticen la correcta conservación de los documentos y el ejercicio del derecho de oposición al tratamiento, rectificación y cancelación de los datos.

Los armarios, archivadores y demás elementos de almacenamiento, deberán disponer de mecanismos adecuados de cierre (llave) que impidan el acceso a la documentación por personas no autorizadas. Mientras esa documentación no esté archivada, la persona que esté a su cargo deberá custodiarla, impidiendo que acceda a ella quien no esté autorizado.

Cuando estos ficheros contengan datos incluidos en un nivel de seguridad alto
(ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual, datos recabados por la policía sin consentimiento de los afectados o actos derivados de violencia de género), deberán estar en áreas cerradas con el dispositivo de seguridad pertinente (puertas con llave), pero, si por las características de los locales, no puede cumplirse esta medida, se permite aplicar otra alternativa que impida a las personas que no están autorizadas el acceso a esta documentación.


Régimen transitorio de aplicación
Para el cumplimiento de las nuevas medidas de seguridad se establece un régimen transitorio de implantación de las mismas a los ficheros y tratamientos actualmente existentes. En este caso, para los ficheros en soportes no automatizados se fijan plazos de un año, dieciocho meses y dos años para los niveles básico, medio y alto, respectivamente.

En cuanto a los ficheros automatizados, en un año deberán implantarse las medidas de seguridad de nivel medio para aquellos que en la actualidad están clasificados como de nivel básico; en el plazo de un año para implantar las medidas de seguridad de nivel medio y de dieciocho meses para implantar las medidas de nivel alto los ficheros con datos sobre violencia de género y los datos referentes a tráfico y localización en comunicaciones electrónicas disponibles al público, que actualmente están en el nivel básico.

Todos los ficheros, ya sean automatizados o no, que sean creados con posterioridad a la entrada en vigor del presente Reglamento tendrán que cumplir las medidas previstas, sin que exista ningún plazo transitorio de adaptación.


Tratamiento de datos de menores de edad
Como regla general, se prohíbe pedir o tratar datos de menores de catorce años sin el consentimiento de sus padres Si son mayores de esa edad, no se exige dicho consentimiento, salvo que sean actos que los menores de dieciocho años no puedan realizar sin permiso paterno. Si, además, se pretende recoger datos con información relativa a los miembros del grupo familiar o sus características, será necesario que los titulares de los mismos den su consentimiento.

Además, los menores de edad deberán ser informados con un lenguaje claro, que les sea fácilmente comprensible y se tendrá que garantizar que se ha comprobado la edad del menor y la autenticidad del consentimiento prestado.


Ficheros sobre solvencia patrimonial y crédito
Se introducen importantes novedades en el tratamiento de estos datos.

Para la inclusión de estos datos, además de la existencia previa de una deuda cierta, vencida y exigible que haya resultado impagada, es necesario que no se haya entablado una reclamación de tipo judicial, arbitral o administrativa sobre la misma. Además, es precisa la notificación de la inclusión, impuesta por la Ley Orgánica de Protección de Datos, de forma que no se incluyan aquellas deudas respecto de las que no conste la recepción de dicha notificación.

En cuanto que la deuda haya sido pagada, deberán ser cancelados de manera inmediata los datos relativos a ella. También se prohíbe mantener en los ficheros al respecto el denominado “saldo cero”.

Se establece la responsabilidad del acreedor, o persona que actúe por su cuenta, si aporta datos inexactos para su inclusión en el fichero.

Se regula de forma detallada el deber de información al deudor. En primer lugar, deberá ser advertido de su posible inclusión en el fichero en el momento de suscribir un contrato del que pueda derivarse una deuda futura. En caso de impago, deberá informarse al deudor, tanto con carácter previo a la inclusión del dato en el fichero, como en los treinta días siguientes a la inclusión.

Regulación de actividades de publicidad y prospección comercial
La entidad que contrate con una empresa la realización de una campaña publicitaria estará obligada a asegurarse de que ésta ha recabado los datos cumpliendo con todo lo establecido en la Ley.

Será obligatorio el consentimiento del afectado para que los responsables de distintos ficheros puedan cruzar sus datos para promocionar o comercializar productos o servicios.

Se regulan las denominadas “listas de exclusión” o “listas Robinson” para que cualquier afectado, que obligatoriamente debe ser informado de su existencia, pueda comunicar al responsable de un fichero que no desea recibir publicidad. Estas listas serán de obligada consulta previa por parte de quienes realicen actividades de publicidad o prospección comercial.

Ante la creciente externalización de estos servicios de obtención de datos, se regulan de manera detallada las relaciones entre el responsable del tratamiento y el encargado del mismo. Así, el responsable del fichero que encargue esa contratación tendrá que vigilar que el encargado al que va a contratar reúne las garantías para cumplir el régimen de protección de los datos, en especial en cuanto a su conservación y seguridad.

Como regla general, para que el encargado del tratamiento contratado pueda a su vez subcontratar algunos de los servicios, debe estar autorizado por el responsable del fichero o tratamiento.

Se exigen determinados requisitos de actuación por parte del subcontratista, a fin de que el responsable del fichero nunca pierda el conocimiento y control acerca de los tratamientos realizados, en última instancia, en su nombre y su cuenta.



Tarjeta sanitaria
Para facilitar la asistencia sanitaria por el Sistema Nacional de Salud y facilitar la utilización de la tarjeta sanitaria individual, expresamente se aclara que no es necesario el consentimiento del interesado para la comunicación de datos sobre la salud, incluso a través de medios electrónicos, entre los distintos centros, cuando se realice para la atención sanitaria de las personas.


Transferencias internacionales de datos

Se establece un régimen sistemático de las mismas, con la posibilidad de que el Director de la Agencia Española de Protección de Datos declara la existencia de un nivel adecuado de protección en un Estado respecto del que no exista la Decisión adecuada por parte de la Unión Europea.

También se aclaran los supuestos en se podrán aportar garantías que permitan la autorización de una transferencia por parte del Director, incluyendo en este apartado las denominadas “binding corporate rules”, o códigos internos de los grupos multinacionales de empresas, cuyo incumplimiento pudiera ser denunciado ante la
Agencia.

Se introduce la opción de suspensión o revocación de una determinada transferencia que hubiera sido previamente autorizada por parte del Director de la Agencia Española de Protección de Datos cuando se hubiera dado incumplimiento o falta de garantías.

Teniendo en cuenta las sensibilidades que se pudieran dar en la transferencia internacional de datos, sobre todo cuando pueda implicar la deslocalización de servicios prestados en territorio español, se incluirá un procedimiento de autorización de un trámite de información pública, donde se podrán aportar alegaciones sobre la legalidad de estas actuaciones.

Sobre la potestad sancionadora de la Agencia Española de Protección de Datos, no se modifican las infracciones, sanciones o cuantía de las multas, pero sí se introduce un límite temporal de doce meses a la duración de la incoación de un expediente sancionador. Transcurrido ese plazo sin un procedimiento sancionador, estas actuaciones previas se entenderá como caducadas.
Esto redundará, sin duda, en beneficio de los ciudadanos, ya que podrán conocer en un periodo de tiempo razonable si su conducta es o no merecedora de sanción.


¿Criptografía teclados y ratones inalámbricos?

jueves, 6 de diciembre de 2007

Siempre me ha preocupado saber sobre el sistema de cifrado que utilizaban los teclados y ratones inalámbricos, dado que conozco un caso muy cercano, en el cual los usuarios de oficinas situadas en mismo edificio eran capaces de producir señales e introducirse en la señal del trabajador de la oficina contigua o viceversa, de forma inintencionada.

A raiz de éste caso, me ha preocupado el nulo o débil sistema de cifrado que utilizaban éstos dispositivos.

Parece ser que no soy en único y que existen otras personas y empresas que piensan los mismo, "a tenor" del post que leo hoy en Kriptópolis. En dicho post, existe un enlace a un video de una prueba realizada por la empresa suiza Dreamlab, en la que se demuestra "en vivo" como es posible descifrar la información que viaja por éstos sistemas inalambrico de forma "más o menos" sencilla.

¿De que nos sirve entonces disponer de Sistemas Operativos securizados, con severas políticas de seguridad si cada vez que tecleamos algo, puede ser snifado?

Recordemos el nivel de seguridad siempre debemos medirlo por el eslabón más débil de la cadena XD.

UNE-ISO/IEC 27001:2007, por fin en castellano

miércoles, 5 de diciembre de 2007

Buenas noticias,

Ayer conocí, vía el blog palomallaneza.com que, el pasado 29 de noviembre AENOR editó la Norma UNE-ISO/IEC 27001:2007: “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”.

Ya tenemos por fin, la versión oficial en castellano editada por AENOR, aunque existían traducciones no oficiales desde Septiembre.

Se extravían datos personales, de 25 millones de ciudadanos del Reino Unido

lunes, 3 de diciembre de 2007

El lunes pasado, me enteré en la conferencia que asistí (que relato en el anterior post) y via el blog "¿Quien vigila al vigilante?", que se han perdido dos CDs en el Reino Unido con información fiscal de 25 millones de ciudadanos.

Parece ser, que entre el Ministerio de Hacienda y el Departamento de Auditoría de la Admón. Pública del Reino Unido se han estado enviando CDs con la información fiscal de decenas de millones de ciudadanos, a través de una empresa de mensajería privada .
Los datos que se enviaban provenían de las personas que habían solicitado ayudas fiscales por sus hijos menores de 16 años.

Hace días, se perdió unos de los CD que contenia dicha información. Eso pasó hace unos días y los Organismos implicados estaban esperando a que apareciera el CD; pero la información que contenían dichos CD, se ha filtrado a la prensa amarilla del Reino Unido (sensacionalista)y hasta el Primer Ministro del Reino Unido ha tenido que salir a pedir perdón a la ciudadanía.


Valoración de la noticia:
Incidencias de éste tipo, se podrían haber evitado aplicando medidas de seguridad muy sencillas y poco costosas; como es el cifrado de los soportes cuando dichos soportes van a ser transportados, tal y como obliga el RD 994/99 de 11 de Junio de Medidas de Seguridad en el supuesto de determinado tipo de datos; asímismo también se obliga en el standard ISO 27002.

Charla "Seguridad de los sistemas de información en la empresa".

El lunes pasado asistí en Burgos a la conferencia 'Seguridad de los sistemas de información en la empresa' organizada por el Círculo de actualidad empresarial de Burgos, promovido por la Cámara de Comercio e Industria de Burgos y Cajacírculo.

La conferencia fue impartida por José Antonio Mañas Argemí, Catedrático de Ingeniería Telemática en la Universidad Politécnica de Madrid y consultor independiente.


Resumen:

El ponente dejó ver sus grandes dotes como comunicador y profesor de universidad, siendo explicada en un lenguaje muy didáctico e incluso divertido, cuestiones relacionadas con la seguridad de la información como: amenazas, vulnerabilidades, salvaguardas o controles, cifrado ....

Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público.

martes, 20 de noviembre de 2007

Leo vía el blog "Quien vigila al vigilante?" en un post y via el blog "Es Público" que se ha publicado el pasado viernes 17 de Noviembre la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público.

En en el Preámbulo de dicha ley podemos ver la justificación de la norma:

"... La información generada desde las instancias públicas, con la potencialidad que le otorga el desarrollo de la sociedad de la información, posee un gran interés para las empresas a la hora de operar en sus ámbitos de actuación, contribuir al crecimiento económico y la creación de empleo, y para los ciudadanos como elemento de transparencia y guía para la participación democrática. Recogiendo ambas aspiraciones la Directiva 2003/98/CE, de 17 de noviembre de 2003, del Parlamento Europeo y del Consejo, relativa a la reutilización de la información del sector público, se adoptó con la finalidad de explotar el potencial de información del sector público y superar las barreras de un mercado europeo fragmentado estableciendo unos criterios homogéneos, asentados en condiciones equitativas, proporcionadas y no discriminatorias para el tratamiento de la información susceptible de ser reutilizada por personas físicas o jurídicas. ..."

- OBJETO DE LA LEY:

La regulación básica del régimen jurídico aplicable a la reutilización de los documentos elaborados o custodiados por las Administraciones y organismos del sector público.
La aplicación de esta Ley se hará sin perjuicio del régimen aplicable al derecho de acceso a los documentos y a las especialidades previstas en su normativa reguladora.


Esta reutilización consiste en el uso de dichos documentos por personas físicas o jurídicas, con fines comerciales o no comerciales, siempre que dicho uso no constituya una actividad administrativa pública; entendiendo por documento toda información cualquiera que sea su soporte y su forma de expresión.


- MODALIDADES DE REUTILIZACIÓN DE LOS DOCUMENTOS:


  • A) Sin sujeción a condiciones.
  • B) Con sujeción a condiciones establecidas en licencias-tipo;
  • C) Con previa solicitud pudiendo incorporar condiciones en la licencia.

Estas condiciones deberán respetar ciertos criterios como: ser claras, justas y transparentes; no restringir las posibilidades de reutilización ni limitar la competencia; no ser discriminatorias para categorías comparables de reutilización).



SUPUESTOS EN LOS CUALES NO SE APLICARÁ LA LEY:

a) Los documentos sobre los que existan prohibiciones o limitaciones en el derecho de acceso en virtud de lo previsto en el artículo 37 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común y las demás normas que regulan el derecho de acceso o la publicidad registral con carácter específico.

b) Los documentos que afecten a la defensa nacional, la seguridad del Estado, la protección de la seguridad pública, así como los sometidos al secreto estadístico y a la confidencialidad comercial y, en general, los documentos relacionados con actuaciones sometidas por una norma al deber de reserva, secreto o confidencialidad.

c) Los documentos para cuyo acceso se requiera ser titular de un derecho o interés legítimo.

d) Los documentos que obran en las Administraciones y organismos del sector público para finalidades ajenas a las funciones de servicio público que tengan atribuidas definidas con arreglo a la normativa vigente.

e) Los documentos sobre los que existan derechos de propiedad intelectual o industrial por parte de terceros.

f) Los documentos conservados por las entidades que gestionen los servicios esenciales de radiodifusión sonora y televisiva y sus filiales.

g) Los documentos conservados por instituciones educativas y de investigación, tales como centros escolares, universidades, archivos, bibliotecas y centros de investigación, con inclusión de organizaciones creadas para la transferencia de los resultados de la investigación.

h) los documentos conservados por instituciones culturales tales como museos, bibliotecas, archivos históricos, orquestas, óperas, ballets y teatros.


CONCLUSIONES

Esta ley tendrá importancia en materia de protección de datos, dado que va a ser importante de estudiar cuando nos encontremos ante un supuesto de cesión de datos de carácter personal de una Administración Pública a una empresa; aunque se establece en el artículo 4.6. que dicha reutilización de documentos deberá estar de acuerdo con la LOPD; es decir tendrá que estar de acuerdo con el Capítulo I de Titulo IV que regula los ficheros de Titularidad públicas y debería estar previsto en la Disposición de Creación del Fichero de Titularidad Pública o se tendrían que disociar dichos datos. Por otro lado dicha reutilización (cesión o comunicación en el supuesto que existan datos de carácter personal) deberá ser autorizado las Administraciones y organismos del sector público que elaboran o custodian dichos documentos, entendiendo por documentos según establece el art. 3.2 "in fine" de Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público.

" ..toda información cualquiera que sea su soporte material o electrónico así como su forma de expresión gráfica, sonora o en imagen utilizada. A estos efectos no se considerarán documentos los programas informáticos que estén protegidos por la legislación específica aplicable a los mismos..."

Se prevé la instalación de cámaras de videovigilancia en los taxis de la Comunidad de Madrid

viernes, 26 de octubre de 2007

Todas las asociaciones del taxi de la Comunidad de Madrid pidieron a la Presidenta de la Comunidad y a los Consejeros de Transportes y Presidencia, la instalación de cámaras de videovigilancia y gps, ante la indignación existente, por el asesinato de un taxista, en el madrileño barrio de Hortaleza.

La Comunidad de Madrid por su parte ha solicitado consulta a la Agencia Española de Protección de Datos (AEPD), sobre la legalidad de la instalación de dichas cámaras; por su parte la AEPD, ha dado el visto bueno, siempre que se cumpla con lo establecido en la normativa española de protección de datos, y que los datos recogidos se utilicen, con la única finalidad de proteger la seguridad.

Iniciativas parecidas existen, en los taxis de Vitoria, en los cuales la cámara está situada en el retrovisor del vehículo; además existen otras iniciativas en los autobuses de la EMT y en el metro de Madrid, dado que existen cámaras de seguridad desde hace años en el interior de los autobuses y de los vagones del metro para garantizar la seguridad de todos.

Como resumen:
Debemos tener claro que los sistemas de captación de la imagen pueden ser beneficiosos si se utilizan de forma adecuada.

Siempre debemos valorar ¿que bien jurídico protegido prevalece?, ¿si la recogida de imágenes o la seguridad del taxista?.

En éste supuesto, si se realiza con las debidas garantias y cumpliendo la normativa, prevalece el derecho a la seguridad.

La AEPD abre investigacion por la difusión de imágenes de un discapacitado por YouTube

jueves, 18 de octubre de 2007

La AEPD abre investigacion por la difusión de imágenes de un discapacitado por YouTube.

La AEPD a raiz de las informaciones aparecidas en diferentes medios de comunicación relativas a la captación de imagenes y posterior difusión de un discapacitado por medio de YouTube abrirá una investigación para garantizar el derecho de cancelación de los datos de carácter personal y por la posible difusión de datos de salud, al poner de manifiesto una discapacidad.

Las imágenes son de una persona de 46 años discapacitado y al parecer fueron grabadas con un teléfono móvil, con el objeto de ridiculizarle, dado que se "colgaron" hasta cuatro videos.

El padre del discapacitado, de 70 años, vecino de la localidad madrileña de Móstoles y bastante experimentado en lo que al uso de los ordenadores y la red se refiere, lleva luchando varios meses para que se retiren dichas imágenes, sin obtener ningún resultado positivo hasta la fecha.

La AEPD investigará el caso de la calle Montera de Madrid

viernes, 5 de octubre de 2007

El tema de la colocación de cámaras para la grabación de la actividad que se desarrolla en la calle Montera de Madrid trae cola, dado que existen 24 videos publicados en Internet en YouTube, por parte de los vecinos de la citada calle.

Según nota de prensa emitida por la Agencia Española de Protección de Datos en el día de hoy, se comunica el inicio de oficio de actuaciones de investigación tal y como podemos leer "a continuación":

A raíz de las informaciones publicadas en distintos (Madrid, 4 de octubre de 2007) medios de comunicación, el Director de la Agencia Española de Protección de Datos, Artemi Rallo, ha ordenado que se inicien de oficio actuaciones de investigación con el fin de esclarecer si ha existido vulneración de la Ley Orgánica de Protección de Datos en relación con la captación mediante de cámaras de video y posterior difusión a través de YouTube de imágenes de la calle Montera.

En caso de constatarse la existencia de vulneraciones de la LOPD por la captación y difusión de dichas imágenes, podrían haberse cometido infracciones graves o muy graves de la normativa de protección de datos, sancionables con multas de hasta 600.000 euros.

En España, la captación, grabación de imágenes por medio de videocámaras está regulado por la Instrucción 1/2006 de 8 de Noviembre; dicha instrucción no permite la grabación de la vía pública, salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Además deberá colocarse un cartel que avise de la grabación e inscribir un fichero en la Agencia Española de Protección de Datos y disponer de clausulas informátivas de los tratamientos a realizar para las personas que lo soliciten.

Por otro lado únicamente las Fuerzas y Cuerpos de Seguridad del Estado pueden captar la vía pública por motivos de seguridad.

Publicada la Memoria 2006 de la Agencia Española de Protección de Datos (AEPD)

martes, 2 de octubre de 2007

El pasado día 19 de Septiembre se presentó la Memoria 2006 de la Agencia Española de Protección de Datos (AEPD).

El director de la Agencia Española de Protección de Datos, Artemi Rallo, presentó al Ministro de Justicia, Mariano Fernández Bermejo, el pasado miércoles 19 de septiembre, la Memoria de actividades de la institución correspondiente al año 2006.

Entre los datos a destacar figuran:

La AEPD inició más de 1.200 investigaciones como consecuencia de denuncias de ciudadanos.

1.- Durante el 2006 se impusieron sanciones por valor de 24,4 millones de Euros.

2.- El número de reclamaciones aumentaron en un 11%

3.- Los sectores de telecomunicaciones y financiero registran el 56 % de las reclamaciones de los ciudadanos y un 46 % de los procedimientos sancionadores.

La inclusión indebida en los ficheros de morosidad y la obtención de datos engañosa para prácticas de contratación fraudulentas son las principales infracciones.

En 2006 se registró un incremento de las reclamaciones relacionadas con videovigilancia, quizás por la reciente publicación de la Instrucción 1/2006 de 8 de Noviembre sobre videovigilancia.

4.- Las entidades con sede en Madrid ocupan el primer lugar de las reclamaciones y sanciones.

5.- Se incrementan los procedimientos iniciados a las Administraciones Públicas.

6.- Se incrementa el número de inscripcciónes en el Registro General de la Agencia Española de Protección de Datos, inscribiendose "de media" 605 ficheros diarios.

Ya es posible registrar dominios multilingues bajo el .es

Efectivamente, desde las 6:00 del día de hoy (2 de Octubre de 2007), es posible registrar dominios multilingues o IDN (Internationalized Domain Name), utilizando los caracteres propios del castellano, catalán, euskera y gallego en el registro de dominios “.es”.

Desde la página web nic.es es posible acceder a la Instrucción del Director de red.es que regula los dominios multiligues; así como a unas faqs.

Podemos decir, que es un avance dentro de las aspiraciones de la comunidad hispano parlante de Internet para poder expresarse en sus lenguas de origen, aunque por otro lado podemos destacar la dificultad de escribir dichos carácteres en otros paises que carecen de teclados con la letra "ñ" en los teclados de sus ordenadores.

De este modo se cumple el compromiso adquirido por el Gobierno en la Ley de Medidas de Impulso de la Sociedad de la Información que se tramita actualmente en el Congreso de los Diputados.

Red.es, entidad del Ministerio de Industria, Turismo y Comercio que tiene asignada en España la autoridad de registro de dominios, ha informado a los Agentes Registradores Acreditados que los caracteres que podrán incorporarse a los dominios “.es” son los siguientes:

á, à
é, è
í, ï
ó, ò
ú, ü
ñ
ç
l•l (l geminada del catalán)

El registro de dominios “.es” con los mencionados caracteres se ha puesto en funcionamiento de forma escalonada.

En una primera fase, que ha comenzado hoy a las 6:00 horas y que finalizará a las 18:00 horas del 30 de octubre de 2007, sólo los titulares de nombres de dominio registrados antes del 1 de junio de 2007 podrán solicitar la/s versión/es multilingüe/s de dichos dominios, de acuerdo con las reglas de asignación establecidas en la última instrucción y basadas en los principios de derivación y prioridad.

Posteriormente, con un aviso que se publicará con 15 días de antelación, se permitirá la solicitud de nombres de dominios “.es” multilingües a todos los usuarios que así lo soliciten.

Fases de Implantación IDN

Fase de Preferencia: Para actuales titulares preferentes (2-octubre a 30-octubre)

Fase de Asignación: Red.es decide según las normas de asignación, las solicitudes IDN a aprobar (a partir del 30 de octubre)

Fase Abierta: Una vez que ha pasado el plazo de solicitud de los titulares con preferencia, se abre el registro IDN. Por orden de llegada, se asignan los dominios solicitados y que estén libres (Red.es publicará con 15 días de antelación su inicio)

La norma general indicada establece que los titulares de nombres de dominio .es con fecha anterior al 1 de Junio del 2007, tendrán preferencia para la solicitud de los dominios IDN equivalentes según las siguientes reglas de derivación:



Más información:

Diario "El Mundo". (02/10/2007) La 'ñ', 'ç' y otros caracteres de las lenguas españolas llegan a los dominios '.es'

Arsys. Página explicativa sobre los dominios multilingues. Guía sobre los dominios multilingues.

Dinahosting. Página web para registro de dominios multiligues.

Hostinet. Página web sobre dominios multilingues.

La AEPD, las Entidades Financieras y el sistema SWIFT

domingo, 30 de septiembre de 2007

Recientemente, me hago eco via el blog "Sociedad de la Información" y la nota de prensa emitida por la Agencia Española de Protección de Datos (AEPD) el dia 13 de Septiembre, del inicio por parte de dicha Agencia de un requerimiento a los presidentes de de las Entidades adheridas a la Confederación Española de Cajas de Ahorros (CECA) y a la Asociación Española de Banca (AEB), para que informen antes del dia 15 de Septiembre de la información que facilitan a sus clientes sobre el acceso por parte del Tesoro de los EE.UU. al objeto de poner en su conocimiento de las medidas que deben adoptar.

Las Entidades Financieras de la Unión Europea que utilizan el servicio SWIFT (Society for Worldwide Interbank Financial Telecommunicationestán) para la transferencia internacional de dinero, están obligadas a facilitar información relativa a las transferencias dinerarias al Tesoro de los Estados Unidos.

Dicho sistema almacena entre otros datos, los datos del pagador y el destinatario del dinero. Dicha información se almacena en dos centros operativos, uno situado en la Unión Europea y otro situado en EEUU. Dicha información se almacena durante 124 dias.

Las entidades financieras de la UE que utilizan el servicio de SWIFT están sujetas a las leyes nacionales de Protección de Datos, conforme a las cuales, todas las ellas están obligadas a informar a sus clientes del posible acceso por parte del Departamento del Tesoro de EE.UU a la información personal relativa a sus transferencias dinerarias realizadas a través de SWFT.

El pasado año la Autoridades de Protección de Datos tuvieron conocimiento de que tras los ataques terroristas de septiembre de 2001, el Departamento del Tesoro de los Estados Unidos emitió unas órdenes que exigían que la entidad Belga SWIFT proporcionase acceso a la información de transferencias dinerarias internacionales realizadas en Europa, tuvieran o no destino los EE.UU., con fines de investigación criminal y lucha contra el terrorismo.

El sistema de copias de seguridad en Windows Vista y la LOPD

martes, 4 de septiembre de 2007

La normativa española de protección de datos y los estándares internacionales de gestión de la Seguridad de la Información obligan a la realización de copias de seguridad o backup dentro del Plan de continuidad del negocio (en ingles: Bussiness Continuity Plan BCP) de la empresa o institución pública.


En concreto la Ley Orgánica 15/99 de 13 de Diciembre de Protección de Datos de carácter personal (LOPD) obliga a los Responsables de los ficheros a realizar copias de seguridad, en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal en los artículos 14 y 24 de dicho texto legal.


A su vez la norma ISO 27001 lo obliga en el Anexo A

El nuevo sistema operativo de Microsoft, Windows Vista dispone de un sistema de copias de seguridad.

Analizando dicho sistema y después de un estudio de sus características, podemos afirmar que dispone de puntos a favor y puntos en contra respecto a Windows XP y otros sitemas de backup.

A favor:

- Permite el cifrado de las copias de seguridad.

- No permite realizar la copia de seguridad en la misma unidad de la cual se desea realizar copias de seguridad; es positivo dado que si existe un fallo físico o perdida de datos en dicha unidad perdiriamos todos los datos y la posibilidad de recuperar dicha copia de seguridad.

En contra:

- No nos permite elegir que carpetas deseamos respaldar, únicamente el tipo de archivos; es decir musica, textos, presentaciones, siendo el propio sistema operativo el que elije de que archivos se va a realizar dicha copia en función del tipo de datos seleccionado.

El cifrado de unidades con Windows Vista y la LOPD

sábado, 1 de septiembre de 2007

El nuevo sistema operativo de Microsoft: Windows Vista, viene bastante bien equipado en cuanto a aplicaciones de seguridad se refiere, dado que dispone de:

- un programa anti-spyware (Bit Defender)

- un cortafuegos o firewall.

- un sistema de filtrado denominado control parental

- un sistema cifrado de unidades denominado Bitlocker.

Bitlocker es un sistema criptográfico de cifrado transparente para el usuario, para que dicho sistema pueda funcionar, se puede optar por dos posibilidades:

A) Se puede optar por disponer de una placa base en el ordenador, que tenga integrado un módulo de cifrado denominado TPM y de una BIOS compatible con dicho sistema.

B) O bien para los sistemas antiguos que no dispongan de ésta tecnología, se puede optar por almacenar la clave de cifrado en un disco externo usb o pendrive.

La segunda opción es más peligrosa, dado que si perdemos dicha clave, teóricamente no podriamos recuperar la información de la unidad cifrada.

El sistema de cifrado que utiliza es AES de 128 bits.

Todavía es pronto para ver saber lo infranqueable que resulta, sin embargo creo que puede ser muy interesante su utilización, para la implantación de medidas de seguridad, en la adecuación de las empresas y entidades públicas a la normativa de protección de datos de carácter personal (LOPD) o los estándares de seguridad informática (ISO 27001, 27002 ...)

La pega: Que no está disponible por el momento en todas la versiones de Windows Vista, únicamente en las versiones dirigidas al mundo de empresarial.

De profesión: Consultor de protección de datos (LOPD).

sábado, 25 de agosto de 2007

La profesión de consultor de protección de datos, es una profesión relativamente nueva en el tiempo.


ANTECEDENTES:
Tenemos que tener en cuenta que la primera ley que regulaba en tratamiento automatizado de los datos en España data del año 1992, la llamada LORTAD (Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.) Si bien es cierto que por aquella época todavía no existían muchos profesionales especializados en la materia, tenemos que esperar hasta el año 1999, en el que se promulga dos leyes importantes que son:


1.- Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

2.- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)

A éstos hechos tenemos que sumar que por aquella época empiezan a surgir una serie de Masters dedicados a la especialización en la materia.

Ej: Universidad Complutense de Madrid, Universidad Pontificia de Comillas (ICADE), Universidad Carlos III, etc.

REQUISITOS PROFESIONALES:

Los requisitos profesionales para realizar éstas funciones derivan de:

1.- Un conocimiento profundo de la normativa reguladora de protección de datos, el estudio sistemático de las resoluciones dictadas por la Agencia Española de Protección de Datos y por las Agencias autonómicas (en su caso).


2.- Asimísmo un buen profesional en la materia debería conocer cuales son las medidas informáticas a implantar en los sistemas de información en función del nivel de seguridad que se deben implantar a un fichero “en concreto”.

3.- Conocimiento de cómo implantar éstas medidas de seguridad.

4.- Conocimiento sobre las técnicas de entrevistas, redacción de informes, redacción de procedimientos, etc.

En el supuesto de no conocer todos requisitos anteriormente expuestos, son validos también los equipos multidisciplinares compuestos por juristas especializados en el derecho de las TICS y de especialistas informáticos con conocimientos en seguridad informática.


FUTURO DE LA PROFESION:


En ésta profesión como en todas las profesiones, se está sufriendo de un intrusismo profesional, si bien muchas veces viene derivada por un desconocimiento “en la materia por parte del cliente”, o simplemente de aprobar la oferta más barata, dado que el único interés es cumplir un mínimamente la misma.

Como todos las profesiones, creo que se está llegando ya a una cierta madured en el mercado, siendo el cliente cada vez más exigente “a la hora de” saber contratar a profesionales cada vez más competentes en la materia.

Con la futura aparición del nuevo reglamento de la LOPD, se espera que se produzca un nuevo boom en el mercado, oyéndose hablar de la materia en los diferentes medios de comunicación (falta le hace).

El surgimiento de estándares en seguridad de la información, harán que el consultor de la LOPD tenga que ampliar sus conocimientos con éstos nuevos sistemas de gestión de seguridad de la información (SGSI o ISMS).

Bienvenidos/as

sábado, 18 de agosto de 2007

Bienvenidos/as a éste nuevo blog.


Sirva éste blog para intentar cubrir algún hueco no cubierto todavía dentro de la blogosfera, sobre el derecho de las nuevas tecnologías y la gestión de los sistemas de seguridad de la información (SGSI).

Esperamos que junto a vuestras aportaciones, éste blog tenga un contenido propio y no sea un calco de lo que se ve por otros blogs.


Desde éstas líneas, intentaremos comentar nuestras vivencias sobre el derecho de las TIC (es decir el derecho de las tecnologías de la información y de las comunicaciones) y de los SGSI..


En éste blog intentaremos hablar de:

  • El derecho a la protección de datos de carácter personal (LOPD)
  • La contratación electrónica y el comercio electrónico (LSSI).
  • La firma digital
  • Aplicaciones prácticas de seguridad informática
  • Los dominios de internet.
  • Sistemas de gestión de la seguridad de la información (SGSI) - ISO 27001.