Bono-Che y Abogados Edo les desean....

Facebook pide perdón

En las últimas semanas, la red social Facebook, ha tenido que pedir perdón en dos ocasiones.

La primera fue al introducir su servicio de correo electrónico, @facebook.com, que pretende competir con otros gigantes mundiales, pero realizo un cambio automático en los usuarios de su red social, sin solicitar autorización para ello.

El segundo, algo anterior, cuando producto de una actualización se dejaron como públicos gran número de mensajes privados de sus usuarios. La empresa ha indicado que se corresponden con mensajes privados muy antiguos, que anteriormente eran visibles en los perfiles de estos usuarios.

Esta gran empresa, que cotiza en la bolsa, parece que no tiene en cuenta la privacidad y la protección de datos de sus usuarios de la forma correcta. Aunque si han realizado avances en este sentido, no parecen los suficientes o al menos, no parece que sea una de sus prioridades.

Recomendamos que antes de solicitar el alta en cualquier servicio gratuito, se lea atentamente las políticas de privacidad, el aviso legal y las condiciones de uso del servicio, que no siempre cumplen con la normativa de protección de datos, sobre todo en el caso de que lo utilicemos para nuestra actividad económica. Si el servicio es gratuito, normalmente, se basa en la utilización de nuestros datos personales para la venta de publicidad.

www.bono-che.es

Phishing o suplantación

Cada día es más frecuente recibir correos electrónicos, en los que nuestra entidad financiera, nuestra empresa de seguros o cualquier proveedor, nos solicita verificar nuestros datos.

Muchos de estos correos, son "Phishing", es decir, suplantaciones con la apariencia de los correos o web utilizados por nuestros proveedores, pero con el objetivo malicioso de captar nuestros datos, bien sean nuestros números de cuenta, nuestras claves de acceso, etc. Incluso mediante mensajes a nuestros teléfonos o dispositivos móviles, donde solemos recibir los mensajes habituales del banco, por ejemplo al realizar un pago con nuestra tarjeta, lo que da una apariencia de legalidad.

Estos mensajes o correos, siempre tienen una apariencia similar a los auténticos correos enviados por muchas empresas, incluso, si intentamos entrar, se nos redirige a una página, que parece ser la habitual de la empresa.

Si podemos llegar a detectarlos, por la dirección URL de la pagina o del correo y principalmente, por no usar direcciones seguras en la mayoría de los casos, es decir empiezan por http:\\ y no por https:\\

Pero en cualquier caso y como se está avisando en muchas páginas de entidades financieras, ellos nunca solicitan datos de los que ya disponen y menos las claves de acceso mediante correos electrónicos o mensajes.

En caso de duda, le recomendamos que hable personalmente con su entidad o empresa proveedora que le haya hecho llegar el correo o mensaje, antes de facilitar ningún dato.

www.bono-che.es

Memoria del año 2011 de la AEPD

El pasado 25 de septiembre, la Agencia Española de Protección de Datos (AEPD), de la mano de su Director D. José Luis Rodríguez Álvarez, presento la memoria del año 2011, encontrándose a disposición de los interesados en su web.

Nos gustaría empezar por analizar el importe de sanciones impuestas en este año, que suman 19.597.905,97 €, para un presupuesto de la Agencia de 14.437.970,00 €, con lo que se cubre, sobradamente el presupuesto, gracias a las sanaciones impuestas.

También reseñar el aumento de denuncias presentadas por los ciudadanos, que crecen un 51.6% respecto del año anterior. Así como el número de consultas (134.635) que crece un 28.4%. De las cuales el 50,35% son sobre Cancelación y el 27,85% sobre Oposición. Lo que demuestra el interés de los ciudadanos sobre el uso de sus datos personales y principalmente como cancelar sus datos u oponerse a su tratamiento. En este aspecto, señalar que la lista Robinson de Adigital cuenta con 1.208.974 usuarios inscritos, que no quieren recibir información comercial, lista que hay que verificar previo al envío de cualquier comunicación.

Las provincias con más denuncias, según la provincia del denunciante son Madrid, Barcelona, Valencia, Alicante y A Coruña.

Se hace referencia a numerosas sentencias, resoluciones, problemas presentes e incluso futuros, pero nos gustaría destacar los problemas con las medidas de seguridad, que pueden llegar a terminar en sanciones, como disponer de un código de usuario pero no de una clave, errores en los módulos de identificación y autenticación que permiten acceso sin usuario y clave, utilización de usuarios y claves por defecto, accesos a datos mediante modificación de parámetros de una URL o errores en la configuración de los servidores web. Esto debería hacer reflexionar a los programadores web o de aplicaciones, que en ocasiones no toman en cuenta la seguridad en la medida necesaria, causando prejuicios importantes a sus clientes. Recordar que la normativa europea, habla de la protección de datos desde el diseño y estas empresas deberían contar con especialistas en la materia.

Esta memoria enumera la participación de la Agencia en la numerosa legislación que ha sido tramitada o está en tramitación, siendo numerosas las leyes o reglamentos que hacen ya referencia a la Protección de Datos, marcando incluso obligaciones especificas, como en el caso de la legislación de Prevención del Blanqueo de Capitales y Financiación del Terrorismo.

www.bono-che.es

Informe Jurídico de la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD), en su informe jurídico 2012-0119, sobre publicación en Internet de datos de los contratistas relativos a deudas de los Ayuntamientos, ha determinado que  la publicación en Internet de los datos contenidos en el denominado por la consultante “fichero de facturas” referidos a quienes no tengan la condición de personas jurídica o se refieran a comerciantes, industriales o navieros el ámbito exclusivo de su actividad empresarial, de forma que la información sea libremente accesible por cualquier persona implica una cesión de datos que no encuentra amparo, sin el consentimiento del interesado, ni en el artículo 11 de la Ley Orgánica 15/1999 ni en el artículo 7 f) de la Directiva 95/46/CE. De este modo, la inclusión de estos datos en Internet únicamente sería posible si el acceso quedase limitado al propio interesado mediante la inclusión previa de varios datos que sólo él pudiera, en principio, conocer.

El informe completo, se puede consultar en la web de la AEPD, pero a modo de resumen, vuelve a establecer la diferencia marcada por la diferente legislación, tanto nacional como europea, en cuanto a las personas jurídicas (a las que no es aplicable la legislación de Protección de Datos en su totalidad) y los datos de los administradores o de los profesionales, que no sean comerciantes, industriales o navieros (según la consideración del Código de Comercio), a quienes si es aplicable esta legislación.

Para evitar sorpresas, siempre es mejor establecer procedimientos de seguridad únicos, sin diferenciar las personas jurídicas, los empresarios o los profesionales, y tratando todos los datos, como si fueran datos personales sujetos a la legislación de Protección de Datos Personales.

www.bono-che.es

Nuevo Contrato de Servicios de Microsoft

Si usted es usuario de servicios de Microsoft, como puede ser Windows Live, habrá recibido un correo donde se le informa de la actualización del contrato de servicios, que puede encontrar en http://windows.microsoft.com/es-ES/windows-live/microsoft-services-agreement

Este es un ejemplo de la política de privacidad utilizada no solo por Microsoft, sino de forma similar por Google, Yahoo y otros servicios de Internet como las redes sociales, a los solemos confirmar la aceptación sin leer sus clausulas.

Sin duda, el punto más llamativo es el siguiente:

"5.3. ¿Microsoft divulga mi información personal fuera de Microsoft? Usted acepta y autoriza expresamente que Microsoft obtenga acceso a la información relativa a su uso de los servicios, la divulgue o la conserve, lo que incluye (sin que sirva de limitación) su información personal y su contenido, así como la información que Microsoft adquiera sobre usted a través de su uso de los servicios (por ejemplo, la dirección IP u otros datos de terceros) cuando Microsoft entienda de buena fe que ello es necesario a fin de: (a) cumplir con la ley aplicable o responder a procesos legales incoados por las autoridades competentes; (b) hacer cumplir este contrato o proteger los derechos o la propiedad de Microsoft o de nuestros clientes; o (c) ayudar a evitar lesiones físicas o el fallecimiento de cualquier persona."

Lo que no queda tan claro, es si Microsoft recopila información personal, pues no dirige a otro link de la Declaración de Privacidad en línea de Microsoft (http://go.microsoft.com/fwlink/p/?LinkId=253457) , pero si dejan claro que "podemos cargar automáticamente la información sobre su equipo, el uso que haga de los servicios y el rendimiento de estos últimos".

Los servicios gratuitos, por lo tanto, no garantizan la seguridad e integridad de nuestros datos personales, con el nivel adecuado de seguridad, para cumplir con la Ley de Protección de Datos (LOPD).

www.bono-che.es

Procedimiento de exención del deber de información

El artículo 5.5 de la Ley Orgánica de Protección de Datos (LOPD), establece el deber de información sobre el tratamiento de datos de carácter personal.

La Agencia Española de Protección de Datos (AEPD), es la encargada de autorizar la exención de este deber de información, mediante un procedimiento especifico, como en el caso de la Resolución R/01870/2012, debido al coste desproporcionado que supondría informar uno a uno, a cada titular de datos personales, tras una compra de una rama de negocio a otra empresa.

El artículo 19 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RLOPD), establece "en los supuestos en que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin prejuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre."

Por lo tanto, para evitar los costes que supone informar del nuevo responsable del fichero a todos los integrantes, la empresa solicito y la AEPD autorizo, la publicación de un periódico, preferentemente en domingo, de un anuncio, indicando la compra de la rama de actividad y que los datos pasan a ser responsabilidad de la nueva empresa, incluyendo los datos necesarios para el ejercicio de los derechos ARCO. Además, de la publicación en la propia web u otra medida de comunicación.

Es importante, que en un proceso de restructuración empresarial, de compra de empresas o cualquiera de las cuestiones enumeradas en el artículo 19 del RLOP, se informe a los titulares de los datos personales o se solicite una exención del deber de información.

www.bono-che.es