LOPD en las escuelas

Protección de Datos promocionará entre los escolares "el valor de los datos personales"

Esta iniciativa se enmarca en el proyecto CLI-Prometeo, que tiene como finalidad la realización de un estudio sobre el grado de conocimiento en materia de protección de datos en centros escolares y la elaboración de una guía práctica como material didáctico de acercamiento de los menores al derecho fundamental a la protección de datos.

La Agencia de Protección de Datos (APD) y la Comisión de Libertades e Informática (CLI) firmaron hoy un convenio de colaboración para promocionar entre los escolares españoles "el valor de los datos personales" en el ámbito de las nuevas tecnologías.

Asimismo, con esta iniciativa se instruirá a los jóvenes sobre los riesgos que conlleva facilitar datos, y su responsabilidad a la hora de proteger su información personal en este contexto, según informaron en un comunicado.

Fuente: "http://www.hoytecnologia.com"

Encontrados en la calle: 500 contratos con datos de clientes

Una tienda de "The Phone House" tira en la calle 500 contratos con datos de clientes.

El comercio debió de decidir hacer limpieza durante el fin de semana. Tiraron muchas cosas y las abandonaron justo enfrente de la tienda, sin siquiera depositarlas en un contenedor o una papelera. Entre los desperdicios había siete archivadores, tres de ellos repletos, de contratos de telefonía móvil. En las fichas, de Movistar o la desaparecida Airtel (ahora, Vodafone), hay nombres, apellidos, direcciones particulares y de empresas, números de teléfono fijo y móvil, cuentas bancarias, fotocopias de DNI o carné de conducir, e incluso fotocopias de documentos notariales de empresas y de libros de familia. Según la Agencia de Protección de Datos, esto podría acarrear una multa de hasta 600.000 euros. Una portavoz indica que piensan investigar lo sucedido para esclarecer si The Phone House ha violado la Ley de Protección de Datos.

En la tienda The Phone House de la calle de Fuencarral, número 119, el encargado asegura que todo podría tratarse de un error: "Obviamente, no hacemos esto nunca". Pero más allá de esa declaración, nada. "No podemos hablar", decía. Carlos Grima, director de marketing y clientes de la compañía, explica el porqué: "Es una norma general para que no se facilite información confidencial". No es un chiste, pero lo parece, teniendo en cuenta el poco cuidado que sus empleados parecen haber tenido precisamente con la confidencialidad... de los demás.

... seguramente no será excusa ni para el juez ni para la Agencia de Protección de Datos.

Fuente, Noticia completa "El País"

AEPD deberá devolver 30.001 € a un particular al que multó por spam

La Agencia Española deProtección de Datos (AEPD) protegió al que no era y ahora deberá devolver el dinero a quien desprotegió. Dos años después de multar al ciudadano A. E. A. por presunto “spam” (correo no autorizado o correo basura), este organismo del Ministerio de Justicia tendrá que reembolsarle los 30.001 euros que le rascó del bolsillo más los intereses de todo este tiempo de multa basura. Una sentencia pionera que sostiene que mandar 13 ‘e-mail’ no supone envío masivo.

Fuente: www.leydeprotecciondedatos.com

Las multas impuestas en 2006 por la AEPD asciende a los 24,4 millones de euros.

AUMENTA LA PREOCUPACIÓN POR LA PROTECCIÓN DE DATOS

Durante 2006, las reclamaciones recibidas por la Agencia Española deProtección de Datos crecieron un 11%, y más de 1.200 investigaciones se realizaron a partir de las denuncias de los ciudadanos.

Son algunos de los datos recogidos en la Memoria 2006, presentada este ultimo 19 de Septiembre, por Artemi Rallo, director de la AEPD. Rallo considera la protección de datos "un derecho de última generación", por lo que cree que las cotas de preocupación y sensibilización sobre protección aún tienen un largo recorrido.
El incremento también se produjo en el número de solicitudes de la tutela de la AEPD en el ejercicio de los derechos de acceso, rectificación, cancelación y oposición respecto a los datos de los ciudadanos en un 9%. En total se recibieron 556 solicitudes, el 50% de ellas por cancelación de datos y 36% por solicitud de acceso.
Los sectores que fueron más denunciados por los consumidores fueron el detelecomunicaciones y el financiero. Entre los dos representan el 56% de las reclamaciones y el 46% de los procesos sancionados. Según publica Cinco Días, el envío de spam y de publicidad a través de causes distintos al de la comunicación electrónica de promociones comerciales ha generado también un buen número de reclamaciones y de sanciones

No te resignes a que tus datos personales circulen por la Red.

La AEPD resuelve que deben respetarse los derechos de los ciudadanos a cancelar sus datos personales publicados en Internet.

• Para la AEPD ningún ciudadano, que ni goce de la condición de personaje público ni sea objeto de hecho de relevancia pública, tiene que resignarse a que sus datos personales circulen por la Red.
• La difusión de datos personales a través de Internet no puede amparase siempre en la Libertad de Expresión.

(Madrid, 24 de septiembre 2007).La Agencia Española de Protección de Datos ha estimado recientemente la reclamación de un ciudadano solicitando la cancelación de sus datos personales publicados en un Foro de Internet, que habían sido facilitados por un tercero sin su consentimiento, y cuya cancelación había sido denegada por parte de la entidad responsable del Foro amparándose en la Libertad de Expresión.
Si bien la Agencia en su resolución señala que los comentarios introducidos en los foros de Internet por los particulares constituyen una manifestación de la libertad de expresión, en la misma se pone de manifiesto que la Libertad de Expresión tiene su límite en el respeto a otros derechos fundamentales.
En este sentido, la AEPD considera que, en este caso concreto, aunque pudiera tratarse de una información veraz, al no referirse a asuntos públicos de interés general resulta preferente el Derecho fundamental a la Protección de Datos.
Esta resolución recoge el criterio expresado por la AEPD en anteriores resoluciones relacionadas con la difusión de datos personales en Foros o Blogs de Internet.

Fuente www.agpd.es - Resolución completa

CONTROLES PERIODICOS EN MATERIA DE LOPD: Que verificar?

El responsable de realizar estos controles periódicos es el Responsable de Seguridad, teniendo que registrar cualquier tipo de anomalía en los procedimientos, así como su solución.
Los aspectos a revisar, modificar y/o completar son los siguientes:

1. Respecto al cumplimiento del Documento de Seguridad

• Aplicación de la Normativa interna por parte de los usuarios (inspeccion de puestos)
• Copia de Respaldo y recuperaciones (control cumplimiento)
• Listado de usuarios actualizado (actualizar doc. de seguridad)
• Registro de Incidencias (Estudiar)
• Cambios en Sistemas de Información (Modificar Documento de seguridad)
• Nueva recogida de datos (Avisos Legales)
• Cambios en la estructura del fichero (modificacion del GRPD)
• Nuevas relaciones con terceros (Contratos firmados)
• Incorporaciones de personal (Formacion y Avisos Legales)

2. Respecto a la revisión de control de registros (informe de estudios)

• Registro de Entrada/Salida e inventario de Soportes
• Registro de Entrada/Salida de peticiones A.R.C.O.
• Registro de Autorización de recuperación de backup de ficheros de nivel ALTO

Los resultados de estos controles se reflejan en el documento de seguridad, especificando:

• Adecuación de las medidas y controles
• Identificación de las deficiencias
• Propuesta de medidas correctoras o complementarias

A mayores es necesario realizar la Auditoria Bianual Obligatoria y levantar el Informe correspondiente.

Necesitas ayuda: www.j2mconsultores.com

ARSYS ATACADO

Ayer en todos los medios de comunicación, se podía leer:

"Un importante proveedor de servicios de Internet español (hosting y registro de dominios) ha sufrido el robo de datos personales de 120.000 clientes, incluidos claves de email, datos bancarios, teléfonos y domicilios"

Después de mucha confusión sobre quien sufre el ataque, se confirma, la empresa afectada es ARSYS.
La Asociación de Internautas publica el comunicado recibido, en el que Arsys admite un ataque, aunque afirma que la gravedad es mucho menor de lo comentado en la noticia.

Ahora Arsys solo puede rezar para que los afectados no le pidan indemnizaciones por los daños y perjuicios sufridos hasta ahora, los cuales todavía no han sido valorados realmente, así como por los que quedan por venir...

Seguirá...

"Compra por Internet" sigue en suspenso

Podemos leer en el Barrometro de consumo 2007, referido a uso de las Nuevas Tecnologías hoy en España,
"En general, los usuarios siguen creyendo que Internet no es un medio seguro para comprar.

Este Barómetro lleva seis años preguntando a los consumidores dos cuestiones referidas a esta percepción. Por un lado, si piensan que Internet es un medio seguro para comprar y, por otro, si creen que en Internet están garantizados los derechos del consumidor. Ambas preguntas reciben una respuesta concluyente: no.
Porque los encuestados otorgan una media de 4,7 puntos sobre 10 posibles a la seguridad de Internet como medio de compra y pago, y de 4,35 puntos a la garantía que ofrece de cumplimiento de los derechos reconocidos a los consumidores.
La situación ha mejorado algo desde 2001 (en que los valores eran de 3,75 y 3,71, respectivamente), pero muy poco desde el año pasado (4,6 y 4,4, respectivamente) y sigue en zona de suspenso."

Articulo completo: Consumer.es

Ojo con Google

Google recibe una advertencia sobre la protección de datos

Google, el principal buscador de Internet, podría estar violando las leyes de privacidad europeas al mantener los datos de las búsquedas durante periodos de hasta dos años, según advirtieron a la compañía grupos de protección de datos de la UE.

Una carta remitida a Google por un grupo de organismos asesores nacionales, que aconseja a la UE sobre política de privacidad, se mostró preocupado porque la compañía estuviera manteniendo demasiado tiempo la información sobre las búsquedas de los usuarios. La preocupación es acerca de mantener la información de las búsquedas de los usuarios por un período definitivo de tiempo entre los 18 y 24 meses.

Con cada búsqueda, Google reúne información sobre los gustos, intereses y creencias del consumidor que podrían usar potencialmente terceros, desde grupos religiosos a anunciantes.

continuará... Fuente: http://www.leydeprotecciondedatos.com

Los Tecnicos de Sistemas espián a sus colegas

"El personal TI es poco fiable".
Tal sería la conclusión de investigación británica donde se indica que los administradores TI abusan de su cargo para espiar a sus propios compañeros de trabajo.

Uno de cada tres empleados TI espía ilegalmente el correo electrónico, documentos, información salarial y otros datos confidenciales de sus compañeros de trabajo.
Tal es la conclusión de una investigación altamente informal realizada por la compañía británica Cyber Ark Software, basada en entrevistas a 200 ejecutivos TI asistentes a la feria informática InfoSec de Londres.
El propósito del estudio era, en realidad, establecer en qué medida el personal TI había mejorado sus rutinas de protección de contraseñas. En la parte inicial del estudio quedó comprobado que tal no es el caso.

• Más de la mitad de los consultados continúa escribiendo sus contraseñas en papeles sueltos, costumbre que también se observa entre el personal con acceso de administradores a los sistemas de la empresa.
• Una tercera parte de los consultados admitió abiertamente haber usado sus derechos de administrador para espiar datos confidenciales de sus compañeros de trabajo.
• Algunos incluso revelaron que ex empleados continuaban teniendo acceso a los sistemas de la empresa."Ya no es necesario violentar físicamente el escritorio del departamento de personal para obtener información confidencial. Si tienes la contraseña del administrador puedes husmear todo lo que quieras", comentó Calum Macleon, director de la división europea de Cyber Ark, a la publicación Ars Technica.

Cabe señalar que Cyber-Ark vende precisamente software para la protección de información confidencial. Fuente: http://seguinfo.blogspot.com/

J2M no vende Sofware, pero si Acuerdos, Contratos y Normativas, entre otros los específicamente dirigidos a los administradores de sistemas (que muchas veces son subcontratados!) y que permiten que el administrador se de cuenta que la Información no es suya, sino de la empresa, y que su uso inadecuado puede tener consecuencias negativas para el.
También realizamos una labor de información dirigida a los usuarios finales, los cuales no ponen remedio a estas practicas ya que las desconocían, y donde les informamos de sus derechos!...

En relación a este hecho la Agencia no se queda al margen y antes de proponer software, publica el siguiente documento:

• Creación de sistemas de denuncias internas en las empresas, mecanismos de whistleblowing Descargar Pdf (desde Agpd.es)

Cuida tu privacidad

Multa LOPD de 1 Million de Euros!

El Tribunal Supremo ha confirmado la sanción de 1,08 millones de euros impuesta por la Agencia Española de Protección de Datos (AEPD) a Zeppelin Televisión S.A., la productora del programa “Gran Hermano”.

Según la sentencia publicada, a los candidatos (unos 7.000), se les preguntó sobre ideología, creencias religiosas, raza, salud, gustos o vida sexual, sin que, en ningún momento, se les comunicara que dichos datos iban a ser tratados informáticamente, ni quién iba a manejar la información. De hecho, los ficheros fueron cedidos a terceros sin la debida garantía y sin ningún contrato que vinculara la privacidad de los mismos y su adecuación a la LOPD.

La sentencia establece que la productora era la última beneficiaria del fichero y de su finalidad; y que el hecho de que las personas dieran voluntariamente unos datos en un cuestionario no eximía de la autorización adecuada por parte de estos para cualquier uso posterior.


Fuente: http://www.leydeprotecciondedatos.com

Multado por vender software pirata

Multan a una tienda de Vitoria por instalar software ilegal en sus ordenadores
El Juzgado de Instrucción número 2 de Vitoria ha condenado a FJ.P.R, responsable de la tienda 'Bikain Ordenadores', a pagar una multa de 2.160 euros y a indemnizar con 281.811 euros a la empresa Microsoft por un delito continuado contra la propiedad intelectual, al haber instalado copias no autorizadas de programas de esta compañía en los ordenadores que vendía.

Sigue en "La Flecha"

J2M
.

NUEVO REGLAMENTO LOPD: Novedades con "El Deber de Información"

Dos nuevos Artículos en el Reglamento de desarrollo de la LOPD (en proyecto todavía), plasman perfectamente, que la acreditación del deber de información es obligatoria, y que la recogida de datos de menores (en principio menores de 14 Años) deba de efectuarse según condiciones especificas.
A saber:

............
CapituloII: Deber de información al interesado

Artículo 15. Acreditación del cumplimiento del deber de información.
1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.
2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.

Artículo 16. Deber de información a menores de edad.
1. Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en el artículo 10.3.
2. Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres o representantes legales.

.....

Menos mal, dice támbien en el Articulo 11 del mismo Reglamento:

...En particular, cuando se trate de responsables que presten al afectado un servicio de facturación periódica, la comunicación podrá llevarse a cabo de forma conjunta a la facturación del servicio prestado.

NUEVO REGLAMENTO LOPD: Medidas de seguridad para con el PAPEL

MEDIDAS DE SEGURIDAD APLICABLES A LOS FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS (extracto del proyecto del reglamento de desarrollo de la LOPD - Junio 07)

Nuestros comentarios en ROJO..

......................

Medidas de seguridad de NIVEL BASICO (Es decir cualquier papel con Nombre y Apellido, junto a cualquier otra información personal (ej: Num. Telf, Dirección, Empresa y/o puesto de trabajo, etc...))

Artículo 103. Obligaciones comunes.
Tal y como lo especifica el R.M.S. actual, el soporte papel debe cumplir las mismas obligaciones que la información guardada en su formato electrónico. El nuevo reglamento recuerda claramente esta obligación en este Articulo

1. Además de lo dispuesto en el presente capítulo, a los ficheros no automatizados les será de aplicación lo dispuesto en los Capítulos I y II del presente Título en lo relativo a:a) Niveles de seguridad - b) Alcance. - c) Encargado del tratamiento. - d) Prestaciones de servicios sin acceso a datos personales. - e) Delegación de autorizaciones. - f) Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento. - g) Copias de trabajo de documentos. - h) Documento de seguridad.
2. Asimismo se les aplicará lo establecido por la Sección Primera del CapítuloIII del presente Título en lo relativo a:a) Funciones y obligaciones del personal. - b) Registro de incidencias. - c) Control de acceso. - d) Gestión de soportes.
Los siguientes artículos dejan clara que los datos de carácter personal almacenado en soporte papel, deben someterse a medidas específicas y rigorosas.


Artículo 104. Criterios de archivo.
Habrá que hacer limpieza, no se puede conservar información que no sea necesaria!!!

El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.

Artículo 105. Dispositivos de almacenamiento.
¡¡¡ Todo en cajones cerrados !!!

Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.

Artículo 106. Custodia de los soportes.
Y tambien fuera del cajon debe estar protegido!!!

Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecido en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. Medidas de seguridad de

...............

NIVEL MEDIO (Datos relativos a finanzas, créditos, asuntos penales...)

AHORA ha quedado claro , aunque no se disponga de ordenadores en las empresas (privada, autónomo , asociación, club, etc... ) se debe de cumplir igualmente con la Ley de Protección de datos, y adoptar todas las medidas de seguridad.

Artículo 107. Responsable de seguridad.
Medida que J2M aplica desde el nivel Básico, ya que nos parece indispensable un responsable que se encargue de la seguridad de la información, sea el nivel que sea.

Se designará uno o varios responsables de seguridad en los términos y con las funciones previstas en el artículo 93 de este Reglamento.

Artículo 108. Auditoria.
Por supuesto, si existen medidas de seguridad a aplicar, es necesario verificar su implantación y aplicación correcta durante la auditoria...

Los ficheros comprendidos en la presente Sección se someterán, al menos cada dos años, a una auditoria interna o externa que verifique el cumplimiento del presente Título.

..............

Medidas de seguridad de NIVEL ALTO (datos de Salud, religión, afiliación sindical, etc..)

La cosa se pone complicada!!!, los armarios cerrados, también deben de estar en lugares con acceso restringido... Es decir, como mínimo dos "Llaves" hasta llegar a aquellos documentos!

Artículo 109. Almacenamiento de la información.
1.Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.
2. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.

Artículo 110. Copia o reproducción.
Se trata de que el responsable no pierda de vista las copias que se pueden realizar

1. La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad.
2. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.

Artículo 111. Acceso a la documentación.
Además de disponer del listado de usuario con acceso a dicha información, se deberá de registrar su acceso!!!, eso si, no se especifica para cuanto tiempo hay que conservar dicho registro...

1. El acceso a la documentación se limitará exclusivamente al personal autorizado.
2. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos, que puedan ser utilizados por múltiples usuarios.
3. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.

Artículo 112. Traslado de documentación.
Poco nos aclaran en este aspecto!!!, ¿Habrá que ir con maletines con llaves o como en las películas, con el maletín esposado?

Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.



... En resumen, se debe de aplicar medidas estrictas en el tratamiento de la información en soporte papel, sobre todo cuando se trata de información de Nivel Alto.
Los archivadores van a entrar a formar parte de los medios de almacenamiento de la información controlados por la LOPD, y por lo tanto deberán de disponer de medidas adicionales que van a suponer cambios importantes para las empresas...

Plazos para la implantacion de las medidas para los ficheros no automatizados que existieran en la fecha de entrada en vigor del presente Reglamento:

a) Las medidas de seguridad de nivel básico deberán implantarse en el plazo de un año desde su entrada en vigor.
b) Las medidas de seguridad de nivel medio deberán implantarse en el plazo de dieciocho meses desde su entrada en vigor.
c) Las medidas de seguridad de nivel alto deberán implantarse en el plazo de dos años desde su entrada en vigor

J2M...

.

NUEVO REGLAMENTO LOPD

Anunciado para el primer trimestre 2007, el nuevo Reglamento de Medidas de Seguridad en lo que concierne el tratamiento de datos de caracter personal, hace por fin su aparición, el Ministerio de Justicia ha iniciado el trámite de información público del Proyecto de Real Decreto por el que se aprueba el Reglamento de Desarrollo de la LOPD.

---------------------- Revista digital Datospersonales.org [en línea]

El Proyecto de Reglamento, que ha contado con la colaboración y el impulso de la Agencia Española de Protección de Datos, parte de la necesidad de dotar de coherencia a la regulación reglamentaria en todo lo relacionado con la transposición de la Directiva de Protección de Datos y de desarrollar los aspectos novedosos de la Ley Orgánica 15/1999 junto con aquellos en los que la experiencia ha aconsejado un cierto de grado de precisión que dote de seguridad jurídica al sistema.

El Reglamento se estructura en nueve Títulos que desarrollan los aspectos esenciales en esta materia.

El Título I fija el objeto y ámbito de aplicación de la norma además de aportar un conjunto de definiciones que ayudan al correcto entendimiento de la misma, lo que resulta particularmente necesario en un ámbito tan tecnificado como el de la protección de datos personales.

El Título II, se refiere a los principios de la protección de datos y, en particular, a la regulación del modo de captación del consentimiento y, especialmente, cuando se trata del tratamiento de datos de menores. También se incluye lo que podría denominarse un estatuto del encargado del tratamiento, completado con las previsiones en materia de seguridad del Título VIII.

El Título III se ocupa de una cuestión tan esencial como los derechos de las personas en este ámbito, que constituyen el haz de facultades que emanan del derecho fundamental a la protección de datos y que constituyen un elemento crucial en el sistema de garantías para dotar a la persona de un poder de control sobre sus datos personales.

Seguidamente, los Títulos IV a VII permiten clarificar aspectos importantes para el tráfico ordinario, como la aplicación de criterios específicos a determinado tipo de ficheros de titularidad privada que por su trascendencia lo requerían -los relativos a la solvencia patrimonial y crédito y los utilizados en actividades de publicidad y prospección comercial-, el conjunto de obligaciones materiales y formales que deben conducir a los responsables a la creación e inscripción de los ficheros, los criterios y procedimientos para la realización de las transferencias internacionales de datos, y, finalmente, la regulación de un instrumento, el código tipo, llamado a jugar cada vez un papel más relevante como elemento dinamizador del derecho fundamental a la protección de datos.

A su vez, el Título VIII regula las medidas de seguridad que deben adoptarse para dar cumplimiento al deber de seguridad, que debía abordarse con un especial rigor ya que en esta materia han confluido distintos elementos muy relevantes, desde la experiencia dimanante de la aplicación del Real Decreto 994/1999 a la adaptación de la regulación en distintos aspectos. La regulación incluye la consideración de las múltiples formas de organización material y personal de la seguridad que se dan en la práctica, incluyendo las medidas destinadas a los ficheros y tratamientos estructurados y no automatizados que no se habían abordado hasta este momento.
------------------------------------------

Iremos detallando cada uno de los conjuntos de medidas nuevas que se ha de implantar o cambiar respecto al actual reglamento.

J2M
.

SPAM MOVIL - Nueva amenaza a tu intimidad.

"Hey, ya que vivimos cerca a ver si quedamos ".

Si recibe este mensaje en su móvil, tenga cuidado. No se trata de un viejo compañero de colegio, ni de una admiradora secreta que desea contactar con usted. Es spam. Y buscan su dinero.

Y es que el spam, el correo basura no deseado, ya no es sólo territorio del correo electrónico. Los spammer han encontrado un nuevo filón: el teléfono móvil.
Miles de mensajes moviles cortos de texto (sms) están llegando a los moviles de los más de 42 millones de abonados que hay en España. Con textos que prometen premios o que quieren dar a entender que se trata de un mensaje personal de un amigo, un familiar o un conocido se trata de inducir al usuario a que responda mediante otro sms, generalmente a un número corto de cuatro dígitos. Y ahí esta el peligro. Cuando el cliente responde no está enviando en realidad, un mensaje de texto normal -cuyo coste medio es de 0,15 euros- sino un sms premium, mensajes especiales que valen entre 0,3 y 1,8 euros.
Las malas prácticas no quedan ahí. Una vez que el usuario pica o bien se intenta que mande otro mensaje o se le suscribe a un servicio no solicitado de envío de sms. Darse de baja del mismo es una tarea muy complicada. Para hacerlo el cliente debe mandar otro sms premium, es decir, pagar una vez más.

El objetivo último de los spammers es, precisamente, hacer negocio cuando el cliente responde. De la cantidad que paga, una parte -entre el 40% y el 60%- se la lleva el spammer, pero el resto es para la compañía de móviles.

Tal vez por ello, las operadoras consideran que es un "tema delicado" y guardan silencio sobre su política de seguridad.

Via: todomovil.com

ANTI-FRAUDE ON-LINE, LA CRUZADA SIGUE...

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), la Asociación de Internautas, Panda Software , Telefónica, ONO, Orange y Comfia CCOO, organizadores de la 2ª Campaña contra el fraude on-line y por la seguridad en la Red , han decidido ampliar el plazo de duración inicialmente previsto...

Esta decisión ha sido motivada por los excelentes resultados cosechados durante la campaña en cuanto a la lucha frente a los delitos en Internet, ya que diariamente se detectan y denuncian numerosos intentos de ataques por parte de cibercriminales.
Por ejemplo, en las últimas horas, la Campaña ha informado sobre la existencia de más de 20 servidores de Internet preparados para realizar ataques phishing contra los clientes de importantes entidades bancarias españolas.

A lo anterior hay que añadir el hecho de que, cada día, un elevado número de usuarios se informan o utilizan las herramientas antimalware gratuitas NanoScan y TotalScan desde el sitio web de la campaña, en http://www.seguridadenlared.org/, protegiéndose así de las amenazas procedentes de Internet.

Según Víctor Domingo, presidente de la Asociación de Internautas (AI) “esta Campaña ha sido diseñada, desde el primer momento, como un servicio para los usuarios de Internet. El gran número de ataques que gracias a los usuarios detectamos y denunciamos diariamente, nos demuestra que es necesario continuar con esta iniciativa, como una forma de luchar contra el creciente crimen en Internet. Por ello, hemos decidido responder a ella ampliando la duración de la Campaña”.

Mas en Asociación de Internautas

LAS EMPRESAS DEPENDEN DE LA RED

En la economía global, “si Internet se cae, la empresa se cae", asegura el presidente de la comisión de seguridad de la asociación multisectorial ASIMELEC, Adrián Moure.
El presidente de la Comisión de Seguridad de la Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones (ASIMELEC), Adrián Moure, defendió en la inauguración de la Jornada Seguridad y Confianza en la Red, el “papel crítico" de la seguridad en Internet en la economía global actual.
“Los usuarios de la economía digital reclaman nuevas leyes y una gestión apropiada de la protección del entorno tecnológico", señaló Moure.Ataques al mundo occidental de la magnitud del 11-S han alimentado la proliferación de “usuarios paranoicos", consecuencia de la “dependencia del sistema informático" en un entorno mundial de riesgo y vulnerabilidad, hizo ver el experto.
“Vivimos por y para Internet, las empresas dependen cada vez más de la Red y, si Internet se cae, la empresa se cae", advirtió Moure.¿Y están las empresas practicando seguridad en la Red?. La respuesta del representante de ASIMELEC es que “hay muchas que no usan las TIC de forma adecuada". Puso por ejemplo que algunas compañías de entre 250 y 500 empleados carecen de un sistema de alimentación ininterrumpida, esto es, de “un plan de seguridad adecuado".
En la jornada participaron expertos en seguridad de empresas y entidades diversas. Éste fue el segundo seminario desarrollado en Asturias por ASIMELEC, con la colaboración de Fundación CTIC, dentro del programa AsturSEC, Seguridad y oportunidades de negocio.

Via: www.segu-info.com.ar

TU IDENTIDAD SE VENDE BARATA

En concreto, tus datos personales pueden valer entre 14$ y 18$ en el mercado negro, dependiendo de la información sensible que se haya recopilado.
Así al menos lo afirma un reciente estudio de Symantec, cuyos técnicos han estado monitorizando durante el segundo semestre de 2006 esta especie de “rastrillos underground” donde se mercadea con números de tarjetas de crédito (se han encontrado más de 5.000), contraseñas y cuentas bancarias, números de la seguridad social e incluso con fechas de nacimiento y nombres de los padres de la víctima.
El informe localiza la mayor parte de los servidores dedicados a este emergente mercado negro on-line en Estados Unidos, siendo esta también la nacionalidad más predominante de los usuarios atacados, un hecho que Symantec justifica por el mayor crecimiento de la banda ancha en este país.

fuente: blogantivirus.com

Phishing, La Caixa otra vez victima

Una vez mas, los creadores de phishing, eligen los bancos para obtener información confidencial de los clientes, en particular sus nombres de usuarios y contraseñas. No se han quedado alli, y piden hasta los 100 numeros privados de la famosa tarjeta de codigos de firma, utilizados para realizar las operaciones On-Line.

Como mucho hemos recibido el SPAM... viene de "online(a)lacaixa.es", lo que presta a confusion a la hora de dectectar el fraude...

Menos mal, al dia siguiente la pagina web estaba cerrada !!...

J2M Consultores...

Multas y Sanciones

Recopilacion de Noticas...

El Ministerio de Justicia podría ser sancionado por la AEPD

La Agencia multa con 600 euros a una empleada por enviar e-mail con 42 direcciones de correo a la vista

Meydis, S.L., por la comisión de una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, con multa de 60.101,21 € ver BOE

A.R.T.E.L., S. L., tipificada como grave en el artículo 44.3.d) de la citada Ley Orgánica, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,06 €, Ver BOE

Imponer, a la entidad Ingeniería Integral y Soluciones Alternativas Ocsis, S. L., por una infracción del artículo 4.7 de la LOPD, tipificada como muy grave en el artículo 44.4.a) de dicha norma, una multa de 300.506,05 euros Ver BOE

... Como nos dijo un cliente: NO ES BROMA LA LOPD...!!
.

II CAMPAÑA CONTRA EL FRAUDE ONLINE

El Instituto Nacional de Nuevas Tecnologías de la Comunicación (INTECO), la Asociación de Internautas, Panda Software, Telefónica y ONO presentan por segunda vez esta Campaña, centrada en concienciar e informar a los ciudadanos sobre fraude y seguridad on-line

No dejes de hecharle un vistazo, y de paso análisis Gratis tu Maquina...

http://www.seguridadenlared.org/

En J2M también te ponemos a disposición una gama completa de herramienta para proteger tu PC ... AUTOPROTECCION, LA MEJOR ARMA

HOAX, un mal menor?

Esta semana, hemos recibido cantidad de e-Mail, alertando del famoso VIRUS que nunca había sido inventado y que por fin llego. Con toda la buena intención del mundo, su remitente no sabe que aparte de divulgar información que el mismo no tiene segura, esta participando en una cadena para recopilar direcciones de correo electrónico, y haciendo sobrevivir uno de los HOAX mas logrado, y fichado desde el Agosto del 2005... SI SI, dos año de actividad, no esta mal, seguro que miles de direccione han sido recopilada con la bromita esta!

El famoso E-Mail, viene titulado "AVISO DE VIRUS" y te avisa de un E-Mail titulado "Invitación" el cual, seria el destructor, cuando el destructor es el E-Mail que esta leyendo... Vamos para hacerse un lio...

El detalle del Hoax aquí: http://www.rompecadenas.com.ar/hoaxes/invitation.htm

Para saber mas sobre los Hoax: http://www.rompecadenas.com.ar/hoaxes.htm

En resumen, varios recomendaciones:

1. No reenvíes información del cual no estés seguro de su veracidad
2. Evita participar a las CADENAS o si lo haces asegurate de hacerlo de forma segura
3. Para saber si hemos recibido un HOAX solo hace falta buscar en Internet "Google" información sobre el correo que no alerta

J2M para un Internet Mejor.

Nuevo Director en la Agencia

Artemi Rallo Lombarte ha tomado posesión el martes 27 de febrero, del cargo de Director de la Agencia Española de Protección de Datos, tras ser aprobado su nombramiento por el Consejo de Ministros.

Artemi Rallo Lombarte, que sustituye en el cargo a José Luis Piñar Mañas, ha ocupado hasta su nombramiento como Director de AEPD el cargo de Director General del Centro de Estudios Jurídicos (2004-2007).

Nacido el 9 de agosto de 1965 en Castellón, es Licenciado en Derecho con Premio Extraordinario (1988) y Doctor en Derecho por la Universidad de Valencia (1990). Rallo Lombarte es Catedrático de Derecho Constitucional de la Universidad Jaume I de Castellón, donde también ha sido Director del Departamento de Derecho Público (1993-1998). Ha desarrollado su actividad investigadora en centros internacionales como el Instituto Internacional de Derechos Humanos con sede en Estrasburgo, el Departamento de Teoría del Estado de la Universidad La Sapienza (Roma) y el Centre de Recherche de Droit Constitutionnel de la Universidad Paris Pantheòn- Sorbonne. Es autor de numerosas monografías, libros colectivos y artículos científicos en revistas especializadas nacionales e internacionales. ...

Felicidades Sr. Lombarte

Fuente: Agpd.es

Formación en Protección de Datos Subvencionada !!

Increíble pero cierto, Un curso en materia de protección de Datos totalmente Subvencionado, que le puede salir GRATIS!!

Además, con certificado oficial y Software de gestión documental con sello ISO9001

Ideal para formar al Responsable de Seguridad, el cual podrá llevar a cabo las tareas de mantenimiento y actualizaciones obligatorias, de forma ordenada y asegurando los niveles de seguridad exigidos en cada momento.

Para paliar la problemática que genera la Ley Orgánica de Protección de Datos 15/99, hemos desarrollado un CURSO DE PROTECCIÓN DE DATOS eminentemente práctico, orientado a la PYME en general y válido para cualquier profesional, que permitirá formar al personal de una empresa en esta materia y adecuarla a las obligaciones de la Ley.

Cracias a la nueva Ley de Formación Continua para las empresas, este Curso a Distancia, les puede salir GRATIS o Casi!

Mas detalle... ¡Click Aquí!

ALERTA: Phishing a Banesto

La Asociación de Internautas Avisa!
Ataque a gran escala de Phishing que afecta a los clientes de Banesto.

Se esta produciendo un ataque a gran escala de robo de identidad, donde se detectaron mas de 25 ataques diferentes, se prevé que estos ataques se intensifiquen durante las próximas horas.

El intento de robo de identidad y datos bancarios se produce tras la recepción de un correo electrónico que contiene una imagen que simula ser un correo de la entidad Banesto, si se pulsa sobre la imagen nos envía a un web trampa que suplanta la imagen de la entidad bancaria y donde nos solicita nuestras claves bancarias...

Día de la Protección de Datos

El 28 de enero se celebro por primera vez en Europa el

“Día de la Protección de Datos”

promovido por el Consejo de Europa, la Comisión Europea y todas las autoridades de protección de datos de los países miembros de la UE.

La celebración del Día Europeo de Protección de Datos tiene como objetivo principal impulsar el conocimiento entre los ciudadanos europeos de cuáles son sus derechos y responsabilidades en materia de protección de datos, de forma que puedan familiarizarse con un derecho fundamental, que pese a ser menos conocido, está presente en todas las faceta de sus vidas diarias.

Según datos del Eurobarómetro en 2003, sobre el conocimiento de la protección de datos en la Unión Europea, más del 60% de los ciudadanos europeos tenían un conocimiento escaso acerca de sus derechos en materia de protección de los datos y sobre la existencia de autoridades independientes con competencias para proteger estos derechos.

El pasado 26 de abril de 2006, el Comité de Ministros del Consejo de Europa estableció la celebración, con carácter anual, del Día de la Protección de Datos en Europa, el 28 de enero, conmemorando así el aniversario de la firma del Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, 28 de enero de 1981.

Este Convenio tiene por objeto garantizar en el territorio de cada estado parte a cualquier persona física el derecho a la vida privada con respecto al tratamiento automatizado de los datos de carácter personal.

... Continuará ...

Phishing que suplanta a la Agencia Tributaria.

La Asociación de Internautas avisa:

Alertamos a todos los usuarios de Internet de un ataque fraudulento que intenta captar datos bancarios haciéndose pasar por la Agencia Tributaria, advertimos que es muy peligroso debido a las fechas del cierre del IVA.

El asunto del correo trampa - al que bajo ningún concepto se debe responder - es el siguiente:

Devolución Fiscal
Su contenido simula la devolución fiscal de 90 Euros.

Mas detalle: http://www.internautas.org/html/4082.html

Balance 2006 de la APD

Balance 2006 (hasta 30Nov.)

José Luis Piñar, ha presentado a sus miembros un balance de las actividades desarrolladas por las diferentes áreas de la AEPD, hasta el 30 de noviembre de este año.

El director de la AEPD ha señalado que, en cuanto al Registro General de Protección de Datos, a fecha 30 de noviembre el número total de ficheros inscritos ascendía a 792.796, 736.840 de titularidad privada y 55.929 de titularidad pública. En total, se han inscrito 154.948 ficheros, un 7% más que en 2005, y se ha registrado una media diaria de 900 operaciones de inscripción.

En el área de inspección, la AEPD ha iniciado, 1.216 expedientes de investigación, y 256 procedimientos sancionadores. Además, se han tramitado 574 procedimientos de tutela de derechos.

Asimismo, el director de la AEPD ha destacado que la cuantía de las sanciones impuestas por la AEPD hasta la misma fecha ha ascendido a 21,7 millones de euros.

En relación al número de consultas, la AEPD ha recibido un total de 30.001 consultas, siendo 23.453 telefónicas, 435 escritas, 1593 presenciales y 4.520 a través de internet.
Asimismo, la AEPD ha recibido más de 1.131.289 visitas a su Página Web.

fuente: www.agpd.es

NO cumplen la LOPD; sector: Enseñanza.

La Agencia Española de Protección de Datos detecta importantes deficiencias en el tratamiento de datos personales por parte de los centros de enseñanza.

• La AEPD ha inspeccionado más de 60 centros de enseñanza públicos, privados y concertados de todas Comunidades Autónomas.
  
• El incumplimiento del deber de información, la recopilación de datos innecesarios, e importantes carencias de medidas de seguridad han sido las principales deficiencias detectadas.
  
• De los colegios analizados cerca de 50% no habían cumplido con la exigencia legal de notificar sus ficheros con datos personales a la AEPD.

Nota Informativa de la Agencia.

Sanciones mas importantes (ultimo mes)

Cada mes publicaremos un resumen de la sanciones impuestas por la Agencia Española de Protección de Datos. Con ello, no queremos inculpar a nadie, sino mas bien dar a conocer el estato actual del regimen sancionador de la LOPD, el cual como podeis ver está en plena actividad, y se aplica a cualquier sector.

1. Obtenido de la prensa:

La Agencia de Protección de Datos incoa procedimiento sancionador contra el PP
Fuente y desarrollo: Blog de J.L. Prieto

Multa de 66.000 euros a UNI2 por incluir a un navarro en una lista de morosos
Fuente y desarrollo: Diario de Noticias de Navarra


2. Resumen de las ultimas sanciones resueltas por la AEPD... Desde el B.O.E.

13 de Enero
El Director de la Agencia Española de Protección de Datos resuelve: Imponer a la entidad Datasun 2, S. L., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 90.000 € ...(BOE 12 de 13/1/2007)

27 de Diciembre
El Director de la Agencia Española de Protección de Datos resuelve: Imponer a la entidad I & T España Productos y Servicios para la Televisión Interactiva, S.L., por una infracción del artículo 4.7 de la LOPD, tipificada como muy grave en el artículo 44.4.a) de dicha norma, una multa de 300.506,05 €... (BOE 309 de 27/12/2006)

19 de Diciembre
El Director de la Agencia Española de Protección de Datos resuelve: Imponer a la entidad Promotoras Esp TV, S.L., por una infracción del artículo 40.1 de la LOPD, tipificada como grave en el artículo 44.3.j) de dicha norma, una multa de 60.101,21 € ... (BOE 302 de 19/12/2006)


¿Sigues sin estar adaptado?... Estudia nuestras soluciones...