Entradas

¿Pagarías con tus datos personales, como datos moneda? ¿se pueden considerar los datos personales un medio de pago? Quizá es una pregunta que nunca antes te hayas planteado, pero sobre todo porque deberíamos responder primero ¿qué entendemos por medio de pago? tarjetas de crédito y débito, transferencias, dinero en efectivo… Indudablemente, son muchas las opciones entre las que elegir, pero, ¿están los datos personales incluidos dentro de este grupo? pues casi, ósea sí, es decir… veamos:

Hace unos días, publicamos en nuestro blog un artículo referido a las novedades que trae consigo la nueva versión -en vigor desde el pasado 1 de enero de 2022- de la Ley General Para la Defensa de los Consumidores y Usuarios. Aunque, como ya contábamos en dicha publicación, muchos de los cambios afectan a las garantías y sus plazos, te adelantábamos que también había noticias en materia de protección de datos… ¡y vaya noticias! aquí venimos a contarlas porque tienen tela marinera.

Para que veas por donde vamos, recuerda, cuando en una plataforma te dicen que su uso es gratis, el precio es tu privacidad…

Modificación de la Ley de Defensa de Consumidores y Usuarios

Son varios los preceptos de esta norma que se han visto modificados con la publicación de la nueva versión de la misma y, sin desmerecer al resto de cambios, hay un artículo que nos llama poderosamente la atención, tanto como para dedicarle este artículo entero: el 59, en su apartado 4, y es debido a que en este artículo se establece cuál es el ámbito de aplicación de la Ley, y ojo a lo que dice, porque ahora se amplia a otro tipo de contratos online:

“los contratos en virtud de los cuales el empresario suministra o se compromete a suministrar contenidos o servicios digitales al consumidor o usuario y este facilita o se compromete a facilitar datos personales, salvo cuando los datos personales facilitados por el consumidor o usuario sean tratados exclusivamente por el empresario con el fin de suministrar los contenidos o servicios digitales objeto de un contrato de compraventa o de servicios o para permitir que el empresario cumpla los requisitos legales a los que está sujeto, y el empresario no trate esos datos para ningún otro fin”.

Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.

En otras palabras: la Ley reconoce, de forma expresa y directa, y por primera vez en nuestro ordenamiento jurídico, que los datos personales constituyen un método de pago, y que hay relaciones contractuales que, de hecho, pueden sustentarse en el suministro de los mismos por parte del usuario hacia el empresario.

Pero tranquilos, o no… esto no se lo sacó de la manga nuestro legislador (que ya sabemos que a veces se emociona/n). Esto sale de la obligatoriedad de trasponer a nuestro derecho la Directiva europea 2019/770 de contenidos y servicios digitales.

La Directiva 2019/770 de contenidos y servicios digitales

La nueva versión de la Ley constituye una transposición de lo que ya reflejaba la Directiva 2019/770 de contenidos y servicios digitales. Grosso modo, te contamos algunos detalles importantes de la misma:

  • Es aplicable a todo contrato en virtud del cual un empresario suministra contenidos o servicios digitales al consumidor y éste paga o se compromete a pagar un precio. También es aplicable cuando el consumidor no paga un precio pero facilita o se compromete a facilitar datos personales al empresario
  • Establece obligaciones para el empresario en materia de falta de conformidad, reembolsos o incumplimiento de los suministros
  • Fija una serie de condiciones o criterios mínimos de cumplimiento en el marco de contenidos, servicios o derechos digitales. Cuando hablamos de servicios digitales, podemos incluir, por ejemplo, almacenamiento en la nube o redes sociales.
  • En caso de rescisión del contrato, el empresario debe cumplir con las obligaciones del RGPD. En determinadas condiciones, ha de abstenerse de usar los contenidos facilitados por el usuario y que no sean datos personales, y debe permitir al mismo recuperar esos contenidos sin impedimentos.

Los datos como medio de pago: implicaciones en la realidad

Pero, ¿en qué me afecta todo lo anterior? Aunque, hasta aquí, este parezca un artículo puramente jurídico, tiene claras consecuencias en la realidad. Lo que hace la normativa es venir a reconocer, de forma oficial, algo que ya venía apreciándose desde hace tiempo, y es que los datos personales pueden considerarse como una moneda de cambio.

Esto significa que cuando accedes a un servicio gratuito, como es el caso de Youtube, Facebook, Twitter o Spotify -quitando las versiones premium, claro- se puede entender que el precio que estás pagando por ese servicio son los datos personales que pones a disposición de la plataforma o proveedor.

Así, dejas de ser un simple usuario de la misma, y te conviertes en un consumidor, en una parte de una relación contractual existente entre ese proveedor y tú y, por tanto, en un sujeto protegido por la normativa de consumidores y usuarios. Esto supone un avance considerable en el marco de los derechos digitales y de nuestra seguridad jurídica como usuarios de estos recursos.

Además, se pone especial atención en determinar si, a la hora de suministrar tus datos, se te informó de forma clara, completa y comprensible, o si hubo algún tipo de abuso o desequilibrio que pudiera afectar a tus derechos e intereses

Retos para implementar el cambio requerido por la directiva

Claramente pese a que es el reconocimiento de una realidad, de facto hasta ahora, hay un problema, y es que todavía no se tiene claro el precio de los datos personales, podría ser mucho, podría ser poco, pero no está estandarizado, ni los datos de todos valen lo mismo. Además, justamente ahora mismo está en manos del TJUE una cuestión prejudicial lanzada por los tribunales de Luxemburgo, por Marx Schrems para que sea este alto tribunal quien decida si esto es posible en el caso de Facebook, y eso amigos, sentará la jurisprudencia de esta modalidad, lo malo es que en palacio las cosas van despacio…

Por otro lado, hasta ahora no se ha aplicado aunque se hace, así que para poder utilizar esta «metodología de pago» según se lee literalmente el artículo, se deben poner las condiciones claras, y en todo caso se debe respetar la normativa de protección de datos. Si tu empresa piensa en usarla, ánimo y suerte con la estrategia de cumplimiento antes, durante y después de la formalización del contrato, porque deberá estar embebida de privacidad por diseño y por defecto hasta en la medula de tu organización. Ojo, claramente no es imposible, solo hay que tener mucho cuidado, ser muy meticuloso y estricto.

Algunos datos interesantes… datos moneda, o el precio de las herramientas gratis.

Era de esperar que llegáramos hasta este punto, pues muchas veces no somos conscientes del precio que estamos pagando por determinados servicios cuando tenemos la sensación de no estar pagando ninguno en absoluto, por el sencillo hecho de que no hacemos aportación económica. Al final en estos casos, estamos dando acceso a nuestra esfera más privada, algo que tiene fuertes implicaciones éticas y esto puede acabar siendo intrusivo, por lo que es fundamental blindarle protección. En estos casos es donde se suele decir que el producto eres tú, o mejor, tus datos personales

Sin ir más lejos, con anterioridad a la Directiva, el Supervisor Europeo de Protección de Datos publicó una opinión un tanto crítica hacia ciertos aspectos de la misma. Por una parte, por considerar que no era apropiado referirse a “datos personales” en general, al identificarlos como medio de pago, pues sería más apropiado especificar a qué concretos datos nos referimos o pueden ser efectivamente considerados medio de pago; por otra, por el impacto que este hecho puede tener en los derechos y libertades fundamentales de las personas.

Pero ¿Y cuánto vale un dato personal, y quién lo dice?

Una anecdota para entenderlo:

Hace unos años, Jane Vertesi, profesora de Sociología de la Universidad de Princeton, decidió ocultar su embarazo en redes sociales e Interneten general, sin hacer ningún tipo de publicación al respecto, ni permitiendo que sus familiares, amigos o contactos lo hicieran, ni siquiera para felicitarla. Tampoco hizo ninguna compra on-line que tuviera relación con el embarazo, la maternidad o el bebé que estaba por llegar y, si se veía en la necesidad de ello, trataba de ocultar la información en la medida de lo posible.  ¿El motivo? Jane investigó y llegó a la conclusión de que, de media, en términos de marketing, un dato personal vale 10 centavos de dólar, pero el de una embarazada se multiplica hasta un dólar y medio… Y no estaba dispuesta a que ni ella ni su embarazo se convirtiesen en elementos rastreables a fin de generar negocio.  

En fin, Jane utilizo su método, pero hay miles de artículos hablando del valor de un dato personal, o includo de una identidad completa. Podríamos decir que depende de la calidad del dato, de la persona, de los tipos de datos, y de la rentabilidad asociada a estos puntos. Por eso uno de los retos es la definición del valor o de cómo definirlo. Poca cosa no es, y esperemos que no se tome a la ligera.

En conclusión…

Aunque hablamos de un cambio normativo reciente en nuestro ordenamiento, el debate en torno a este tema ya lleva tiempo sobre la mesa en Europa, y también aquí, y claramente no termina con este cambio, sino que esperemos que se reavive. Y ojala, esperemos que no necesitemos el TJUE mediante, lleguemos a un punto de encuentro que beneficie a todas las partes, y no que solo explote a una.

Y tú, ¿qué opinas sobre esto? Te invitamos a participar en nuestra sección de comentarios, o en nuestros perfiles en redes sociales. Y sobre todo a recordar, tú vales muchísimo, tus datos valen muchísimo, y los de tus amigos, conocidos y familiares; no los regales, no los expongas, no te descuides.

Facebook y protección de datos

En el artículo de hoy, vamos a hablar de una decisión sin precedentes, tomada por la Autoridad de Control de Noruega, en relación al uso de Facebook, la valoración de los riesgos que ello implica y la importancia de la protección de datos en este ámbito.

Cuando se tratan datos personales, uno de los principios que hemos de cumplir, a tenor de lo dispuesto en el art. 13 RGPD, es el derecho a la información del interesado; en otras palabras, comunicarle quién va a tratar sus datos, con qué fines, durante cuánto tiempo… Como parte de este derecho, en el contenido del mismo, hay que notificarle al interesado si el tratamiento va a implicar alguna transferencia internacional de datos personales.

¿Qué son las transferencias internacionales de datos?

Aunque muchos ya estamos familiarizados con el término y con sus implicaciones, una transferencia internacional de datos es el fenómeno que se produce cuando tiene lugar un tratamiento de datos personales más allá de los límites de la Unión Europea.

Esto puede suceder con independencia de que nuestras sedes y nuestros servicios se ubiquen dentro del espacio europeo, si es que se da el caso de que trabajamos con algún proveedor, o usamos algún recurso, procedente del exterior. Tal es el caso, por ejemplo, de WhatsApp, MailChimp, Youtube, Microsoft o, para el supuesto que hoy planteamos, Facebook.

Todas las plataformas mencionadas nos suenan, y de sobra, porque están más que implementadas en nuestro día a día. Eso hace que las veamos como algo cotidiano, de uso común y, aparentemente, sin mayores factores a tener en cuenta.

No obstante, lo que ocurre con las transferencias internacionales de datos es que, si bien la Unión Europea está considerada como un entorno seguro, en materia de confidencialidad y privacidad, y entendemos que el marco normativo europeo ofrece la suficiente protección a la información, no se puede decir lo mismo de otros espacios. Y ahí es dónde está el quid de la cuestión.

La decisión de la Autoridad de Control noruega sobre Facebook

La razón que motiva la elaboración de este artículo es, precisamente, una decisión muy curiosa que acaba de tomar la Autoridad de Control noruega, en relación al uso de Facebook. Decisión que, hasta donde sabemos -como la propia entidad ha destacado- no había sido tramitada, hasta ahora, de la forma en que este órgano lo ha hecho, por lo que fija un precedente.

La historia comienza cuando esta entidad -que sería la equivalente a nuestra AEPD, solo que en el país nórdico- se planteó la creación de un perfil o página oficial en Facebook, a fin de utilizarla como vía de comunicación con los usuarios que accedieran a la misma.

Hasta ahí, todo normal: prácticamente cualquier organismo, público o privado, nacional o internacional, cuenta con perfiles oficiales en Facebook u otras redes sociales.

La diferencia en la actuación de la autoridad noruega radica en que, con anterioridad a la toma de la decisión, decidieron desarrollar una evaluación de riesgos relativa a las implicaciones de la misma; es decir: tomar en consideración los riesgos que la apertura de dicha página podría conllevar, así como los efectos en los derechos de protección de datos de los interesados.

Las conclusiones de la autoridad noruega sobre Facebook

Una vez elaborada la correspondiente evaluación de riesgos, la citada Autoridad de Control, llegó a una serie de conclusiones en relación al uso de Facebook que, de forma resumida, te contamos:

  1. En primer lugar, el órgano determinó que, de proceder a la apertura de dicha página, no estarían cumpliendo, o al menos no de forma íntegra, con el art. 26 RGPD, que regula la corresponsabilidad en el tratamiento de datos personales.
  2. Por otra parte, también estimaron que el contenido del acuerdo estándar a suscribir con Facebook no tenía el carácter adecuado.
  3. Así mismo, la autoridad afirmó no estar segura de poder garantizar cómo se trataría la información de los usuarios que interactuaron con su página o con sus publicaciones (por ejemplo, dando “Me gusta”). Saber qué información se guardaría o durante cuánto tiempo escaparía totalmente fuera de su control.
  4. Por último -y, desde luego, no por ello menos importante- la autoridad también entendió, realizada dicha evaluación, que el riesgo asociado al tratamiento de datos personales de los usuarios a través de Facebook era demasiado alto, y que podría afectar a sus derechos y libertades.

Como no te habrá costado adivinar por las conclusiones extraídas, la Autoridad de Control noruega ha decidido no proceder a la apertura de una página en Facebook.

La relevancia de la decisión

Como comentábamos, por la información de que disponemos, es una decisión sin precedentes. Y no nos referimos a la decisión de no abrir un perfil en Facebook, sino a la realización de esa evaluación de riesgos previa.

Por lo que sabemos, y por los datos con que la propia Autoridad de Control noruega cuenta, es la primera vez que una organización procede de esta forma antes de efectuar tal acción. Sin duda, una decisión muy interesante, que abre la puerta a muchos planteamientos e inquietudes en este ámbito.

Tal y como indicamos unas líneas más arriba, estas tecnologías están totalmente implantadas en nuestra vida, y sería idealista tratar de ignorar su uso. Pero no por ello deberíamos olvidar los riesgos a que puede quedar expuesta la información personal cuando no se salvaguarda correctamente, o con las suficientes garantías.

La Autoridad de Control noruega considera que ha sido un paso dado en la buena dirección, y que probablemente la realización de estas acciones sería muy apropiada por parte de otras organizaciones y negocios. Y no podemos evitar coincidir con este criterio.

¿Y tú? ¿Usas las redes sociales como parte de tu actividad?

Si quieres saber más sobre esta decisión, te invitamos a leer la noticia que nos inspiró para escribir este post.

Este artículo sobre el certificado Covid como requisito obligatorio, establecido por el Gobierno de Canarias el pasado 21/07/21, para acceder a espacios públicos cerrados y actividades varias, ventajosamente a día de hoy (29/07/21) está modificado respecto a su idea inicial, que no era otra que dar recomendaciones a los obligados a cumplir la medida para reducir al mínimo el impacto en derechos y libertades de sus clientes, amigos y conocidos.

La medida ha sido suspendida cautelarmente, suponemos -aún no es público el fallo- que por lo desproporcionado de su aplicación, en tanto que era discriminatoria y limitaba derechos fundamentales de los ciudadanos. En todo caso ya que este post lo publicamos antes de conocer la suspensión, hemos decidido mantenerlo con variaciones, para información general.

¿Qué es el certificado covid?

El certificado COVID es un certificado digital que entró en funcionamiento, en todo el territorio de la Unión Europea, el pasado 1 de julio de 2021, y mediante el cual, la persona titular puede acreditar de forma oficial que:

  1. Ha sido vacunada contra la COVID-19
  2. Superó la enfermedad
  3. Se ha sometido recientemente a una prueba diagnóstica, con resultado negativo.

Es un documento gratuito que las personas que cumplan alguno de los requisitos anteriores pueden solicitar a las autoridades competentes de su país, en el caso de España, el Ministerio de Sanidad. El documento se puede obtener de forma sencilla a través de internet, y tiene como objetivo principal facilitar la movilidad de personas y la seguridad sanitaria dentro del territorio de la Unión.

En el momento de su entrada en funcionamiento las autoridades de la Unión fueron muy tajantes en recordar que “el certificado es un derecho, no una obligación”, por tanto, este artículo tiene como fin, intentar paliar los posibles efectos negativos que pueda tener tanto para interesados como para responsables RGPD, de la medida Canaria de exigir el certificado para otros fines.

Certificado Covid como medida de control de acceso a espacios públicos en Canarias

El pasado 26 de julio de 2021, el Gobierno de Canarias, publicaba una orden en el Boletín Oficial de la Comunidad Autónoma, donde indicaba que era necesario que, en aquellas islas que se encuentraban en las situaciones sanitarias denominadas Fase 3 y 4,  (actualmente, Gran Canaria, Fuerteventura, Tenerife y La Palma), se requeriría el certificado covid a cualquier persona mayor de edad que encajara en alguno de los siguientes supuestos:

  • Que acceda o permanezca en el interior de establecimientos de hostelería y restauración (Fases 3 y 4)
  • Que acuda a cualquier actividad cultural en cines, teatros, auditorios y en espacios culturales estables (Fase 4)
  • Que realice cualquier actividad física y deportiva no federada en zonas interiores de instalaciones y centros deportivos (Fase 4)
  • Que acceda o permanezca en establecimientos y locales de juego y apuestas (Fase 4)

Como era evidente, se trataba de medidas que afectaban a un abanico bastante amplio de las actividades que realizamos día a día y de los espacios a los que accedemos o acudimos, por lo que su importancia es innegable.

Antecedentes e implicaciones negativas de la medida

El antecedente de esta medida está en Francia, donde desde hace unos días el certificado covid es obligatorio para estas actividades y otras tantas. La cuestión es que en ese país existen mecanismos para obligar a vacunarse, mientras que en España sigue siendo voluntario.

Por tanto, desde el punto de vista de muchos juristas exigir el certificado covid así, podía ser una medida discriminatoria ya que la vacuna no es obligatoria, y porque algunos colectivos todavía no pueden acceder a ella, y por tanto vulneraba los derechos de libertad de elección y circulación de los interesados. Nuestra primera redacción de este post decía «Muy seguramente a día de hoy esta medida ya habrá sido recurrida por algún colectivo, con lo que en breve veremos si se mantiene o no su aplicación». Y justo hace unos minutos (29/07/21 16:00) conocimos la noticia que el Tribunal Superior de Justicia de Canarias suspendía cautelarme dicha iniciativa.

Ya hace unos días fuentes de la AEPD mostrarón su preocupación por el uso desproporcionado e injustificado de lo que un documento que está estrictamente relacionado con datos de salud. Aunque a su vez en informes anteriores sobre la pandemia ha indicado que la protección de datos no debe ser un freno en la lucha de las autoridades contra el virus.

Por su parte, el Comité Europeo de las Regiones, en un reciente informe, ha insistido en que el uso del certificado covid “no debe incurrir en un trato discriminatorio hacia personas no vacunadas, y siempre garantizando el derecho a la protección de datos

Ok a lo anterior pero había una orden que cumplir. ¿Cómo hacerlo limitando el impacto negativo en los derechos de los interesados?

Ya nos libramos de esta, pero y si no, ¿qué hubieramos tenido que hacer para cumplir con la orden, a la espera de la respuesta de los Tribunale

  • No almacenar información no necesaria (incluido el certificado)
  • Limitar la información y documentos que se solicitan, y en particular, que se almacenan
  • Formar al personal
  • Aplicar medidas de seguridad adecuadas

Para concluir…

Evidentemente, como ya hemos dicho, vivimos en una realidad sometida a constante cambio, y es algo que tenemos que tener muy en cuenta, pues es posible que en los próximos días dispongamos de más información acerca de esta u otras prácticas. Por ello, este artículo es susceptible de sufrir modificaciones y actualizaciones, así que, ¡mejor permanecer atentos!

Esperamos que hayas disfrutado de la lectura y hayas encontrado la respuesta a tus preguntas. Si no es así, no dudes en dejarnos un comentario o en contactar con nosotros: estaremos encantados de echarte una mano.

Pensar que nuestra privacidad en LinkedIn está asegurada es fácil, porque de alguna forma el que el entorno sea profesional nos da cierto halo de confianza. Por desgracia es más inseguro de lo que parece, ya que al ser una fuente de información «fiable» hay muchos usuarios maliciosos, cotillas, etc. dispuestos a utilizar esa información para su beneficio.

Es por esto que hoy en nuestro blog queremos darte información para que conozcas las opciones de privacidad que puedes configurar en Linkedin y cómo hacerlo.

Opciones de privacidad que puedes configurar en LinkedIn

LinkedIn te permite gestionar tu privacidad, dándote la oportunidad de configurar varias de opciones relacionadas con tu privacidad, entre ellas, las que te explicaremos y daremos el paso a paso, hoy:

  1. Cómo ven desde fuera de Linkedin tu perfil.
  2. Quién puede ver, o no, tu perfil (perfil privado)
  3. Configurar el «estado» de la actividad.
  4. Quién puede ver, o no, tus contactos.
  5. Visibilidad de los apellidos.
  6. Quién puede encontrarte por tu número de teléfono.

Paso a paso para configurar las distintas opciones

Para llevar a cabo cualquier configurar de privacidad en LinkedIn, en primer lugar debes acceder al menú de configuración.

Puedes acceder así:

  1. Ingresa a tu cuenta de LinkedIn y en la parte superior derecha,  selecciona el icono de herramientas.
  2. En la pantalla emergente selecciona la opción “Ajustes y Privacidad». Si accedes desde el cliente web, está justo debajo del icono superior derecho donde aparece tu foto en miniatura.

1. Paso a paso para configurar: La visualización de perfil.

Al configurar esta opción elijes quién puede visualizar tu perfil, si todo el mundo, si solo tus contactos, o también tus seguidores, etc. Para eso te permite navegar en modo visible o privado.

  1. En la ventana emergente de “Privacidad” selecciona “Opciones de visualización de perfil
  2. Opciones: Con nombre completo, con nombre y la inicial del apellido, o en modo anónimo.
  3. La más usada es el nombre completo.

Lo anterior es para los demás usuarios de la red. PERO si quieres ocultar tu perfil para que no aparezca en Google, justo al lado de esta opción, tienes la oportunidad de elegir que NO puedan ver tu perfil desde los buscadores.

2. Paso a paso para configurar: El estado de actividad.

Con la configuración de esta opción puedes decidir si quieres que tus contactos y seguidores, o incluso cualquier persona con acceso a tu perfil en LinkedIn pueda ver si estás ACTIVO en ese momento (Se señala con un punto verde junto a tu foto de perfil). Incluso cuándo fue la última conexión.

Por si no sabes qué es el estado «Activo» aquí te lo contamos.

Para configurarlo:

  1. En la ventana de “Privacidad” selecciona “Gestionar tu estado
  2. Selecciona la opción que quieras, y elije quién puede ver cuando estás en línea en LinkedIn. En este caso aconsejamos que sólo los contactos puedan ver ese punto verde al lado de tu foto a fin de evitar que vigilen tus conexiones.

3. Paso a paso para configurar: La Visibilidad de E-mail.

¿Quién quieres que vea tu email? Normalmente, al ser una red abierta a muchísima gente, es mejor que nadie, o muy pocos. Por eso te invitamos a configurar adecuadamente esta opción, y por el bien de tu privacidad, evitar que cualquiera pueda verla.

Los pasos:

  1. Nuevamente, en la ventana de “privacidad” selecciona “Quién puede ver tu dirección de E-mail
  2. Selecciona la opción que más se ajuste a ti, en este caso recomendamos “Sólo visible para mi”. Ya si quieren contactar contigo te lo harán saber y tú tendrás la opción de dar el correo electrónico que más te convenga.

4.

4. Paso a paso para configurar la visibilidad de los contactos

¿Sabías que conociendo los contactos de una persona, puedes saber bastante sobre ella, aunque tenga el perfil de LinkedIn como privado? Pues sí. Se puede a llegar a conocer información profesional, laboral, gustos, intereses, solo siguiendo el rastro. Así que, ¿Y si evitas que te espíen a través de tus contactos?.

Configurando esta opción, tampoco se podrá saber quién es tu contacto.

Pasos:

  1. Selecciona “Quién puede ver tus contactos
  2. Elige “Solo tu”. Salvo que a ti te guste que vean quienes son tus contactos y conexiones, que oye, si te apetece, también puedes dejarlos a la vista.

5.

5. Paso a paso para configurar: Visibilidad de los apellidos

Una opción que se presenta a si misma. ¿Quieres que los demás usuarios de la red social, que no son tus contactos, puedan ver tus apellidos? Es tu decisión. En cualquier caso, la red social te permite decidir, y eso es una maravilla.

Cónfiguralo, desde el menú herramientas / opciónes:

  1. Entra en “Quién puede ver tus apellidos
  2. Selecciona la segunda opción, así los usuarios que no son tus contactos no podrán conocer tus apellidos, en ese sentido solo a quien se lo permitas podrán saber tu información completa.

6. Paso a paso para configurar quién puede encontrarte por tu correo electrónico

Es sabido por todos que en las redes sociales te pueden encontrar por tu correo. ¿Quieres permitir que eso pase en tu caso? A veces no es la mejor opción.

Puedes eliminar esa opción, o habilitarla, así:

  1. En la ventana de “privacidad” selecciona “Gestiona quién puede  encontrar tu perfil por tu dirección de E-mail
  2. Elige “Contactos de segundo grado” o «Nadie«. Así como mucho solo podrán encontrarte por tu correo los contactos de tus contactos, o nadie, si esa ha sido tu elección. No recomendamos, la opción «Todos». Por cuestiones de privacidad, obvio.

6. Paso a paso para configurar quién puede encontrarte por tu numero de teléfono

Como en el caso anterior, está en tu mano permitir o no que te encuentren por tu número de teléfono. Nuestra recomendación es que lo limites.

Para configurar esta opción:

  1. Selecciona “Gestiona quién puede encontrar tu perfil por tu número de teléfono
  2. Elige “Contactos de segundo grado” o «Nadie«. Así como mucho solo podrán encontrarte por tu teléfono los contactos de tus contactos, o nadie, si esa ha sido tu elección. No recomendamos, la opción «Todos». Por cuestiones de privacidad, obvio.

8.

Conclusiones

Debes ser prudente con los datos que subes, y con quien los compartes para evitar problemas de reputación, ciberdelincuencia, etc. Hay que cuidar tu rastro digital. Uno de los peligros a los que te expones, por ejemplo es la suplantación de identidad, para distintos fines, entre ellos los más usuales son para «El fraude del CEO«, así como la contratación de servicios de telefonía, u otros.

Por otra parte es importante resaltar que esta red social tiene fines meramente profesionales, si notas conductas fuera de dicho ámbito, o consideras que hay algún tipo de actividad dañina para ti, debes reportar y/o bloquear al perfil en cuestión.

¿Te ha pasado que entras al facebook, no al chat, y de repente todos tus contactos empiezan a hablarte? No es brujería, es que tienes activado el Estado Activo.

El Estado Activo es una de las  herramientas recientes de facebook para facilitar la comunicación de sus usuarios a través del chat privado de la plataforma. Aunque es muy visible, muchos usuarios no saben qué es ese punto verde que sale al lado de su foto cuando entran en la app móvil, ni para qué sirve.

Aparecer activo o no en el chat de facebook o en sus otros servicios puede ser tan útil como perjudicial. Queremos explicaros qué es el Estado Activo y cómo activarlo o deshabilitarlo. ¿Qué porqué? Porqué somos los usuarios quienes tenemos que cuidar de nuestras relaciones personales, de nuestra privacidad, y de nuestro rastro digital en internet.

Cómo está activado por defecto, nosotros hacemos este post para enseñaros a desactivarlo y activarlo a vuestro antojo.

¿Qué es el estado “Activo”?

El estado “Activo” es una opción que muestra en el chat de facebook (mensenger), si un contacto está conectado o hace cuento tiempo se conectó por última vez. Es decir, si tu Estado Activo está activado cuando entres en facebook todos tus contactos podrán verlo.

Si bien es una opción útil para iniciar una conversación y contactar con otros, facilitando la inmediatez de las comunicaciones. También hay que reconocer que cuando no se quiere establecer contacto con nadie, por las razones que sean, ya no es tan idónea.

¿Cómo saber si esta habilitado el Estado Activo?

Cuando la función está activa aparece un punto verde al lado del nombre del usuario en el chat de facebook cada vez que este accede al messenger o directamente a la plataforma sea vía app o página web. Eso permite a todos los contactos saber que está conectado y disponible para hablar.

En cuanto el usuario salga de la plataforma, el sistema en lugar de presentar el punto verde, aparece el tiempo que ha pasado desde la última conexión del mismo.

¿Cómo saber si esta deshabilitado el Estado Activo?

Si se desactiva esta función, los amigos y contactos no podrán ver cuando el usuario realmente está dentro de la red social ni la hora de la última conexión.

Si la sesión de la cuenta está abierta en diferentes dispositivos, sólo cuando se deshabilita de todos ellos el usuario deja de tener activo el Estado Activo.

¿Cómo saber si mi estado está “Activo”?

Sigue los siguientes pasos para saber cómo está la cosa con tu Estado Activo:

  • 1, Entrar a messenger y seleccionar el icono donde esta la foto de perfil del usuario.
  • 2. Seleccionar “Estado Activo”
  • 3. En la nueva ventana emergente aparecerá si está o no habilitado. Como ya dijimos suele estarlo por defecto.

estado Activo

¿Cómo deshabilitar el Estado Activo?

Desabilitar la opción en cuestión no es tan complejo, aunque si requiere que actúes. Sigue estos pasos:

  • 1: Entrar a messenger y seleccionar el icono donde esta la foto de perfil del usuario.
  • 2. Seleccionar “ Estado Activo”
  • 3. Se deshabilita seleccionando el punto verde, llevandolo hacia la izquierda.

2 estado activo

Conclusión

Gestionar si aparecemos o no activos en la red social puede parecer poco urgente, pero es necesaria. Cada día perdemos muchas horas en internet y desactivar esta opción puede ser en parte una solución. Por otro lado, puede ser útil para no dejar a nadie con la palabra en la boca, o para que piense que no queremos hablarle; y por supuesto para cuidar nuestra privacidad y evitar el control o vigilancia por parte de terceros.

Facebook tiene que darnos herramientas requeridas para gestionar nuestra configuración de perfil, ahora es nuestro, tú turno, de ponerte manos a la obra y configurar tu privacidad de forma adecuada.

Autor: Adriana G.

Actualmente en  Facebook, eliminar y desactivar un perfil se ha vuelto un completo reto. Más si no se es consciente de la importancia de llevar a cabo estas acciones.

Por medio de este post queremos dar a conocer la diferencia entre desactivar una cuenta de facebook y eliminarla permanentemente, así como los malos resultados que se obtienen si uno de nuestros perfiles se vuelve una cuenta fantasma.

En la parte inferior de este post dejamos los pasos para que quien lo necesite pueda eliminar o desactivar un perfil de facebook.

¿Cómo funciona Facebook?

Facebook es una red social mediante la cual los usuarios pueden mantenerse en contacto continuo con un grupo de amistades e intercambiar con ellos cualquier tipo de contenido.  Actualmente cuenta con más de 2.167 millones de miembros en todo el mundo y está traducido a más de 70 idiomas. Caracterizandose como el sitio web predominante de la actualidad.

Según su propia definición, el objetivo principal de facebook es que haya una conexión de manera fácil entre personas de diferentes lugares del mundo.  Esta aplicación también permite la publicación y visibilidad de los datos a preferencia del usuario. Cabe resaltar que la protección y privacidad de estos datos es de vital importancia para no ser víctima de ciberdelincuentes. En un post del año pasado tratamos este tema.

¿Cuentas fantasma?

Existen millones de cuentas que por diferentes razones han sido abandonadas. La cuestión es que aunque hayan sido abandonadas no significa que dejen de exhibir los datos de sus dueños. Estas cuentas no desaparecen solo se vuelven cuentas inactivas, cuentas sin un capitán que las guié, y por tanto, sin nadie que configure los parámetros de seguridad y privacidad adecuados.

La exposición de los titulares de cuentas fantasma es alta, especialmente en aquellos casos en los que por perdida u olvido de la contraseña al persona se dedica a crear una cuenta tras otra, sin borrar los datos, o eliminar la cuenta. La exposición del titular de una cuenta abandonada puede acarrearle problemas de seguridad tanto física como online.

Este problema se presenta en el mayor de los casos por la reducida información que los usuarios tienen en cuanto a cómo eliminar o desactivar su cuenta.

¿Qué diferencia hay entre desactivar y eliminar una cuenta en facebook?

Muchos usuarios carecen de información sobre este tema en específico, unos por desconocimiento de la «facilidad» con que se puede hacer, otros directamente porque no piensan en esa opción, no le dan importancia. Pues henos aquí, que  lo consideramos de suma importancia, de ahí que pongamos el enlace directo a las instrucciones de Facebook,  aquí.

Los usuarios a veces desactivan la cuenta creyendo que la están eliminando permanentemente, o en el caso contrario, eliminado la cuenta permanentemente queriéndola solo desactivarla por un tiempo.

¿Cuál es la diferencia? es fácil, si se desactiva una cuenta de facebook, esta se puede volver a activar cuando el usuario quiera. En el otro caso, la cuenta y sus participaciones en chats y foros, desaparecerá también.

¿Cómo desactivar o eliminar una cuenta de facebook?

Importante: Hay que tener la contraseña de la cuenta, y activo el correo electrónico o número de teléfono asociado a ella. Cualquier solicitud requerirá, bien de ingresar la contraseña, bien de confirmar la solicitud mediante el acceso a un link que remiten vía correo o sms.

Pregunta más recibida ¿Qué hago si no me acuerdo de la contraseña o no tengo ya ese correo? .Si no tienes esos datos no podrás seguir los pasos que a continuación aparecen. Lo que puedes hacer entrar en el perfil, y denunciarlo. Esto hará que facebook inicie su procedimiento de comprobación y si lo que dices es cierto y la cuenta está sin movimiento, la elimine.

PASOS para desactivar

La opción temporal es la desactivación. Los mensajes y chats seguirán siendo visibles, la cuenta existe, y no se borra;  solo se oculta el perfil durante el tiempo que dure la desactivación. Podrá ser activada por el usuario cuando lo desee.

Desactivación de cuenta

 

PASOS para eliminar permanentemente una cuenta de facebook

Cuando se elimina permanentemente una cuenta en facebook los resultados son totalmente distintos.

Al finalizar la solicitud, Facebook da un plazo de 15 días, para cancelar la solicitud de eliminación. Si no se cancela la solicitud, a los 90 días eliminará los datos de su red social. El perfil desaparece, no es visible, ni accesible.

Como eliminar cuenta de facebook sin titulo

Conclusiones

Facebook como red social es una gran herramienta de interconexción, pero nos expone. Nos expone a nosotros y a los nuestros, y un perfil abandonado nos expone todavía más.

Es necesario eliminar las cuentas que no usamos, no es necesario facilitar las cosas a los malos. Por desgracia los malos no son solo los ciberdelincuentes, también tenemos a la gente indiscreta, los trolls, y muchos más. Un perfil abandonado siempre será una oportunidad para ellos.

La Renta 2017 trae consigo una novedad de la Agencia Tributaria. Una aplicación móvil desde la que los usuarios podrán realizar su declaración de forma fácil, rápida y segura. Con esto la Agencia Tributaria pretende reducir el número de usuarios que acuden presencialmente a sus sedes.

Ahora bien, lo cierto es el uso de la tecnología app también será una nueva puerta para los ciberdelincuentes. Queremos con este post dar algunos consejos recomendaciones, y poner sobre la pista de las técnicas más usadas por los cibercacos  para que nuestros usuarios no caigan en ellas.

¿Qué función tendrá la App de la Agencia tributaria Renta 2017?

La App de la Renta 2017 permitirá realizar la declaración desde nuestro teléfono móvil facilmente. A través la App se podrán efectuar trámites que no requieren de certificados de usuarios, como por ejemplo el cotejo de información o la presentación de documentación en el registro telematico.

Hacienda busca que este año que las personas que aún acuden en persona a las oficinas de empleo, se sumen al 88% de los ciudadanos que ya la presentan a distancia, casi 5 millones de contribuyentes harán la declaración de la renta desde su teléfono móvil.

¿Cómo descargar la App?

La aplicación está disponible en las tiendas oficiales de Apps. En concreto se puede encontrar en la Google Play y la Apple Store. Es importantísimo descargar la aplicación solo de sitios oficiales, puede llegar a ella desde el enlace que pone la Agencia Tributaria en su página web.

¿Cómo presentar la declaración de la renta a través de la App?

La aplicación es muy clara, y aquí puede encontrar las instrucciones de uso. Si tiene alguna duda, puede ponerse en contacto con la propia AEAT.

Presentar RENTA2017

Presentar RENTA2017

 

Los ciberdelincuentes y la campaña de la renta

Las campañas de la declaración de la renta, siempre son un gancho usado por los ciberdelincuentes para atraer la atención de sus victimas. Claramente es más fácil llegar a más personas, cuando se trata de una obligación que nos afecta a todos.

Los ciberdelincuentes pretenden nuestros datos y nuestra identidad digital, que siempre se traduce en dinero para ellos. Dinero, bien porque vendan nuestros datos, bien porque los utilicen de forma maliciosa, o bien porque les valgan para suplantar nuestra identidad. También quieren nuestro dinero, y la campaña de la renta es una época maravillosa para conseguir estás cosas de nosotros. Le recomendamos nuestro artículo sobre el robo de datos, y el rastro digital.

Técnicas más habituales para engañar a los usuarios
  1. Phishing. Como comentamos en un post del año pasado, esta es una de las técnicas más utilizadas por los delincuentes. Envían mensajes masivos utilizando como cebo la campaña de la renta, y en la mayoría de los casos solicitan información diciendo que hay una cantidad a devolver. Recuerda que la Agencia Tributaría  nunca pide datos por correo; no confirma cantidades a través del correo electrónico, siempre es a través de su web, y ahora a través de App oficial.
  2. Pharming. Otra técnicas más utilizadas por los ladrones digitales es el engaño relativo a las url de las web. Es decir, engañarnos para que entremos a una web errónea pero que se parece mucho, muchísimo, a la página oficial… es la única forma de que piquen los más listos.
  3. Apps fraudulentas. Este año con el estreno de la aplicación de la Renta 2017, seguro nos encontraremos, con aplicaciones falsas que se hacen pasar por la de la AEAT. El INCIBE ya lo ha informado, y recomienda a los usuarios que solo descarguemos la App oficial, de las tiendas oficiales. Suena redundante, pero es necesario dejar claro que solo hay una App oficial, y que cualquier otra, que se parezca, que tenga errores en su nombre, o en la imagen, seguramente sea una aplicación falsa y por lo tanto hay que evitarla.

Conclusiones

La novedad de la AEAT con su App es estupenda para facilitar las gestiones de la declaración de la renta a los usuarios, pero también abren la puerta a una nueva forma de robo de datos o dinero, que puede ser aprovechada por los ciberdelincuentes. Está en las manos de los usuarios, ser precavidos, informarse, y usar siempre los canales, tiendas y aplicaciones oficiales.

 

Programa de radio

Este tema lo tratamos en el programa de Radio, Internet en Familia, de Radio Club SER Tenerife, el pasado 19/03/2018. Os ponemos el enlace por si queréis escuchar el programa, en el que explicamos muchas más cosas. Podéis escuchar el programa en directo todos los lunes, a las 11 am, hora Canaria.

La frase “El 25/05/2018, empieza a aplicarse el Reglamento General de Protección de Datos” últimamente se repite con cierto apuro. Quizá, nos falte explicar qué significa la frasesita, y porqué le debe importar a nuestros actuales y futuros clientes, y a todo aquel al que le afecte.

Empecemos por el principio. La normativa de protección de datos ha cambiado, así como suena. Ahora bien, ¡a Dios gracias’!, tenemos hasta el 25/05/2018, un plazo “prudente”, para cumplir con la novedad, el Reglamento General de Protección de Datos – 679/2016 UE, en adelante el RGPD.

Lo que conocemos hasta ahora, la Ley Orgánica, 15/1999, de protección de datos de carácter personal, y su reglamento de desarrollo el RD. 1720/2007, vienen de la una Directiva derogada por el RGPD, la 95/46/CE. Por tanto, el marco legal aplicable será el del RGPD. Todo de ahora en adelante, deberá modificarse para no contravenirlo. Es así como en este momento en España, estamos en medio del proceso de modificación de nuestra querida LOPD. En un post anterior, os comentamos las claves del anteproyecto de modificación.

Ok, todo cambia pero, ¿Qué es el Reglamento General de Protección de Datos?

El RGPD es una norma nacida en el seno de la Unión Europea, con el más alto rango normativo que puede tener una legislación comunitaria. El documento en que se publicó el contenido del RGPD se titula de la siguiente manera «Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE» Ya con esto está todo dicho. O no.

El crear una nueva norma con forma de reglamento, no es casualidad. En primer lugar, se le quiso dotar de la superioridad normativa necesaria para ir por encima de las normas nacionales -que para aprobarlo todos estuvieron de acuerdo-. En segundo lugar, homogeneizar la normativa. Es decir todos los estados tenemos la misma legislación, o casi. En tercer y último lugar, se pretendía que la norma en su momento de en vigor, y en el inicio de su aplicación fuera directamente aplicable para todos, gobiernos y particulares.

El RGPD tiene como finalidad garantizar el derecho a la protección de datos de todos los ciudadanos.

¿A quién aplica el RGPD?

Como dijimos en el anterior párrafo, a todos. Ahora bien, a unos nos reconoce derechos, y a otros les impone obligaciones de hacer, o de no hacer. Por un lado, a los particulares, nos reconoce una serie de derechos, unos ya los teníamos, otros son casi nuevos. Por contra, a las empresas, profesionales y organismos públicos o privados, les impone una serie de obligaciones. Las obligaciones impuestas por el RGPD, pretenden proteger a las personas de las cuales las empresas tratan datos personales, garantizando sus derechos, y limitando sus usos y tratamientos.

Diferencias entre las obligaciones de la actual LOPD y el RGPD

Este post no pretende hacer un examen minuciosos de las reglas que cambian. Ya lo haremos luego, no os preocupéis. Así que a grandes rasgos, las diferencias entre lo que tenemos ahora, y lo que nos llega con el RGPD, son las siguientes:

Cumplimiento limitado a la Ley, vs. Cumplimiento activo.

Hasta ahora, para las empresas, cumplir la LOPD ha sido cosa de inscribir unos ficheros en el Registro General de Protección de Datos; poner las medidas de seguridad del RD 1720/2007 que nos apliquen; poner cláusulas, y firmar documentos. Y luego, que demuestren que he fallado.

Con el RGPD, se introduce el termino Acountability, o cumplimiento activo.  Se plantea el reto de la privacidad por defecto y por diseño. Son las empresas las que tienen que actuar proactivamente protegiendo los derechos de las personas de las cuales tratan, o podrían tratar datos personales. El cumplimiento del RGPD no se basa en una lista concreta de cosas para hacer, sino, de cosas para prever de forma activa. Ahora, se deberá demostrar el cumplimiento, si o si.

Medidas de Seguridad. Ahora, según evaluación de riesgos

Las medidas de seguridad que conocemos de nuestra LOPD y su reglamento de desarrollo, el RD 1720/2007, ya no estarán incluidas como tal en el RGPD. No habrá una lista concreta de medidas a aplicar, sino, que debemos llevar una gestión de riesgos de los datos personales que manejamos.  En este sentido se recomienda el uso, de los controles de seguridad de la familia ISO 27001.

Encargados de tratamiento. De menos a más responsabilidad.

Hasta ahora con la LOPD, se había establecido la obligación de firmar el contrato que exige el artículo 12, y alguna poca cosa más. Pero con el RGPD, las empresas deberán evaluar de forma activa el cumplimiento de sus proveedores. Deberán implementar un protocolo de contratación en el que el cumplimiento de la norma sea un requisito básico para contratarlos;  también el seguimiento de dicho cumplimiento, un requisito para el manteniendo del contrato. El contrato deberá ser más detallado a la relación concreta, los datos tratados, las finalidades y los tipos de tratamientos.  Por lo anterior, se trasladará una mayor parte de la carga del cumplimiento al prestador.

Registros de tratamiento en lugar de inscripción de ficheros. 

Ya no se notificarán ficheros a la AEPD. Ese tan conocido Registro General de Protección de Datos, al que las empresas notificaban los ficheros ; muchas veces era un mero tramite administrativo, vació de cumplimiento activo, ahora ya no existirá. La AEPD ha informado por activa y por pasiva, que pese a que tenemos que cumplir con esta obligación hasta el 24/05/2018, a partir de la entrada en vigor del Reglamento General de Protección de Datos, el 25/05/2018, ya no se deberá, ni se podrá seguir inscribiendo ficheros. 

Hay muchas más novedades, pero estas son las principales, y además, la idea era hacer corto este artículo. Así que seguimos

¿Cuando tenemos que empezar a cumplir?

Pues cuanto antes, en función de la actividad de la empresa, o de los datos que trate, o de las finalidades o cantidades de datos que tratemos. El caso es que el 25 de mayo de 2018, cuando el Reglamento General de Protección de Datos inicie su plena aplicación, todos los obligados deberán estár cumpliendo. En ese momento el RGPD será directamente aplicable y exigible a todos.

El día de inicio de aplicación del RGPD, o GDPR como son la siglas en inglés, todos los ciudadanos veremos alargada nuestra lista de derechos y herramientas para ejercitarlos, así que las empresas deberán estár listas para garantizar su respeto y ejercicio.

En resumen

El RGPD es el cambio más grande que hemos tenído en los últimos años, en matería de protección de datos. Estos dos daños que nos dierón desde su entrada en vigor, hasta el inicio de su aplicación ya se están agotando y hay que ponerse en marcha si ya no se ha hecho.

Esta norma se ha de afrontar en muchos casos como si de una norma ISO se tratara, o algo similar. Con mucho rigor, compromiso de la dirección y trazabilidad de todos los actos de cumplimiento. Ahora tenemos que demostrar que cumplimos; cumpliendo y registrando ese cumplimiento es como se consigue.

 

 

Comentario sobre la ST TEDH caso Barbulescu. Matices de la potestad de control laboral de recursos empresariales -informáticos o telemáticos-  por parte del empresario.

El pasado martes 5 de septiembre se publicó una Sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos, más conocido como TEDH. Hablamos del Caso Barbulescu VS Rumanía, que ya el año pasado, en enero del 2016, dio de sí muchos titulares.

En la Sentencia vemos la posición de la Gran Sala, luego de que en Abril del año pasado, el aplicante -Barbulescu- solicitára la revisión de la sentencia dictada por una de las salas del TEDH. La sentencia recurrida daba la razón al empleador que había despedido a Barbulescu por hacer uso de recursos informáticos de la empresa -el ordenador- para fines personales durante la jornada laboral.

Resumen. Consideraciones especiales del caso.

Distancia de los hechos y diferencias temporales

Tal como decía Xavier Rivas en una de sus publicaciones, hay que tener en cuenta que los hechos que suscitaron el pleito sucedieron en el año 2007. Hace 10 años, antes de que saliera el primer iPhone, antes de los dispositivos móviles casii ordenadores que tenemos hoy en día. Esta aclaración es importante debido a que entonces era mucho más difícil para un trabajador no hacer uso de los dispositivos de empresa para ver su correo, o para tener una conversación de chat. Hoy en día todos tenemos un móvil con conexión a internet, y con capacidad de lo antes dicho y mucho más. Con esto queremos decir que bueno, era una situación distinta.

El caso surgió por una cuenta de msn, no de correo electrónico

La mayoría de titulares que han comentado la noticia hablan del correo electrónico. Pero, el correo electrónico no es el único recurso de la empresa que es susceptible de ser usado para fines personales por parte de un empleado. También, y entre otros, entran ordenadores, móviles, tablets, impresoras, teléfono fijo, internet -sí, la wifi-, etc.

En este caso fue una cuenta de Yahoo msn personal, a la que el usuario accedió desde los dispositivos de la empresa. Por desgracia, debido a la monitorizacion de los sistemas informáticos que realizaba la empresa, como medida de controlar el absentismo presencial, esa última tuvo conocimiento de las conversaciones privadas del empleado. Y justo, ese carácter confidencial de las conversaciones a las que accedió la empresa es lo que suscito todo el lío.

Novedades a destacar sobre lo que ya se hacía en España

No hay muchas, salvo la de aclarar mejor el alcance en cuanto a recursos afectados, formas de monitorización y alcance de la misma. Por lo demás, en las sentencias que han venido saliendo de nuestro Tribunal Constitucional y del Tribunal Supremo queda claro que la ponderación de derechos, el juicio de proporcionaldiad, idoneidad, interés legítimo, etc. son requisitos indispensables.

Qué debemos tener en cuenta a la hora de aplicar el control laboral en el uso de recursos empresariales.

Diferenciación de dispositivos

La capacidad de control laboral referida a la monitorizacion, se refiere a los dispositivos y recursos de la empresa. No a los privativos de los trabajadores. Recursos tales, como correo electrónico, cuentas de mensajería, dispositivos móviles, ordenadores, impresoras, wifi, etc.

¿Cuándo podría verse afectado el trabajador?

Cuando utilice los dispositivos o recursos de la empresa con fines personales, sin consentimiento del empleador. Puede darse la situación que debido al cargo o las funciones del empleado, la empresa le permita el uso personal de los recursos. En esos casos la empresa debe marcar claramente el alcance y las excepciones de dicho control; o los permisos concedidos, da igual la formula. En situaciones de autorización, si hay monitorización de la actividad, es recomendable para el empleado usar carpetas identificadas como «Personal» para procurar su privacidad.

Requisitos antes para un correcto control laboral de recursos empresariales

Antes de poner en práctica una medida de control laboral o de uso de los recursos empresariales, se deben realizar una serie de juicios. Evaluaciones previas a la puesta en marcha de la medida. Se debe procurar de forma expresa la garantía de los derechos y libertades de los trabajadores; se debe evaluar la idoneidad, proporcionalidad, y mitigar al máximo posible las expectativas de privacidad del trabajador.

Cuando hablamos de expectativa de privacidad no nos referimos a matar derechos, sino a ser transparentes. Si el trabajador conoce los controles realizados por la empresa, también pondrá de su parte medidas para proteger su intimidad y privacidad. Concienciación, la llaman.

Juicios a realizar antes de poner en marcha una medida

  1. Derechos de los trabajadores. Es necesario conocer los derechos de los trabajadores, que podrían verse afectados con dicha medida. Valorar el nivel de afectación.
  2. Proporcionalidad. A partir del punto anterior, identificar si es proporcional realizar la medida prevista.
  3. Idoneidad. Si es idóneo, o si pudiera realizarse, una (punto siguiente)
  4. Búsqueda de medidas menos intrusivas, que garanticen la ponderación de los derechos del trabajador y las del empleador.
  5. Interés legitimo. Es necesario realizar un juicio de la identificación del interés en base al cual se toma la medida de control laboral. Especialmente de su correspondencia con la garantía de los derechos de los empleados.
  6. Modos de información previa. Pasados todos los juicios anteriores, habrá que identificar la forma idónea de informar a los trabajadores. Informar, formar y evitar las expectativas de privacidad son las claves de una correcta información a los usuarios. Cualquier modo encubierto podría dar problemas.

 Se debe informar:

  1. De la medida de control laboral de recursos empresariales que se realizará.
  2. El alcance concreto de la medida.
  3. Si existe monitorización de actividades, la forma en que se realizará, los contenidos, medios y recursos afectados.
  4. La base jurídica en el que se basa la realización de la medida. Hay que tener en cuenta, de forma especial lo relativo al artículo 20 del Estatuto de los Trabajadores.

¿Mi empresa puede ver mi correo electrónico?

Pues tal como aparece en una de nuestras preguntas frecuentes, sí. Al fin y al cabo es un correo de empresa, si te vas en muchos casos lo seguirá gestionando un compañero, o se redirigirán las comunicaciones a uno.

Bueno es aclarar que en la mayoría de los casos no hay alguien cotilleando todo el tiempo lo que hacemos, sino, que eventualmente podrían hacerlo. Es una de las facultades derivadas de la potestad de control que tiene la empresa. También por cuestiones de privacidad, protección de datos, y compliance.

Siempre que se informe adecuadamente, se lleve a cabo de forma ordenada, y no se vulneren los derechos, sí, lo pueden hacer. Eso sí, hablamos del correo de empresa, ese recurso tan valioso que te pueden asignar de forma personalizada, o genérica.

Finalmente

Estamos en cambio y evolución constante, la tecnología es lo que tiene. Avanza y avanza como si no hubiera mañana. En nuestras manos está proteger nuestra privacidad e intimidad. Conozcamos las reglas de nuestras empresas, enterémonos de nuestras limitaciones, y según sea el caso, si tenemos un móvil personal, manejemos desde ahí nuestras cosas personales.

Os recordamos que todos los lunes, siempre que no hayan cosas extraordinarias, estaremos al aire en Radio Club Ser Tenerife, hablando de internet, tecnología, privacidad, derechos, protección de datos, riesgos, ciberseguridad, consumo, compliance, reglamento europeo de protección de datos, LOPD, RGPD, GDPR, entre otros.

Comentario y explicación en la radio

Debido a la cercanía de las fechas, este contenido lo desarrollamos el pasado lunes 12/09/2017, en el inicio del curso escolar, de la radio. Por cierto, sí, volvemos a colaborar en una nueva temporada de Hoy por Hoy Tenerife, de Radio Club Ser Tenerife. En nuestro espacio de los lunes, Internet en Familia.

Os dejamos el audio, en el que comentamos con Juan Carlos Castañeda, lo relativo a la sentencia; también damos recomendaciones básicas para empresas, y claro, para los trabajadores.

 

En este post hablaremos del robo de datos en internet, pero ojo, que aunque en esta oportunidad nos centremos en la red, no solo de internet vive el hombre. Si no ponemos una contraseña segura, puede que nuestro PC, móvil, tablet, etc. sea usado -sin permiso- por cualquiera que los tenga a mano, para eso no hace falta internet, solo un dispositivo desprotegido.

Internet es a gran herramienta que nos acerca a una amplia gama de conocimientos, noticias en tiempo real, cultura, lugares remotos, personas en otros países, etc. Pero, también es la puerta a través de la cual los ciberdelincuentes pueden hacerse con nuestros datos. Les permite acceder a nuestra vida, la privada y la pública, a nuestra información bancaria, laboral, social, etc. a todos loss aspectos  de nuestra vida que se pueden gestionar vía online. Y todo sea dicho, unas veces entran por la puerta de atrás, y otras por la principal que parece señalada con luces de neón. Sí, así de inconscientes podemos llegar a ser.

Pero ¿Cómo puede realizar un robo de datos un ciberdelincuente?

De muchas formas, y en la mayoría de ellas, por desgracia, el factor «usuario» es el principal coladero de males. Las siguientes, son las formas más habituales:

  1. Campañas de phishing. Funcionan porque el usuario abre y sigue las instrucciones de un correo SPAM. La mayoría de veces piden datos, o facilitan un enlace emulando alguna entidad o marca conocida, hablan de un supuesto sorteo, las opciones son variadas. Pero al final siempre hay un pedido de datos, -incluidos los bancarios- y un usuario inocente que larga todo sin preguntar.
  2. Estafas tipo pharming. Suele ser habitual en temas bancarios, cuando en lugar de teclear directamente la dirección electrónica del banco, el usuario la busca por google y el malo te tiene listo un resultado, que logra engañarle y capta los daros de usuario. También funciona mucho con redes sociales, y cuentas de correo electrónico.
  3. Usuando apps y juegos que recolectan datos. Cuando en el móvil o en las redes sociales el usuario instala apps y juegos que roban datos, o los venden.
  4. Interpretación de correos sin cifrar.
  5. Cuando el usuario se apunta a concursos, megachollos, y demás ofertas demasiado buenas para ser verdad, pero aún así da todos los datos sin verificar quién está detrás, y si es una oferta legítima.

¿Qué puede hacer un ciberdelincuente con mis datos?

Hacer, puede hacer de todo. Dependerá del tipo de atacante y de ataque. Hay ataques generalizados y ataques personalizados:

  • En el caso de un ataque generalizado, no hay una víctima concreta, sino, una generalidad de blancos. Esto es lo que pasa con las campañas de phishing o malware realizadas a través de SPAM. En estos casos se pretende conseguir información real de las personas, credenciales, datos bancarios, etc. Luego los venden en el mercado negro, o bien realizan fraudes bancarios, o compra de productos usando esas identidades.
  • Por otro lado un ataque específico estará diseñado de forma clara para hacer que una persona concreta caiga en él. Puede usarse cualquier modalidad de las descritas en el punto anterior, solo que el gancho estará diseñado con exquisito cuidado. Usan información del blanco -de redes sociales, en su trabajo, etc.- garantizándose la efectividad del ataque. En este caso, la finalidad será también muy específica, pudiendo querer suplantar a esta persona, usar sus permisos de acceso en algún sitio concreto, o estafarle -pero bien-.

Total, que en resumen, algunas opciones de lo que puede hacer un ciberdelincuente con nuestros datos, son:

  • Venderlos en el mercado negro
  • Estafarnos, robarnos -y no solo en internet, sino también físicamente-
  • Usar nuestros dispositivos para redes zombie
  • Contratar / comprar en nuestro nombre productos online, o ilegales y endosarnos la factura o la culpa.
  • Usar nuestros permisos de acceso a algún sistema o lugar.
  • Etc. Estamos seguros que los expertos en ciberseguridad pueden darnos una laaaaarrrrga lista de cosas más.

¿Cómo evitar que roben mis datos?

Lo primero es ser conscientes que en este mundo hiperconectado en el que vivimos, las puertas de acceso a nuestros datos son muchas; que la seguridad absoluta no existe, y pese a implementar medidas de seguridad, en cualquier momento podemos ser víctimas de un robo de datos. Los delincuentes evolucionan día a día, y sus herramientas también.

Recomendaciones esenciales:
  1. Usar contraseñas seguras. las contraseñas son las llaves de nuestra vida digital, deben ser contraseñas seguras, es una de las principales claves para proteger nuestra vida digital. Podemos usar claves nemotecnicas, un repositorio online de claves, un generador automático, etc. Son mil las opciones, pero siempre con el objetivo de ponérselo difícil a los ciberdelincuentes, cotillas, etc. Y claro, deben ponerse en todos los dispositivos, cuentas de correo, redes sociales, nubes, y  todo sitio al que subáis información.
  2. Ojo con el SPAM. No se debe acceder a enlaces que vengan en correos sospechosos; tampoco contestar facilitando la información que solicitan.
  3. Descargar apps y software de sitios oficiales. Es una de las formas más seguras de contar con apps sin malware. Que oye, no es que todas las apps oficiales sean buenas, pero suelen pasar un mínimo de controles de privacidad.
  4. Mantener la confidencialidad en internet. Este es un punto difícil para muchos usuarios, tanto les gusta publicar su vida privada que se niegan a ver el peligro que ello conlleva. Cada cosa que publicamos es un detalle que un delincuente puede usar para engañarnos, o para engañar a nuestras familias. ¿No habéis oído de los secuestros virtuales? pues una de las claves de su funcionamiento es la información que publican los propios usuarios.
  5. Limitar los permisos que se dan a apps y software. Otra vez estos dos, pero es que al descargarlos o les decimos que no pueden acceder a todo, o lo harán. Y si lo hacen, pues ya que venga dios y reparta suerte, porque se harán con cuanto haya a su paso.

Para cerrar

Evitar que nos roben datos, o de mitigar el daño de un incidente de este tipo, está en nuestras manos. Somos los usuarios quienes debemos ser responsables activos de la seguridad, confidencialidad y disponibilidad de nuestros datos.

En internet hay muchos ojos, tantos que es imposible imaginarlo. Os recomendamos el video de TEDX Madrid en el que la periodista, Marta Peirano, habla de «¿Por qué me vigilan, si no soy nadie?».Esperamos que entre este post y esa charla de 9 minutitos, os quedéis con la idea de que vuestra información vale, y debéis protegerla.