Entradas

Recomendaciones para una Renta 2017 segura

, ,

La Renta 2017 trae consigo una novedad de la Agencia Tributaria. Una aplicación móvil desde la que los usuarios podrán realizar su declaración de forma fácil, rápida y segura. Con esto la Agencia Tributaria pretende reducir el número de usuarios que acuden presencialmente a sus sedes.

Ahora bien, lo cierto es el uso de la tecnología app también será una nueva puerta para los ciberdelincuentes. Queremos con este post dar algunos consejos recomendaciones, y poner sobre la pista de las técnicas más usadas por los cibercacos  para que nuestros usuarios no caigan en ellas.

¿Qué función tendrá la App de la Agencia tributaria Renta 2017?

La App de la Renta 2017 permitirá realizar la declaración desde nuestro teléfono móvil facilmente. A través la App se podrán efectuar trámites que no requieren de certificados de usuarios, como por ejemplo el cotejo de información o la presentación de documentación en el registro telematico.

Hacienda busca que este año que las personas que aún acuden en persona a las oficinas de empleo, se sumen al 88% de los ciudadanos que ya la presentan a distancia, casi 5 millones de contribuyentes harán la declaración de la renta desde su teléfono móvil.

¿Cómo descargar la App?

La aplicación está disponible en las tiendas oficiales de Apps. En concreto se puede encontrar en la Google Play y la Apple Store. Es importantísimo descargar la aplicación solo de sitios oficiales, puede llegar a ella desde el enlace que pone la Agencia Tributaria en su página web.

¿Cómo presentar la declaración de la renta a través de la App?

La aplicación es muy clara, y aquí puede encontrar las instrucciones de uso. Si tiene alguna duda, puede ponerse en contacto con la propia AEAT.

Presentar RENTA2017

Presentar RENTA2017

 

Los ciberdelincuentes y la campaña de la renta

Las campañas de la declaración de la renta, siempre son un gancho usado por los ciberdelincuentes para atraer la atención de sus victimas. Claramente es más fácil llegar a más personas, cuando se trata de una obligación que nos afecta a todos.

Los ciberdelincuentes pretenden nuestros datos y nuestra identidad digital, que siempre se traduce en dinero para ellos. Dinero, bien porque vendan nuestros datos, bien porque los utilicen de forma maliciosa, o bien porque les valgan para suplantar nuestra identidad. También quieren nuestro dinero, y la campaña de la renta es una época maravillosa para conseguir estás cosas de nosotros. Le recomendamos nuestro artículo sobre el robo de datos, y el rastro digital.

Técnicas más habituales para engañar a los usuarios
  1. Phishing. Como comentamos en un post del año pasado, esta es una de las técnicas más utilizadas por los delincuentes. Envían mensajes masivos utilizando como cebo la campaña de la renta, y en la mayoría de los casos solicitan información diciendo que hay una cantidad a devolver. Recuerda que la Agencia Tributaría  nunca pide datos por correo; no confirma cantidades a través del correo electrónico, siempre es a través de su web, y ahora a través de App oficial.
  2. Pharming. Otra técnicas más utilizadas por los ladrones digitales es el engaño relativo a las url de las web. Es decir, engañarnos para que entremos a una web errónea pero que se parece mucho, muchísimo, a la página oficial… es la única forma de que piquen los más listos.
  3. Apps fraudulentas. Este año con el estreno de la aplicación de la Renta 2017, seguro nos encontraremos, con aplicaciones falsas que se hacen pasar por la de la AEAT. El INCIBE ya lo ha informado, y recomienda a los usuarios que solo descarguemos la App oficial, de las tiendas oficiales. Suena redundante, pero es necesario dejar claro que solo hay una App oficial, y que cualquier otra, que se parezca, que tenga errores en su nombre, o en la imagen, seguramente sea una aplicación falsa y por lo tanto hay que evitarla.

Conclusiones

La novedad de la AEAT con su App es estupenda para facilitar las gestiones de la declaración de la renta a los usuarios, pero también abren la puerta a una nueva forma de robo de datos o dinero, que puede ser aprovechada por los ciberdelincuentes. Está en las manos de los usuarios, ser precavidos, informarse, y usar siempre los canales, tiendas y aplicaciones oficiales.

 

Programa de radio

Este tema lo tratamos en el programa de Radio, Internet en Familia, de Radio Club SER Tenerife, el pasado 19/03/2018. Os ponemos el enlace por si queréis escuchar el programa, en el que explicamos muchas más cosas. Podéis escuchar el programa en directo todos los lunes, a las 11 am, hora Canaria.

/0 Comentarios/por

Internet en Familia. Colaboración semanal con Radio Club SER Tenerife

, , ,

Bueno, como nuestros fans de Internet en Familia (jejeje) nos piden que subamos los audios de nuestra participación semanal en el Hoy por Hoy Tenerife, de Radio Club SER Tenerife. Nos encantaría hacer un post para cada participación, pero en muchos casos, ya con lo dicho en el programa vamos bien servidos, y en otros, las prisas del día a día nos lo impide.

Para compartir con vosotros, de forma casi inmediata, y sin perjuicio de que luego se puedan desarrollar publicaciones y se basen en los programas de radio, tachan, tachaaaaannnnnnnn: hemos decidido crear este post en el que iremos subiendo los audios, poniendo en primer lugar, el último programa emitido.

 

Programa 05/03/2018. Redes sociales, qué son, tipos y características.

Tema:  Las redes sociales, sus características y tipos que podemos encontrar en la actualidad.

Puntos clave: Desde que saliera a la luz el proyecto www.sixdegrees.com, por allá en 1997, así como la que podríamos llamar la primer red social ryze.com, ha pasado muchísimo tiempo. Desde entonces han nacido múltiples proyectos de redes sociales, unos con más éxito que otros, por ejemplo, facebook (un éxito), myspace (murió), twitter que ahí va, y muchos más.

Hay redes sociales para todos los gustos, colores e intereses ¿Cuál es la tuya?

Recordatorio: Las redes sociales son maravillosas, si se usan de forma adecuada. Pueden ayudarnos a comunicarnos con otros, a compartir intereses, a encontrar trabajo, etc. pero hay que evitar perder de vista nuestra privacidad y no compartir cosas que afectar nuestra seguridad.

 

Programa 26/02/2018. Campaña no seas estrella de Unicef

Tema: Esta vez usamos el espacio Internet en Familia, para comentar el vídeo de la última campaña de Unicef. El vídeo refleja lo poco consientes que son los menores respecto a todo lo que comparten en internet.

Puedes ver el vídeo del que hablamos en este programa «¿Eres tan anónimo en la Red como te crees? Campaña #NoSeasEstrella de Unicef» pinchando aquí.

Puntos clave: Durante el programa, comentamos una realidad que a veces puede dar un poco de miedo, lo frágiles que son los menores; de lo mucho que comparten sobre ellos mismos y su familia, entorno, etc. en internet; de lo poco conscientes que son de que esa exposición puede ser lesiva para sus derechos, su seguridad y su privacidad.

Recomendaciones: por favor, compartid con los menores que os rodean este vídeo, y verlo vosotros mismos, es realmente revelador.

 

Programa 18/02/2018. Virus de facebook y oleada de estafas del CEO en Tenerife

Tema:  En este programa tratamos dos temas:

  • El supuesto virus de facebook que roba cuentas de usuarios, publica y manda mensajes en su nombre.
  • La oleada de estafas del CEO que ha tenido lugar en Tenerife en el último mes. Esta noticia se coló en el programa debido a que salio en los periódicos de la isla ese día :).

Puntos clave: En los dos casos vemos como las comunicaciones electrónicas juegan un papel importante en la seguridad de nuestra información,  identidad digital y seguridad financiera, física, lógica, etc. No podemos confiar en que los correos o los mensajes vienen de la fuente que dice ser, en muchas ocasiones según la situación debemos ser precavidos.

Recomendaciones:

  • Se precavido y confirma la identidad de los remitentes de los correos y mensajes que recibes.
  • No abras correos que te generen dudas, que no tengan claro el remitente o que el contenido parezca comprometido.
  • Pregunta antes de abrir, o de ejecutar cualquier acción.
  • Comprueba los protocolos empresariales para operaciones financieras de grandes cantidades.

 

Internet en Familia 22/01/2018. La madre italiana que debe borrar todo lo que ha publicado en redes sociales sobre su hijo

El siguiente audio corresponde al programa  emitido el lunes 22/01/2018, en el que nuestra compañera Jeimy Poveda (la que siempre va a las colaboraciones) y Juan C. Castañeda trataron el tema:

Tema: «Un juez ordena a una madre italiana que borre todo el contenido relativo a su hijo, que ha subido a las redes sociales. Además le amenaza con sancionarla con 10000 € en caso de que vuelva a subir alguna información relacionada con el menor»

Puntos clave: Los padres son los garantes y valedores de los derechos de sus hijos. Debemos evitar exponerlos en las redes sociales, protegiendo así su derecho a la intimidad, a la privacidad personal y familiar.

Recordatorio: Todo lo que se sube a internet, queda en internet. Hoy el niño es pequeño y no le importa que subas a la red, pero cuando sea grande ¿Pensará igual?, ¿Y, si la foto le afecta negativamente en el futuro?

Cuidemos a nuestros niños, antes de publicar nada de ellos en las redes sociales hagamos una ponderación, entre nuestro orgullo de padres y sus derechos.

 

¿Cuándo es la emisión en vivo?

el programa es todos los lunes, en la franja del Hoy por  Hoy Tenerife, de Radio Club SER Tenerife. El horario varia entre las 10:40 y las 11:10 a.m. hora Canaria. 

Os esperamos cada lunes, pero si no podéis escucharnos en directo, prometemos empezar a subir aquí los programas. Sí, también es muy probable que vayamos desarrollando algunos de los temas. No dudéis en remitirnos vuestras preguntas, o sugerencias de temas para tratar.

/0 Comentarios/por

Reglamento General de Protección de Datos, ¿Que es?

, ,

La frase “El 25/05/2018, empieza a aplicarse el Reglamento General de Protección de Datos” últimamente se repite con cierto apuro. Quizá, nos falte explicar qué significa la frasesita, y porqué le debe importar a nuestros actuales y futuros clientes, y a todo aquel al que le afecte.

Empecemos por el principio. La normativa de protección de datos ha cambiado, así como suena. Ahora bien, ¡a Dios gracias’!, tenemos hasta el 25/05/2018, un plazo “prudente”, para cumplir con la novedad, el Reglamento General de Protección de Datos – 679/2016 UE, en adelante el RGPD.

Lo que conocemos hasta ahora, la Ley Orgánica, 15/1999, de protección de datos de carácter personal, y su reglamento de desarrollo el RD. 1720/2007, vienen de la una Directiva derogada por el RGPD, la 95/46/CE. Por tanto, el marco legal aplicable será el del RGPD. Todo de ahora en adelante, deberá modificarse para no contravenirlo. Es así como en este momento en España, estamos en medio del proceso de modificación de nuestra querida LOPD. En un post anterior, os comentamos las claves del anteproyecto de modificación.

Ok, todo cambia pero, ¿Qué es el Reglamento General de Protección de Datos?

El RGPD es una norma nacida en el seno de la Unión Europea, con el más alto rango normativo que puede tener una legislación comunitaria. El documento en que se publicó el contenido del RGPD se titula de la siguiente manera «Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE» Ya con esto está todo dicho. O no.

El crear una nueva norma con forma de reglamento, no es casualidad. En primer lugar, se le quiso dotar de la superioridad normativa necesaria para ir por encima de las normas nacionales -que para aprobarlo todos estuvieron de acuerdo-. En segundo lugar, homogeneizar la normativa. Es decir todos los estados tenemos la misma legislación, o casi. En tercer y último lugar, se pretendía que la norma en su momento de en vigor, y en el inicio de su aplicación fuera directamente aplicable para todos, gobiernos y particulares.

El RGPD tiene como finalidad garantizar el derecho a la protección de datos de todos los ciudadanos.

¿A quién aplica el RGPD?

Como dijimos en el anterior párrafo, a todos. Ahora bien, a unos nos reconoce derechos, y a otros les impone obligaciones de hacer, o de no hacer. Por un lado, a los particulares, nos reconoce una serie de derechos, unos ya los teníamos, otros son casi nuevos. Por contra, a las empresas, profesionales y organismos públicos o privados, les impone una serie de obligaciones. Las obligaciones impuestas por el RGPD, pretenden proteger a las personas de las cuales las empresas tratan datos personales, garantizando sus derechos, y limitando sus usos y tratamientos.

Diferencias entre las obligaciones de la actual LOPD y el RGPD

Este post no pretende hacer un examen minuciosos de las reglas que cambian. Ya lo haremos luego, no os preocupéis. Así que a grandes rasgos, las diferencias entre lo que tenemos ahora, y lo que nos llega con el RGPD, son las siguientes:

Cumplimiento limitado a la Ley, vs. Cumplimiento activo.

Hasta ahora, para las empresas, cumplir la LOPD ha sido cosa de inscribir unos ficheros en el Registro General de Protección de Datos; poner las medidas de seguridad del RD 1720/2007 que nos apliquen; poner cláusulas, y firmar documentos. Y luego, que demuestren que he fallado.

Con el RGPD, se introduce el termino Acountability, o cumplimiento activo.  Se plantea el reto de la privacidad por defecto y por diseño. Son las empresas las que tienen que actuar proactivamente protegiendo los derechos de las personas de las cuales tratan, o podrían tratar datos personales. El cumplimiento del RGPD no se basa en una lista concreta de cosas para hacer, sino, de cosas para prever de forma activa. Ahora, se deberá demostrar el cumplimiento, si o si.

Medidas de Seguridad. Ahora, según evaluación de riesgos

Las medidas de seguridad que conocemos de nuestra LOPD y su reglamento de desarrollo, el RD 1720/2007, ya no estarán incluidas como tal en el RGPD. No habrá una lista concreta de medidas a aplicar, sino, que debemos llevar una gestión de riesgos de los datos personales que manejamos.  En este sentido se recomienda el uso, de los controles de seguridad de la familia ISO 27001.

Encargados de tratamiento. De menos a más responsabilidad.

Hasta ahora con la LOPD, se había establecido la obligación de firmar el contrato que exige el artículo 12, y alguna poca cosa más. Pero con el RGPD, las empresas deberán evaluar de forma activa el cumplimiento de sus proveedores. Deberán implementar un protocolo de contratación en el que el cumplimiento de la norma sea un requisito básico para contratarlos;  también el seguimiento de dicho cumplimiento, un requisito para el manteniendo del contrato. El contrato deberá ser más detallado a la relación concreta, los datos tratados, las finalidades y los tipos de tratamientos.  Por lo anterior, se trasladará una mayor parte de la carga del cumplimiento al prestador.

Registros de tratamiento en lugar de inscripción de ficheros. 

Ya no se notificarán ficheros a la AEPD. Ese tan conocido Registro General de Protección de Datos, al que las empresas notificaban los ficheros ; muchas veces era un mero tramite administrativo, vació de cumplimiento activo, ahora ya no existirá. La AEPD ha informado por activa y por pasiva, que pese a que tenemos que cumplir con esta obligación hasta el 24/05/2018, a partir de la entrada en vigor del Reglamento General de Protección de Datos, el 25/05/2018, ya no se deberá, ni se podrá seguir inscribiendo ficheros. 

Hay muchas más novedades, pero estas son las principales, y además, la idea era hacer corto este artículo. Así que seguimos

¿Cuando tenemos que empezar a cumplir?

Pues cuanto antes, en función de la actividad de la empresa, o de los datos que trate, o de las finalidades o cantidades de datos que tratemos. El caso es que el 25 de mayo de 2018, cuando el Reglamento General de Protección de Datos inicie su plena aplicación, todos los obligados deberán estár cumpliendo. En ese momento el RGPD será directamente aplicable y exigible a todos.

El día de inicio de aplicación del RGPD, o GDPR como son la siglas en inglés, todos los ciudadanos veremos alargada nuestra lista de derechos y herramientas para ejercitarlos, así que las empresas deberán estár listas para garantizar su respeto y ejercicio.

En resumen

El RGPD es el cambio más grande que hemos tenído en los últimos años, en matería de protección de datos. Estos dos daños que nos dierón desde su entrada en vigor, hasta el inicio de su aplicación ya se están agotando y hay que ponerse en marcha si ya no se ha hecho.

Esta norma se ha de afrontar en muchos casos como si de una norma ISO se tratara, o algo similar. Con mucho rigor, compromiso de la dirección y trazabilidad de todos los actos de cumplimiento. Ahora tenemos que demostrar que cumplimos; cumpliendo y registrando ese cumplimiento es como se consigue.

 

 

/0 Comentarios/por

Control laboral de recursos informáticos empresariales

, , , ,

Comentario sobre la ST TEDH caso Barbulescu. Matices de la potestad de control laboral de recursos empresariales -informáticos o telemáticos-  por parte del empresario.

El pasado martes 5 de septiembre se publicó una Sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos, más conocido como TEDH. Hablamos del Caso Barbulescu VS Rumanía, que ya el año pasado, en enero del 2016, dio de sí muchos titulares.

En la Sentencia vemos la posición de la Gran Sala, luego de que en Abril del año pasado, el aplicante -Barbulescu- solicitára la revisión de la sentencia dictada por una de las salas del TEDH. La sentencia recurrida daba la razón al empleador que había despedido a Barbulescu por hacer uso de recursos informáticos de la empresa -el ordenador- para fines personales durante la jornada laboral.

Resumen. Consideraciones especiales del caso.

Distancia de los hechos y diferencias temporales

Tal como decía Xavier Rivas en una de sus publicaciones, hay que tener en cuenta que los hechos que suscitaron el pleito sucedieron en el año 2007. Hace 10 años, antes de que saliera el primer iPhone, antes de los dispositivos móviles casii ordenadores que tenemos hoy en día. Esta aclaración es importante debido a que entonces era mucho más difícil para un trabajador no hacer uso de los dispositivos de empresa para ver su correo, o para tener una conversación de chat. Hoy en día todos tenemos un móvil con conexión a internet, y con capacidad de lo antes dicho y mucho más. Con esto queremos decir que bueno, era una situación distinta.

El caso surgió por una cuenta de msn, no de correo electrónico

La mayoría de titulares que han comentado la noticia hablan del correo electrónico. Pero, el correo electrónico no es el único recurso de la empresa que es susceptible de ser usado para fines personales por parte de un empleado. También, y entre otros, entran ordenadores, móviles, tablets, impresoras, teléfono fijo, internet -sí, la wifi-, etc.

En este caso fue una cuenta de Yahoo msn personal, a la que el usuario accedió desde los dispositivos de la empresa. Por desgracia, debido a la monitorizacion de los sistemas informáticos que realizaba la empresa, como medida de controlar el absentismo presencial, esa última tuvo conocimiento de las conversaciones privadas del empleado. Y justo, ese carácter confidencial de las conversaciones a las que accedió la empresa es lo que suscito todo el lío.

Novedades a destacar sobre lo que ya se hacía en España

No hay muchas, salvo la de aclarar mejor el alcance en cuanto a recursos afectados, formas de monitorización y alcance de la misma. Por lo demás, en las sentencias que han venido saliendo de nuestro Tribunal Constitucional y del Tribunal Supremo queda claro que la ponderación de derechos, el juicio de proporcionaldiad, idoneidad, interés legítimo, etc. son requisitos indispensables.

Qué debemos tener en cuenta a la hora de aplicar el control laboral en el uso de recursos empresariales.

Diferenciación de dispositivos

La capacidad de control laboral referida a la monitorizacion, se refiere a los dispositivos y recursos de la empresa. No a los privativos de los trabajadores. Recursos tales, como correo electrónico, cuentas de mensajería, dispositivos móviles, ordenadores, impresoras, wifi, etc.

¿Cuándo podría verse afectado el trabajador?

Cuando utilice los dispositivos o recursos de la empresa con fines personales, sin consentimiento del empleador. Puede darse la situación que debido al cargo o las funciones del empleado, la empresa le permita el uso personal de los recursos. En esos casos la empresa debe marcar claramente el alcance y las excepciones de dicho control; o los permisos concedidos, da igual la formula. En situaciones de autorización, si hay monitorización de la actividad, es recomendable para el empleado usar carpetas identificadas como «Personal» para procurar su privacidad.

Requisitos antes para un correcto control laboral de recursos empresariales

Antes de poner en práctica una medida de control laboral o de uso de los recursos empresariales, se deben realizar una serie de juicios. Evaluaciones previas a la puesta en marcha de la medida. Se debe procurar de forma expresa la garantía de los derechos y libertades de los trabajadores; se debe evaluar la idoneidad, proporcionalidad, y mitigar al máximo posible las expectativas de privacidad del trabajador.

Cuando hablamos de expectativa de privacidad no nos referimos a matar derechos, sino a ser transparentes. Si el trabajador conoce los controles realizados por la empresa, también pondrá de su parte medidas para proteger su intimidad y privacidad. Concienciación, la llaman.

Juicios a realizar antes de poner en marcha una medida

  1. Derechos de los trabajadores. Es necesario conocer los derechos de los trabajadores, que podrían verse afectados con dicha medida. Valorar el nivel de afectación.
  2. Proporcionalidad. A partir del punto anterior, identificar si es proporcional realizar la medida prevista.
  3. Idoneidad. Si es idóneo, o si pudiera realizarse, una (punto siguiente)
  4. Búsqueda de medidas menos intrusivas, que garanticen la ponderación de los derechos del trabajador y las del empleador.
  5. Interés legitimo. Es necesario realizar un juicio de la identificación del interés en base al cual se toma la medida de control laboral. Especialmente de su correspondencia con la garantía de los derechos de los empleados.
  6. Modos de información previa. Pasados todos los juicios anteriores, habrá que identificar la forma idónea de informar a los trabajadores. Informar, formar y evitar las expectativas de privacidad son las claves de una correcta información a los usuarios. Cualquier modo encubierto podría dar problemas.

 Se debe informar:

  1. De la medida de control laboral de recursos empresariales que se realizará.
  2. El alcance concreto de la medida.
  3. Si existe monitorización de actividades, la forma en que se realizará, los contenidos, medios y recursos afectados.
  4. La base jurídica en el que se basa la realización de la medida. Hay que tener en cuenta, de forma especial lo relativo al artículo 20 del Estatuto de los Trabajadores.

¿Mi empresa puede ver mi correo electrónico?

Pues tal como aparece en una de nuestras preguntas frecuentes, sí. Al fin y al cabo es un correo de empresa, si te vas en muchos casos lo seguirá gestionando un compañero, o se redirigirán las comunicaciones a uno.

Bueno es aclarar que en la mayoría de los casos no hay alguien cotilleando todo el tiempo lo que hacemos, sino, que eventualmente podrían hacerlo. Es una de las facultades derivadas de la potestad de control que tiene la empresa. También por cuestiones de privacidad, protección de datos, y compliance.

Siempre que se informe adecuadamente, se lleve a cabo de forma ordenada, y no se vulneren los derechos, sí, lo pueden hacer. Eso sí, hablamos del correo de empresa, ese recurso tan valioso que te pueden asignar de forma personalizada, o genérica.

Finalmente

Estamos en cambio y evolución constante, la tecnología es lo que tiene. Avanza y avanza como si no hubiera mañana. En nuestras manos está proteger nuestra privacidad e intimidad. Conozcamos las reglas de nuestras empresas, enterémonos de nuestras limitaciones, y según sea el caso, si tenemos un móvil personal, manejemos desde ahí nuestras cosas personales.

Os recordamos que todos los lunes, siempre que no hayan cosas extraordinarias, estaremos al aire en Radio Club Ser Tenerife, hablando de internet, tecnología, privacidad, derechos, protección de datos, riesgos, ciberseguridad, consumo, compliance, reglamento europeo de protección de datos, LOPD, RGPD, GDPR, entre otros.

Comentario y explicación en la radio

Debido a la cercanía de las fechas, este contenido lo desarrollamos el pasado lunes 12/09/2017, en el inicio del curso escolar, de la radio. Por cierto, sí, volvemos a colaborar en una nueva temporada de Hoy por Hoy Tenerife, de Radio Club Ser Tenerife. En nuestro espacio de los lunes, Internet en Familia.

Os dejamos el audio, en el que comentamos con Juan Carlos Castañeda, lo relativo a la sentencia; también damos recomendaciones básicas para empresas, y claro, para los trabajadores.

 

/0 Comentarios/por

Robo de datos en Internet

, ,

En este post hablaremos del robo de datos en internet, pero ojo, que aunque en esta oportunidad nos centremos en la red, no solo de internet vive el hombre. Si no ponemos una contraseña segura, puede que nuestro PC, móvil, tablet, etc. sea usado -sin permiso- por cualquiera que los tenga a mano, para eso no hace falta internet, solo un dispositivo desprotegido.

Internet es a gran herramienta que nos acerca a una amplia gama de conocimientos, noticias en tiempo real, cultura, lugares remotos, personas en otros países, etc. Pero, también es la puerta a través de la cual los ciberdelincuentes pueden hacerse con nuestros datos. Les permite acceder a nuestra vida, la privada y la pública, a nuestra información bancaria, laboral, social, etc. a todos loss aspectos  de nuestra vida que se pueden gestionar vía online. Y todo sea dicho, unas veces entran por la puerta de atrás, y otras por la principal que parece señalada con luces de neón. Sí, así de inconscientes podemos llegar a ser.

Pero ¿Cómo puede realizar un robo de datos un ciberdelincuente?

De muchas formas, y en la mayoría de ellas, por desgracia, el factor «usuario» es el principal coladero de males. Las siguientes, son las formas más habituales:

  1. Campañas de phishing. Funcionan porque el usuario abre y sigue las instrucciones de un correo SPAM. La mayoría de veces piden datos, o facilitan un enlace emulando alguna entidad o marca conocida, hablan de un supuesto sorteo, las opciones son variadas. Pero al final siempre hay un pedido de datos, -incluidos los bancarios- y un usuario inocente que larga todo sin preguntar.
  2. Estafas tipo pharming. Suele ser habitual en temas bancarios, cuando en lugar de teclear directamente la dirección electrónica del banco, el usuario la busca por google y el malo te tiene listo un resultado, que logra engañarle y capta los daros de usuario. También funciona mucho con redes sociales, y cuentas de correo electrónico.
  3. Usuando apps y juegos que recolectan datos. Cuando en el móvil o en las redes sociales el usuario instala apps y juegos que roban datos, o los venden.
  4. Interpretación de correos sin cifrar.
  5. Cuando el usuario se apunta a concursos, megachollos, y demás ofertas demasiado buenas para ser verdad, pero aún así da todos los datos sin verificar quién está detrás, y si es una oferta legítima.

¿Qué puede hacer un ciberdelincuente con mis datos?

Hacer, puede hacer de todo. Dependerá del tipo de atacante y de ataque. Hay ataques generalizados y ataques personalizados:

  • En el caso de un ataque generalizado, no hay una víctima concreta, sino, una generalidad de blancos. Esto es lo que pasa con las campañas de phishing o malware realizadas a través de SPAM. En estos casos se pretende conseguir información real de las personas, credenciales, datos bancarios, etc. Luego los venden en el mercado negro, o bien realizan fraudes bancarios, o compra de productos usando esas identidades.
  • Por otro lado un ataque específico estará diseñado de forma clara para hacer que una persona concreta caiga en él. Puede usarse cualquier modalidad de las descritas en el punto anterior, solo que el gancho estará diseñado con exquisito cuidado. Usan información del blanco -de redes sociales, en su trabajo, etc.- garantizándose la efectividad del ataque. En este caso, la finalidad será también muy específica, pudiendo querer suplantar a esta persona, usar sus permisos de acceso en algún sitio concreto, o estafarle -pero bien-.

Total, que en resumen, algunas opciones de lo que puede hacer un ciberdelincuente con nuestros datos, son:

  • Venderlos en el mercado negro
  • Estafarnos, robarnos -y no solo en internet, sino también físicamente-
  • Usar nuestros dispositivos para redes zombie
  • Contratar / comprar en nuestro nombre productos online, o ilegales y endosarnos la factura o la culpa.
  • Usar nuestros permisos de acceso a algún sistema o lugar.
  • Etc. Estamos seguros que los expertos en ciberseguridad pueden darnos una laaaaarrrrga lista de cosas más.

¿Cómo evitar que roben mis datos?

Lo primero es ser conscientes que en este mundo hiperconectado en el que vivimos, las puertas de acceso a nuestros datos son muchas; que la seguridad absoluta no existe, y pese a implementar medidas de seguridad, en cualquier momento podemos ser víctimas de un robo de datos. Los delincuentes evolucionan día a día, y sus herramientas también.

Recomendaciones esenciales:
  1. Usar contraseñas seguras. las contraseñas son las llaves de nuestra vida digital, deben ser contraseñas seguras, es una de las principales claves para proteger nuestra vida digital. Podemos usar claves nemotecnicas, un repositorio online de claves, un generador automático, etc. Son mil las opciones, pero siempre con el objetivo de ponérselo difícil a los ciberdelincuentes, cotillas, etc. Y claro, deben ponerse en todos los dispositivos, cuentas de correo, redes sociales, nubes, y  todo sitio al que subáis información.
  2. Ojo con el SPAM. No se debe acceder a enlaces que vengan en correos sospechosos; tampoco contestar facilitando la información que solicitan.
  3. Descargar apps y software de sitios oficiales. Es una de las formas más seguras de contar con apps sin malware. Que oye, no es que todas las apps oficiales sean buenas, pero suelen pasar un mínimo de controles de privacidad.
  4. Mantener la confidencialidad en internet. Este es un punto difícil para muchos usuarios, tanto les gusta publicar su vida privada que se niegan a ver el peligro que ello conlleva. Cada cosa que publicamos es un detalle que un delincuente puede usar para engañarnos, o para engañar a nuestras familias. ¿No habéis oído de los secuestros virtuales? pues una de las claves de su funcionamiento es la información que publican los propios usuarios.
  5. Limitar los permisos que se dan a apps y software. Otra vez estos dos, pero es que al descargarlos o les decimos que no pueden acceder a todo, o lo harán. Y si lo hacen, pues ya que venga dios y reparta suerte, porque se harán con cuanto haya a su paso.

Para cerrar

Evitar que nos roben datos, o de mitigar el daño de un incidente de este tipo, está en nuestras manos. Somos los usuarios quienes debemos ser responsables activos de la seguridad, confidencialidad y disponibilidad de nuestros datos.

En internet hay muchos ojos, tantos que es imposible imaginarlo. Os recomendamos el video de TEDX Madrid en el que la periodista, Marta Peirano, habla de «¿Por qué me vigilan, si no soy nadie?».Esperamos que entre este post y esa charla de 9 minutitos, os quedéis con la idea de que vuestra información vale, y debéis protegerla.

/1 Comentario/por

2º Resumen 9ª Sesión Anual Abierta AEPD

, ,

Ayer, tuvo lugar la 9ª Sesión Anual Abierta AEPD, de la Agencia Española de Protección de Datos. Sobre las 10 de la mañana hicimos un breve resumen de la primera parte de la jornada. Hoy pretendemos hacer un resumen de la segunda parte de la jornada, que no será más corto, pero si más sustancial.

Hemos de decir que mucha parte de la jornada transcurrió en la reivindicación de lo que ha hecho la agencia hasta ahora respecto a su plan estratégico. En este artículo nos centramos solo en los datos de la jornada que consideramos relevantes, o nuevos, que no se encontrarán en guías o documentos ya publicados. Esperamos que os sea de utilidad.

La jornada de la AEPD. Expectativas

Las expectativas eran muy altas, todos esperábamos, el que más o el que menos:

    1. El borrador de la propuesta de modificación de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, pero no llegó.
    2. RGPD: Nueva información sobre los criterios de la AEPD, aclaración de términos indeterminados o ambiguos, etc. y claro, documentación.

Por los comentarios de twitter, y corrillos que se formaron en el evento, podemos decir que la jornada se inició con grandes expectativas, que a medida de su desarrollo, no se vieron del todo alcanzadas. Quizás es que la agencia tampoco tiene claro muchas de las cosas que esperamos conocer. Podéis ver los vídeos de la jornada, aquí.

Sobre la modificación de la LOPD

Como antes dijimos, casi todos esperábamos el borrador de la propuesta de modificación de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal. Nos hubiéramos conformado con una fecha de publicación del mismo. Pero no, nada de nada, excepto una calendario previsible.

La única información facilitada a este respecto, es la que dio la directora de la AEPD, Dª. Mar España, en su intervención.

El pasado viernes 19/05/17 se aprobó en la Comisión General de Codificación, el texto presentado por la ponencia de Agencia Española de Protección de Datos, ahora es el momento, del impulso legislativo por parte del ministerio. Comenzara a circular próximamente a través de la Comisión de Secretarias y subsecretarias de estado, y antes de verano previsiblemente será publico el trámite de información pública, donde todos ustedes podrán hacer propuestas. Ha sido una ley compleja …. Me van a perdonar, que por el principio de confidencialidad no pueda dar más detalles.

Confiemos que pueda estar aprobada, dependiendo de la tramitación, para mayo del 2018

 

Re-resumen de la primera parte 

  • La AEPD está trabando con ENAC sobre el certificado del  Delegado de Protección de Datos DPO – DPD, en España. Están preparando directrices sobre requisitos técnicos y de evaluación.
  • La AEPD está trabajando con CCNCERT para adaptar la herramienta PILAR al RGPD, para que sea a utilizada por los Responsables de Tratamiento Públicos y así facilitar su cumplimiento.
  • Anuncia la colaboración con los distintos ministerios para la difusión y formación en materia de Reglamento Europeo de Protección de Datos para todas las Administraciones Públicas AAPP.
  • Para después del verano según les concedan medios, la AEPD tiene previsto la puesta en marcha Unidad de atención a los responsables y profesionales de privacidad. Solo habrán dos personas, así que la agencia sugiere sistematizar y canalizar las consultas de los profesionales a través de las asociaciones profesionales. No coment.
  • El grupo del artículo 29, está trabajando en varios documentos de directrices sobre, Consentimiento, Perfilado, Certificaciones, Transparencia,  Notificaciones de violación de seguridad y Herramientas de transferencias internacionales. La adopción de estos documentos está prevista para el año 2018, pero algunas serán aprobados y publicados para recoger las opiniones  de los interesados, en el próximo plenario del grupo, a principios de junio.
  • El consentimiento tácito que se darán indicaciones y sugerencias, algunos ejemplos en los cuales la AEPD, entiende que podrá encontrarse en algunas causas de legitimación en casos concretos.
  • Presentación de la Herramienta NanoPymes
Herramienta NanoPymes.

Se trata de una herramienta diseñada por la AEPD para facilitar el cumplimiento de micro pymes, que traten datos con nivel de riesgo para la privacidad, muy bajo (prácticamente inexistente). La herramienta es una herramienta web, gratuita y que facilita parte del cumplimiento por parte de los sujetos antes mencionados.

Resaltamos la aclaración del D. Andrés Calvo, coordinador de Evaluación y Estudios tecnológicos de la AEPD:

La cumplimentación de los formularios de la herramienta, no significa que se haya cumplido con la herramienta. El asesoramiento por parte de la Agencia o un tercero va a seguir siendo necesaria.

En ningún caso se va a reducir el cumplimiento a pulsar un botón o rellenar un formulario.

 

Ahora sí, la segunda parte de la jornada

Quien escribe este post, cree que la segunda parte fue muy atropellada, mucha información a la vez que los ponentes batían récords de palabras por minuto. Por este motivo, hablaremos de forma global de las ponencias de esta parte:

Ponencia Exposición nuevas directrices para aplicación del RGPD

El ponente, D. Rafael García Gonzalo. Jefe del Departamento Internacional de la AEPD. Habló de las 4 guías hasta ahora presentadas, por el Grupo del Artículo 29. El ponente procuró comentar el contenido de las guías, y a su manera, aclarar en parte su contenido. Aclaraciones importantes:

    1. Aceptación significativa o sustancial en Tratamientos Transfonterizos: no hay definición pero facilitan elementos para determinar si existe tal afectación. Y así se mantiene. Ver el RGPD.
    2. El Delegado de Protección de Datos:
      1. Que sea externo deberá cumplir con los mismos requisitos técnicos y profesionales exigibles a los delegados internos.
      2. Para evitar conflictos de intereses, se debe hacer una lista de actividades compatibles e incompatibles, en las que podrá o no participar el delegado.
    3. Sobre el derecho a la portabilidad, no supone que los Responsables del tratamiento, tengan que adoptar sistemas compatibles sino interoperables. Importante, ¡eh
    4. Sobre los criterios para evaluar si es necesario hacer una Evaluación de Impacto en la Privacidad. Si de la lista facilitada por el Grupo del Artículo 29. Regla básica, si aparecen 2 o más de los criterio se debería hacer la EIPD.
    5. La Consulta  a la Autoridad de Protección de Datos, es exclusiva para aquellas situaciones en las que una vez realizada la EIPD, y puestas las medidas correctivas, persiste un alto nivel riesgo que no puede ser corregido.
Ponencia. Nuevas funciones de las autoridades de control y evaluaciones de impacto.

Ponente, D. Pedro Colmenares, Subdirector General de Inspección de la AEPD. Os diremos que fue una de las ponencias más entretenidas. La ponencia versó sobre los retos de cambio que deben afrontar las Autoridades de Control, deberán cambiar a la realidad del RGPD. Sobre los cambios generales que introducirá la aplicación del reglamento en la memoria anual de la AEPD.  

El segundo tema de esta ponencias fue las EIPD, y nos gustaría destacar una aclaración hecha por el ponente.

Teniendo capacidad de hacer la EIPD,  aunque  no se vean obligados a hacerla,  pues seguramente, será muy oportuno que en su caso, ante la duda, las realicen

Ponencia.  Informes y sentencias Relevantes

Ponencia de D. Agustín Puente. Como siempre, en este punto los temas tratados son completamente variopintos, y útiles. Algunas de las sentencias mencionadas que recomendamos ver, tienen que ver con pseudoanonimización; condiseración de la IP dinámica como dato personal; acceso y utilización de datos de los clientes del franquiciado por la franquicia; recogida de datos de internet con software; publicación en youtube de ceremonia religiosa; uso de datos de personas de contacto; culpa in vigilando de Responsable respecto al cumplimiento del Encargado. Entre muchos otros.

Ponencia. Actualización de criterios

Ponente, D. Jesús Rubí. Esta ponencia fue muy práctica, D. Jesús, sentencias en mano, se dedicó a recordar los criterios clásicos de la AEPD, aplicadas en las instrucciones y expedientes sancionadores.

      • Cruce de de bases de datos publicitarios con la Lista Robinson, siempre, salvo que se tenga autorización expresa. pantallazo
      • Acceso indebido a historias clínicas, por parte de profesionales. La AEPD sanciona al Responsable, pero le solicita que depure responsabilidades del profesional. 

Consultas planteadas por los asistentes durante la inscripción.

La mayoría de presuntas tuvo que ver con el Reglamento Europeo de Protección de Datos. No cabe duda que es un tema que preocupa e interesa a la par. Datos que podríamos considerar aclaratorios y se pueden considerar interesantes.

        • El Delegado de Protección de Datos:
          • Puede ser externo o interno, pero en cualquier caso deberán cumplir con todos los requisitos exigidos. Por ser externo no se rebajan.
          • Debe ser una persona concreta, con independencia de si le apoya un grupo o un departamento completo. Consulta contestada por D. Agustín Puente.
          • Lista orientativa de la AEPD, sobre  Responsables que seguramente necesitarán un DPO.
        • Certificación de profesionales.
          • No es requisito indispensable para acceder al puesto de DPO.
          • Habrán otras maneras de acreditar los conocimientos y cualidades profesionales que el reglamento requiere.
            • Cualidades profesionales. Especialización y práctica.
            • Capacidad para desempeñar las funciones.
          • Será un instrumento para garantizar transparencia y garantía.
        • Desaparece la exención del artículo 2.2 RDLOPD sobre tratamiento de datos de contacto. Son datos personales en todo caso, aunque a veces exista legitimación para tratarlos. Pantallazo
        • Consentimiento.
          • En el RGPD es una clara acción informativa.
          • Se podrán agrupar las finalidades en lugar de tener mil casillas.
          • Si en el aviso legal está claro todo, con la aceptación del mismo el usuario está aceptando.
          • Mencionan la opción de consentimientos en sentido negativo. Siempre que el usuario manifieste su aceptación.
          • El consentimiento tácito en la publicidad se considera nulo y genera un efecto en cascada respecto a todos las partes inmersas en el tratamiento de los datos.
          • El marketing como interés legítimo.
          • Con el RGPD decimos adiós al concepto de datos accesibles al público.
          • Las opciones puestas en la presentación son múltiples, miradlas.
        • No se puede considerar el Título VIII del RDLOPD como metodología de Análisis de riesgos.

Conclusiones

Como antes mencionamos, esperábamos que la jornada diera mucho más de sí. Más información sobre el Reglamento, sobre los criterios que aplicará la agencia, materiales, en fin, mucho más. Ahora bien, tal como salió, también fue de gran utilidad, y estamos seguros que lo dicho, ya ha abierto caminos y opciones.

Esperemos que en breve tengamos noticias de la modificación de la LOPD, más guías de la agencia y del grupo del artículo 29. Esa es la única manera de que podamos llegar al 25 de mayo del 2018, cuando inicia la aplicación total del Reglamento Europeo de Protección de Datos, y que estemos cumpliendo al máximo.

/0 Comentarios/por