La Renta 2017 trae consigo una novedad de la Agencia Tributaria. Una aplicación móvil desde la que los usuarios podrán realizar su declaración de forma fácil, rápida y segura. Con esto la Agencia Tributaria pretende reducir el número de usuarios que acuden presencialmente a sus sedes.
Ahora bien, lo cierto es el uso de la tecnología app también será una nueva puerta para los ciberdelincuentes. Queremos con este post dar algunos consejos recomendaciones, y poner sobre la pista de las técnicas más usadas por los cibercacos para que nuestros usuarios no caigan en ellas.
¿Qué función tendrá la App de la Agencia tributaria Renta 2017?
La App de la Renta 2017 permitirá realizar la declaración desde nuestro teléfono móvil facilmente. A través la App se podrán efectuar trámites que no requieren de certificados de usuarios, como por ejemplo el cotejo de información o la presentación de documentación en el registro telematico.
Hacienda busca que este año que las personas que aún acuden en persona a las oficinas de empleo, se sumen al 88% de los ciudadanos que ya la presentan a distancia, casi 5 millones de contribuyentes harán la declaración de la renta desde su teléfono móvil.
¿Cómo descargar la App?
La aplicación está disponible en las tiendas oficiales de Apps. En concreto se puede encontrar en la Google Play y la Apple Store. Es importantísimo descargar la aplicación solo de sitios oficiales, puede llegar a ella desde el enlace que pone la Agencia Tributaria en su página web.
¿Cómo presentar la declaración de la renta a través de la App?
La aplicación es muy clara, y aquí puede encontrar las instrucciones de uso. Si tiene alguna duda, puede ponerse en contacto con la propia AEAT.
Presentar RENTA2017
Los ciberdelincuentes y la campaña de la renta
Las campañas de la declaración de la renta, siempre son un gancho usado por los ciberdelincuentes para atraer la atención de sus victimas. Claramente es más fácil llegar a más personas, cuando se trata de una obligación que nos afecta a todos.
Los ciberdelincuentes pretenden nuestros datos y nuestra identidad digital, que siempre se traduce en dinero para ellos. Dinero, bien porque vendan nuestros datos, bien porque los utilicen de forma maliciosa, o bien porque les valgan para suplantar nuestra identidad. También quieren nuestro dinero, y la campaña de la renta es una época maravillosa para conseguir estás cosas de nosotros. Le recomendamos nuestro artículo sobre el robo de datos, y el rastro digital.
Técnicas más habituales para engañar a los usuarios
Phishing. Como comentamos en un post del año pasado, esta es una de las técnicas más utilizadas por los delincuentes. Envían mensajes masivos utilizando como cebo la campaña de la renta, y en la mayoría de los casos solicitan información diciendo que hay una cantidad a devolver. Recuerda que la Agencia Tributaría nunca pide datos por correo; no confirma cantidades a través del correo electrónico, siempre es a través de su web, y ahora a través de App oficial.
Pharming. Otra técnicas más utilizadas por los ladrones digitales es el engaño relativo a las url de las web. Es decir, engañarnos para que entremos a una web errónea pero que se parece mucho, muchísimo, a la página oficial… es la única forma de que piquen los más listos.
Apps fraudulentas. Este año con el estreno de la aplicación de la Renta 2017, seguro nos encontraremos, con aplicaciones falsas que se hacen pasar por la de la AEAT. El INCIBE ya lo ha informado, y recomienda a los usuarios que solo descarguemos la App oficial, de las tiendas oficiales. Suena redundante, pero es necesario dejar claro que solo hay una App oficial, y que cualquier otra, que se parezca, que tenga errores en su nombre, o en la imagen, seguramente sea una aplicación falsa y por lo tanto hay que evitarla.
Conclusiones
La novedad de la AEAT con su App es estupenda para facilitar las gestiones de la declaración de la renta a los usuarios, pero también abren la puerta a una nueva forma de robo de datos o dinero, que puede ser aprovechada por los ciberdelincuentes. Está en las manos de los usuarios, ser precavidos, informarse, y usar siempre los canales, tiendas y aplicaciones oficiales.
Programa de radio
Este tema lo tratamos en el programa de Radio, Internet en Familia, de Radio Club SER Tenerife, el pasado 19/03/2018. Os ponemos el enlace por si queréis escuchar el programa, en el que explicamos muchas más cosas. Podéis escuchar el programa en directo todos los lunes, a las 11 am, hora Canaria.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Recomendaciones-para-una-Renta-2017-segura.jpg640960Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2018-05-02 08:15:552018-05-02 09:35:40Recomendaciones para una Renta 2017 segura
Bueno, como nuestros fans de Internet en Familia (jejeje) nos piden que subamos los audios de nuestra participación semanal en el Hoy por Hoy Tenerife, de Radio Club SER Tenerife. Nos encantaría hacer un post para cada participación, pero en muchos casos, ya con lo dicho en el programa vamos bien servidos, y en otros, las prisas del día a día nos lo impide.
Para compartir con vosotros, de forma casi inmediata, y sin perjuicio de que luego se puedan desarrollar publicaciones y se basen en los programas de radio, tachan, tachaaaaannnnnnnn: hemos decidido crear este post en el que iremos subiendo los audios, poniendo en primer lugar, el último programa emitido.
Programa 05/03/2018. Redes sociales, qué son, tipos y características.
Tema: Las redes sociales, sus características y tipos que podemos encontrar en la actualidad.
Puntos clave: Desde que saliera a la luz el proyecto www.sixdegrees.com, por allá en 1997, así como la que podríamos llamar la primer red social ryze.com, ha pasado muchísimo tiempo. Desde entonces han nacido múltiples proyectos de redes sociales, unos con más éxito que otros, por ejemplo, facebook (un éxito), myspace (murió), twitter que ahí va, y muchos más.
Hay redes sociales para todos los gustos, colores e intereses ¿Cuál es la tuya?
Recordatorio: Las redes sociales son maravillosas, si se usan de forma adecuada. Pueden ayudarnos a comunicarnos con otros, a compartir intereses, a encontrar trabajo, etc. pero hay que evitar perder de vista nuestra privacidad y no compartir cosas que afectar nuestra seguridad.
Programa 26/02/2018. Campaña no seas estrella de Unicef
Tema: Esta vez usamos el espacio Internet en Familia, para comentar el vídeo de la última campaña de Unicef. El vídeo refleja lo poco consientes que son los menores respecto a todo lo que comparten en internet.
Puedes ver el vídeo del que hablamos en este programa «¿Eres tan anónimo en la Red como te crees? Campaña #NoSeasEstrella de Unicef» pinchando aquí.
Puntos clave: Durante el programa, comentamos una realidad que a veces puede dar un poco de miedo, lo frágiles que son los menores; de lo mucho que comparten sobre ellos mismos y su familia, entorno, etc. en internet; de lo poco conscientes que son de que esa exposición puede ser lesiva para sus derechos, su seguridad y su privacidad.
Recomendaciones: por favor, compartid con los menores que os rodean este vídeo, y verlo vosotros mismos, es realmente revelador.
Programa 18/02/2018. Virus de facebook y oleada de estafas del CEO en Tenerife
Tema: En este programa tratamos dos temas:
El supuesto virus de facebook que roba cuentas de usuarios, publica y manda mensajes en su nombre.
La oleada de estafas del CEO que ha tenido lugar en Tenerife en el último mes. Esta noticia se coló en el programa debido a que salio en los periódicos de la isla ese día :).
Puntos clave: En los dos casos vemos como las comunicaciones electrónicas juegan un papel importante en la seguridad de nuestra información, identidad digital y seguridad financiera, física, lógica, etc. No podemos confiar en que los correos o los mensajes vienen de la fuente que dice ser, en muchas ocasiones según la situación debemos ser precavidos.
Recomendaciones:
Se precavido y confirma la identidad de los remitentes de los correos y mensajes que recibes.
No abras correos que te generen dudas, que no tengan claro el remitente o que el contenido parezca comprometido.
Pregunta antes de abrir, o de ejecutar cualquier acción.
Comprueba los protocolos empresariales para operaciones financieras de grandes cantidades.
Internet en Familia 22/01/2018. La madre italiana que debe borrar todo lo que ha publicado en redes sociales sobre su hijo
El siguiente audio corresponde al programa emitido el lunes 22/01/2018, en el que nuestra compañera Jeimy Poveda (la que siempre va a las colaboraciones) y Juan C. Castañeda trataron el tema:
Tema: «Un juez ordena a una madre italiana que borre todo el contenido relativo a su hijo, que ha subido a las redes sociales. Además le amenaza con sancionarla con 10000 € en caso de que vuelva a subir alguna información relacionada con el menor»
Puntos clave: Los padres son los garantes y valedores de los derechos de sus hijos. Debemos evitar exponerlos en las redes sociales, protegiendo así su derecho a la intimidad, a la privacidad personal y familiar.
Recordatorio: Todo lo que se sube a internet, queda en internet. Hoy el niño es pequeño y no le importa que subas a la red, pero cuando sea grande ¿Pensará igual?, ¿Y, si la foto le afecta negativamente en el futuro?
Cuidemos a nuestros niños, antes de publicar nada de ellos en las redes sociales hagamos una ponderación, entre nuestro orgullo de padres y sus derechos.
¿Cuándo es la emisión en vivo?
el programa es todos los lunes, en la franja del Hoy por Hoy Tenerife, de Radio Club SER Tenerife. El horario varia entre las 10:40 y las 11:10 a.m. hora Canaria.
Os esperamos cada lunes, pero si no podéis escucharnos en directo, prometemos empezar a subir aquí los programas. Sí, también es muy probable que vayamos desarrollando algunos de los temas. No dudéis en remitirnos vuestras preguntas, o sugerencias de temas para tratar.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Internet-en-Familia.-Programa-de-radio-SER-Tenerife-y-Dataseg.jpg5771000Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2018-02-06 12:01:162023-03-16 01:19:27Internet en Familia. Colaboración semanal con Radio Club SER Tenerife
WhatsApp es la aplicación de mensajería instantánea que ha revolucionado las comunicaciones en la era de internet. Nació en el 2009, y desde entonces, se ha hecho parte de nuestra vida. Sus funcionalidades, usos y usuarios crecen día a día, así como la cantidad de datos personales que se tratan a través de ella.
Usarla con fines laborales o dentro de las empresas es un dulce harto apetecible para muchos, y para otros parte de su día a día. Este post nació con el fin de acercar las reglas que «rigen»/»regirían» el uso de la aplicación a nivel empresarial. Como más adelante decimos, no la recomendamos, pero si la va a usar, por lo menos tenga en cuenta unas cuantas «cosillas».
[Nota actualización 22/03/2018] El pasado 15/03/18 conocimos que la AEPD sancionó a Facebook y a WhatsApp con 300.000 c/u, porque se comunicaron datos mutuamente sin el consentimiento “libre, específico e informado” de los usuarios. A raíz de esto tenemos muchas consultas de nuestros clientes, y no clientes, y hemos decidido actualizar este post. Verá los cambios marcados con [Act 22/03/18]
¿Porqué hay que tener en cuenta la LOPD al usar WhatsApp?
WhatsApp fue concebida para uso personal. Pese a lo anterior, cada día hay más empresas, profesionales y comercios, que hacen uso de ella para tratar con sus clientes, comunicarse con el personal, etc.
Por otro lado tenemos la opción de crear grupos, y todo sea dicho, a esta función la carga el diablo. Muchas veces los integrantes del grupo no se conocen entre ellos, otras, no han dado su consentimiento para ser incluidos en el grupo, entre otras más vías de complicaciones.
Finalmente está lo más obvio, pero no menos importante ¡la información!. Los datos que se comparten, la tipología, el consentimiento para transmitirlos por esa vía, o incluso, si se ha informado o no de dicha posibilidad.
¿Usar o no usar whatsapp a nivel empresarial?
Hasta ahora habíamos recomendado no usar WhatsApp en las empresas –aún lo hacemos. [Act 22/03/18] No, no es recomendable usar whatsapp a nivel empresa, o para comunicarse con clientes, empleados padres, etc.– pero, ya no podemos decir que está absolutamente prohibido.
Básicamente no podemos decir que está prohibido por varias razones. La primera es que la Agencia Española de Protección de Datos empezó a usar esta App en el canal joven. [Act 22/03/18] Es más, la menciona en su «Guía centros educativos» pág. 26, y da recomendaciones para su uso; la segunda, que en sus sanciones e informes, no la prohíbe sino que habla de la protección de los principios de la protección de datos durante su uso; la tercera es que el cifrado end to end, da una cierta -no del todo- apariencia de seguridad; y ya la última y la guinda, que actualmente está en pruebas la versión para empresas, y seguramente cuando esté disponible muchas empresas se subirán al carro de whatsapp.
Total, que por lo dicho antes, no nos queda de otra, más que dar algunas directrices para que ya que se usa o se va a usar, se use de la forma más correcta y cumplidora posible.
La clave de las 5 claves: cumplir con los principios de la protección de datos
Si pretende usar WhatsApp en su empresa, institución o negocio, tenga en cuenta que debe cumplir los principios de la protección de datos. Hablamos del principio de calidad, información, consentimiento, confidencialidad, seguridad de los datos, entre otros.
Los principios de la protección de datos son críticos para que nuestro uso de whatsapp con fines laborales o comerciales sea relativamente correcto. Hablamos de los principios de calidad, información, consentimiento, datos especialmente protegidos, confidencialidad y seguridad de los datos. Hay más, y por esa razón no se debería usar para estos fines, pues por ahora no son fáciles de cumplir, en especial el relativo la firma del contrato de protección de datos con whatsapp. Hablamos de este contrato, aquí.
Clave 1. Informe a los usuarios que usará con ellos esa aplicación.
Antes de usar whatsapp para tratar datos personales de una persona, debe informarle de las finalidades de dicho tratamiento. El tratamiento en este caso puede ser, comercial, informativo, de confirmación de citas, de vía de comunicación, o de envío de datos. En cualquier caso, el titular de los datos debe saber del uso de esta herramienta y del fin para el cuál se prevé.
Clave 2. Pedir el consentimiento para tratar los datos por esa vía
Uno de los principios que más quebraderos de cabeza da a las empresas, es el consentimiento. Salvo excepciones, es necesario el consentimiento del cliente. Osea, que para tratar los datos del cliente por ese medio, hay que informar y pedir consentimiento.
Especialmente aquí haremos hincapié en la finalidad comercial. Para remitir información comercial, es necesario conforme al artículo 22 de la LSSI, solicitar el consentimiento expreso del afectado. El consentimiento expreso no es otra cosa que una acción clara afirmativa, informada, libre e inequívoca de que sí, quiere recibir publicidad. Por ese medio. Si no tenéis ese consentimiento, no enviéis publicidad por whatsapp.
Preguntas orientadorassobre su cumplimiento. Si una o todas es no, !póngase manos a la obra!
¿En caso de envío de publicidad. Tiene el consentimiento expreso de las personas?
Pide consentimiento a los interesados antes de incluirles en un grupo?
Solicita consentimiento para enviar información personal por esa vía?
Clave 3. Cuide la confidencialidad de los datos que trata en whatsapp
La confidencialidad es uno de los requisitos más especiales que se exigen a una empresa, negocio u organización. Debe garantizarse que esos datos que nos han facilitado, se mantienen a salvaguarda y confidenciales. Que solo los trata el personal autorizado y que no acceden a ellos terceras personas.
Preguntas orientadorassobre su cumplimiento. Si la respuesta a una o todas, es no, revise y actualice su cumplimiento.
¿Controla el uso profesional de esta app por parte de su personal?
¿Ha comprobado que el whatsapp desde el que se comunica su personal con el cliente es de la empresa y no desde su número personal?
¿Ha informado a su personal que en los grupos con clientes deben evitar compartir datos personales?
¿Tiene una política de tratamiento de datos vía online? en ella se debería describir las reglas de uso de estas y otras aplicaciones en el ámbito de la empresa.
Clave 4. Ponga medidas de seguridad para proteger los datos enviados o almacenados.
En este caso lo que se puede hacer es limitado, ya que la seguridad de la aplicación como tal, corresponde a WhatsApp. Eso sí, siempre podemos poner medidas de seguridad asociadas al procedimiento de custodia de los dispositivos, que almacenan los datos; del control del uso de la aplicación, etc.. También podrá hacerse a través de medidas de gestión asociadas a una política de uso de la aplicación y protección de los datos personales.
Estás preguntas le darán una idea de las opciones. No las eche en saco roto.
¿Usa la aplicación para remitir datos de carácter personal? Es mejor no hacerlo.
¿Ha dado instrucciones a su personal sobre el tipo de datos que pueden o no remitir a través de esta vía?
¿El número de whatsapp que se usa para comunicar con clientes, personal, u otros interesados es de la empresa, o de un empleado?
¿Ha dado instrucciones parano crear grupos sin consentimiento de la dirección?
¿Elimina el contenido de las comunicaciones cuando han dejado de ser necesarias?
¿Conoce de forma clara quién y qué grupos de trabajo, o comunicación con clientes hay creados en su empresa?
Sanciones y apercibimientos puestos por la AEPD por el uso de whatsapp
En principio como dijimos antes, la agencia todavía no ha sancionado por el hecho en sí de usar whatsapp. Lo que ha hecho hasta ahora ha sido en relación con los principios de la normativa de protección de datos, y del cumplimiento del artículo 22 de la LSSI, Ley de Servicios de la Sociedad de la información y comercio electrónico.
Primera sanción (Enero 2016). Incumplimiento del artículo 22 de la LSSI. Envío de publicidad sin consentimiento expreso del afectado. 600€.
Primer apercibimiento (octubre 2017). Inclusión en un grupo de whatsapp de un cliente, sin el consentimiento del mismo, incluso en su contra.
[Actualización 31/12/17] Declaración de infracción de AAPP (Noviembre 2017) Creación de un grupo de whatsapp por parte de un Ayuntamiento. En el grupo incluyó al denunciante y a todo el pueblo… Sin consentimiento, usando datos recabados para otros fines.
Actualizaciones importantes por hechos noticiosos
1ª. [Actualización 31/12/2017 con motivo de los apercibimientos y declaraciones de infracción por creación de grupos de whatsapp]
[1] En caso dado, no sería delito, sino una infracción de la normativa de #ProtecciónDeDatos
[2] Es una infracción de: (1) deber del secreto: en el grupo todos ven los datos de todos. Para añadir correctamente a alguien, se le deberá pedir el #Consentimiento, así no hay vulneracion del deber del secreto, ni del principio de #información y consentimiento.
[3] Esta infracción es exigible cuando el grupo NO entra en la EXCEPCIÓN doméstica. Es decir, si es un grupo personal, familiar, NO «salvo cosas raras» no sería sancionable.
[4] La LOPD y el RGPD/GDPR son exigibles a las empresas, negocios, profesionales, y demás tratamientos de datos, comerciales, filantrópicos, etc. que no tengan fines domésticos.]
2ª. [Actualización 22/03/18, con motivo de las noticias que hablan de no usar whatsapp en la empresa, debido a la sanción a Facebook y Whatsapp]
[1] Ya mencionamos más arriba algunas indicaciones dentro del texto
[2]Cuando hablamos de las otras razones por las que no es recomendable usar whatsapp, y mencionamos el contrato de protección de datos, ahí, dábamos en la diana de lo se menciona en muchos de los artículos que han estado saliendo estos días. Whatsapp no cumple con la normativa de protección de datos, no se reconoce como prestador de servicio, y no sigue instrucciones de ningún responsable de fichero. Y, aunque firmara el contrato lo estaría incumpliendo al dar los datos a Facebook, sin consentimiento de la empresa, ni de los usuarios.
[3] Ah sí, al usar whatsapp estamos haciendo una transferencia internacional de datos… otra cosa es que no se transmitan datos personales… depende de cómo y para qué se use.
Conclusiones
Usar las herramientas que trae la evolución de la tecnología está muy bien, pero debe hacerse con precaución. Con la actual LOPD parece que la AEPD, no está siendo especialmente exigente en cuanto al uso de whatsapp, pero, ¿será igual cuando inicie la aplicación del RGPD, Reglamento General de Protección de Datos? No lo sabemos.
La recomendación principal es que siempre, siempre, siempre, se cumpla con los principios de la normativa de protección de datos. Que se proteja el derecho del usuario, y se prime este por encima de todo. A partir de ahí, se debe crear una política de uso de estas herramientas, darlas a conocer al personal, y poner medios para su cumplimiento.
[Act 22/03/18] Esto puede ser un cambio claro de línea por parte de la AEPD. Así que si ha decidido usar whatsapp en su negocio/empresa, pregúntese la razón que le lleva a ello y si realmente es tan necesario; incluso puede buscar otras opciones menos «comprometidas»
Programa de radio asociado a este tema
El 16/10/2017, en el espacio «Internet en Familia» del Hoy por Hoy Tenerife, de Radio Club ser Tenerife, tratamos este tema. Os dejamos el audio, ya que ha algunas pinceladas que mencionamos durante el programa, y para no extener este post, aquí no las hemos tocado. Por ejemplo las implicaciones en protección de datos, del uso de whatsapp por parte de particulares… hay dato curioso, ¡avisamos!
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/5-Claves-para-cumplir-la-LOPD-al-usar-whatsapp.jpg6001000Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-11-24 07:08:552018-04-05 08:38:23WhatsApp, LOPD y empresas. 5 Claves para cumplir
Los bulos, por desgracia, ahora son parte del pan nuestro de cada día. Ya en su momento os hablamos de ellos en este post. Ahora bien, si además de ser parte de nuestro día a día, cada vez son más escabrosos y dañinos. Ahora mismo nos sobran bulos que alimentan el odio separatista, nacionalista, etc. Nos sobran bulos avisando de terremotos, o en los que se hace el linchamiento de personas.
¿Quién crea los bulos?
Siempre son creados por una persona. Aún las maquinas no tienen capacidad para hacer tal cosa. Eso sí. ¿qué motiva a alguien para crear y difundir un bulo? pues según la persona y su motivación. Claramente hay motivaciones de toda clase, políticas, económicas, diversión, de todo. Aunque sinceramente es difícil no preguntarse qué pasa por la cabeza de una persona que difunde un bulo sobre terrorismo, o sobre desastres naturales.
¿Consecuencias de los bulos en la sociedad?
Pues siempre generan una reacción en las personas que los reciben y se los creen. Por este motivo, un bulo anunciando un atentado inminente, o un terremoto, o una zona de robos, genera una acción- reacción entre la generalidad de personas que lo reciben, alterando su forma de actuar, y de forma indirecta el orden público.
Posibles consecuencias legales para los creadores
Encajes en el código penal
La creación y difusión de un bulo puede, según el tema que trate, o el afectado al que se refiera, encajarse de la siguiente manera:
Como un delito contra el honor. Código penal, Titulo XI:
Puede ser una calumnia: la imputación de un delito hecha con conocimiento de su falsedad o temerario desprecio hacia la verdad.
Puede ser una injuria: la acción o expresión que lesionan la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación.
Como un delito de desordenes públicos.
Artículo 561: Quien afirme falsamente o simule una situación de peligro para la comunidad o la producción de un siniestro a consecuencia del cual es necesario prestar auxilio a otro, y con ello provoque la movilización de los servicios de policía, asistencia o salvamento, será castigado con la pena de prisión de tres meses y un día a un año o multa de tres a dieciocho meses.
¿Cárcel por crear y difundir un bulo?
La semana pasada conocimos la noticia que hablaba de una mujer detenida en Malaga, como presunta creadora y difusora de un audio en whatsapp, en el que alertaba a la comunidad de la presencia de 2 Yihadistas en la ciudad. Pues bien, eso fue pocos días después de los atentados de Las Ramblas, en Barcelona. Debido a esa cercanía de las situaciones, se armó un revuelo social, se entró en pánico, y hubo una movilización de las fuerzas y cuerpos de seguridad del estado. ¿Porqué lo hizo, quién lo hizo? Ni idea, no tiene lógica. Pero para eso están las investigaciones, y por eso la detención de esta personal.
No es el primer caso, hace un par de años, 4 jóvenes en Estepona manipularon la portada de un periodico de tirada nacional, justo unas horas del atentado en Charli Hebdo. También cuando la crisis del Ebola, un chico madrileño hizo correr un bulo, y así. A todos la broma les ha costado como poco el susto de ser detenidos. Estaría bien saber en qué han terminado los ditintos procedimientos.
Y, ¿a colación de qué viene todo esto?
Básicamente de la siguiente noticia. Y de la amable invitación de Radio club SER – Tenerife para comentarlo en el programa de radio, la «Ventana de Canarias».
La noticia, por si no puede ver enlaces:
El presidente del Cabildo de Gran Canaria, Antonio Morales, ha asegurado este lunes que los servicios jurídicos están analizando los bulos vertidos en las redes sociales… sobre el origen del fuego, que han relacionado con la quema controlada de rastrojos del Cabildo…
“No tiene nada que ver con las quemas. Lo vamos a perseguir porque genera una alarma”
No queda claro cual es en definitiva la motivación por la que quieren buscar responsables de los comentarios en las redes sociales, ya que si se trata de un tema de desordenes públicos que es donde encaja lo de la «alarma social», pues es que el incendio existió, y los comentarios, nacieron a raíz de dicho incidente. Otra cosa es que quieran encajarlo en defensa de la institución. Ya veremos como se desarrolla el tema.
Os compartimos el audio de nuestra participación. Que conste ante notario, que se trata de una participación distendida y para todos los públicos -es decir, expresamente nos pidieron que no nos pusiésemos con tecnicismos-
En conclusión.
Cuidado, las redes sociales a veces juegan malas pasadas y no siempre traen noticias verdaderas, no creas todo lo que te llega por whatsap. Que un mensaje venga con la voz de una persona real, que parece comprometida, no significa que sea cierto, sino, en muchos casos, que finge bien. Tampoco creas todo porque parezca una portada de un periódico conocido, ve a fuentes oficiales y contrasta la información.
Y por otro lado, no os olvidéis que en internet todo es trazable, que una investigación de los cuerpos y fuerzas de seguridad del estado puede resultar en detenciones gracias a las direcciones IP, a un número de teléfono, entre otros. No juguéis, ¿qué necesidad?
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Los-bulos-y-las-consecuencias-de-crearlos-y-difundirlos.jpg8531280Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-09-26 12:30:342017-09-26 12:19:25Los bulos y las consecuencias de crearlos y difundirlos
Comentario sobre la ST TEDH caso Barbulescu. Matices de la potestad de control laboral de recursos empresariales -informáticos o telemáticos- por parte del empresario.
El pasado martes 5 de septiembre se publicó una Sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos, más conocido como TEDH. Hablamos del Caso Barbulescu VS Rumanía, que ya el año pasado, en enero del 2016, dio de sí muchos titulares.
En la Sentencia vemos la posición de la Gran Sala, luego de que en Abril del año pasado, el aplicante -Barbulescu- solicitára la revisión de la sentencia dictada por una de las salas del TEDH. La sentencia recurrida daba la razón al empleador que había despedido a Barbulescu por hacer uso de recursos informáticos de la empresa -el ordenador- para fines personales durante la jornada laboral.
Resumen. Consideraciones especiales del caso.
Distancia de los hechos y diferencias temporales
Tal como decía Xavier Rivas en una de sus publicaciones, hay que tener en cuenta que los hechos que suscitaron el pleito sucedieron en el año 2007. Hace 10 años, antes de que saliera el primer iPhone, antes de los dispositivos móviles casii ordenadores que tenemos hoy en día. Esta aclaración es importante debido a que entonces era mucho más difícil para un trabajador no hacer uso de los dispositivos de empresa para ver su correo, o para tener una conversación de chat. Hoy en día todos tenemos un móvil con conexión a internet, y con capacidad de lo antes dicho y mucho más. Con esto queremos decir que bueno, era una situación distinta.
El caso surgió por una cuenta de msn, no de correo electrónico
La mayoría de titulares que han comentado la noticia hablan del correo electrónico. Pero, el correo electrónico no es el único recurso de la empresa que es susceptible de ser usado para fines personales por parte de un empleado. También, y entre otros, entran ordenadores, móviles, tablets, impresoras, teléfono fijo, internet -sí, la wifi-, etc.
En este caso fue una cuenta de Yahoo msn personal, a la que el usuario accedió desde los dispositivos de la empresa. Por desgracia, debido a la monitorizacion de los sistemas informáticos que realizaba la empresa, como medida de controlar el absentismo presencial, esa última tuvo conocimiento de las conversaciones privadas del empleado. Y justo, ese carácter confidencial de las conversaciones a las que accedió la empresa es lo que suscito todo el lío.
Novedades a destacar sobre lo que ya se hacía en España
No hay muchas, salvo la de aclarar mejor el alcance en cuanto a recursos afectados, formas de monitorización y alcance de la misma. Por lo demás, en las sentencias que han venido saliendo de nuestro Tribunal Constitucional y del Tribunal Supremo queda claro que la ponderación de derechos, el juicio de proporcionaldiad, idoneidad, interés legítimo, etc. son requisitos indispensables.
Qué debemos tener en cuenta a la hora de aplicar el control laboral en el uso de recursos empresariales.
Diferenciación de dispositivos
La capacidad de control laboral referida a la monitorizacion, se refiere a los dispositivos y recursos de la empresa. No a los privativos de los trabajadores. Recursos tales, como correo electrónico, cuentas de mensajería, dispositivos móviles, ordenadores, impresoras, wifi, etc.
¿Cuándo podría verse afectado el trabajador?
Cuando utilice los dispositivos o recursos de la empresa con fines personales, sin consentimiento del empleador. Puede darse la situación que debido al cargo o las funciones del empleado, la empresa le permita el uso personal de los recursos. En esos casos la empresa debe marcar claramente el alcance y las excepciones de dicho control; o los permisos concedidos, da igual la formula. En situaciones de autorización, si hay monitorización de la actividad, es recomendable para el empleado usar carpetas identificadas como «Personal» para procurar su privacidad.
Requisitos antes para un correcto control laboral de recursos empresariales
Antes de poner en práctica una medida de control laboral o de uso de los recursos empresariales, se deben realizar una serie de juicios. Evaluaciones previas a la puesta en marcha de la medida. Se debe procurar de forma expresa la garantía de los derechos y libertades de los trabajadores; se debe evaluar la idoneidad, proporcionalidad, y mitigar al máximo posible las expectativas de privacidad del trabajador.
Cuando hablamos de expectativa de privacidad no nos referimos a matar derechos, sino a ser transparentes. Si el trabajador conoce los controles realizados por la empresa, también pondrá de su parte medidas para proteger su intimidad y privacidad. Concienciación, la llaman.
Juicios a realizar antes de poner en marcha una medida
Derechos de los trabajadores. Es necesario conocer los derechos de los trabajadores, que podrían verse afectados con dicha medida. Valorar el nivel de afectación.
Proporcionalidad. A partir del punto anterior, identificar si es proporcional realizar la medida prevista.
Idoneidad. Si es idóneo, o si pudiera realizarse, una (punto siguiente)
Búsqueda de medidas menos intrusivas, que garanticen la ponderación de los derechos del trabajador y las del empleador.
Interés legitimo. Es necesario realizar un juicio de la identificación del interés en base al cual se toma la medida de control laboral. Especialmente de su correspondencia con la garantía de los derechos de los empleados.
Modos de información previa. Pasados todos los juicios anteriores, habrá que identificar la forma idónea de informar a los trabajadores. Informar, formar y evitar las expectativas de privacidad son las claves de una correcta información a los usuarios. Cualquier modo encubierto podría dar problemas.
Se debe informar:
De la medida de control laboral de recursos empresariales que se realizará.
El alcance concreto de la medida.
Si existe monitorización de actividades, la forma en que se realizará, los contenidos, medios y recursos afectados.
La base jurídica en el que se basa la realización de la medida. Hay que tener en cuenta, de forma especial lo relativo al artículo 20 del Estatuto de los Trabajadores.
¿Mi empresa puede ver mi correo electrónico?
Pues tal como aparece en una de nuestras preguntas frecuentes, sí. Al fin y al cabo es un correo de empresa, si te vas en muchos casos lo seguirá gestionando un compañero, o se redirigirán las comunicaciones a uno.
Bueno es aclarar que en la mayoría de los casos no hay alguien cotilleando todo el tiempo lo que hacemos, sino, que eventualmente podrían hacerlo. Es una de las facultades derivadas de la potestad de control que tiene la empresa. También por cuestiones de privacidad, protección de datos, y compliance.
Siempre que se informe adecuadamente, se lleve a cabo de forma ordenada, y no se vulneren los derechos, sí, lo pueden hacer. Eso sí, hablamos del correo de empresa, ese recurso tan valioso que te pueden asignar de forma personalizada, o genérica.
Finalmente
Estamos en cambio y evolución constante, la tecnología es lo que tiene. Avanza y avanza como si no hubiera mañana. En nuestras manos está proteger nuestra privacidad e intimidad. Conozcamos las reglas de nuestras empresas, enterémonos de nuestras limitaciones, y según sea el caso, si tenemos un móvil personal, manejemos desde ahí nuestras cosas personales.
Os recordamos que todos los lunes, siempre que no hayan cosas extraordinarias, estaremos al aire en Radio Club Ser Tenerife, hablando de internet, tecnología, privacidad, derechos, protección de datos, riesgos, ciberseguridad, consumo, compliance, reglamento europeo de protección de datos, LOPD, RGPD, GDPR, entre otros.
Comentario y explicación en la radio
Debido a la cercanía de las fechas, este contenido lo desarrollamos el pasado lunes 12/09/2017, en el inicio del curso escolar, de la radio. Por cierto, sí, volvemos a colaborar en una nueva temporada de Hoy por Hoy Tenerife, de Radio Club Ser Tenerife. En nuestro espacio de los lunes, Internet en Familia.
Os dejamos el audio, en el que comentamos con Juan Carlos Castañeda, lo relativo a la sentencia; también damos recomendaciones básicas para empresas, y claro, para los trabajadores.
El viernes 12 de mayo, conocimos el inicio de un ciberataque de ransomware a escala mundial. En él, entre otros, fueron víctimas, Telefónica, Ibertrodola, Vodafone, BBVA, Santander, Renault, y muchas otras empresas y personas físicas.
El lunes 15 de mayo, la EUROPOL publicó las cifras del ataque. Hasta ese momento, habían dos variantes del virus, WannacryptA y WannaCryptB, entre los dos habían afectado a más de 200 mil usuarios, en más de 150 países. Es más, se creía que el lunes el número de afectados subiría con el inicio de la jornada laboral, de aquellas empresas que no estaban activas el viernes a la hora del inicio del ataque.
A día de hoy 17/05/2017, se conocen ya 5 variantes, y el número de afectados crece, aunque ya en poca proporción.
Datos sobre WannaCry
El virus lanzado, es de una variante de ransomware. Un virus que secuestra el ordenador y solicita un rescate para recuperar la información. En este caso, solicitaban 300 € en bitcoins. Esa cifra, relativamente baja para el tipo de empresas afectadas, ha dado lugar a teorías conspiratorias tipo:
¿Y si no es por dinero sino por los datos?
¿Y si lo que querían era probar el estado de las infraestructuras críticas?
El virus se propagó aprovechando una vulnerabilidad de Windows, conocida como ETERNALBLUE. Dicha vulnerabilidad quedaba solventada con la instalación de los parches de seguridad publicados por Microsoft hace poco más de dos meses. Al explotar esta vulnerabilidad el virus, escaneaba la red interna buscando otros equipos con la misma vulnerabilidad, y infectando todos aquellos que encontró a su paso.
Actualización 22/05/17: ETERNALBLUE está siendo utilizada para propagar otros tipos programas maliciosos, entre ellos, uno que no cifra el ordenador, ni pide rescate, pero que de forma silenciosa activa el control remoto del PC, que claro, queda a merced de los atacantes.
Si era tan fácil, ¿porqué se vieron afectadas las grandes empresas?
Por cuestiones técnicas, en las grandes organizaciones, instalar actualizaciones de sistema operativo u otros programas básicos, no es tarea fácil. En muchos casos, tienen que evaluar la compatibilidad con sus sistemas de desarrollo propio; en otras deben programar por zonas las instalaciones; algunas veces los equipos, en función del área no están conectados a internet, y las actualizaciones se hacen de forma controlada, etc.
Ahora bien, este es el caso de grandes empresas, pero las demás, no tienen una excusa tan buena, ni un equipo informático tan grande y especializado como ellas.
Y al final…
La mayoría de afectados que no habían instalado las actualizaciones fueron un blanco fácil. Pero además, los que no tenían copias de su información, ni un equipo de especialistas trabajando para recuperar la información perdieron mucho, o dinero, o datos, o las dos.
Medidas recomendadas para evitar ser víctima de ransomware
Está claro que cualquiera, hasta el más grande y con más recursos puede ser víctima de un ciberataque, la cuestión, es que no todos tenemos los mismos recursos humanos y económicos para hacerle frente. Por eso, lo mejor es informarse, y protegerse.
Las recomendaciones básicas para disminuir las posibilidades de ser víctimas, de un ataque de ransomware,son:
Hacer copias de seguridad periódicas. Tener un plan de realización de copias de seguridad, con una periodicidad coherente con los datos tratados. La redundancia, controlada, de copias de seguridad, en distintos formatos y soportes es muy útil. Es necesario que como mínimo una de las copias esté separada de los ordenadores, y/o del servidor; el virus se pasea por la red e infecta todo a su paso, si el disco de la copia, está conectado a la red, también será secuestrado.
Mantener actualizado en los ordenadores y dispositivos informáticos, el sistema operativo, las aplicaciones y programas de software instalados, los navegadores, las extensiones instaladas en los navegadores, y en general cualquier programa susceptible de ser actualizado. Al instalar las actualizaciones, parcheamos las posibles puertas traseras conocidas por los ciberdelincuentes.
Instalar un antivirus, y analizar los equipos frecuentemente. Se puede automatizar dicha ejecución.
Es necesario tener especial precaución con el correo electrónico y sistemas de mensajería. No abrir ningún adjunto, que venga en correos electrónicos sospechosos sean de conocidos o de desconocidos. En esos casos, al intentar abrir el supuesto archivo, no se abre nada, sino que se ejecuta el malware.
Los enlaces, en internet, aplicaciones de mensajería, y correo electrónico, deben abrirse con precaución.
Si parece sospechoso, o el contenido que lo acompaña lo es, no cliques en él.
Solución específica para WannaCry
Recomendaciones de INCIBE en su Informe sobre la oleada de ransomware. Informe de situación, recomendaciones y solución para WannaCry.
Qué hacer si ha sido víctima
En primer lugar, mantener la calma.
Podemos seguir el ejemplo de Telefónica. Apagar todos los ordenadores, evitando la propagación del virus en la red informática de la empresa.
Llamar un profesional informático. Los profesionales de este perfil, sabrán dar los pasos necesario para para solventar la situación, evitando afectaciones mayores. Su trabajo, entre otros, consistirá en:
Mitigar la propagación del virus. Si todavía está esa opción.
Eliminación del virus en los equipos instalados.
Instalación de parches y actualizaciones de seguridad.
Reestablecimeinto de datos a partir de copias de seguridad.
También puede contactar con el Instituto Nacional de CiberSeguridad – INCIBE, y hacer uso de su servicio antiransomware, que es totalmente gratuito.
También puede contactar con el CCN-CERT Centro Criptológico Nacional. En su página web, ha puesto a disposición del público una herramienta que funciona como vacuna anti ransomwarey NoMoreCry.
Pagar o no pagar. Los especialistas recomiendan no pagar. Hablamos de ciberdelincuentes, que no sabemos si devolverán la información. Tampoco que si al ver que pagamos, no nos pondrán como blanco para futuros ataques.
Es recomendable denunciar el hecho ante la policía. Es la única manera en que ellos podrán perseguir el delito.
Si es una empresa, debe registrar el hecho, como incidencia en el Documento de Seguridad, o los anexos correspondientes. Es una incidencia conforme a la normativa de Protección de Datos personales.
Es necesario estar informado de las novedades en seguridad informática. En INCIBE disponen de la suscripción, gratuita, a sus boletines de seguridad. ¡Apúntate!
Conclusiones
Vivimos una época en que estar conectadas a internet, es una característica común de las empresas, y también de las personas físicas. Es necesario conocer los riesgos a los que nos exponemos, y a partir del conocimiento, actuar diligentemente.
No se pueden eludir todos los virus, pero si nos preparamos, podremos hacerles frente y salir bien parados, o casi. No debemos preocuparnos, sino, ocuparnos.
Nuestro clientes del servicio consultoría LOPD, recibieron el lunes, este contenido por adelantado. Apúntate a nuestra newsletter, y en casos excepcionales como este, también recibirás nuestros avisos de seguridad.
Como siempre os invitamos a escucharnos todos los lunes, en el espacio radiofónico del programa Internet en Familia, de Hoy por Hoy Tenerife, en Radio Club SER Tenerife, la emisora de Canarias. Todas las semanas os hablamos de protección de datos, privacidad, seguridad en internet, nuevas tecnológicas, derecho tecnológico, Reglamento Europeo de Protección de Datos – RGPD, y muchos más temas de interés para el público en general.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/A-vueltas-con-el-Ciberataque-de-ransomware-wannacry-1.jpg506900Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-05-18 07:00:222017-05-24 16:20:25A vueltas con el Ciberataque de ransomware. Wannacry
El pasado 5 de Abril, empezó la campaña de la renta. Los ciberdelincuentes no se han hecho esperar y por eso ya tenemos noticias de campañas masivas de phishing y ramsomware; algo nuevo y algo viejo, lo prestado será el dinero de los pobres incautos que piquen. Está claro que los ciberdelincuentes, son muy madrugadores, y que aprovechan cualquier oportunidad, para embaucar a sus victimas.
¿Qué engaños han soltado este año los ciberdelincuentes?
Como mencionamos antes, vuelven con un viejo conocido, el phishing. El nieto del timo de la estampita, que ahora se hace por internet. En esta ocasión, se trata de una modalidad en la que los ciberdelincuentes, remiten de forma masiva, correos electrónicos a victimas potenciales, y luego, como buenos pescadores, se sientan a esperar a que un buen número de ellos pique.
Ojo con el phishing de este año
Este año la división de delitos telemáticos de la Guardía civil, y la Policía, han informado de una campaña, en el que los ciberdelincuentes se remiten un correo en el que se hacen pasar por la AEAT. Notifican al usuario de una supuesta devolución de dinero, referente a una campaña de la renta anterior, y le facilitan un enlace en la que piden que se confirmen los datos que necesitan para hacer la devolución del dinero.
Así es como se ve el correo. Por favor, si os llega, eliminadlo de inmediato. Y si picaste, cambia las contraseñas del banco de inmediato, y llegado el caso, denuncia a la policía.
Ransomware en esta campaña
Este es el nuevo, que ya a estas alturas, no es tan nuevo. Se trata de un virus que se remite también a través de correo electrónico. Claro, no es fácil, por así decirlo, detectarlo ya que suele venir escondido en un algo que aparenta ser un documento, como una factura, o un borrador de la renta, o un excel. Cualquier forma de documento vale. Lo malo es que no son documentos sino programas maliciosos que al darles click para abrirlos, instalan el virus.
El ransomware, es el famoso virus secuestra ordenadores. En cuanto se ejecuta, toma el control del ordenador y cifra todos los archivos que contiene. A partir de ahí, los ciberdelincuentes te piden que pagues una cantidad de dinero, a cambio de descifrar la información. La cantidad solicitada varía entre los 150 euros, y los 1000 euros, o más, si es un ataque dirigido a empresas.
¿Qué hacer si he sido victima de ransomware?
En este caso, y como mencionamos en el programa de radio, los expertos en seguridad, la polícia y la GC, recomiendan no pagar. No se paga para no financiar ciberdelincuentes, y porque no hay certeza de que realmente nos devuelvan la información.
En estos casos, lo mejor es apagar, formatear el ordenador y reinstalar todo. Que lo haga un experto informático mejor, que suena fácil pero no lo es tanto. Pero claro, es necesario tener una copia de seguridad. Si no tiene ninguna, hágala, que la información es muy valiosa.
Los usuarios pueden solicitar la ayuda del INCIBE, que cuenta con oficina de atención al usuario, y también para empresas. Según sea el caso, se debe denunciar a la Policía o a la Guardia Civil.
Y si el incidente lo sufre una empresa, no se olviden de registrar la incidencia, que esa es grande, y los ojos la Ley de Protección de Datos – LOPD 15/1999, no es poca cosa. Y menos lo será cuando entre en vigor el Reglamento Europeo de Protección de Datos, RGPD.
Recomendaciones a modo de conclusión
Hay que ver lo eficientes que son los ciberdelincuentes, así que por favor, evitad abrir correos que no esperáis, de desconocidos, con archivos raros, etc.
Una forma de identificar los correos maliciosos son las faltas de ortografía, y no por un Zapato escrito con S, que debería ser delito, sí, sino por aquellas que nos dejan ese saborcillo a… mmm esto ha sido traducido por un traductor automático….
Las formas típicas de documento que usan para distribuir ransomware son, certificados de correos, borradores de la renta, facturas, así como confirmaciones de pago o transferencia. Curiosamente, casi todos aparentan ser un PDF, aunque también hay excel y word. Pero bueno, tened esta información en cuenta, será útil.
Este tema lo tratamos, el pasado 10/04/2017, en nuestra colaboración semanal con Radio Club Tenerife de la Cadena SER. Podéis escuchar nuestra participación a partir del minuto 01:44:16.
Os invitamos a escuchar nuestra participación en la radio, todos los lunes a las 10:40 am, hora en Canarias. En el espacio Internet en Familia, del Hoy por Hoy Tenerife de Radio Club SER Tenerife. Solemos hablar de Internet, apps, seguridad, privacidad, tecnología, derecho tecnológico, protección de datos, y muchos más temas de interés para el público en general.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Ciberdelincuentes-aprovechan-la-campaña-de-la-renta-1.jpg631960Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-04-19 07:00:382017-05-18 09:17:51Ciberdelincuentes aprovechan la campaña de la renta
En los últimos meses, hemos recibido varias consultas de padres, sobre protección de datos de menores. Todas las consultas tenían 3 puntos en común, datos de menores, internet y una institución o negocio que publica datos sin consentimiento.
No hay necesidad de contar cuales son las situaciones exactas. Pero os podéis imaginar, que todas terminan con unos padres enfadados, y con un titular de ficheros, pidiendo disculpas, o lavándose las manos. Esperamos que con este artículo, quede claro cuáles son las obligaciones de las empresas, instituciones y/o profesionales; también que los padres sepan cómo pueden actuar, y qué derechos pueden ejercitar en defensa de sus hijos.
Normativa de protección de datos, aplicada a datos de menores
La normativa de protección de datos, reconoce derechos a las personas e impone obligaciones a los titulares de los ficheros (empresas, instituciones, profesionales). Todas las obligaciones de la Ley Orgánica 15/1999, de Protección de Datos Personales – LOPD,, así como su Reglamento de Desarrollo, el RD 120/2007, son directamente aplicables al tratamiento de datos de los menores. No podía ser de otra manera.
Lo primordial es respetar y garantizar este derecho, cumplimento con los principios de la protección de datos: calidad de los datos, información, consentimiento, seguridad de los datos, confidencialidad, entre otros. Está claro que por la especial vulnerabilidad, de los menores, algunos de estos principios se aplican de forma distinta, adaptándolos a su entorno, edad, capacidad de decisión, etc., de modo que se garantice, de verdad, su derecho a la protección de datos.
Principios a tener en cuenta
Como mencionamos antes, todos los principios de la normativa de protección de datos – LOPD 15/1999, y su reglamento de desarrollo, el RD 1220/2007, son aplicables también al tratamiento de datos de menores. En este apartado nos centraremos en los que tienen un desarrollo específico, relacionado con los menores.
El desarrollo específico, asociado al tratamiento de datos de los menores, lo encontramos en el artículo 13, del RD 1720/2007
Artículo 13. Consentimiento para el tratamiento de datos
de menores de edad.
En este artículo vemos con claridad, como el principio de información, consentimiento y calidad de los datos, juegan un papel especial. En el caso de los menores, se adaptan para defender y garantizar el derecho a la protección de datos de los menores.
Información
En el caso de los menores, el principio de información se adapta a su edad, conocimientos del medio, y demás factores que hacen de los menores un colectivo vulnerable; se exige que toda información que vaya con destino a los menores, sea sencilla, clara y fácil de comprender por ellos.
Artículo 13. RD 1720/2007,
3. Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por ellos.
Consentimiento
El consentimiento suele ser la piedra angular en el tratamiento de datos. También lo es, cuando los datos son de menores. En el caso de los menores, el consentimiento podrá ser prestado por ellos mismos, o por sus padres; depende de la edad del menor y del tratamiento que se quiera realizar.
Artículo 13. RD 1720/2007,
1. Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento; salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.
Calidad – Proporcionalidad
Como a todo tipo de tratamiento de datos personales, el principio de calidad deberá aplicarse de forma rigurosa. Ahora bien, debido a la vulnerabilidad, inocencia y desconocimiento de los menores, se hace especial hincapié en lo siguiente:
Artículo 13. RD 1720/2007,
2. En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar.
Podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización.
Consultas sobre el consentimiento
Al iniciar el artículo os contamos, que el mismo, nació a colación de varias consultas recibidas, por parte de padres y madres. Así, que con permiso de los consultantes, aquí esperamos, poder aclarar algunas de sus situaciones:
¿Cuándo se debe solicitar el consentimiento de los padres
Es necesario, siempre que se trate de un menor de 14 años, con discapacidad intelectual, o en un caso de necesario ejercicio de la patria potestad o tutela.
¿De uno de ellos, o de los dos? En caso de padres separados o divorciados, siempre de los dos. Si solo uno de ellos, ostenta la patria potestad, este es quien debe dar el consentimiento.
¿Quién obtiene/recibe el consentimiento?
El consentimiento, en caso de prestarse, es para el titular de los ficheros. Es decir, la empresa, institución, o profesional, que decide sobre la creación y finalidad del fichero; No se da al director del colegio, ni a los profesores, ni dinamizadores del campamento, etc.
¿Puede un profesor del colegio publicar las fotos de mi hijo en sus redes sociales, personales? No, no puede. El consentimiento fue otorgado al colegio, no al profesor. En estos casos hablamos de un incumplimiento claro, por el que puede ser sancionado el colegio, e incluso el propio profesor. Hay varias sentencias al respecto.
¿Si una empresa o profesional hace una actividad contratado por el colegio, puede tomar fotos y publicarlas en su web o redes sociales? No, si no ha solicitado el consentimiento de los padres. Al tratarse de un titular de fichero independiente al original, deberá recabar los consentimientos de los padres. El consentimiento dado al colegio, es solo para el tratamiento de los datos en el ámbito del msimo; no puede utilizarlo para ceder los datos, ni puede extenderlo para que lo usen sus prestadores de servicios.
Alcance del consentimiento
Otra de las grandes dudas, de varios de nuestros consultantes fue ¿Cuál es el límite del consentimiento que he prestado, luego pueden hacer lo que quieran? Sobra decir, que en algunos de los casos consultados, el titular de los ficheros se había extralimitado.
Solo pueden tratar los datos de los menores, con las finalidades descritas en la información facilitada. Para nada más.
Si un padre no autoriza la publicación de los datos de su hijo en internet, esto incluye, la web del colegio. Los datos subidos a las zonas privadas de la web, deben estar bloqueados para evitar su indexación por los motores de búsqueda. En caso contrarío, estarían realizando una comunicación de datos no consentida.
El consentimiento es solo para la entidad, organización o profesional titular de los ficheros. No para sus empleados, colaboradores, o proveedores. Salvo en casos previstos en la legislación vigente, los terceros deberán solicitar el consentimiento para el tratamiento de los menores, fuera del desarrollo normal de la prestación de servicios.
Si el padre se ha negado a la subida de fotografías del menor a internet, se entiende que se refiere a cualquier tipo de datos del mismo. No vale subir una foto, pixelar el rostro y luego poner el nombre completo del menor.
Si hay dudas sobre un consentimiento, debe solicitarse de nuevo.
Y, si pese a no dar consentimiento para publicar datos del niño, lo hacen, ¿qué puedo hacer?
En estos casos, hablamos de una comunicación de datos no consentida. El padre, madre o tutor, puede dirigirse a la Agencia Española de Protección de Datos – AEPD, y poner en su conocimiento los hechos. En la mayoría de casos hablamos de denuncias, que deberán ir acompañadas de sus respectivas pruebas, y descripción de los hechos. Las denuncias son gratuitas, y se pueden hacer, incluso a través de la sede electrónica de la agencia.
Está claro, que si se prefiere, antes de denunciar, pueden ponerse en contacto con quien ha publicado los datos, y solicitar el cese de dicha comunicación. Hay que ver que en algunos casos, es posible resolver el tema por la vía amistosa, y otras, no. También, en función de la afectación del derecho, es mejor denunciar directamente. Caso a caso, hay que ver, cada caso.
En resumen
Las empresas o instituciones, o profesionales, que traten datos de menores, deben implementar las obligaciones que exige la LOPD, 15/1999; y las de su reglamento de desarrollo, el RD. 1720/2007. Si bien es cierto, que a la hora de tratar los datos de menores, deben adaptar algunos de los principios.
Los padres no tienen que sentirse culpables, por defender el derecho a la protección de datos de sus hijos. Ni tampoco, pensar que esto pueda perjudicar al menor, al contrario. Los colegios, institutos, y demás empresas, profesionales, organizaciones, etc. deben colaborar en este sentido. Sin excusas, ni dilaciones. Proteger los datos de los menores, es una obligación de todos.
Ya para terminar, os dejamos el audio del programa de radio Internet en Familia, en el que colaboramos todos los lunes con Radio Club SER Tenerife. Justamente el pasado 27/03/2017, hablamos de este tema. Esperamos que os sea de utilidad.
Podéis escucharnos a partir del punto, 1.37:50
Os invitamos a escuchar nuestra participación de todos los lunes, en esta emisora de Tenerife, en la que hablamos de internet, seguridad, privacidad, intimidad, protección de datos, comercio electrónico, propiedad intelectual, entre otros.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Protección-de-datos-de-menores.jpg6661000Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-03-30 08:29:162017-03-31 19:08:09Protección de datos de menores
En las redes sociales, cuando una persona fallece, sus perfiles no suelen eliminarse de forma automática. Se supone que la capacidad de gestión de una cuenta solo la tiene su titular. Cuando este desaparece, sus perfiles suelen quedar a la deriva.
Para evitar situaciones dolorosas, o incomodas, o casi paranormales, a sus usuarios, las redes sociales han puesto mecanismos de auto gestión; también han creado acciones que pueden realizar los familiares directos del fallecido. De tal suerte que la cuenta puede ser eliminada o convertida en una cuenta honorífica o conmemorativa.
Lo que dicen las estadísticas
Hace unos años, las estadísticas realizadas por un investigador de MIT, decían que en el año 2098, en Facebook, habrá más perfiles de personas fallecidas que de personas vivas. Este dato es harto llamativo, si tenemos en cuenta que en el año 2012, en tan solo 8 años de funcionamiento de esta red social, ya habían 30 mil perfiles de personas fallecidas.
Formas de gestión de perfiles de fallecidos
Como antes mencionamos, hay dos formas, según la red social a la que nos refiramos. En primer lugar está la auto gestión: decidir desde ya, qué queremos que pase con nuestra cuenta, llegado el momento de nuestra muerte. La segunda, la gestión por parte de los familiares, bien elegidos por nosotros, bien por su propia cuenta si no les designamos.
Gestión de perfiles según las redes sociales existentes
En este apartado desglosaremos las formas de gestión que perfilen las redes sociales, más populares, a la fecha.
Facebook
En esta red social, se permite la gestión por parte de familiares, y la auto gestión; fue la primera en permitir la autogestión, brindando dos opciones: la primera, elegir dar de baja el perfil en el momento de la muerte; la segunda, elegir contactos legados, ellos decidirán que hacer llegado el momento. Facebook también permite que los familiares directos puedan solicitar la eliminación del perfil o la reconvención, en cuenta conmemorativa. Aquí puedes conocer más sobre la política de facebook
Twitter
En este caso, y los siguientes, no se permite la creación de perfiles conmemorativos. Se puede desactivar la cuenta; también la de una persona a la que le ha sobrevenido una incapacidad. Solo lo pueden solicitar personas autorizadas, o familiares directos que puedan comprobar dicha situación. En este enlace podréis conocer la política de gestión de perfiles de fallecidos y discapacitados en Twitter.
LinkedIn
Esta plataforma es la más amigable con sus palabras relacionadas con este tema. Tampoco permite la creación de perfiles honoríficos, solo la eliminación del perfil. Solicita datos tales como el enlace al perfil, nombre de la persona, comprobar la relación con ella, entre otros. Se realiza la solicitud mediante un formulario, dispuesto especialmente para ello. Aquí podréis obtener más información.
Instagram
El caso de instagram es particular, al ser de facebook, sí permite la reconvención en conmemorativa de la cuenta. Lo distinto a su propietaria, no permite la auto gestión, solo el reporte de la situación por parte de los familiares, quienes, deberán elegir que hacer con la cuenta del fallecido. Aquí tenéis el enlace a la página de información ofrecida por instagram.
¿A qué información accederían los familiares?
En realidad a ninguna. En ninguno de los casos podrán, salvo que tengan la contraseña, acceder al perfil del usuario. Tampoco podrán gestionarlo. Solo pueden decidir, si se elimina la cuenta, o en el caso de facebook e instagram, si el perfil se convierte en conmemorativo.
¿Ha fallecido un familiar, qué hacer con su perfil ?
Como ya vimos antes, en este caso será necesario comunicar a la red social el fallecimiento, seguir los pasos que se indiquen en sus políticas y decidir, según se le permita, si la cuenta se elimina o se convierte en conmemorativa.
Para finalizar…
Si tienes perfil en facebook, es recomendable que decidas. La ruta es: configuración/seguridad/contacto legado/ elegir; las opciones son, eliminar cuenta o elegir un contacto legado. Mientras tengamos capacidad de decidir, deberíamos hacerlo. Como la frase de una conocida película “Decidir es un verbo muy bonito, es un privilegio”.
Si se trata de decidir qué hacer con el perfil de un familiar fallecido, es recomendable decidirlo en familia. Muchas veces afecta a varias personas, y bien es sabido que unas lo llevan mejor que otras.
Este tema lo tratamos, el pasado 17/10/2016, en el programa de radio «Internet en familia» en el que colaboramos semanalmente con Radio Club SER Tenerife. Aquí podréis escuchar nuestra intervención, a partir del minuto 36.50.
Os invitamos a escucharnos cada lunes, durante el Hoy por Hoy, La Portada. En este espacio hablamos de temas de interés para el público en general, siempre con un lenguaje cercano y ameno. Temas que tratamos: privacidad, internet, protección de datos, LOPD, tecnología, derecho tecnológico, entre otros. Estamos en Tenerife, Canarias.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Perfiles-de-fallecidos-en-las-redes-sociales-1.jpg637998Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-03-15 07:00:342017-03-27 16:50:43Perfiles de fallecidos en las redes sociales
El avance tecnológico influye cada vez más en nuestra privacidad, y la ropa inteligente no se queda atrás. El internet de las cosas empieza a estar presente en nuestra vida cotidiana. La ropa, siendo una de nuestras necesidades básicas, no podía faltar y cada día vemos una nueva mejora.
¿Qué es la ropa inteligente?
Son aquellas prendas de vestir que han sido mejoradas, incorporando en ellas electrónica y conexiones a internet u otros dispositivos. Suelen incluir sensores, chips, luces led, bluetood, conexión a internet, usb, etc. Son muchos los objetos que incluyen, siempre en función de la finalidad para la que se usará la prenda.
¿Para qué se usa la ropa inteligente?
La ropa inteligente se usa para cualquier cosa que podamos imaginar. Sus usos y beneficios crecen con la capacidad de hacer las ideas realidad. A día de hoy, las prendas existentes, cubren las siguientes necesidades:
Seguimiento y control del rendimiento deportivo. Registro de trabajo muscular, ritmo cardiaco, capacidad de resistencia, oxigenación muscular; Cuenta los pasos caminados, la velocidad de marcha; calcula la longitud de la calzada, rotación de la cadera; incluso los hay que en función de la meta trazada, animan a seguir con el entrenamiento.
Seguimiento y control médico. Registran la temperatura corporal, el ritmo cardíaco y demás signos vitales; calculan la exposición solar y realizan advertencias en caso de peligros; Registran signos vitales de neonatos y avisan en caso de posibles incidencias.
Mejora de acciones cotidianas. Mejorar vestidos con luces led, o hacer que se vean tweets en la falda del vestido; chaquetas de montaña que incluyen GPS; chaquetas de traje que permiten pagar con la maga; Bolsos que se conectan a las redes sociales o te leen la agenda. De todo, aquí la imaginación va al poder.
Funcionamiento de la tecnología que incorpora
De la anterior lista, en los dos primeros casos, funcionan con sensores que recogen información, y la almacenan o la comunican a otro dispositivo. La comunicación a dispositivos externos se hacen vía vía bluetooth o internet.
Los del tercer punto se basan en la conexión directa a internet. Esta conexión es básica para poder cumplir su fin, mostrar un tweet, publicar en las redes sociales, realizar un pago, etc.
En los tres casos, suele ser necesario que el usuario instale una aplicación móvil con la cual gestionar los datos del usuario y la ropa.
Incidencia en la privacidad
Esta ropa inteligente, lo que hace es recoger información, y claro, información personal. Todo aquello que es concerniente a nosotros son datos personales, que deben ser recogidos y tratados de forma adecuada.
Los creadores de las aplicaciones a las que estas prendas comunican los datos, suelen almacenarlos en sus servidores. Deben poner las medidas de seguridad que sean necesarias para evitar su alteración, perdida o acceso no autorizado.
Es muy importante conocer las garantías que ofrece el proveedor de aplicación que recogerá y almacenará nuestros datos. Debemos informarnos de su política deprivacidad; en ella debe plasmar: quién es, en dónde está ubicado, para qué usa los datos, si se los da a un tercero y para qué, entre otras cuestiones.
Conclusión
La ropa inteligente ha llegado para quedarse, y para invadir nuestros armarios. Así es la tecnología, todo lo cambia, todo lo mejora, y si no lo mejora, por lo menos lo intenta.
Habrá que estar atentos a los beneficios que nos traerá la ropa inteligente; recordad, entre más avance la tecnología, más datos requerirá. Debemos ser proactivos en la defensa de nuestro derecho a la protección de datos, y nuestra privacidad.
Os dejamos el audio del espacio «Internet en Familia» en el que colaboramos semanalmente con Radio Club SER Tenerife. Este tema lo tratamos el pasado 06/02/2017. Podréis escuchar nuestra intervención, a partir de minuto 1.
Os invitamos a escucharnos cada lunes a partir de las 10:40 a través de Radio Club SER Tenerife. Tratamos temas sobre internet, seguridad, privacidad, LOPD, protección de datos, comercio electrónico y otros de interés general para la familia.