¿Qué relación hay entre el reciclaje y la digitalización? A simple vista, puede parecer que no tienen relación alguna, pero van más de la mano de lo que creemos.
Muchas empresas se han sometido a procesos de transformacióndigital en los últimos años, dando lugar a cambios en su forma de trabajar y a que el papel, hasta ahora un gran aliado en el lugar de trabajo, quede relegado a un segundo plano, pues tendemos a optar por otras alternativas más cómodas, sostenibles y seguras.
Aun así, ¿sabías que, de media, un trabajador puede llegar a consumir hasta 60 kg de papel y cartón por año en la oficina? Por tanto, aunque con menos fuerza, el papel sigue estando ahí y, por eso, en este post, queremos contarte todos los aspectos que tienes que tener en cuenta para apostar por el reciclaje, la reutilización y la destrucción segura de los documentos que manejes, en cumplimiento con el RGPD y asegurando la protección de los datos que trates.
¿Cómo destruir o eliminar los datos correctamente?
Cuando hablamos de tratamiento de datos, nos referimos a cualquier operación o actividad que podamos llevar sobre ellos, desde la simple recogida, hasta la destrucción. Y, por ello, durante todo el ciclo de vida de esa información, y hasta el mismo momento en que la eliminemos, debemos adoptar medidas que aseguren su protección.
Hay muchas formas de destruir la documentación de forma segura, desde proceder a su queme hasta usar una destructora de papel (recomendamos esta última especialmente). También puedes hacerlo manualmente, pero siempre asegurándote de que no sea posible reconstruir fragmentos o identificar algún dato.
Conserva sólo aquello que necesites
Nuestra normativa de protección de datos es muy joven y, por ello, aunque fija criterios como el de limitación del plazo de conservación, que implica que los datos no pueden conservarse indefinidamente, no existen muchos plazos concretos de conservación en nuestro ordenamiento jurídico, pues no se ha actualizado en ese sentido. Pero es importante que recuerdes esa premisa: solo debes conservar la información si existe una justificación para ello.
Por ello, es conveniente que lleves a cabo una revisión periódica de los datos de que dispongan, a fin de determinar si debes borrarlos. Puede ser que aún los necesites para dar cumplimiento a tus obligaciones legales o contractuales, o por otras exigencias; pero, si no encuentras justificación de tipo alguno, lo mejor es no conservar esa información.
Busca proveedores que reciclen o destruyan de forma segura
Otra vía para implementar buenas políticas de reciclaje o destrucciónsegura de la documentación en tu organización, es colaborar con prestadores de servicio especializados en estas áreas. Son muchas las empresas que se dedican a la custodia de documentos, y también las hay que proceden a su transporte y destrucción segura, o a su reciclaje.
Has de tener en cuenta que, si contratas uno de estos servicios, ese prestador puede acceder, aun de forma indirecta, a datos que son de tu responsabilidad, por lo que debes ser precavido a la hora de seleccionarlos. En este sentido, puede resultar muy útil que el prestador contratado cuente con documentación acreditativa de que sus procesos y métodos de trabajo son seguros, por ejemplo, certificados como la UNE 15713, de destrucción segura de material confidencial.
Reciclaje y RGPD: aspectos importantes a tener en cuenta
Muchos espacios de trabajo disponen de un entorno en el que se almacenan folios reciclados. Es decir: papel que ya se ha utilizado para alguna función anterior pero que continúa estando en buen estado, por lo que se guarda para su reutilización. Si éste es tu caso, hay algunas recomendaciones que te serán muy útiles:
Antes de proceder al reciclaje o reutilización del material, examina bien su contenido
Si incluye datos personales, deberás implementar medidas para que los mismos no sean identificables, como su tachado, por ejemplo
Si lo anterior no resulta posible y los datos quedan a la vista, siempre es mejor proceder a la destrucción segura del documento. Esto es sumamente importante, e incluso hay una sanción de la AEPD a una abogada por reutilizar documentos que incluían información personal en el reverso
Preferiblemente, los folios reciclados debes usarlos para gestionesinternas, anotaciones o similares, y no para finalidades que exijan que sean accesibles por terceros, tanto por limpieza y estética, como por seguridad.
Protocolo para un reciclaje seguro
Como siempre, para actuar de forma correcta en materia de protección de datos, lo mejor es preverlosriesgos antes de pasar a la acción. Por ello, como buena práctica, te recomendamos que crees en tu organización un protocolo de reciclaje, reutilización y destrucciónsegura de los datos, y así ya dispondrás de pautas para saber cómo actuar.
Todo lo tratado en este post puede servirte de inspiración, pero como idea, algunos aspectos que podrías incluir en el mismo:
Qué documentos pueden reutilizarse y cuáles no
Cómo destruir la información de forma segura
Cómo manejar o qué uso dar a los documentos reciclados
Quién puede acceder a esos documentos
Cómo actuar ante una brecha de seguridad relacionada con lo anterior
Y, aunque no ha sido el tema principal del post, implementar medidas de destrucción segura de los archivos digitales. Por ejemplo, dispones de diversos programas y aplicaciones que pueden ser de mucha ayuda para ello.
Para ir cerrando…
Es enormemente positivo que cada vez sean más las organizaciones que optan por el reciclaje, pero no debemos olvidar el impacto que, como hemos visto, pueden tener estas prácticas en los datos y su protección. Asegúrate de disponer de las herramientas suficientes para tener métodos seguros, cumplidores y, sin duda, crearás un entorno más sostenible, a la par que evitas incumplimientos normativos. ¡Gracias por leer!
Hablemos del COVID y la protección de datos en la desescalada, con motivo de las medidas, de reducción de riesgo de contagio, que las empresas, organizaciones y profesionales/autónomos tienen que aplicar en medio este escenario cambiante y de incertidumbre al que nos enfrentamos después de la aplicación del Estado de Alarma.
En particular, desde el pasado día 2 de mayo hemos comenzado a dar los primeros pasos de la desescalada hacia esa «nueva normalidad» en la que lo normal brillará por su ausencia, gracias a los termómetros al entrar en supermercados, los test de salud antes de ir al odontólogo, los comercios que te desinfectan hasta el alma antes de entrar, o la ausencia de rebajas en comercios físicos y multiplicación de tiendas online.
Nueva ¿Normalidad? ¡Ja!… en cualquier caso, los derechos de los interesados deben garantizarse, entre ellos el de protección de datos, así que aquí va este post que pretende ayudar a disipar algunas dudas, acabar con uno que otro bulo, y resumir las recomendaciones de la AEPD.
Contenido de este post:
(1) COVID y protección de datos ¿No es más importante la salud?
(2) Top 4 de consultas recibidas sobre COVID y RGPD – LOPD
Me están bombardeando a ofertas para instalar cámaras térmicas, termómetros varios, reconocimiento facial en lugar del control por huella o papel, y no sé qué más, para limitar el contagio por COVID, ¿Es obligatorio?
Vale, no es obligatorio -por ahora- PERO ¿Puedo tomar la temperatura corporal a mis trabajadores o a cualquier persona que acceda mi empresa o negocio?
¿Puedo hacer preguntas de control -salud o viajes- a clientes o al personal?
¿Yo me subo al ecommerce para aumentar ventas y hacer rebajas, qué tengo que hacer?
(3) Conclusiones.
(4) Bonus: Lista actualizada (14/5/20) de documentos publicados por AEPD en relación a COVID.
COVID y protección de datos ¿No es más importante la salud?
Sí, la vida es el bien jurídico protegido más valioso pero no debemos perder de vista los demás derechos y libertades, de modo que no sacrifiquemos todo lo conseguido hasta ahora, por miedo y falta de una adecuada gestión.
La protección de datos no debe ser un obstáculo para alcanzar fines de protección a la vida, o la seguridad del conjunto de los ciudadanos. El mismo Reglamento General de Protección de Datos, en su consideran do 4to. dice:
El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.
Por tanto, debemos proteger la vida, garantizar la salud y bienestar común, a la vez que garantizamos el derecho a la protección de datos, recogido en el RGPD, así como en nuestra LOPD (nueva LOPDgdd), y la Carta de derechos fundamentales de la UE. Protección ante el riesgo el propagación del COVID y protección de datos no son incompatibles.
Top 4 de consultas recibidas, en Dataseg, sobre COVID y protección de datos.
1. Me están bombardeando a OFERTAS para instalar cámaras térmicas, termómetros varios, reconocimiento facial en lugar del control por huella o papel, etc., para limitar el contagio por COVID ¿Es obligatorio?
Ahora mismo, y hasta que Sanidad se pronuncie, NO es obligatorio implantar medidas de control de temperatura.
NO es obligatorio usar sistemas de reconocimiento facial para control de acceso o de la jornada laboral, PERO, el artículo 3.4. de la Orden SND/388/2020, de 3 de mayo, EXIGE que:
El fichaje con huella dactilar será sustituidopor cualquier otro sistema de control horario que garantice las medidas higiénicas adecuadas para protección de la salud y la seguridad de los trabajadores, o bien se deberá desinfectar el dispositivo de fichaje antes y después de cada uso, advirtiendo a los trabajadores de esta medida.
2. Vale, no es obligatorio -por ahora- PERO ¿PUEDO tomar la temperatura corporal a mis trabajadores o a cualquier persona que acceda mi empresa o negocio?
Es crucial responder primero a las siguientes preguntas ¿Qué medida exacta va a aplicar, a qué colectivo, con qué finalidad, qué tratamiento se hará, qué legitimación tiene, entre otras? En función de las respuestas, tendrá que aplicar las directrices y puntos claves dados por la AEPD para la toma de temperatura corporal. En nuestro post «Control de temperatura y protección de datos» analizamos a mayor profundidad este tema.
La toma de temperatura corporal es un tratamiento de datos, y debe cumplirse la normativa a la que dicho tratamiento esté sujeto.
Esta medida debería aplicarse según el criterio que Sanidad (Ministerio de Sanidad/ Autoridad competente en cada momento) defina. Total, que hoy no hay dicho que es obligatorio, ni cuándo, ni donde, pero si lo hace mañana, o más tarde, se debe hacer lo que digan -actualizaremos este post según sea el caso-
Es necesario contar con una legitimación adecuada para realizar dicho tratamiento.
Se debe informar a los interesados de la operación que se realizará, de las consecuencias, y los pormenores de conservación y limites del tratamiento. Y también de otras informaciones de utilidad en caso de tener una temperatura más alta de la definida como «normal».
Debe ser tomada por personal cualificado para ello.
En cuanto a las legitimaciones para el tratamiento:
La legitimación no podrá ser por regla general el consentimiento (en la mayoría de los casos no es aplicable por estar supeditado a un resultado).
No es aplicable el interés legítimo.
En el ámbito laboral la legitimación podría ser el cumplimiento de obligaciones legales relacionadas con la prevención de riesgos laborales.
En otros casos podría aplicarse el interés público.
La aplicación de la medida en lugares públicos debe tener en cuenta las consecuencias negativas y de discriminación, de la denegación de acceso. Así como la posible comunicación a terceros no autorizados, de información que eventualmente suponga una comunicación de datos del afectado.
3. ¿Puedo hacer preguntas de control -salud o viajes- a clientes o al personal?
Los triages a clientes, visitantes y personal también están a la orden del día. No hace mucho leíamos con estupefacción el que recomendaba un consejo profesional nacional , y recomendaban hacer uno de 20 preguntas, a pie de calle para que no hubiera riesgo de contagio en las instalaciones, más toma de temperatura, sí, también a pie de calle. Pero bueno, cotilleos aparte, la respuesta esssss:
Sí, se pueden hacer preguntas de control. La AEPD en sus Preguntas frecuentes sobre COVID, ya decía que:
Los empleadores tienen la obligación legal de proteger la salud de las personas trabajadoras y mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito (RGPD y Ley de Prevención de Riesgos Laborales).
[Pero ojo]
La información a solicitar debería responder al principio de proporcionalidad y limitarseexclusivamente a preguntar por visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas 2 semanas, o si se tiene alguno de los síntomas de la enfermedad. Resultaría contrario al principio de minimización de datos la utilización de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.
Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.
Luego, no hay que olvidar, qué según qué datos se recojan y cómo se recojan, ya sabiendo que no será necesario el consentimiento, en todo caso habrá que informar al interesado de dicha operación de tratamiento, y evaluar la aplicabilidad de los demás principios de la normativa de protección de datos, y cumplir con todo lo que de ello surja.
También recogen la recomendación de hacer triages algunas recomendaciones para atención primaria de pacientes difundo por Sanidad.
4. Yo me subo al ecommerce para aumentar ventas y hacer rebajas, qué tengo que hacer.
Entre la cuarentena en la que si se permitía el comercio online, y ahora la prohibición de rebajas físicas, muchos son los autónomos, empresas, y demás negocios que han decidido mudarse a la nube y empezar a vender sus productos, o prestar sus servicios vía ecommerce. ¡Genial, mucha suerte! Ahora bien, es importantísimo que:
Busquen proveedores profesionales y cumplidores.
Usen plataformas seguras (a preferencia dentro de la UE o que estén en páises con Convenios con la UE, y/o adheridas a acuerdo de nivel adecuado de datos, tipo Privacy Shield).
Que cumplan la normativa de protección de datos, comercio electrónico, consumidores y usuarios, condiciones de contratación, etc
Informense de los costos de envío, y una cosa importantísima, los costos y trámites aduaneros.
Sean sinceros, y no se olviden de poner ninguna condición de venta, ni de respetar los derechos de los consumidores. En este punto, todo juega en contra del propietario de la web.
En definitiva, que no se olviden que las webs son como los negocios físicos, deben cumplir con la normativa que les corresponde. Pueden encontrar más información en este artículo que escribimos sobre Adecuación legal web.
(3) Conclusiones.
Esta situación es compleja, las medidas a aplicar no están del todo claras, no conocemos al bicho y el temor a veces nos invade, es normal, PERO, no olvidemos que para conquistar los derechos de los que gozamos se ha tardado mucho tiempo, y se han luchado muchas batallas, no lo tiremos todo por la borda. Y a modo de recordatorio general, sí, hay pandemía, sí hay que proteger la salud y la vida, pero hay que seguir garantizando, adecuados al momento, todos los demás derechos y libertades.
Ya para terminar recordar que si van a aplicar alguna medida de las comentadas, se asesoren. No se lancen al vacío, analicen todo, y protejanse jurídicamente, y protejan a los usuarios también.
(4) Bonus: Lista actualizada (14/5/20) de documentos publicados por AEPD en relación a COVID
12.3.20 – Informe sobre los tratamientos de datos en relación con el COVID-19. Enlace.
12.3.20 – Preguntas frecuentes sobre el Coronavirus (Covid y protección de datos). Enlace.
16.3.20 – Comunicado en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus. Enlace.
26.3.20 – Comunicado sobre apps y webs de autoevaluación del Coronavirus. Enlace.
30.4.20 – Comunicado en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos. Enlace.
7/5/20 – Estudio en el que analiza distintas tecnologías para luchar contra el coronavirus y sus riesgos para la privacidad. Enlace.
8/5/20 – Informe en el que analiza la utilización del reconocimiento facial para realizar exámenes. Enlace.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/COVID-y-protección-de-datos-en-la-desescalada.jpg5281000Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2020-05-15 08:08:052020-05-15 08:32:41COVID y protección de datos en la desescalada
¿Te ha pasado que entras al facebook, no al chat, y de repente todos tus contactos empiezan a hablarte? No es brujería, es que tienes activado el Estado Activo.
El Estado Activo es una de las herramientas recientes de facebook para facilitar la comunicación de sus usuarios a través del chat privado de la plataforma. Aunque es muy visible, muchos usuarios no saben qué es ese punto verde que sale al lado de su foto cuando entran en la app móvil, ni para qué sirve.
Aparecer activo o no en el chat de facebook o en sus otros servicios puede ser tan útil como perjudicial. Queremos explicaros qué es el Estado Activo y cómo activarlo o deshabilitarlo. ¿Qué porqué? Porqué somos los usuarios quienes tenemos que cuidar de nuestras relaciones personales, de nuestra privacidad, y de nuestro rastro digital en internet.
Cómo está activado por defecto, nosotros hacemos este post para enseñaros a desactivarlo y activarlo a vuestro antojo.
¿Qué es el estado “Activo”?
El estado “Activo” es una opción que muestra en el chat de facebook (mensenger), si un contacto está conectado o hace cuento tiempo se conectó por última vez. Es decir, si tu Estado Activo está activado cuando entres en facebook todos tus contactos podrán verlo.
Si bien es una opción útil para iniciar una conversación y contactar con otros, facilitando la inmediatez de las comunicaciones. También hay que reconocer que cuando no se quiere establecer contacto con nadie, por las razones que sean, ya no es tan idónea.
¿Cómo saber si esta habilitado el Estado Activo?
Cuando la función está activa aparece un punto verde al lado del nombre del usuario en el chat de facebook cada vez que este accede al messenger o directamente a la plataforma sea vía app o página web. Eso permite a todos los contactos saber que está conectado y disponible para hablar.
En cuanto el usuario salga de la plataforma, el sistema en lugar de presentar el punto verde, aparece el tiempo que ha pasado desde la última conexión del mismo.
¿Cómo saber si esta deshabilitado el Estado Activo?
Si se desactiva esta función, los amigos y contactos no podrán ver cuando el usuario realmente está dentro de la red social ni la hora de la última conexión.
Si la sesión de la cuenta está abierta en diferentes dispositivos, sólo cuando se deshabilita de todos ellos el usuario deja de tener activo el Estado Activo.
¿Cómo saber si mi estado está “Activo”?
Sigue los siguientes pasos para saber cómo está la cosa con tu Estado Activo:
1, Entrar a messenger y seleccionar el icono donde esta la foto de perfil del usuario.
2. Seleccionar “Estado Activo”
3. En la nueva ventana emergente aparecerá si está o no habilitado. Como ya dijimos suele estarlo por defecto.
¿Cómo deshabilitar el Estado Activo?
Desabilitar la opción en cuestión no es tan complejo, aunque si requiere que actúes. Sigue estos pasos:
1: Entrar a messenger y seleccionar el icono donde esta la foto de perfil del usuario.
2. Seleccionar “ Estado Activo”
3. Se deshabilita seleccionando el punto verde, llevandolo hacia la izquierda.
Conclusión
Gestionar si aparecemos o no activos en la red social puede parecer poco urgente, pero es necesaria. Cada día perdemos muchas horas en internet y desactivar esta opción puede ser en parte una solución. Por otro lado, puede ser útil para no dejar a nadie con la palabra en la boca, o para que piense que no queremos hablarle; y por supuesto para cuidar nuestra privacidad y evitar el control o vigilancia por parte de terceros.
Facebook tiene que darnos herramientas requeridas para gestionar nuestra configuración de perfil, ahora es nuestro, tú turno, de ponerte manos a la obra y configurar tu privacidad de forma adecuada.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Estado-Activo-en-Facebook-aprende-a-desactivarlo.jpg639960Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2018-12-03 10:00:482018-12-03 16:41:28Estado Activo en Facebook, aprende a desactivarlo
WhatsApp es la aplicación de mensajería instantánea que ha revolucionado las comunicaciones en la era de internet. Nació en el 2009, y desde entonces, se ha hecho parte de nuestra vida. Sus funcionalidades, usos y usuarios crecen día a día, así como la cantidad de datos personales que se tratan a través de ella.
Usarla con fines laborales o dentro de las empresas es un dulce harto apetecible para muchos, y para otros parte de su día a día. Este post nació con el fin de acercar las reglas que «rigen»/»regirían» el uso de la aplicación a nivel empresarial. Como más adelante decimos, no la recomendamos, pero si la va a usar, por lo menos tenga en cuenta unas cuantas «cosillas».
[Nota actualización 22/03/2018] El pasado 15/03/18 conocimos que la AEPD sancionó a Facebook y a WhatsApp con 300.000 c/u, porque se comunicaron datos mutuamente sin el consentimiento “libre, específico e informado” de los usuarios. A raíz de esto tenemos muchas consultas de nuestros clientes, y no clientes, y hemos decidido actualizar este post. Verá los cambios marcados con [Act 22/03/18]
¿Porqué hay que tener en cuenta la LOPD al usar WhatsApp?
WhatsApp fue concebida para uso personal. Pese a lo anterior, cada día hay más empresas, profesionales y comercios, que hacen uso de ella para tratar con sus clientes, comunicarse con el personal, etc.
Por otro lado tenemos la opción de crear grupos, y todo sea dicho, a esta función la carga el diablo. Muchas veces los integrantes del grupo no se conocen entre ellos, otras, no han dado su consentimiento para ser incluidos en el grupo, entre otras más vías de complicaciones.
Finalmente está lo más obvio, pero no menos importante ¡la información!. Los datos que se comparten, la tipología, el consentimiento para transmitirlos por esa vía, o incluso, si se ha informado o no de dicha posibilidad.
¿Usar o no usar whatsapp a nivel empresarial?
Hasta ahora habíamos recomendado no usar WhatsApp en las empresas –aún lo hacemos. [Act 22/03/18] No, no es recomendable usar whatsapp a nivel empresa, o para comunicarse con clientes, empleados padres, etc.– pero, ya no podemos decir que está absolutamente prohibido.
Básicamente no podemos decir que está prohibido por varias razones. La primera es que la Agencia Española de Protección de Datos empezó a usar esta App en el canal joven. [Act 22/03/18] Es más, la menciona en su «Guía centros educativos» pág. 26, y da recomendaciones para su uso; la segunda, que en sus sanciones e informes, no la prohíbe sino que habla de la protección de los principios de la protección de datos durante su uso; la tercera es que el cifrado end to end, da una cierta -no del todo- apariencia de seguridad; y ya la última y la guinda, que actualmente está en pruebas la versión para empresas, y seguramente cuando esté disponible muchas empresas se subirán al carro de whatsapp.
Total, que por lo dicho antes, no nos queda de otra, más que dar algunas directrices para que ya que se usa o se va a usar, se use de la forma más correcta y cumplidora posible.
La clave de las 5 claves: cumplir con los principios de la protección de datos
Si pretende usar WhatsApp en su empresa, institución o negocio, tenga en cuenta que debe cumplir los principios de la protección de datos. Hablamos del principio de calidad, información, consentimiento, confidencialidad, seguridad de los datos, entre otros.
Los principios de la protección de datos son críticos para que nuestro uso de whatsapp con fines laborales o comerciales sea relativamente correcto. Hablamos de los principios de calidad, información, consentimiento, datos especialmente protegidos, confidencialidad y seguridad de los datos. Hay más, y por esa razón no se debería usar para estos fines, pues por ahora no son fáciles de cumplir, en especial el relativo la firma del contrato de protección de datos con whatsapp. Hablamos de este contrato, aquí.
Clave 1. Informe a los usuarios que usará con ellos esa aplicación.
Antes de usar whatsapp para tratar datos personales de una persona, debe informarle de las finalidades de dicho tratamiento. El tratamiento en este caso puede ser, comercial, informativo, de confirmación de citas, de vía de comunicación, o de envío de datos. En cualquier caso, el titular de los datos debe saber del uso de esta herramienta y del fin para el cuál se prevé.
Clave 2. Pedir el consentimiento para tratar los datos por esa vía
Uno de los principios que más quebraderos de cabeza da a las empresas, es el consentimiento. Salvo excepciones, es necesario el consentimiento del cliente. Osea, que para tratar los datos del cliente por ese medio, hay que informar y pedir consentimiento.
Especialmente aquí haremos hincapié en la finalidad comercial. Para remitir información comercial, es necesario conforme al artículo 22 de la LSSI, solicitar el consentimiento expreso del afectado. El consentimiento expreso no es otra cosa que una acción clara afirmativa, informada, libre e inequívoca de que sí, quiere recibir publicidad. Por ese medio. Si no tenéis ese consentimiento, no enviéis publicidad por whatsapp.
Preguntas orientadorassobre su cumplimiento. Si una o todas es no, !póngase manos a la obra!
¿En caso de envío de publicidad. Tiene el consentimiento expreso de las personas?
Pide consentimiento a los interesados antes de incluirles en un grupo?
Solicita consentimiento para enviar información personal por esa vía?
Clave 3. Cuide la confidencialidad de los datos que trata en whatsapp
La confidencialidad es uno de los requisitos más especiales que se exigen a una empresa, negocio u organización. Debe garantizarse que esos datos que nos han facilitado, se mantienen a salvaguarda y confidenciales. Que solo los trata el personal autorizado y que no acceden a ellos terceras personas.
Preguntas orientadorassobre su cumplimiento. Si la respuesta a una o todas, es no, revise y actualice su cumplimiento.
¿Controla el uso profesional de esta app por parte de su personal?
¿Ha comprobado que el whatsapp desde el que se comunica su personal con el cliente es de la empresa y no desde su número personal?
¿Ha informado a su personal que en los grupos con clientes deben evitar compartir datos personales?
¿Tiene una política de tratamiento de datos vía online? en ella se debería describir las reglas de uso de estas y otras aplicaciones en el ámbito de la empresa.
Clave 4. Ponga medidas de seguridad para proteger los datos enviados o almacenados.
En este caso lo que se puede hacer es limitado, ya que la seguridad de la aplicación como tal, corresponde a WhatsApp. Eso sí, siempre podemos poner medidas de seguridad asociadas al procedimiento de custodia de los dispositivos, que almacenan los datos; del control del uso de la aplicación, etc.. También podrá hacerse a través de medidas de gestión asociadas a una política de uso de la aplicación y protección de los datos personales.
Estás preguntas le darán una idea de las opciones. No las eche en saco roto.
¿Usa la aplicación para remitir datos de carácter personal? Es mejor no hacerlo.
¿Ha dado instrucciones a su personal sobre el tipo de datos que pueden o no remitir a través de esta vía?
¿El número de whatsapp que se usa para comunicar con clientes, personal, u otros interesados es de la empresa, o de un empleado?
¿Ha dado instrucciones parano crear grupos sin consentimiento de la dirección?
¿Elimina el contenido de las comunicaciones cuando han dejado de ser necesarias?
¿Conoce de forma clara quién y qué grupos de trabajo, o comunicación con clientes hay creados en su empresa?
Sanciones y apercibimientos puestos por la AEPD por el uso de whatsapp
En principio como dijimos antes, la agencia todavía no ha sancionado por el hecho en sí de usar whatsapp. Lo que ha hecho hasta ahora ha sido en relación con los principios de la normativa de protección de datos, y del cumplimiento del artículo 22 de la LSSI, Ley de Servicios de la Sociedad de la información y comercio electrónico.
Primera sanción (Enero 2016). Incumplimiento del artículo 22 de la LSSI. Envío de publicidad sin consentimiento expreso del afectado. 600€.
Primer apercibimiento (octubre 2017). Inclusión en un grupo de whatsapp de un cliente, sin el consentimiento del mismo, incluso en su contra.
[Actualización 31/12/17] Declaración de infracción de AAPP (Noviembre 2017) Creación de un grupo de whatsapp por parte de un Ayuntamiento. En el grupo incluyó al denunciante y a todo el pueblo… Sin consentimiento, usando datos recabados para otros fines.
Actualizaciones importantes por hechos noticiosos
1ª. [Actualización 31/12/2017 con motivo de los apercibimientos y declaraciones de infracción por creación de grupos de whatsapp]
[1] En caso dado, no sería delito, sino una infracción de la normativa de #ProtecciónDeDatos
[2] Es una infracción de: (1) deber del secreto: en el grupo todos ven los datos de todos. Para añadir correctamente a alguien, se le deberá pedir el #Consentimiento, así no hay vulneracion del deber del secreto, ni del principio de #información y consentimiento.
[3] Esta infracción es exigible cuando el grupo NO entra en la EXCEPCIÓN doméstica. Es decir, si es un grupo personal, familiar, NO «salvo cosas raras» no sería sancionable.
[4] La LOPD y el RGPD/GDPR son exigibles a las empresas, negocios, profesionales, y demás tratamientos de datos, comerciales, filantrópicos, etc. que no tengan fines domésticos.]
2ª. [Actualización 22/03/18, con motivo de las noticias que hablan de no usar whatsapp en la empresa, debido a la sanción a Facebook y Whatsapp]
[1] Ya mencionamos más arriba algunas indicaciones dentro del texto
[2]Cuando hablamos de las otras razones por las que no es recomendable usar whatsapp, y mencionamos el contrato de protección de datos, ahí, dábamos en la diana de lo se menciona en muchos de los artículos que han estado saliendo estos días. Whatsapp no cumple con la normativa de protección de datos, no se reconoce como prestador de servicio, y no sigue instrucciones de ningún responsable de fichero. Y, aunque firmara el contrato lo estaría incumpliendo al dar los datos a Facebook, sin consentimiento de la empresa, ni de los usuarios.
[3] Ah sí, al usar whatsapp estamos haciendo una transferencia internacional de datos… otra cosa es que no se transmitan datos personales… depende de cómo y para qué se use.
Conclusiones
Usar las herramientas que trae la evolución de la tecnología está muy bien, pero debe hacerse con precaución. Con la actual LOPD parece que la AEPD, no está siendo especialmente exigente en cuanto al uso de whatsapp, pero, ¿será igual cuando inicie la aplicación del RGPD, Reglamento General de Protección de Datos? No lo sabemos.
La recomendación principal es que siempre, siempre, siempre, se cumpla con los principios de la normativa de protección de datos. Que se proteja el derecho del usuario, y se prime este por encima de todo. A partir de ahí, se debe crear una política de uso de estas herramientas, darlas a conocer al personal, y poner medios para su cumplimiento.
[Act 22/03/18] Esto puede ser un cambio claro de línea por parte de la AEPD. Así que si ha decidido usar whatsapp en su negocio/empresa, pregúntese la razón que le lleva a ello y si realmente es tan necesario; incluso puede buscar otras opciones menos «comprometidas»
Programa de radio asociado a este tema
El 16/10/2017, en el espacio «Internet en Familia» del Hoy por Hoy Tenerife, de Radio Club ser Tenerife, tratamos este tema. Os dejamos el audio, ya que ha algunas pinceladas que mencionamos durante el programa, y para no extener este post, aquí no las hemos tocado. Por ejemplo las implicaciones en protección de datos, del uso de whatsapp por parte de particulares… hay dato curioso, ¡avisamos!
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/5-Claves-para-cumplir-la-LOPD-al-usar-whatsapp.jpg6001000Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-11-24 07:08:552018-04-05 08:38:23WhatsApp, LOPD y empresas. 5 Claves para cumplir
El pasado lunes fue el primer día de la semana del Black Friday. Se supone que debería ser solo el viernes,»Viernes Negro», pero la teoría de la relatividad reinventada por el Corte Inglés -Su semana loca dura 15 días, y sus 24 horas de rebajas una semana- es ahora de aplicación general.
Esta iniciativa comercial estadounidense se ha expandido a nivel mundial, y en España desde hace unos años los comercios se aprovechan especialmente de ella. Aquí no es un día, es relativo, son dos, o tres, una semana. En general está plagada de ofertas, promociones, eventos, y mucha propaganda cierta y no tan cierta, por eso «hay que ir con cuidado» si no queremos ser blanco de un timo, un engaño o una mala compra.
¿Qué peligros hay en el black friday?
Además de quedarte sin un duro por andar comprando cosas que puede que no necesites (peligro de ausencia de planidificación) hay otros peligros asociados a la #seguridad online, la #privacidad, la gestión de la #identidad, entre otros.
Este post ha sido escrito como ayuda para que los usuarios eviten los peligros al hacer compras online. En el caso específico del Black Friday, el hándicap es que supuestamente todo son ofertas o promociones y eso hace que los delincuentes lo tengan muchísimo más fácil para lanzar sus cebos -nadie sospecha de los megachollos en estos días… ojala lo hicieran-.
¿De qué forma nos engañan?
A través de ofertas y megachollos que no existen -a veces sí, pero con mucha trampa- con los que pretenden lo más básico que cualquier delincuente quiere, robarnos el dinero, los datos, la identidad, infectar nuestros dispositivos de virus, etc. La pasta sabemos para qué la quieren, pero ¿Y para qué quieren nuestros datos? pues para un motón de cosas, os hablamos de ello en este post anterior así que ojo, que es mejor ser precavidos.
Tres pasos para una compra segura durante el Black Friday
Para que este black friday sea realmente una oportunidad para realizar compras estupendas os hemos preparado uan lsita de 3 pasos super sencillos de . En general, os daréis cuenta que caen de cajón, pero a veces la emoción de una mega oferta, nos ciega.
1. Confirma que la oferta es real.
En cuanto encuentres una megaoferta -que te podrá llegar por cualquier vía, redes sociales, google, páginas web, etc.- revisa los siguientes puntos:
El idioma y la ortografía. Si hay errores de ortografía llamativos, errores con las tildes o de formación de frases, huye. En estos casos es bastante fácil ver como es una traducción burda. Un gancho echado por algún ladrón de pasta o datos. Evita pinchar en enlaces de este tipo de publicaciones.
Revisa el precio. Si bien estamos en una semana de descuentos, los precios de las cosas no se bajan a una tercera parte así porque sí. Compara precios con otras tiendas online.
Verifica costos adicionales. Aunque es desleal, algunas páginas usan el truco de poner menos precio al artículo y más a los costos de envío, manipulación, aduanas, etc. Que no te engañen con los gastos adicionales.
2. Conoce a tu vendedor
En internet puede vender cualquiera, no solo hay tiendas honestas también hay delincuentes, y por eso hay que estar atentos y verificar que nuestro ofertante es quien dice ser, o es un vendedor realy seguro:
Dominio web. Desconfía de dominios demasiado complicados, y especialmente de aquellos que intentan imitar un dominio de una marca o empresa conocida. En la mayoría de casos se trata de ofertas maliciosas.
Verifica que es quién dice ser. Toda tienda online, debe facilitar por Ley –hablamos de ello aquí– unaserie de datos, tales como nombre e identificación fiscal, datos de contacto, ubicación geográfica, entre otros. Si no dispone de esa información, ni el apartado de contacto, ni en su aviso legal, condiciones de venta, etc. No es una página de fiar.
Revisa sus condiciones de venta. Toda tienda o negocio que venda o permita contratar a través de internet debe facilitar unas condiciones de compra o contratación. En ellas se establecen las reglas aplicadas a la venta; los derechos del usuario; los costos de envío; los plazos de entrega; el derecho de desistimiento, entre otros. Si una página no tiene este contenido, tampoco es de fiar,o dará problemas al ejercitar los derechos del consumidor.
3. Medidas de seguridad durante el proceso de compra.
Puede que estemos comprando en tiendas legítimas, legales, y que además tienen megachollos reales, pero si no ponemos ciertas precauciones, los malos que siempre están al acecho se podrían beneficiar de esa transacción. Ten en cuenta las siguientes recomendaciones de seguridad:
No compres estando conectado a redes wifi públicas. Más claro el agua. Las redes wifi públicas suelen ser el río en el que pescan los ciberdelincuentes. En ellos pescan nuestros datos personales, bancarios, etc. Si vas a comprar hazlo desde casa, a través de una vpn, o usando una red segura.
Usa contraseñas seguras. Si tienes que crear un perfil en la tienda online no subestimes la seguridad de la contraseña que pongas, al fin y al cabo te estás creando un perfil en un portal, y estás almacenando ahí tus datos. Usa contraseñas seguras, y apunta en una libreta, que ahora tienes un nuevo perfil en esa tienda. Más info sobre contraseñas seguras, aquí.
Manten actualizado el software de tus equipos. Sí, la recomendación típica, pero necesaria para evitar que por el camino los delincuentes te roben los datos.
Compra en tiendas que como mínimo, usen el protocolo https. Este protocolo cifra los datos para evitar que sean accedidos por terceros durante su transmisión.
Usa plataformas de pago seguras, o tarjetas de compra online segura. Hoy en día los bancos dan muchas opciones para que los usuarios hagan compras online de forma segura. Consulta con tu banco, puede que tengan alguna opción que evite que te expongas menos.
Y la recomendación final
Está claro que todos tenemos un sexto sentido, y la mayoría del tiempo suele funcionar. Si dudas de la legitimidad de una oferta, busca, comprueba, no te lances, porque en lugar de un mega-chollo te lleves una megaestafa.
También, recuerda que la seguridad de tus datos está en tus manos. Que depende de a quién le das tus datos, de dónde se encuentra ubicado -por tanto que legislación le aplica- y especialmente, de las precauciones que pones para evitar disgustos.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Black-Friday.-3-pasos-para-una-compra-segura-e1574856133146.png5891000Jeimyhttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngJeimy2017-11-21 07:12:272019-11-27 13:07:05Black Friday. 3 pasos para una compra segura
Los bulos, por desgracia, ahora son parte del pan nuestro de cada día. Ya en su momento os hablamos de ellos en este post. Ahora bien, si además de ser parte de nuestro día a día, cada vez son más escabrosos y dañinos. Ahora mismo nos sobran bulos que alimentan el odio separatista, nacionalista, etc. Nos sobran bulos avisando de terremotos, o en los que se hace el linchamiento de personas.
¿Quién crea los bulos?
Siempre son creados por una persona. Aún las maquinas no tienen capacidad para hacer tal cosa. Eso sí. ¿qué motiva a alguien para crear y difundir un bulo? pues según la persona y su motivación. Claramente hay motivaciones de toda clase, políticas, económicas, diversión, de todo. Aunque sinceramente es difícil no preguntarse qué pasa por la cabeza de una persona que difunde un bulo sobre terrorismo, o sobre desastres naturales.
¿Consecuencias de los bulos en la sociedad?
Pues siempre generan una reacción en las personas que los reciben y se los creen. Por este motivo, un bulo anunciando un atentado inminente, o un terremoto, o una zona de robos, genera una acción- reacción entre la generalidad de personas que lo reciben, alterando su forma de actuar, y de forma indirecta el orden público.
Posibles consecuencias legales para los creadores
Encajes en el código penal
La creación y difusión de un bulo puede, según el tema que trate, o el afectado al que se refiera, encajarse de la siguiente manera:
Como un delito contra el honor. Código penal, Titulo XI:
Puede ser una calumnia: la imputación de un delito hecha con conocimiento de su falsedad o temerario desprecio hacia la verdad.
Puede ser una injuria: la acción o expresión que lesionan la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación.
Como un delito de desordenes públicos.
Artículo 561: Quien afirme falsamente o simule una situación de peligro para la comunidad o la producción de un siniestro a consecuencia del cual es necesario prestar auxilio a otro, y con ello provoque la movilización de los servicios de policía, asistencia o salvamento, será castigado con la pena de prisión de tres meses y un día a un año o multa de tres a dieciocho meses.
¿Cárcel por crear y difundir un bulo?
La semana pasada conocimos la noticia que hablaba de una mujer detenida en Malaga, como presunta creadora y difusora de un audio en whatsapp, en el que alertaba a la comunidad de la presencia de 2 Yihadistas en la ciudad. Pues bien, eso fue pocos días después de los atentados de Las Ramblas, en Barcelona. Debido a esa cercanía de las situaciones, se armó un revuelo social, se entró en pánico, y hubo una movilización de las fuerzas y cuerpos de seguridad del estado. ¿Porqué lo hizo, quién lo hizo? Ni idea, no tiene lógica. Pero para eso están las investigaciones, y por eso la detención de esta personal.
No es el primer caso, hace un par de años, 4 jóvenes en Estepona manipularon la portada de un periodico de tirada nacional, justo unas horas del atentado en Charli Hebdo. También cuando la crisis del Ebola, un chico madrileño hizo correr un bulo, y así. A todos la broma les ha costado como poco el susto de ser detenidos. Estaría bien saber en qué han terminado los ditintos procedimientos.
Y, ¿a colación de qué viene todo esto?
Básicamente de la siguiente noticia. Y de la amable invitación de Radio club SER – Tenerife para comentarlo en el programa de radio, la «Ventana de Canarias».
La noticia, por si no puede ver enlaces:
El presidente del Cabildo de Gran Canaria, Antonio Morales, ha asegurado este lunes que los servicios jurídicos están analizando los bulos vertidos en las redes sociales… sobre el origen del fuego, que han relacionado con la quema controlada de rastrojos del Cabildo…
“No tiene nada que ver con las quemas. Lo vamos a perseguir porque genera una alarma”
No queda claro cual es en definitiva la motivación por la que quieren buscar responsables de los comentarios en las redes sociales, ya que si se trata de un tema de desordenes públicos que es donde encaja lo de la «alarma social», pues es que el incendio existió, y los comentarios, nacieron a raíz de dicho incidente. Otra cosa es que quieran encajarlo en defensa de la institución. Ya veremos como se desarrolla el tema.
Os compartimos el audio de nuestra participación. Que conste ante notario, que se trata de una participación distendida y para todos los públicos -es decir, expresamente nos pidieron que no nos pusiésemos con tecnicismos-
En conclusión.
Cuidado, las redes sociales a veces juegan malas pasadas y no siempre traen noticias verdaderas, no creas todo lo que te llega por whatsap. Que un mensaje venga con la voz de una persona real, que parece comprometida, no significa que sea cierto, sino, en muchos casos, que finge bien. Tampoco creas todo porque parezca una portada de un periódico conocido, ve a fuentes oficiales y contrasta la información.
Y por otro lado, no os olvidéis que en internet todo es trazable, que una investigación de los cuerpos y fuerzas de seguridad del estado puede resultar en detenciones gracias a las direcciones IP, a un número de teléfono, entre otros. No juguéis, ¿qué necesidad?
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Los-bulos-y-las-consecuencias-de-crearlos-y-difundirlos.jpg8531280Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-09-26 12:30:342017-09-26 12:19:25Los bulos y las consecuencias de crearlos y difundirlos
En este post hablaremos del robo de datos en internet, pero ojo, que aunque en esta oportunidad nos centremos en la red, no solo de internet vive el hombre. Si no ponemos una contraseña segura, puede que nuestro PC, móvil, tablet, etc. sea usado -sin permiso- por cualquiera que los tenga a mano, para eso no hace falta internet, solo un dispositivo desprotegido.
Internet es a gran herramienta que nos acerca a una amplia gama de conocimientos, noticias en tiempo real, cultura, lugares remotos, personas en otros países, etc. Pero, también es la puerta a través de la cual los ciberdelincuentes pueden hacerse con nuestros datos. Les permite acceder a nuestra vida, la privada y la pública, a nuestra información bancaria, laboral, social, etc. a todos loss aspectos de nuestra vida que se pueden gestionar vía online. Y todo sea dicho, unas veces entran por la puerta de atrás, y otras por la principal que parece señalada con luces de neón. Sí, así de inconscientes podemos llegar a ser.
Pero ¿Cómo puede realizar un robo de datos un ciberdelincuente?
De muchas formas, y en la mayoría de ellas, por desgracia, el factor «usuario» es el principal coladero de males. Las siguientes, son las formas más habituales:
Campañas de phishing. Funcionan porque el usuario abre y sigue las instrucciones de un correo SPAM. La mayoría de veces piden datos, o facilitan un enlace emulando alguna entidad o marca conocida, hablan de un supuesto sorteo, las opciones son variadas. Pero al final siempre hay un pedido de datos, -incluidos los bancarios- y un usuario inocente que larga todo sin preguntar.
Estafas tipo pharming. Suele ser habitual en temas bancarios, cuando en lugar de teclear directamente la dirección electrónica del banco, el usuario la busca por google y el malo te tiene listo un resultado, que logra engañarle y capta los daros de usuario. También funciona mucho con redes sociales, y cuentas de correo electrónico.
Usuando apps y juegos que recolectan datos. Cuando en el móvil o en las redes sociales el usuario instala apps y juegos que roban datos, o los venden.
Interpretación de correossin cifrar.
Cuando el usuario se apunta a concursos, megachollos, y demás ofertas demasiado buenas para ser verdad, pero aún así da todos los datos sin verificar quién está detrás, y si es una oferta legítima.
¿Qué puede hacer un ciberdelincuente con mis datos?
Hacer, puede hacer de todo. Dependerá del tipo de atacante y de ataque. Hay ataques generalizados y ataques personalizados:
En el caso de un ataque generalizado, no hay una víctima concreta, sino, una generalidad de blancos. Esto es lo que pasa con las campañas de phishing o malware realizadas a través de SPAM. En estos casos se pretende conseguir información real de las personas, credenciales, datos bancarios, etc. Luego los venden en el mercado negro, o bien realizan fraudes bancarios, o compra de productos usando esas identidades.
Por otro lado un ataque específico estará diseñado de forma clara para hacer que una persona concreta caiga en él. Puede usarse cualquier modalidad de las descritas en el punto anterior, solo que el gancho estará diseñado con exquisito cuidado. Usan información del blanco -de redes sociales, en su trabajo, etc.- garantizándose la efectividad del ataque. En este caso, la finalidad será también muy específica, pudiendo querer suplantar a esta persona, usar sus permisos de acceso en algún sitio concreto, o estafarle -pero bien-.
Total, que en resumen, algunas opciones de lo que puede hacer un ciberdelincuente con nuestros datos, son:
Venderlos en el mercado negro
Estafarnos, robarnos -y no solo en internet, sino también físicamente-
Usar nuestros dispositivos para redes zombie
Contratar / compraren nuestro nombre productos online, o ilegales y endosarnos la factura o la culpa.
Usar nuestros permisos de acceso a algún sistema o lugar.
Etc. Estamos seguros que los expertos en ciberseguridad pueden darnos una laaaaarrrrga lista de cosas más.
¿Cómo evitar que roben mis datos?
Lo primero es ser conscientes que en este mundo hiperconectado en el que vivimos, las puertas de acceso a nuestros datos son muchas; que la seguridad absoluta no existe, y pese a implementar medidas de seguridad, en cualquier momento podemos ser víctimas de un robo de datos. Los delincuentes evolucionan día a día, y sus herramientas también.
Recomendaciones esenciales:
Usar contraseñas seguras. las contraseñas son las llaves de nuestra vida digital, deben ser contraseñas seguras, es una de las principales claves para proteger nuestra vida digital. Podemos usar claves nemotecnicas, un repositorio online de claves, un generador automático, etc. Son mil las opciones, pero siempre con el objetivo de ponérselo difícil a los ciberdelincuentes, cotillas, etc. Y claro, deben ponerse en todos los dispositivos, cuentas de correo, redes sociales, nubes, y todo sitio al que subáis información.
Ojo con el SPAM. No se debe acceder a enlaces que vengan en correos sospechosos; tampoco contestar facilitando la información que solicitan.
Descargar apps y software de sitios oficiales. Es una de las formas más seguras de contar con apps sin malware. Que oye, no es que todas las apps oficiales sean buenas, pero suelen pasar un mínimo de controles de privacidad.
Mantener la confidencialidaden internet. Este es un punto difícil para muchos usuarios, tanto les gusta publicar su vida privada que se niegan a ver el peligro que ello conlleva. Cada cosa que publicamos es un detalle que un delincuente puede usar para engañarnos, o para engañar a nuestras familias. ¿No habéis oído de los secuestros virtuales? pues una de las claves de su funcionamiento es la información que publican los propios usuarios.
Limitar los permisos que se dan a apps y software. Otra vez estos dos, pero es que al descargarlos o les decimos que no pueden acceder a todo, o lo harán. Y si lo hacen, pues ya que venga dios y reparta suerte, porque se harán con cuanto haya a su paso.
Para cerrar
Evitar que nos roben datos, o de mitigar el daño de un incidente de este tipo, está en nuestras manos. Somos los usuarios quienes debemos ser responsables activos de la seguridad, confidencialidad y disponibilidad de nuestros datos.
En internet hay muchos ojos, tantos que es imposible imaginarlo. Os recomendamos el video de TEDX Madrid en el que la periodista, Marta Peirano, habla de «¿Por qué me vigilan, si no soy nadie?».Esperamos que entre este post y esa charla de 9 minutitos, os quedéis con la idea de que vuestra información vale, y debéis protegerla.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Robo-de-datos-en-Internet-1.jpg6511000Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-08-31 07:00:012017-08-31 22:50:50Robo de datos en Internet
Ayer inicio el segundo gran ciberataque de ransomware. La seguridad de muchas empresas, y estados se ha visto comprometida. Por desgracia se repite lo sucedido el pasado 12 de mayo, cuando wannacry afectó a más de 200 mil equipos en todo el mundo.
Al ataque de ayer y hoy, se le ha llamado #NotPetya o #Petya. Parece que la motivación de los delincuentes que han iniciado esta oleada de ransomware, es distinta a los que lanzaron wannacry (solo les importaba el dinero). Petya no cifra .png, y se centra en archivos de extensiones de programación específicas. No es por ponernos paranoicos pero podría ser que la intención de obtener información, más que dinero, es mayor en este ciberataque. Y esto ¡uy! todavía es más peligroso. Y si publican usan los datos para chantajearnos, no a cambio de perderlos, sino de publicarlos? Da que pensar.
Al final os dejamos enlaces a post recomendados, por si queréis más información sobre Petya.
Medidas de seguridad
La seguridad total no existe y menos cuando estamos los humanos de por medio. Es que es tan fácil pinchar el enlace equivocado, o caer ante la oferta de un cotilleo «bueno». La forma más sencilla de protegernos es poniendo medidas de seguridad para evitar incidentes, así como para mitigar el impacto en caso de vernos infectados por un ransomware.
¿Cómo evitar ser víctima de un ataque de ransomware?
Siendo precavidos y poniendo medidas de seguridad técnicas y administrativas. Debemos ponerselo difícil a los ciberdelincuentes, y sobre todo, procurar que en caso de que lleguemos a vernos afectados, tener salvaguardas que nos ayuden a salir relativamente airosos del ataque.
Puedes encontrar más recomendaciones en la lista que hicimos en nuestro primer post sobre el ataque de wannacry. Ahí, listamos de forma exhaustiva las recomendaciones de prevención, así como de actuación en caso de ser víctima. Por añadir, y ya que lo comentabamos con nuestro amigo @Seguridadyredes en twitter, os recomendamos instalar alguna herramienta antiransom, tenéis la de INCIBE, la del CCN-CERT, o la de nuestro amigo y gran experto en ciberseguridad, @YJesus: Anti Ransom V.3
Después de lo anterior, solo nos queda decir…
Aplicaros, poned las medidas de seguridad preventivas, técnicas y de formación que os hagan falta. Ya van dos grandes ciberataques, no tientes la suerte, no vaya a ser que caigas en el tercero.
No se puede ir por la vida sin copias de seguridad, sin antivirus, y pensando queeso solo le pasa a las grandes empresas, porque es¡mentira!
El oro de nuestra generación son los datos, los de todos. Todos somos el blanco.
Enlaces a post recomendados
Si queréis saber un poco más sobre este episodio con Petya, estos post os ayudarán: el de Xacata muy resumido y claro; Merce Molist en El confidencial, con historia del virus; y para finalizar, el pabloyglesias con un análisis de la actual industria del cibercrimen.
El viernes 12 de mayo, conocimos el inicio de un ciberataque de ransomware a escala mundial. En él, entre otros, fueron víctimas, Telefónica, Ibertrodola, Vodafone, BBVA, Santander, Renault, y muchas otras empresas y personas físicas.
El lunes 15 de mayo, la EUROPOL publicó las cifras del ataque. Hasta ese momento, habían dos variantes del virus, WannacryptA y WannaCryptB, entre los dos habían afectado a más de 200 mil usuarios, en más de 150 países. Es más, se creía que el lunes el número de afectados subiría con el inicio de la jornada laboral, de aquellas empresas que no estaban activas el viernes a la hora del inicio del ataque.
A día de hoy 17/05/2017, se conocen ya 5 variantes, y el número de afectados crece, aunque ya en poca proporción.
Datos sobre WannaCry
El virus lanzado, es de una variante de ransomware. Un virus que secuestra el ordenador y solicita un rescate para recuperar la información. En este caso, solicitaban 300 € en bitcoins. Esa cifra, relativamente baja para el tipo de empresas afectadas, ha dado lugar a teorías conspiratorias tipo:
¿Y si no es por dinero sino por los datos?
¿Y si lo que querían era probar el estado de las infraestructuras críticas?
El virus se propagó aprovechando una vulnerabilidad de Windows, conocida como ETERNALBLUE. Dicha vulnerabilidad quedaba solventada con la instalación de los parches de seguridad publicados por Microsoft hace poco más de dos meses. Al explotar esta vulnerabilidad el virus, escaneaba la red interna buscando otros equipos con la misma vulnerabilidad, y infectando todos aquellos que encontró a su paso.
Actualización 22/05/17: ETERNALBLUE está siendo utilizada para propagar otros tipos programas maliciosos, entre ellos, uno que no cifra el ordenador, ni pide rescate, pero que de forma silenciosa activa el control remoto del PC, que claro, queda a merced de los atacantes.
Si era tan fácil, ¿porqué se vieron afectadas las grandes empresas?
Por cuestiones técnicas, en las grandes organizaciones, instalar actualizaciones de sistema operativo u otros programas básicos, no es tarea fácil. En muchos casos, tienen que evaluar la compatibilidad con sus sistemas de desarrollo propio; en otras deben programar por zonas las instalaciones; algunas veces los equipos, en función del área no están conectados a internet, y las actualizaciones se hacen de forma controlada, etc.
Ahora bien, este es el caso de grandes empresas, pero las demás, no tienen una excusa tan buena, ni un equipo informático tan grande y especializado como ellas.
Y al final…
La mayoría de afectados que no habían instalado las actualizaciones fueron un blanco fácil. Pero además, los que no tenían copias de su información, ni un equipo de especialistas trabajando para recuperar la información perdieron mucho, o dinero, o datos, o las dos.
Medidas recomendadas para evitar ser víctima de ransomware
Está claro que cualquiera, hasta el más grande y con más recursos puede ser víctima de un ciberataque, la cuestión, es que no todos tenemos los mismos recursos humanos y económicos para hacerle frente. Por eso, lo mejor es informarse, y protegerse.
Las recomendaciones básicas para disminuir las posibilidades de ser víctimas, de un ataque de ransomware,son:
Hacer copias de seguridad periódicas. Tener un plan de realización de copias de seguridad, con una periodicidad coherente con los datos tratados. La redundancia, controlada, de copias de seguridad, en distintos formatos y soportes es muy útil. Es necesario que como mínimo una de las copias esté separada de los ordenadores, y/o del servidor; el virus se pasea por la red e infecta todo a su paso, si el disco de la copia, está conectado a la red, también será secuestrado.
Mantener actualizado en los ordenadores y dispositivos informáticos, el sistema operativo, las aplicaciones y programas de software instalados, los navegadores, las extensiones instaladas en los navegadores, y en general cualquier programa susceptible de ser actualizado. Al instalar las actualizaciones, parcheamos las posibles puertas traseras conocidas por los ciberdelincuentes.
Instalar un antivirus, y analizar los equipos frecuentemente. Se puede automatizar dicha ejecución.
Es necesario tener especial precaución con el correo electrónico y sistemas de mensajería. No abrir ningún adjunto, que venga en correos electrónicos sospechosos sean de conocidos o de desconocidos. En esos casos, al intentar abrir el supuesto archivo, no se abre nada, sino que se ejecuta el malware.
Los enlaces, en internet, aplicaciones de mensajería, y correo electrónico, deben abrirse con precaución.
Si parece sospechoso, o el contenido que lo acompaña lo es, no cliques en él.
Solución específica para WannaCry
Recomendaciones de INCIBE en su Informe sobre la oleada de ransomware. Informe de situación, recomendaciones y solución para WannaCry.
Qué hacer si ha sido víctima
En primer lugar, mantener la calma.
Podemos seguir el ejemplo de Telefónica. Apagar todos los ordenadores, evitando la propagación del virus en la red informática de la empresa.
Llamar un profesional informático. Los profesionales de este perfil, sabrán dar los pasos necesario para para solventar la situación, evitando afectaciones mayores. Su trabajo, entre otros, consistirá en:
Mitigar la propagación del virus. Si todavía está esa opción.
Eliminación del virus en los equipos instalados.
Instalación de parches y actualizaciones de seguridad.
Reestablecimeinto de datos a partir de copias de seguridad.
También puede contactar con el Instituto Nacional de CiberSeguridad – INCIBE, y hacer uso de su servicio antiransomware, que es totalmente gratuito.
También puede contactar con el CCN-CERT Centro Criptológico Nacional. En su página web, ha puesto a disposición del público una herramienta que funciona como vacuna anti ransomwarey NoMoreCry.
Pagar o no pagar. Los especialistas recomiendan no pagar. Hablamos de ciberdelincuentes, que no sabemos si devolverán la información. Tampoco que si al ver que pagamos, no nos pondrán como blanco para futuros ataques.
Es recomendable denunciar el hecho ante la policía. Es la única manera en que ellos podrán perseguir el delito.
Si es una empresa, debe registrar el hecho, como incidencia en el Documento de Seguridad, o los anexos correspondientes. Es una incidencia conforme a la normativa de Protección de Datos personales.
Es necesario estar informado de las novedades en seguridad informática. En INCIBE disponen de la suscripción, gratuita, a sus boletines de seguridad. ¡Apúntate!
Conclusiones
Vivimos una época en que estar conectadas a internet, es una característica común de las empresas, y también de las personas físicas. Es necesario conocer los riesgos a los que nos exponemos, y a partir del conocimiento, actuar diligentemente.
No se pueden eludir todos los virus, pero si nos preparamos, podremos hacerles frente y salir bien parados, o casi. No debemos preocuparnos, sino, ocuparnos.
Nuestro clientes del servicio consultoría LOPD, recibieron el lunes, este contenido por adelantado. Apúntate a nuestra newsletter, y en casos excepcionales como este, también recibirás nuestros avisos de seguridad.
Como siempre os invitamos a escucharnos todos los lunes, en el espacio radiofónico del programa Internet en Familia, de Hoy por Hoy Tenerife, en Radio Club SER Tenerife, la emisora de Canarias. Todas las semanas os hablamos de protección de datos, privacidad, seguridad en internet, nuevas tecnológicas, derecho tecnológico, Reglamento Europeo de Protección de Datos – RGPD, y muchos más temas de interés para el público en general.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/A-vueltas-con-el-Ciberataque-de-ransomware-wannacry-1.jpg506900Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-05-18 07:00:222017-05-24 16:20:25A vueltas con el Ciberataque de ransomware. Wannacry
El pasado 5 de Abril, empezó la campaña de la renta. Los ciberdelincuentes no se han hecho esperar y por eso ya tenemos noticias de campañas masivas de phishing y ramsomware; algo nuevo y algo viejo, lo prestado será el dinero de los pobres incautos que piquen. Está claro que los ciberdelincuentes, son muy madrugadores, y que aprovechan cualquier oportunidad, para embaucar a sus victimas.
¿Qué engaños han soltado este año los ciberdelincuentes?
Como mencionamos antes, vuelven con un viejo conocido, el phishing. El nieto del timo de la estampita, que ahora se hace por internet. En esta ocasión, se trata de una modalidad en la que los ciberdelincuentes, remiten de forma masiva, correos electrónicos a victimas potenciales, y luego, como buenos pescadores, se sientan a esperar a que un buen número de ellos pique.
Ojo con el phishing de este año
Este año la división de delitos telemáticos de la Guardía civil, y la Policía, han informado de una campaña, en el que los ciberdelincuentes se remiten un correo en el que se hacen pasar por la AEAT. Notifican al usuario de una supuesta devolución de dinero, referente a una campaña de la renta anterior, y le facilitan un enlace en la que piden que se confirmen los datos que necesitan para hacer la devolución del dinero.
Así es como se ve el correo. Por favor, si os llega, eliminadlo de inmediato. Y si picaste, cambia las contraseñas del banco de inmediato, y llegado el caso, denuncia a la policía.
Ransomware en esta campaña
Este es el nuevo, que ya a estas alturas, no es tan nuevo. Se trata de un virus que se remite también a través de correo electrónico. Claro, no es fácil, por así decirlo, detectarlo ya que suele venir escondido en un algo que aparenta ser un documento, como una factura, o un borrador de la renta, o un excel. Cualquier forma de documento vale. Lo malo es que no son documentos sino programas maliciosos que al darles click para abrirlos, instalan el virus.
El ransomware, es el famoso virus secuestra ordenadores. En cuanto se ejecuta, toma el control del ordenador y cifra todos los archivos que contiene. A partir de ahí, los ciberdelincuentes te piden que pagues una cantidad de dinero, a cambio de descifrar la información. La cantidad solicitada varía entre los 150 euros, y los 1000 euros, o más, si es un ataque dirigido a empresas.
¿Qué hacer si he sido victima de ransomware?
En este caso, y como mencionamos en el programa de radio, los expertos en seguridad, la polícia y la GC, recomiendan no pagar. No se paga para no financiar ciberdelincuentes, y porque no hay certeza de que realmente nos devuelvan la información.
En estos casos, lo mejor es apagar, formatear el ordenador y reinstalar todo. Que lo haga un experto informático mejor, que suena fácil pero no lo es tanto. Pero claro, es necesario tener una copia de seguridad. Si no tiene ninguna, hágala, que la información es muy valiosa.
Los usuarios pueden solicitar la ayuda del INCIBE, que cuenta con oficina de atención al usuario, y también para empresas. Según sea el caso, se debe denunciar a la Policía o a la Guardia Civil.
Y si el incidente lo sufre una empresa, no se olviden de registrar la incidencia, que esa es grande, y los ojos la Ley de Protección de Datos – LOPD 15/1999, no es poca cosa. Y menos lo será cuando entre en vigor el Reglamento Europeo de Protección de Datos, RGPD.
Recomendaciones a modo de conclusión
Hay que ver lo eficientes que son los ciberdelincuentes, así que por favor, evitad abrir correos que no esperáis, de desconocidos, con archivos raros, etc.
Una forma de identificar los correos maliciosos son las faltas de ortografía, y no por un Zapato escrito con S, que debería ser delito, sí, sino por aquellas que nos dejan ese saborcillo a… mmm esto ha sido traducido por un traductor automático….
Las formas típicas de documento que usan para distribuir ransomware son, certificados de correos, borradores de la renta, facturas, así como confirmaciones de pago o transferencia. Curiosamente, casi todos aparentan ser un PDF, aunque también hay excel y word. Pero bueno, tened esta información en cuenta, será útil.
Este tema lo tratamos, el pasado 10/04/2017, en nuestra colaboración semanal con Radio Club Tenerife de la Cadena SER. Podéis escuchar nuestra participación a partir del minuto 01:44:16.
Os invitamos a escuchar nuestra participación en la radio, todos los lunes a las 10:40 am, hora en Canarias. En el espacio Internet en Familia, del Hoy por Hoy Tenerife de Radio Club SER Tenerife. Solemos hablar de Internet, apps, seguridad, privacidad, tecnología, derecho tecnológico, protección de datos, y muchos más temas de interés para el público en general.
https://datasege-cp526.wordpresstemporal.com/proteccion-de-datos/wp-content/uploads/Ciberdelincuentes-aprovechan-la-campaña-de-la-renta-1.jpg631960Dataseghttps://dataseg.es/proteccion-de-datos/wp-content/uploads/logotipo-dataseg-web-250.pngDataseg2017-04-19 07:00:382017-05-18 09:17:51Ciberdelincuentes aprovechan la campaña de la renta
cookies
acceso