Documento APEP sobre proyectos de consultoría LOPD

La Asociación Profesional Española de Privacidad (APEP) ha publicado un documento con una serie de recomendaciones básicas que permitirá a las entidades públicas y privadas que estén obligadas al cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) identificar si un proyecto de adaptación en la materia está dentro de unos niveles suficientes de calidad.

El documento advierte que no se trata de una guía estandarizada que los consultores puedan aplicar de forma directa, debido a que la implantación de la LOPD supone siempre un trabajo personalizado con múltiples variables en cada ocasión, sino una serie de puntos a examinar por parte de la entidad obligada.

Artículo de presentación:

• Claves para identificar un proyecto adecuado de consultoría para implementar la LOPD de forma integral 

Documento PDF:

• Definición de servicio de consulta para la adaptación integral de procesos al cumplimiento normativo en materia de protección de datos personales

Sobre fuentes de datos de acceso público en Sarbacán

A día de hoy Internet se ha convertido en la fuente principal y casi única de información y comunicación para las empresas, especialmente para aquellas que trabajan en los ámbitos de las nuevas tecnologías. Parece que todo es posible, todo está al alcance de la mano (o de golpe de ratón) y casi todo es gratis, accesible y “usable”, pero no.

Desde el blog de Sarbacán, software que te permite crear tus propias campañas de correo electrónico, me pidieron una colaboración aclarando los conceptos de fuentes de acceso público en protección de datos, y lo han publicado hoy en dos partes:

• Uso legal de datos extraídos de fuentes públicas
• Uso legal de datos extraídos de fuentes públicas (2)

Noticias LOPD 98

Se va acercando la fecha de las próximas elecciones y en buena lógica arrecian los mensajes y propuestas de las formaciones políticas, nada de sorprendente, hasta que de pronto apareció la protección de datos en la arena de la comisión de justicia de la Asamblea de Madrid, donde según Europa Press UPyD pedirá la supresión de la Agencia Madrileña de Protección de Datos a través de una Proposición no de Ley (PNL). La escueta información incluye argumentos tan peculiares como que "el coste de cada fichero que gestiona la agencia madrileña es de más de 140 euros y el de la Española es de 7, por lo que a los madrileños la gestión les cuesta 20 veces más que si la hiciera la Agencia Estatal", comentario que merecería un capítulo de Barrio Sésamo titulado "Fichero público - Fichero Privado" para que se entendieran las diferencias. Preguntada la cuenta en Twitter del partido si había mas información disponible sobre el tema, su respuesta fue: "Aún no se ha registrado la PNL, cuando se registre la haremos pública". Cuando así sea cumpliré la promesa de escribir un post sobre la materia. Aunque ya se adelantó de forma brillante Mikel Larragan en ¿Deben desaparecer las autoridades de control de protección de datos de ámbito autonómico?

Al margen, pero relacionado, desde esta modesta bitácora le informamos a Europa Press que no hay ninguna "Agencia Madrileña de Protección de Datos (AMPD)", como dice su nota, sino una Agencia de Protección de Datos de la Comunidad de Madrid (APDCM).

Muy interesante una nueva sentencia comentada en Iurismática que viene a sumarse a otras en la Consideración de abusiva la cláusula de exoneración de responsabilidad de los bancos en los casos de phishing. La conclusión que parece ir imponiendo la jurisprudencia es que habrá que comprobarse caso por caso que es lo que ha ocurrido; y si realmente existe negligencia por parte del usuario para que la entidad no tenga ninguna responsabilidad en la misma. Caso que tampoco será infrecuente, ya que como comentan en Tecnología Pyme El lado más débil de la seguridad es el usuario, lo cual es obvio no exime a la entidad financiera de extremar sus medidas de seguridad.

Más noticias de la semana sobre protección de datos y seguridad de la información:

• La huella digital de tu conexión, en Un Informático en el Lado del Mal
• Dominio de Softonic falso utilizado para infectar (Fuente: SpamLoco)
• Reflexiones sobre la seguridad en navegadores: ¿sirven o no las comparativas?, en Hispasec
• LOPD, cámaras y cintas de vídeo, en Entre Códigos Civiles y Androide
• Protección de Datos y los Centros de Enseñanza, en SGPD
• Ficción y realidad en la LOPD, en LegalToday
• El Password: Factor crítico de éxito para proteger la información contra los Hackers(Fuente: Cryptex)
• Ahora le ha tocado a los GEO…, en Security Art Work
• La webcam es un factor de riesgo para nuestra privacidad, en Hijos Digitales
• Espiar en las redes sociales, ¿es posible?, en Diario Jurídico

Mi tarjeta virtual: jesusperezserna.es

Hace ya unos años que compré el dominio con mi nombre y dos apellidos, pero desde entonces lo único que había hecho era tenerlo redireccionado a alguna página de presentación con enlaces. Tampoco es que ahora haya hecho gran cosa: simplemente utilizar una plantilla de Blogger para dar la información básica sobre mis actividades profesionales con sus correspondientes enlaces, nada que un lector habitual no pueda encontrar aquí (no voy a generar contenido específicos para ese sitio) y por eso lo de "tarjeta virtual". No pretende ser otra cosa.

De todas formas como el dominio estuvo sin uso mucho tiempo supongo que Google lo tendrá en muy poca consideración, así que denle entre todos un poco de vidilla pinchando el enlace ;-) Gracias.

www.jesusperezserna.es

Reunión APEP - AEPD

Ayer se produjo una reunión entre la Asociación Profesional Española de Privacidad (APEP) y la Agencia Española de Protección de Datos (AEPD). El objetivo de la reunión era trasladar desde la APEP a la Agencia las inquietudes de los profesionales de la privacidad centradas en tres aspectos fundamentales: la problemática del "coste cero", la reforma de la Directiva europea a la que posteriormente habrá que adaptar la norma española, así como posibles colaboraciones encaminadas a realizar acciones de difusión de la privacidad y el cumplimiento de la LOPD.

Ambas instituciones publicaron notas acerca del encuentro (bastante escueta la de la AEPD).

• Nota de la AEPD
• APEP se reúne con el director de la Agencia Española de Protección de Datos

Noticias LOPD 97

La noticia más comentada esta semana fue el acceso no autorizado a los datos de los usuarios del club de compras BuyVIP, adquirido hace pocos meses por Amazon. Lo publicaron en El País: Los datos de los usuarios de BuyVIP, comprometidos, así como en Genbeta: Los datos personales de los clientes de BuyVIP podrían haber sido robados, que además añadieron: Han pasado tres días: sin noticias de BuyVIP. Por su parte, Juan Macías, Presidente de la Asociación Española de Expertos en eCommerce, opinó en su blog acerca de La seguridad (inexistente) en los clubes de compra privada, mientras en una escueta nota, la Agencia Española de Protección de Datos (AEPD) indicó que ha iniciado de oficio actuaciones previas de investigación con el fin de averiguar si se ha producido una vulneración de la Ley Orgánica de Protección de Datos (LOPD). Lo cierto es que la cuestión de las intrusiones no autorizadas se está convirtiendo en un problema reiterativo a todos los niveles, incluso para quienes son a su vez guardianes de la seguridad ajena, y así lo vimos en el hackeo de bases de datos del Ministerio del Interior, que permitió que Hackers publican la BBDD de escoltas de presidencia.

Los datos confidenciales no puenden acabar en la basura, comentan en Tecnología Pyme acerca de un estudio llevado a cabo por la organización sin ánimo de lucro NAID (National Association for Information Destruction) que ha desvelado como el 72% de la información confidencial que manejan empresas y profesionales acaba en la basura. Y para comprobarlo no hay más que ver este vídeo de Antena 3 sobre Listados de morosos y datos confidenciales de bebés, en el contenedor de la calle.

Sobre este y otros errores en aplicación de la LOPD, referidos en concreto a hoteles, se ve el gran desconocimiento de la ley que sigue existiendo en el mundo empresarial en el estudio publicado por Hosteltur sobre La Ley Orgánica de Protección de Datos en el sector hotelero (enlace a PDF descargable en el post).

Más información sobre protección de datos y seguridad de la información:

• La privacidad es una ventaja competitiva, por Iñaki Vicuña, Director de la Agencia Vasca de Protección de Datos
• Agenda internacional de APEP en septiembre
• El apercibimiento en la LOPD (Áudea)
• La Audiencia Nacional aplica retroactivamente la nueva figura del apercibimiento prevista en el régimen sancionador de la LOPD y El fútbol y la privacidad, en Privacidad Práctica
• Trabajar (en seguridad)... en tiempos revueltos, en Security By Default 
• Al pan, pan, y al mulero, mulero (Un Informático en el Lado del Mal)
• Cookies, supercookies y privacidad (Menores en las TIC)
• Robo de información y exploits en Android (Fuente: Segu-Info)
• Alguien envía spam desde mi correo: ¿qué hago? (OnSoftware)
• ¿Buscando chatear con chicas lindas? ojo con las webs falsas y Dominio de Softonic falso utilizado para infectar (SpamLoco)

Y más aún sobre redes sociales:

• Las redes sociales no quieren anónimos, en Público
• Seguridad y redes sociales, la perspectiva del usuario, en el Blog sobre Seguridad de la Información
• Un vistazo a las nuevas opciones de privacidad en Facebook (Menores en las TIC)

Conexiones 74: plataforma de teleformación de INTECO

Con una oferta de nueve cursos sobre Seguridad, INTECO abre una nueva plataforma de formación online mejorada sobre su versión anterior. Un nuevo diseño, más atractivo e intuitivo para el usuario, ofrece una amplia selección de cursos gratuitos sobre seguridad, impulsados por INTECO-CERT, que son los que a continuación se exponen:

• Introducción a la firma electrónica
• Introducción a la protección del puesto de trabajo
• Introducción a la protección en Internet
• Introducción a la seguridad de la información
• Introducción a la seguridad en comercio electrónico
• Introducción al DNI electrónico
• LOPD: adecuación y cumplimiento
• Sistemas de gestión de la seguridad de la información según la norma UNE ISO/IEC 27001
• Privacidad y seguridad para menores. Curso para padres y educadores

INTECO ha procedido a actualizar la base de datos manteniendo, sobre su perfil, la dirección de correo electrónico y nombre de usuario. En el caso de que el usuario ya esté registrado en la misma, puede cambiar su nombre de usuario y contraseña en la opción «Modificar datos» de su perfil.

De igual manera, los usuarios que estuvieran realizando algún curso anteriormente a la actualización de la plataforma, podrán continuar con el mismo y concluirlo en la fase que lo dejaron.

Acceso plataforma formación online INTECO

El porqué de Conexiones - Serie completa

Noticias LOPD 96

Equipo "LOPD coste cero" en busca
de su próxima vícitima

Esta semana hubo una nueva reunión entre la APEP y la Fundación Tripartita para tratar el tema del fraude "LOPD a coste cero". Ayer en el blog publicamos la Nota de Prensa, que la verdad no da muchas esperanzas sobre un solución a corto plazo, y en la misma línea en el sitio Forum Gabinete Jurídico y Nuevas Tecnologías opinaron que La reencarnación de Poncio Pilatos o el mirar hacia otro lado ante el fraude en el uso de los fondos de formación para las empresas: LOPD COSTE CERO.

Y evidentemente esto no es una crítica a la APEP, que bastante ha hecho con sus denuncias ante todo tipo de organismos, y que además continúa su labor "evangelizadora" sobre nuestra profesión. Así, el presidente Ricard Martínez publicó un artículo sobre Nuestra vida en las redes en el diario Las Provincias, y otro sobre El profesional de la privacidad en la revista de la Asociación de Protección de Datos de la Comunidad de Madrid (APDCM). En ese mismo número encontramos otro intersante artículo de Eneko Delgado sobre el Derecho al recuerdo.

En el blog de INTECO se hacen eco de algunas resoluciones de la Agencia Española de Protección de Datos (AEPD) en las que rechaza las alegaciones del Boletín Oficial del Estado (BOE) por las que se solicitaba la no utilización del fichero robots.txt para evitar la indexación por los buscadores de Internet de la información publicada en dicho Boletín. Y por lo tanto El BOE, obligado a utilizar el fichero robots.txt.

Interesante encuesta con el título ¿Está nuestra privacidad condenada a desaparecer? en Security Art Work: Póngame un GPS y mándeme la factura a casa. En el mismo post se pueden ver los resultados.

Como curiosidad de la semana, en este vídeo publicado en Microsiervos se puede ver cómo abrir una caja fuerte privada de esas que hay en los hoteles utilizando como contraseña 000000.

Más noticias sobre protección de datos y seguridad de la información:

• La seguridad de la empresa se mejora con formación (Tecnología Pyme)
• El color del dinero, digo del cartelito informativo de zona videovigilada (Privacidad Práctica)
• Vigila tu red wifi y Twitter esconde princesas con trastornos de la conducta en Hijos Digitales
• Cloud Computing: Si no está escrito, no existe (Infoweek)
• Cuando Internet nos robó la privacidad (Documentalista Enredado)
• ¿Administradores invitados? Cuidado podrían borrarte a ti, en SpamLoco 
• «Hay niños y jóvenes que duermen pegados a la Blackberry» (ABC)
• ¿Por qué son tan efectivos los ataques DDoS? en el Blog sobre Seguridad de la Información de INTECO
• La guerra contra el Spam se recrudece en Twitter (eTc :: El blog de Marketing en Español)
• Entrevista a Yago Jesús (SecuritybyDefault) y Spam de marca blanca. Usan a Mercadona como gancho para un nuevo timo telefónico en Blogs Ontinet.com
• El uso del ordenador de la empresa para fines privados y el control a ejercer por el empresario (Pymes y autónomos)
• La realidad sobrepasa la protección de datos, en El Comercio
• Las otras guerras del IRC, en Aerópago 21

Comunicado APEP tras reunirse con la Fundación Tripartita

Tras la reunión de la Asociación Profesional Española de Privacidad (APEP) con representantes de la Fundación Tripartita, se ha publicado esta nota de prensa.

Hoy 8 de septiembre se ha celebrado una reunión entre representantes de la Fundación Tripartita para la Formación y el Empleo y de la Asociación Profesional Española de Privacidad-APEP. La delegación de APEP encabezada por su presidente, Ricard Martínez, e integrada dos miembros de la Junta, - Félix Haro Castillo y Luis Salvador Montero-, puso de manifiesto los nulos avances obtenidos en esta materia desde la reunión celebrada en 2010.

El llamado Coste 0 consiste esencialmente en un desvío directo o encubierto de fondos de formación que acaban financiando servicios de consultoría. El mecanismo utilizado habitualmente consiste en desarrollar tareas de asesoramiento e implantación de procedimientos de cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que se facturan como formación financiada con cargo a los fondos que gestiona la Fundación Tripartita o que simplemente se ofrece “regalar”. Estas tareas deberían suponer varias visitas a la empresa, un estudio sobre su modo de gestionar los datos personales, la inscripción de sus ficheros, la ayuda en el cumplimiento de obligaciones formales (como el derecho de información), el estudio y regularización de comunicaciones de datos o la celebración de contratos de confidencialidad con proveedores de la empresa auditada, y el estudio e implementación de medidas de seguridad y su adecuada descripción en un documento de seguridad. 

Las consecuencias de este tipo de prácticas son muy graves. En primer lugar, ofrecen una ventaja a las empresas acreditadas para impartir este tipo de formación que favorece la competencia desleal. Por otra parte, las cantidades que suponen estos fondos no alcanzan generalmente a cubrir los costes de una auditoria rigurosa con lo que en muchas ocasiones el asesoramiento se resuelve en una única visita con un asesoramiento puramente formal. Estas prácticas producen tres graves resultados:

• Están arruinando a un sector emergente llamado a ser estratégico en la sociedad de la información.

• Suponen como poco un uso inmoral de fondos de formación en una época en la que el reciclaje de los trabajadores resulta esencial para nuestro modelo económico actuando como barrera a nuestras posibilidades de crecimiento y lucrándose a costa del sacrificio de los impuestos de los españoles.

• Ofrecen un asesoramiento de baja calidad en el que no deberían confiar las empresas ya que podrían incurrir en riesgos y sanciones. Pero además, se trata de la aplicación de una norma cuyo objetivo es proteger los derechos fundamentales. Un inadecuado cumplimiento de la LOPD desprotege a los clientes de estas empresas.

APEP, puso de manifiesto de nuevo estos hechos ante la Fundación Tripartita ofreciendo su colaboración en la verificación del cumplimiento de los requisitos de competencia de las empresas que ofrecen estos servicios. Sin embargo, el sector se enfrenta a una situación insostenible en el que muchas empresas deberán cerrar no pudiendo hacer frente a esta competencia desleal. Por ello, se anunció a la Fundación que en breve se iniciarán cuantas acciones legales se consideren oportunas a fin de poner en conocimiento ante todas las autoridades competentes estos hechos.

Conexiones 73: los informes personalizados de ONTSIdata sobre la Sociedad de la Información

ONTSI.data es una herramienta creada por el Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información con la que se pueden elaborar informes personalizados con los principales indicadores de la Sociedad de la Información, del sector de las Tecnologías de la Información y las Telecomunicaciones para España, países de la Unión Europea y miembros de la OCDE.

Ya comentamos en su momento en este blog la existencia de los indicadores del ONTSI, que proporcionan lo que usualmente se denominan como "datos oficiales" Sin embargo, la base de datos de indicadores contiene datos procedentes de diversas fuentes oficiales y no oficiales, españolas e internacionales, por lo que en algún caso puede que los datos no coincidan con el dato que el ONTSI considera oficial para ese indicador en función de la fuente de datos seleccionada.

La búsqueda de datos es muy sencilla: la herramienta consta de una serie de pestañas en la parte superior, tales como “Hogares y Ciudadanos”; “Empresas”; “Banda Ancha”; “Indicadores CC.AA.”; “eAdministración”; etc. Elige la pestaña que te interese y selecciona los valores que desees. Además, si necesitas los datos que has buscado para crear un informe, la herramienta ofrece la posibilidad de descargarlos. Una vez realizadas todas las búsquedas que necesites puedes hacer click sobre la pestaña “Generador de Informes”, donde encontrarás una tabla con los datos sobre los que has trabajado y una opción de descarga en formato Excel, PowerPoint, csv o como página web MHTML.

ONTSI.Data

El porqué de Conexiones - Serie completa

Lo más leído en agosto 2011

Durante el mes de agosto hubo un ligera bajada en visitas y páginas vistas en mis blogs, consecuencia lógica del mucho menor ritmo de publicación de novedades. Estos son los artículos más leídos durante el mes veraniego por excelencia:

Marketing Positivo

• Pequeño consejo sobre productividad de un maestro zen
• La Sociedad en red 2010
• Noticias LOPD 92
• Más denuncias de Profesionales de Privacidad en Linkedin
• Informe sobre Fraude Online y Cibercrimen 2010

Ayuda Ley Protección Datos

• Fotografías de niños en colegios
• Los manuales de la AEPD
• Nuevo modelo del Documento de Seguridad
• Sanciones clásicas que se repiten una y otra vez
• Prepara una plantilla para curriculums

Noticias LOPD 95

El llamado stress post vacacional puede verse seriamente agudizado si al volver al trabajo nos encontramos con alguna desagradable sorpresa en nuestro ordenador, así que conviene tener cerca, a modo de maletín de primeros auxilios, esta guía sobre Cómo resolver cualquier problema informático (o casi) que han preparado en On Software.

"Hemos cometido algunos errores", admite Peter Fleischer, máximo responsable de privacidad de Google, en una entrevista en El País en la que afirma que el internauta debe imponer los límites en el uso de sus datos y ser consciente de sus actos en la Red.

La Asociación Profesional Española de Privacidad (APEP) publicó una nota, Menores y redes sociales, para manifestar públicamente su consternación por los acontecimientos acaecidos a una menor que resultó agredida en la localidad sevillana de Utrera por un adulto que había contactado con ella a través de una red social.

En Hijos Digitales han repasado una de las aplicaciones para geolocalización y nos lo cuentan en Tan interesante como peligroso lo de Google Latitude

Otras noticias de la semana sobre protección de datos y seguridad de la información:

• Guía de ISACA identifica las estrategias para el análisis de datos (Segu·Info)
• Empresas, mucho Marketing y “Social Media”, pero formación básica en seguridad, cero, en DaboBlog 
• Privacidad en Internet está sobrevaluada (CNN) (reproduzco el titular tal y como está publicado, pero la palabra "sobrevaluada" no se refleja en el RAE)
• Windows Phone 7 recaba datos de geolocalización sin permiso del usuario (ALT1040)
• Top 5 errores de seguridad en el mundo IT, en Security By Default
• INTECO recomienda borrar los archivos de los ordenadores y teléfonos móviles antes de donarlos o retirarlos
• ¿Por qué es necesaria una auditoría de redes WiFi? (Cryptex)
• Robo de contraseñas de Facebook en Facebook (ESET)