Noticias LOPD 138

Entrevista a Pedro Martín, director del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI), quien contesta a una serie de cuestiones sobre su labor al frente de este organismo. Martín aprovecha para explicarnos qué es el ONTSI, distinguiendo entre observatorio y unidad de estudios.

Esta semana ha continuado apareciendo información sobre el fraude de la LOPD "coste cero" incluyendo, además de toda la que ya hemos enlazado en anteriores ediciones de este resumen semanal, una nueva nota de prensa de la Asociación Profesional Española de Privacidad: APEP advierte a la Federación de Municipios de Castilla la Mancha, las Diputaciones y los municipios, sobre la posible ilegalidad del Convenio de asesoramiento en LOPD recientemente firmado. Sin embargo la FMP-CLM ha decidido seguir adelante con el convenio mencionado: Conversia Consulting Group y la FEMP-CLM activan la puesta en marcha de su Convenio de Colaboración. Lo mismo les da las sucesivas notas de prensa de la Fundación Tripartita, las advertencias de APEP o la repercusión pública. Han debido pensar que de todas formas, sumergidos como estamos en una grosera versión de un estado de derecho y justicia, chapoteando día tras día en una podrida charca de corrupción, un fraude de apenas unos pocos millones de euros no le iba a importar a nadie que no fueran los directamente perjudicados. Y lo mas triste es que tienen razón.

Para quienes se toman los asuntos de la protección de datos con la seriedad merecida, destacamos dos noticias recientes: Corresponsalía de APEP en la revista Privacy Laws & Business y Curso Especialista Universitario en Protección de Datos y Privacidad.

Últimamente oímos mucho sobre seguridad informática aplicada más allá del PC personal o empresarial y es que los chips dominan y controlan ya nuestras vidas en casi todos los aspectos, pero no le quepa duda al lector informado que todo lo que controla puede ser descontrolado. El valor de los sistema SCADA es innegable, ya que no hay algo más atractivo (y mediático) para un cibercriminal (o Gobierno) que atacar una infraestructura crítica. La realidad es que estos sistemas están mucho más presentes de lo que mucha gente imagina. Desde sistemas domóticos de control de temperatura en oficinas, pasando por controles de temperatura de frigoríficos en grandes superficies hasta llegar a los sistemas que controlan la red eléctrica de un país, por ejemplo: Cientos de sistemas Scada al descubierto (ESET).

Así, por ejemplo, durante los últimos días conocimos a ACAD/Medre.A, un gusano que podría ser la punta del iceberg de un supuesto caso de espionaje industrial con un objetivo muy claro: robar ficheros de AUTOCAD de países de habla hispana y enviarlos a direcciones chinas. ACAD/Medre.A es un serio ejemplo de un posible caso de espionaje industrial. Cada diseño nuevo es enviado de forma automática a los creadores de este malware. No hace falta decir que esto puede causarle grandes pérdidas al propietario del diseño original mientras que los cibercriminales tendrán en su poder estos diseños incluso antes de que pasen a producirse. Este ataque puede tener consecuencias tan graves como que los delincuentes patenten el diseño antes de que lo haga su creador original. La historia completa en Medre, un posible caso de espionaje industrial (ESET España) y de la misma fuente una infografía al final de esta recopilación.

Para terminar de momento con este asunto, en Security By Default se preguntan: Stuxnet, Duqu, Flame ¿El principio o el fin de la ciberguerra?, y hasta nos proponen una encuesta al respecto.

La historia de la llamada "Operación Pitusa" sigue ofreciendo novedades que demuestran el calado (y la calaña) de esa red de tráfico de datos: La red que espió a Telma Ortiz vendía datos de 3.000 personas al mes (El País). Visto que lo vamos sabiendo todo con cuentagotas, quizás sea hora de contactar con El pirata informático que trabaja para el CNI (NaciónRed).

Más noticias sobre protección de datos y seguridad de la información:

• Foros, LSSI y responsabilidad civil « Entre Códigos Civiles y Androides 
• Seguridad de la información: troyanos, piratería, dinero y hacks sospechosos - Online 
• WIFI: Nuestra seguridad y privacidad ¿al alcance de todos? « El Blog de Angelucho 
• La banca online: ¿es segura? Un caso real - Gurusblog 
• Seguridad en hoteles, en Caminando entre bits 
• La legalidad en Internet vs Inconsciencia de sus usuarios, en Privacidad Práctica 
• Se multiplica por 5 la recogida de nuestros datos mientras navegamos, en Privacidad en Internet 
• Finalidad de la comunicación de una brecha/violación de seguridad: ¿Sanciona o no la Autoridad de Control? « Winchester73 
• Videovigilancia en el lugar de trabajo « Iurismática 
• Actualización automática ¿Bendición o condena?, en Hispasec 
• "Habrá malware hasta en la televisión y el frigorífico": entrevistamos a Shaun Cooley, ingeniero destacado de Norton, en Genbeta 
• Google Chrome actualiza su Política de Privacidad « Términos y Condiciones 
• La financiación ilegal de Francisco Camps y los metadatos en el caso Gurtel: 200.000 € de facturas falsas en Excel, en Un informático en el lado del mal 
• El TS obliga a la AEPD a devolver 647.872,27 € a una empresa, en Salir de Internet 
• ¿Víctima de virus spam en tu correo electrónico? - Hacking Ético 
• ¿Cómo verificar si su sistema ha sido comprometido? - ESET Latinoamérica 

Y más aún sobre redes sociales:

• Si quieres saber si te han desadmitido, haz click aquí, en Hijos Digitales
• El uso de los medios y redes sociales por los empleados, en LegalToday
• Aspectos legales de los tweets patrocinados, por Paco Pérez Bes
• ¿Cómo puedes proteger tu seguridad y privacidad en Facebook? | Oficina de Seguridad del Internauta
• Una web recopila y ordena los estados públicos de Facebook y FourSquare (El País)

Cómo opera la red de ciberespionaje Medre que roba ficheros de AUTOCAD

Y postdata sonora para descanso ocular: un nuevo capítulo del programa Protegemos tus datos de RTVE, en esta ocasión dedicado a Videovigilancia.

Noticias LOPD 137

Here's What Happens When You Report Something on Facebook

Esta semana se estrenó la nueva temporada (y van...) del dramón decimonónico "Desencuentros AEPD-Google" con el capítulo Más transparencia sobre las peticiones gubernamentales publicado en el blog oficial de Google España, en el que presentan los datos relativos a las peticiones gubernamentales recibidas de julio a diciembre de 2011. En el informe de transparencia enlazado en el post se indica sobre nuestro país: "Hemos recibido 14 solicitudes de la Agencia Española de Protección de Datos para retirar 270 resultados de búsqueda que enlazaban a blogs y sitios que hacían referencia a particulares y personajes públicos. La Agencia Española de Protección de Datos también ha solicitado la retirada de tres blogs publicados en Blogger y tres vídeos alojados en YouTube. Hemos desestimado estas solicitudes." En El País opinan que Google desafía las peticiones para ocultar datos de España y  en Alt1040 que Google negó a las autoridades españolas la eliminación de 270 blogs y artículos críticos con figuras públicas. Sin embargo donde unos hablan de censura, otros exigen privacidad y según Diario Vasco Protección de Datos pide a Google frenar la difusión, no eliminar contenidos. David Maeztu pide: Google, no nos tomes el pelo con la censura...

What does Facebook know about your love life?

La AEPD y el Consejo General de la Abogacía Española (CGAE) publicaron el Informe “Utilización del cloud computing por los despachos de abogados y protección de datos de carácter personal” del que dimos cuenta en Ayuda Ley Protección Datos: Uso de cloud computing en despachos de abogados y la LOPD. En Apuntes de seguridad de la información trataron el tema desde la perspectiva de Personas, confianza y cloud computing y  Seguridad en la nube, y en Muy Seguridad se preguntaron ¿Son seguros los servicios de almacenamiento en nube?. La falta de conciencia en seguridad comienza en ocasiones por Ese afán por querer hacer más sencillo y el robo y fuga de datos (bSecure), continúa con Charly y la política de contraseñas de chocolate (Security By Default) y suele culminar cuando además No le vemos problema alguno a los reportes que nos envías (Un informático en el lado del mal).

Sobre el tema estrella de la semana pasada, LOPD a coste cero con patrocinio municipal, un nuevo resumen del asunto en La información: Castilla-La Mancha suscribe un convenio que podría ser ilegal para fomentar la protección de datos.

El 19 de junio se celebró Asamblea Ordinaria de la Asociación Profesional Española de Privacidad (APEP), con aprobación de actas de asambleas anteriores, presentación de cuentas 2011 y presupuestos 2012, así como algunos nuevos miembros de la junta, socios honoríficos y modificaciones en los estatutos.

Más noticias sobre protección de datos y seguridad de la información:

• ICANN publica por error información personal sobre los solicitantes de dominios y La clonación 2.0 o cómo protegerte del robo de identidad en Internet - FayerWayer
• Evidencias digitales con WebSellada 1.0, en Security By Default
• Publicación de datos personales de cargos públicos en sitios web, en LegalToday
• Cátedra Google “Privacidad, Sociedad e Innovación” de la Universidad CEU San Pablo - Blog Oficial de Google España
• IX ISMS Fórum: Los riesgos tecnológicos, a la cabeza de las preocupaciones mundiales, en DiarioJurídico.com
• Grave problema de seguridad en Internet Explorer | Oficina de Seguridad del Internauta
• Descubren virus bancarios que hacen giros por su propia cuenta, en iProfesional
• Cuando Internet entra por la puerta, la LOPD sale por la ventana, en Áudea
• Privacidad y taxis, en El Día de Córdoba
• "Do not track": navegar por Internet con la máxima privacidad | Consumer
• Límites a las diligencias de investigación en el RLOPD: ¿Ventaja o arma? « Entre Códigos Civiles y Androides
• Sanción de LOPD a Telefónica. 100.000 € perfectamente evitable, en Salir de Internet
• Así se esquiva un CAPTCHA | TICbeat
• Cookies y exención del consentimiento (Parte 3 de 2) | Amedeo Maturo
• Prevención de riesgos jurídicos en el uso corporativo de dispositivos personales - Xavier Ribas

Y aún más sobre privacidad en redes sociales:

• Spam o no spam… esa es la cuestión de LinkedIn, en ESET Latinoamérica
• Sanción de 10 millones de dólares a Facebook por sus “Historias Patrocinadas” | ePrivacidad
• Consejos de seguridad para Facebook, en Techtástico
• Si te insultan por el Tuenti, ¡denúncialo! | Hijos Digitales
• Conoce los fraudes más comunes de Facebook y Twitter | bSecure

Noticias LOPD 136

Contraseñas mas comunes
en el robo de datosde Linkedin.
(Pincha para ver mayor)
Mejora la fortaleza
de tu contraseña

Sin duda la noticia de la semana fue la firma del convenio entre una federación de municipios y una consultora por el cual se convertía a la primera en prescriptora del fraude "LOPD a coste cero", recibiendo además comisiones sobre las operaciones comerciales cerradas. Primero se publicó el convenio, llegaron las reacciones, y finalmente la Fundación Tripartita aclaró de una vez la cuestión, mientras APEP manifestaba su malestar por todo el asunto. Además de todos los enlaces ya incluidos en las entradas mencionadas quería añadir tres análisis que entran en otros aspectos y consecuencias de este tipo de malas praxis comerciales y legales: ¡Rescate a la LOPD ya! (Luis Salvador Montero), Se acabo el mercado (DeSaCONSULTORES) y Análisis jurídico del “documento” firmado entre FMPCastilla La Mancha y Conversia (Winchester73).

Se sigue avanzando en el tema de las "cookies" y su nueva regulación. En la web de la AEPD ya está colgado (de momento sólo en inglés) el Dictamen sobre "cookies exentas de consentimiento". También se trató el asunto en Cómo cumplir con la Ley de Cookies con Google Analytics (Doctor Metrics) y en Cookies y exención del consentimiento: el WP29 ataca de nuevo (Parte 1 y Parte 2) (Amedeo Maturo). Desde el lado del usuario, en Hijos Digitales nos enseñan Cómo eliminar las cookies periódicamente de tu navegador.

Otras noticias relacionadas con la AEPD fueron: La AEPD convoca la XVI edición de los "Premios Protección de Datos Personales" , La AEPD da la razón a Menéame (PDF) y La AEPD pide a los medios que restrinjan el acceso ‘online’ a sus noticias con datos personales.

La seguridad de la información en una empresa conlleva a toda la compañía a cuidar de la información, ya que en las empresas actuales, todos los integrantes trabajan de una u otra forma relacionados con ella; y por lo tanto, todos podrían generar un incidente que altere la seguridad de la compañía. ESET ha publicado una Guía del Empleado Seguro que ayudará a los empleados a bregar por la seguridad de la información partiendo de la comprensión de la problemática, una descripción de las principales amenazas y, finalmente, una enumeración de buenas prácticas sugeridas.

FACUA ha iniciado una campaña contra el spam telefónico que explican en Las Virtudes y Javivi protagonizan una campaña contra el 'spam' telefónico. Es de esperar que tenga más éxito que la petición de investigación que solicitaron a la AEPD contra WhatsApp, ya que además de haber sido archivado el procedimiento, en Security by Default señalan que para su petición utilizaron como referencia un post en un blog holandés posterior al primer artículo en el que ellos mismos desvelaron los muchos fallos de seguridad de WhatsApp. La historia completa con todos los links en FACUA: Papanatas en acción. En cualquier caso tenemos las Recomendaciones básicas de seguridad sobre el uso de WhatsApp que nos ofrece la Oficina de Seguridad del Internauta (OSI).

Más noticias sobre privacidad, protección de datos y seguridad de la información:

• Deficiencias en el tratamiento de datos personales en el sector sanitario público español, en Áudea
• Security By Default: Enlaces de la SECmana - 127
• Derechos ARCO y derechos AR y Enviar a un amigo - Xavier Ribas
• EnfoqueSeguro | Cinco razones por las que debería importarte tu privacidad en Internet
• Privacidad y protección de datos en un mundo globalizado « Entre Códigos Civiles y Androides
• El negocio de los datos personales · PCactual
• Ciberguerra. Lo siento pero se me ponen los pelos de punta cuando leo algo de “Flame” | Security Art Work
• Cazadores de mitos: ¿están seguros mis ficheros alojados en la nube? (Fuente: ESET España)
• Spotify (III) Condiciones de Uso del Servicio Móvil y Paypal actualiza su Política de Privacidad, en Términos y Condiciones
• Así se prepara la estafa de las «cartas nigerianas» - ABC
• “Please Wait… Loading…” si te encuentras con ese mensaje… Alerta! - SpamLoco
• MySQL o cómo es posible dar por válida una contraseña incorrecta - Hispasec
• Con la Excusa de la Protección de Datos no todo vale (T.A. Consulting)
• Curioso el concepto de privacidad de los jóvenes | Hijos Digitales
• Detectados correos electrónicos que suplantan a Correos - INTECO
• Internet: alguien nos sigue, en La Vanguardia

Y aún más sobre redes sociales:

• Los usuarios "pasan" de votar en la consulta de Facebook sobre la privacidad, ¿o más bien no se enteraron?, en GenbetaSocialMedia
• "¿Quién ha visto tu perfil?": Nueva fórmula para estafar en Facebook (Fuente: EuropaPress)
• Facebook: Tierra de estafadores, en Segu-Info
• “En privacidad, Zuckerberg muy cerca de Putin” - El País
• Amenazas de seguridad en redes sociales ante la Eurocopa | TICbeat
• Un informático en el lado del mal: LinkedIN: Mata tus cookies ... y cambia la password 
• Me han robado mi identidad en Twitter - ABC
• Comprometidos datos de usuarios de la aplicación Tweetgif | Oficina de Seguridad del Internauta

Y de postre un poco de radio: Lourdes Sánchez-Ocaña, Responsable de comunicación de la Agencia Española de Protección de Datos, explica la importancia de aprender a proteger nuestra información personal a través de contraseñas y claves de acceso, y ofrece algunas recomendaciones en un nuevo programa de Protegemos tus datos dedicado a las Contraseñas.

Nota de prensa APEP sobre el Convenio LOPD suscrito por la FMP-CLM

La Asociación Profesional Española de Privacidad (APEP) ha publicado una nota de prensa en su web sobre el tema tratado a lo largo de la semana:

Un gran número de asociados ponen en conocimiento los hechos ante la Fundación Tripartita.

El anuncio público de la firma de un Convenio celebrado por la Federación de Municipios y Provincias de Castilla la Mancha en relación con el asesoramiento en materia de LOPD ha generado una reacción de rechazo entre los profesionales de la privacidad en España.

Esta reacción sin duda se debe a que en su denominación se habla de una implantación gratuita: “Convenio de Colaboración entre la Federación de Municipios y Provincias de Castilla-La Mancha y Professional Group Conversia, SLU, sobre la implantación gratuita de la Ley de Protección de Datos en las Entidades Locales de Castilla-La Mancha”.

Antes del conocimiento del mismo, decenas de profesionales han remitido quejas a la Fundación que ha publicado un nuevo comunicado que indica lo siguiente:

(Aquí se reproduce el comunicado que ya publicamos ayer.)

Asimismo, esta cuestión ha sido muy debatida en twitter con el hashtag #lopdcostecero, y en distintos blogs.

Con independencia de la calificación de estas prácticas, es necesario poner públicamente de manifiesto que el Convenio ofrece servicios gratuitos a aquel ayuntamiento que desarrolle una “participación activa”. Esta participación podría convertir al ayuntamiento en una suerte de “prescriptor”, ya que dispone:

«La FEMP-CLM impulsará entre sus asociados la aplicación de políticas de transparencia fomentando el cumplimiento de la normativa vigente en materia de protección de datos. A tal efecto, la FEMP-CLM instará a sus asociados para que de forma activa transmitan a sus diferentes proveedores la necesidad de estar adaptados a la normativa vigente en materia de protección de datos para poder mantener cualquier tipo de relación mercantil con LAS ENTIDADES.

Para este fin se ha redactado la carta modelo incluida en el Anexo III, en la que se informa a los proveedores sobre esta necesidad y se les anuncia la próxima realización de una pre-auditoría en materia de LOPD en caso de estar interesados en mantener o continuar manteniendo relación mercantil con la correspondiente ENTIDAD.

CONVERSIA será la encargada de la realización de dichas preauditorías y se obliga a hacerlo sin coste alguno para el proveedor, ni para LA ENTIDAD.

Como promoción, y gracias al presente CONVENIO de colaboración, en el caso de que, en virtud del resultado de la pre-auditoría, el proveedor tuviere que llevar a cabo actuaciones relativas al cumplimiento de la normativa sobre protección de datos, será informado de las condiciones en las que CONVERSIA puede obsequiarle con la completa adaptación de su organización a las exigencias de esta normativa.

A este respecto se le informará de la posibilidad de realizar acciones formativas adecuadas a su personal, aptas para la tramitación de las correspondientes bonificaciones de formación continua para empleados que ofrece la FUNDACIÓN TRIPARTITA.

En el supuesto de que un proveedor quisiere contratar los servicios de Conversia pero no pudiere beneficiarse de la posibilidad de obtener este obsequio, Conversia se compromete a prestarle sus servicios en función de la tabla de precios que figura como Anexo IV».

Esta previsión se reitera en el Anexo al Convenio

“En el supuesto de que La ENTIDAD, previa comunicación por escrito a CONVERSIA, quisiere optar por participar de manera activa en las políticas de difusión del deber de cumplimiento de la normativa vigente en materia de protección de datos, transmitendo a sus diferentes proveedores la necesidad de estar adaptados a dicha normativa para mantener cualquier relación mercantil con LA ENTIDAD, mediante la divulgación entre todos sus proveedores del comunicado recogido como Anexo III del Convenio precitado, CONVERSIA prestará a LA ENTIDAD el servicio de asesoramiento e implantación de la normativa vigente en materia de protección de datos, sin que LA ENTIDAD tenga que pagar cuantía económica alguna al respecto.”

Es necesario poner de manifiesto que la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal contemplan un deber de diligencia de cada responsable, esto es de cada ayuntamiento, en la elección del aquellos proveedores que traten datos personales, diligencia que debe analizarse caso por caso, en función de la naturaleza de los tratamientos de datos personales involucrados. En tal sentido:

• Este deber de diligencia no se traduce necesariamente en todos los casos en la necesidad de realizar una auditoría por el responsable de todos sus proveedores..
• Por otra parte, el texto de la cláusula supone de modo indirecto que el Ayuntamiento en la práctica recomienda a un proveedor determinado y, ello, para todo tipo de tratamientos de datos personales.

Por otra parte, desde un punto de vista técnico, sorprende una de las condiciones del Convenio, dado que los beneficiarios de los servicios serían administraciones:

“SÉPTIMA.-Durante la vigencia del Convenio y de los contratos derivados del mismo, firmados con LAS ENTIDADES, CONVERSIA mantendrá suscrita una póliza de Responsabilidad Civil para dar una cobertura de hasta 600.000 € a las posibles deficiencias en su gestión que pudieran ocasionar a LAS ENTIDADES una sanción por parte de la AEPD.”

Irrelevante disponer de un aseguramiento de la responsabilidad civil como este cuando no existe responsabilidad pecuniaria alguna en materia de sanciones. A diferencia del sector privado, es notoriamente conocido por cualquier profesional en esta materia que, conforme al artículo 46.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal «el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción». Y, en tal sentido, se pueden consultar cualquiera de las decenas de resoluciones sancionadoras publicadas por la Agencia Española de Protección de Datos que lógicamente no imponen ni una sanción pecuniaria.

Debe destacarse que, de acuerdo con el Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público, tanto cada Ayuntamiento como la Federación, esta en su consideración de poder adjudicador, se encuentran sometidos a estrictas normas de contratación cuyos objetivos son facilitar la libre concurrencia de ofertas con plena publicidad y en condiciones de igualdad para los licitadores. Cabe preguntarse si estos objetivos se logran adecuadamente con una recomendación recompensada con la gratuidad de un asesoramiento LOPD con un alcance indeterminado.

APEP se abstiene de calificar jurídicamente estos hechos, sin perjuicio de ponerlos en conocimiento de la sociedad y, en su caso, de las autoridades que pudieran ser competentes.

Nueva nota informativa de la Fundación Tripartita sobre protección de datos

La  Fundación Tripartita ha publicado esta nota en su web que reproduzco:

A la vista de las numerosas consultas que ha suscitado la noticia publicada en diversos medios el pasado 11/06/2012 en relación con la firma del convenio suscrito entre la FEMP-CLM y Conversia Consulting Group sobre la implantación de la Ley de Protección de Datos y en el que se cita a la Fundación Tripartita como posible financiadora, la Fundación Tripartita para la Formación en el Empleo cree conveniente informar que no ha sido consultada en ningún momento en relación a la firma del convenio al que se hace referencia en la noticia. La Fundación desconoce el convenio suscrito entre ambas entidades y por tanto, no puede valorar el contenido del mismo. 

Por otra parte, se desea recordar que las entidades incluidas en el ámbito de la Administración Pública (Ayuntamientos, Diputaciones, Mancomunidades, etc.), así como los trabajadores del ámbito de la administración, están excluidos de la formación de demanda tal y como regula la Orden Ministerial 2307/2007 (arts. 4 y 6). 

La formación de las empresas se financia a través de las bonificaciones en las cuotas de la Seguridad Social ingresadas por las empresas participando las mismas en la financiación de los costes de formación, salvo las empresas de menos de 10 trabajadores, en la cuantía exigida en el artículo 11 de la citada normativa. 

Por su parte, el Real Decreto 395/2007 y la Orden Ministerial 2307/2007 establecen que el crédito anual del que disponen las empresas está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores. Las empresas que se bonifiquen por la contratación de servicios de consultoría (LOPD, LPR, etc.) deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social. 

Recordamos asimismo que la Fundación Tripartita inició hace ya dos años un proceso de comprobación tras detectar entidades que ofrecen servicios gratuitos de consultoría con cargo al crédito asignado a las empresas para la formación de sus trabajadores. Las actuaciones realizadas por el Servicio Público de Empleo Estatal han dado lugar a la imposición de sanciones. 

La Fundación Tripartita agradece a todos los usuarios que han informado sobre estas prácticas.

(La negrita es mía).

Hay un pequeño matiz que me parece importante. Evidentemente la técnica del "coste cero" no se aplica a la administración, como además evidencia el texto del convenio publicado en la web de FEMP-CLM. Donde aparece este fraude a los fondos de formación es en la extensión posterior del convenio (con el aval municipal) a proveedores, que sí son en su mayor parte empresas con personal laboral incluido en formación de demanda. Lo llaman "obsequio" (penúltimo párrafo) y es lo que dijeron públicamente y así fue reflejado en los medios de comunicación enlazados ayer.

Caso de estudio: crisis de reputación digital de Conversia

Ayer publiqué la noticia sobre el convenio entre la empresa Conversia y la Federación de Municipios y Provincias de Castilla La Mancha, mediante el cual se extiende y patrocina desde instancias municipales la práctica fraudulenta conocida como "LOPD a coste cero", así como las distintas reacciones al tema por parte de organismos y profesionales del sector.

Dejando aparte la cuestión profesional y legal, vamos a ver en un rápido repaso cuál ha sido la consecuencia "reputacional" de todo el asunto.

Primero hay que aclarar que la empresa Conversia ya venía arrastrando una imagen bastante negativa en internet como demuestran las sugerencias de Google a la búsqueda de su nombre. Se puede ver en esta imagen.

Esto intentaron contrarestarlo de la forma más chapucera posible: creando una granja de sitios con la intención de "tapar" en los resultados Google los enlaces críticos. Así podemos encontrar en un repaso rápido (va sin enlaces, ya se sabe porqué):

• conversia.es (sitio original, y el único desarrollado, el resto tiene una sola página)
• conversia.org
• conversia.tv
• conversia.biz
• conversia.info
• conversiaconsultinggroup.tumblr.com
• conversiaconsultinggroup.blogspot.com.es
• conversiaconsultinggroup.wordpress.com

A raíz de la publicación de la noticia citada al inicio, y de las múltiples reacciones, la reputación de la empresa ha terminado de caer por los suelos: los comentarios de lectores en medios de repercusión nacional son una buena muestra. Véase en ABC y en EuropaPress. A esto sumemos la gran cantidad de post sobre el tema que se publicaron ayer en sitios tanto de otras empresas del sector como de profesionales independientes, en todos los casos muy críticos con Conversia.

Y aprovechando que ayer mismo Hootsuite lanzó una herramienta para seguir los tuits de un tema determinado en tiempo real, podemos ver las reacciones en Twitter al término "Conversia" en este enlace del cual es imagen parcial esta:

Ya que pese a las muchas y muy bien documentadas denuncias las autoridades miran hacia otro lado, cuando no apoyan manifiestamente este fraude como ocurre para vergüenza de ese organismo con la Federación de Municipios y Provincias de Castilla La Mancha, y ya que las recomendaciones de conocidos y las búsquedas en internet se han colocado como primera fuente de información del consumidor ante decisiones de compra, esperemos que el fraude que la justicia se muestra incapaz de parar quede al descubierto en internet.

La Administración ¿avala? el fraude de la LOPD a coste cero

Como dicen en El Jueves he publicado este título, pero tenía otros:

• La Mafia que nos gobierna
• La corrupción elevada a convenio público
• Merkel es tonta: con una mano le cogemos los 100.000 millones y con la otra seguimos robando fondos europeos
• Los españoles somos tontos o Cuánto mas dinero dejemos manejar a los ladrones mas tendremos que devolver en el futuro
• Los empresarios y profesionales honrados en España somos tontos porque... (¿hace falta explicarlo?)

Finalmente he optado por callarme, que me conozco, e incluso he puesto en el título el verbo entre interrogantes dejando una esperanza a la rectificación, y prefiero que personas más mesuradas lo expliquen.

El asunto comenzaba con una nota en uno de los sitios web de Conversia en la que se anunciaba un convenio con la Federación de Municipios y Provincias de Castilla La Mancha, y aunque en ese escrito no se indicaba de forma explícita el recurso al coste cero (han aprendido lo que pueden decir y lo que no en público) en seguida se vio en su repercusión (no enseñaron bien a los alcaldes lo que pueden decir y lo que no en público) que el asunto iba incluso mas allá y que el gratis municipal iba vía "hazme de comercial para extender el gratis a tus proveedores" (categoría bien difusa en la que se puede meter a cualquier empresa).

Véase en ABC: Convenio de la FEMP para implantar la ley de protección de datos (atención al penúltimo párrafo), en EuropaPress: FEMP-CLM y 'Conversia Consulting Group' firman un convenio para implantar la Ley de Protección de Datos en ayuntamientos (atención al tercer párrafo) y en la web de la FMP CLM: La FEMP-CLM y “CONVERSIA CONSULTING GROUP” firman un Convenio de Colaboración para implantar la Ley de Protección de Datos en todas las Corporaciones Locales de Castilla-La Mancha (atención al último párrafo). Sin comentarios.

Sin embargo no se puede acceder ya al anuncio oficial, al parecer lo han borrado. Esta era la URL original: http://www.mundolopd.com/2012/06/conversia-ha-suscrito-un-convenio-de-colaboracion-con-la-femp-clm/

Las reacciones han sido rápidas. Destaco:

• Carta abierta a la Federación de Municipios y Provincias de Castilla-La Mancha y la Fundación Tripartita, de la Asociación Profesional Española de Privacidad (APEP)
• Administraciones Públicas que colaboran en la utilización fraudulenta de créditos formativos, por David González Calleja (este post ha sido reproducido en muchos sitios)
• El colmo de la LOPD a coste 0, por Mikel García Larragán (de ahí sale la imagen que ilustra el post)
• Vía libre al fraude de la LOPD a coste 0 | DeSaCONSULTORES
• Sobre adaptación LOPD a coste cero y subvenciones de Fundación Tripartita, por Ruth Benito

Después de esto ya no sé qué más añadir.

Noticias LOPD 135

Iniciamos el acostumbrado repaso semanal a noticias sobre protección de datos y seguridad de la información con esta presentación en vídeo donde Xavier Ribas analiza los efectos de la sentencia del Tribunal Supremo que anula el artículo 10.2.b del Reglamento de la LOPD y se dan algunas pistas para descifrar el concepto de interés legítimo exigido en la LOPD y en la Directiva.

Cómo invaden las aplicaciones la privacidad

El pasado 30 de mayo tuvo lugar la reunión para la constitución de la Asociación Vasca de Privacidad y Seguridad de la Información (PRIBATUA). Uno de sus impulsores, Mikel G. Larragan, ha escrito en su blog dos entradas explicando ¿Por qué PRIBATUA? (Primera parte y Segunda parte) en las que plantea las razones que han llevado a un grupo de profesionales a constituir esta asociación.

El director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez, concedió una  Entrevista a EFE en la que se afirma: Durante ese año ha comprobado cómo han crecido las denuncias de quienes sienten vulnerado su derecho a la protección de sus datos (en 2011 un 50 por ciento), debido -explica- a la creciente concienciación de los ciudadanos sobre la protección de su privacidad y al conocimiento cada vez mayor de los instrumentos que tienen a su disposición para protegerla. Autocrítica cero patatero, al parecer el hecho de que más del 80% de las empresas incumpla la LOPD no es uno de los motivos que provoquen denuncias. Y más: Los usuarios lo van a demandar cada día más; las autoridades lo vamos a exigir con énfasis; y las empresas que no se adapten van a estar en desventaja en el mercado. ¿Ah, sí? ¿Y entonces cómo se explica que la mayoría incumplan, les gusta estar en "desventaja"? ¿No será que mas bien al contrario el cumplir la LOPD se ha convertido en la desventaja en el mercado debido a la inacción de las autoridades? Quizás si el señor director decidiera salirse de su bola de cristal y pasear un rato por el mundo real descubriría situaciones como las que describen en Toito: ¿Por qué tantas empresas incumplen la protección de datos?

Llevábamos algunas semanas de relativa tranquilidad en el mundo de los "asaltos a bases de datos", pero terminó la tregua y esta vez le tocó a Linkedin, que tras algunos rumores y dudas, finalmente confirmó que su seguridad se había visto comprometida y que millones de contraseñas han sido robadas y publicadas en Internet (en realidad lo que apareció publicado eran los hashes). En Security by Default nos invitan a Comprobar si el hash de tu contraseña de LinkedIn se ha publicado, pero en cualquier caso no es mala política cambiar contraseñas con regularidad, y en OSI nos explican cómo. En el blog oficial nos explican las Medidas tomadas para proteger a nuestros miembros. Además, si bien fue el caso mas llamativo por el volumen y popularidad del sitio, lo cierto es que no fue el único: LinkedIn, Last.fm, MD5 ¿algún otro problema de seguridad esta semana? (DenkerÜber).

También sigue generando noticias el culebrón del virus Flame. Vean lo de Flame y los certificados digitales (Security By Default) y El ingenioso método de distribución de TheFlame en redes internas (Hispasec).

Más noticias sobre protección de datos y seguridad de la información:

• Securización de lectores PDF y Estudio sobre riesgos de seguridad derivados del software de uso no autorizado - INTECO
• OAuth - Open Authorization Protocol (S21Sec)
• Estrategias básicas para mitigar una ciberintrusión y BYOD (Fuente: Security ArtWork)
• Un troyano del siglo XX sigue infectando en la era 2.0, en Blogs Ontinet
• AEPD vs Google: El cazador, ¿cazado?, en Entre Códigos Civiles y Androides
• ¿Cómo conseguir cliente sin incumplir la ley de protección de datos?, en Datalia
• Vida virtual: Contraseñas | Oloblogger
• Privacidad y datos sanitarios: ¿Qué medidas deben adoptarse para proteger nuestros datos? (Legal Today)
• Conoce los fraudes utilizados en Internet: el phishing (OSI)
• IPV6, la intimidad y la obtención de datos de ciudadanos y Fotografías, menores y derechos de exhibición del fotógrafo, en Del derecho y las normas
• Condenan a un estudio fotográfico por usar el retrato de un niño como reclamo - EcoDiario.es
• Google podría solucionar el problema con las cookies (si quiere), por Juan Macias
• Nuevo Reglamento PDatos UE: ¿Debe eliminarse el Registro de Ficheros? « Winchester73
• Spotify (II) – Política de Privacidad y Foursquare actualiza su política de privacidad « Términos y Condiciones
• ¿Qué compañías tecnológicas defienden nuestra privacidad y cuáles no?, en Alt1040
• Los juristas dan el “sí a la nube” sólo si cumple las garantías de protección de datos, en LegalToday
• Decálogo legal del empresario web en Congreso Web, por Paloma Llaneza
• XI Jornada Internacional de Seguridad de la Información ISMS FORUM SPAIN | Privacidad Práctica
• La LOPD y los cuernos: historias de hoteles | Amedeo Maturo
• Privacidad en la Red | El País
• El caparazón en RTVE: “La web ha muerto”, la privacidad también
• Data Proteccion Officer - DPO, en Iurismática
• Las transferencias internacionales en el cloud computing, por Xavier Ribas

Y aún más en redes sociales:

• Facebook desarrollará tecnología para que menores de 13 años lo usen (Fuente: Segu- Info)
• Facebook notifica a sus usuarios de si están infectados por DNSChanger (en inglés) (Fuente: Facebook)
• Las redes sociales piensan en los menores para aumentar sus ingresos | Pizcos.net
• Usuarios de Instagram y WhatsApp en Android vulnerables a robo por apps apócrifas (bSecure)
• Facebook permite que sus usuarios voten los cambios de su política de provacidad | itespresso.es
• Redes sociales: crecen los casos de robo de identidad, en Clarín
• Facebook intenta reducir el spam frenando los compartidos automáticos - FayerWayer

Esta semana la Posdata (o yapa) viene en el idioma de Shakespeare y llega de la mano del blog oficial de Google para empresas, donde, ¡oh, sorpresa!, anuncian cláusulas a medida en su contrato de uso de Google Apps que se adapten a la legislación europea en protección de datos: Google Apps to offer additional compliance options for EU data protection.

Cómo recuperar cuentas secuestradas

Si un día te encuentras con que parece que alguna de tus cuentas en redes sociales o servicios de correo electrónico ha sido secuestrada y no puedes iniciar sesión con tu nombre de usuario y contraseña, desde la Oficina de Seguridad del Internauta (OSI) han creado una serie de entradas con los consejos adecuados para revertir la situación siguiendo las instrucciones de los propios servicios oficiales.

Consejos muy útiles para tener guardados, ya que nunca sabremos cuándo puede ocurrirnos un incidente de este tipo.

• Como recuperar una cuenta secuestrada: Facebook
• Como recuperar una cuenta secuestrada: Google
• Como recuperar una cuenta secuestrada: Tuenti
• Como recuperar una cuenta secuestrada: Hotmail
• Como recuperar una cuenta secuestrada: Twitter

Noticias LOPD 134

Un 17% de los PC no cuentan con protección de seguridad - Open Security

Esta semana se hizo público que La Guardia Civil ficha a miles de ciudadanos 'inocentes' en un registro sin su conocimiento (elConfidencial) para luego introducir los datos en El sistema SIGO de la Guardia Civil (Protec-Datos). Personalmente puedo asegurar que la dudosa base legal del sistema despierta inquietud entre los propios agentes de la Benemérita, puesto que han sido varios (siempre rogando máxima discreción, como es lógico) los que nos han dirigido preguntas al blog Ayuda LOPD acerca del asunto. Veremos si no acaban teniendo que retirar tal fichero, como ocurrió con la web de los Mossos que pretendía recabar colaboración ciudadana.

Eso sí, que los datos de un ciudadano sean introducidos en una base de datos sin su consentimiento (y por tanto al margen de la ley) tampoco es que sea algo extraño en este país, donde Los datos de cada español figuran en unas trescientas bases (CincoDías.com) y teniendo en cuenta que sólo cumplen la LOPD un máximo del 15% de las empresas, lo más probable es que alrededor de 255 de esas bases sean ilegales. Y por si fueran pocos los casos Cataluña crea un fichero para el control de prostitutas y clientes (El País).

También fue muy comentado esta semana el descubrimiento por parte de la empresa rusa de seguridad Kaspersky de una modalidad de malware altamente sofisticada destinada al espionaje y robo de información: Flame: nueva herramienta de ciber-espionaje (INTECO). En Security By Default nos explican Todo sobre Flame (Qué es y como detectarlo) y en Hispasec nos ofrecen TheFlame: reflexiones sobre otra "ciberarma" descubierta demasiado tarde.

La "nube" sigue dando mucho que hablar, en especial en los casos en que grandes empresas e instituciones comienzan a trasladar parte de sus aplicaciones y servicios a plataformas virtuales. En Diario de Navarra cuentan el Acuerdo entre Educación y Google Apps para su uso en los colegios navarros. Interesante leer al hilo de esta cuestión las Reflexiones sobre los servicios externos de TI, la tentación de lo "gratuito" de Javier Cao, con el que no puedo estar mas de acuerdo cuando señala que este tipo de decisiones NO SOLO pueden ser valoradas en términos económicos.

La Asociación Profesional Española de Privacidad (APEP) publica un boletín trimestral repleto de contenido del máximo interés, que es de acceso exclusivo a sus asociados, pero que es liberado cuando aparece un nuevo número. Así, tras recibir los asociados el número 6, se ha colgado en la web el Boletín APEP Informa 5 descargable. Destaca especialmente el artículo de Javier Peris, que también ha publicado en su blog, La Paja en el ojo ajeno (Lucas 6, 41-42), donde se comprueba las consecuencias de la falta de profesionalidad del sector de privacidad y la proliferación de supuestos consultores sin ninguna formación al calor de los fraudes "coste cero", las "LOPD a 95€", etc, etc, prácticas ya denunciadas a las que por cierto las autoridades siguen haciendo caso omiso y mirando para otro lado, que bastante ocupados andan todos desvalijando el país y procurándose jubilaciones doradas.

Más noticias sobre protección de datos y seguridad de la información:

• UPyD pide suprimir otras dos entidades regionales ‘duplicadas’ de las del Estado y Protección de Datos investiga por primera vez un caso de bebé robado | El País
• Y tú… ¿a qué te dedicas? | Security Art Work
• ¿Cómo se puede identificar a 1.200 millones de personas?, en BBC Mundo
• ¿SPAM dirigido?, en Caminando entre bits
• La nube es el nuevo reto para evitar fugas de información en las empresas, en TecnologíaPyme
• El Hormiguero: Concienciación en seguridad de la información, en Carpe Diem
• Administraciones públicas: “otro tipo de infractores” - Luis Salvador Montero
• El cambio del concepto de privacidad, en Joven y en Red
• El 50% de las compañías sufren robos de información; 29% a manos de empleados | bSecure
• Modelo de informe sobre sistema de control horario basado en huella digital, en Privacidad Práctica
• Spam de las olimpiadas contiene PDF malicioso (Fuente: UNAM-CERT)
• Google Spain no puede retirar enlaces de Google, en Descargas Legales
• Cesiones a sindicatos: ¿Prima la protección de datos o la libertad sindical?, en Winchester73
• Lotería de los Juegos Olímpicos – Estafa Nigeriana, en SpamLoco
• Info-tráfico de datos personales, un negocio en auge, por Javier Cao
• El “Romance Scam” no se casa con nadie | DelitosInformaticos.com
• Hall of Shame de ladrones en modo #EPIC_FAIL - Un informático en el lado del mal
• Cazadores de mitos: navegar en páginas con protocolo seguro https no garantiza un 100% de seguridad, en Blogs Ontinet.com
• El sitio es el oficial, pero ¿y el archivo que estoy descargando? - Hispasec
• Estudio: 40% de las cuentas de usuario en las redes sociales son spam - FayerWayer

P.D.: por supuesto son libres de comentar y las opiniones de todo tipo serán respetadas, pero cuidado con lo que escriben, que el Gran Hermano Americano lo vigila todo: El Departamento de Seguridad Nacional revela su lista de términos vigilados en Internet.