La Agencia de Protección de Datos insta al Provincial a que mejore su seguridad

La resolución llega tras una queja por el robo de un lápiz de memoria del Hospital en el que aparecían datos personales y nóminas de los empleados.

La Agencia Española de Protección de Datos ha instado al Servicio Aragonés de Salud y al Hospital Provincial a que “implante todas las medidas de seguridad que se requieren legalmente”, a raíz del robo de un lápiz de memoria en el que aparecían datos personales y nóminas de algunos de los empleados.

La agencia recibió un escrito de una particular, que se dirigió a este organismo después de que se publicara el robo, que se produjo el 22 de marzo de 2009 y que fue denunciado dos días después. Entonces, según el informe publicado el pasado 2 de julio, la Agencia inició una serie de actuaciones previas.

En ellas, relatan que el Salud tenía ese lápiz de memoria para llevarlo a una entidad bancaria que realizaba los pagos de las nóminas. En el documento figuraba el nombre, los apellidos, el código de la cuenta corriente y el salario de los trabajadores. También había otro fichero con las personas que tenían un trienio recientemente reconocido y que tenían que empezar a cobrarlo.

Según la denuncia presentada en la comisaría, una o varias personas robaron esta información al forzar la puerta de la oficina de personal de la tercera planta del centro. Tras este hecho, el Provincial mejoró sus medidas de seguridad instalando un sistema de alarma y de videovigilancia, haciendo una transmisión telemática de los datos de las nóminas a la entidad bancaria y desactivando los puertos USB de todos los equipos, salvo aquellos que soliciten un permiso expreso. En el acta de inspección se aclaró que el documento de seguridad del Hospital está en elaboración, aunque ya había dos documentos en los que se regulan las funciones del personal que trabaja con ficheros que contienen datos de carácter personal.

El informe deja claro que tanto el Salud como el Provincial incurrieron en una infracción por no tener terminado el documento de seguridad, y resuelve que infringe dos artículos (el 9 y el 20) de la Ley de Protección de Datos. Requiere a ambos que adopten las medidas oportunas para que no vuelva a ocurrir un hecho parecido, y al Provincial le insta a que termine el documento de seguridad que está elaborando “e implante todas las medidas que se requieren legal y reglamentariamente”.

eco-Shredder, empresa especilizada en la destrucción de documentación confidencial “in situ”.

¿Las leyes de protección de datos son demasiado laxas?

La protección de datos es un asunto serio, y queremos entender mejor el sentir general de las empresas actuales.

Se han publicado recientemente los resultados de la encuesta realizada por Sophos a 1200 profesionales de IT de empresas que están acometiendo proyectos de protección de datos.

Estos resultados muestran que el 36% de los encuestados mostraban una preocupación por la complejidad adicional que puede suponer cumplir con la legislación y el coste asociado a cumplir con las políticas.

El estudio también desvela que la mitad de los encuestados piensan que las leyes no son suficientemente robustas, mientras que un sorprendente 87% respondía que las organizaciones deberían ser forzadas a publicar sus pérdidas de datos (algo que puede ser realmente embarazoso)

Entonces, ¿qué es lo que preocupa a las organizaciones a la hora de proteger sus datos? Mi experiencia me dice que existen dos factores principales y ambos ligados a los costes asociados a dicha pérdida.

El primero, el efecto que tiene en la imagen de la organización, salir en los titulares puede ser realmente caro.

Recordemos el caso del gigante americano TJX, tenemos constancia de que fueron robados al menos 45,6 millones de tarjetas de crédito por hackers. Por su puesto este robo afectó a la imagen de la compañía.

El segundo factor es cumplir con la ley.

La legislación cada vez impone más sanciones económicas a las organizaciones que no cumplan con la ley.

En este momento la legislación varía en cada país de Europa, que la legislación varíe según los países, complica el ofrecer una lista de comprobaciones que todos puedan seguir. Un marco jurídico conjunto simplificaría los problemas de cumplimiento y nos ayudaría a comunicarnos y a educar a las empresas de todo el mundo, o al menos dentro de la Unión.

En materia de seguridad de datos, lo mejor es contar con expertos legales en la materia. Sin embargo me puedo aventurar a ofreceros algunos consejos para dificultar el trabajo de los hackers y ayudaros a protegeros contra pérdidas de datos accidentales:

1. Cifrar toda la información confidencial. Mantener la información sensible inaccesible a las miradas indiscretas.

2. Utilizar contraseñas difíciles de adivinar. El uso de buena contraseña es la clave para evitar agujeros en los sistemas.

3. Mantener el software de seguridad actualizado. Todos los días aparecen nuevas amenazas de malware y se propagan a un ritmo alarmante. La actualización automática del software es básica para la defensa contra las últimas amenazas y vulnerabilidades.

4. ¡Las memorias USB son peligrosas! El uso no autorizado de dispositivos de almacenamiento USB podría conducir a la pérdida de datos.

5. El conocimiento es poder. En necesario conocer la legislación local y revisar la estrategia de seguridad para asegurarse de que se cumple. Las distintas administraciones le podrán asesorar sobre el tipo de tecnologías, procesos y políticas a las que están obligados por ley.

6. Prepararse para casos de desastre. Es importante tener un plan de acción por si se produce una violación de los datos. Una reacción rápida puede suponer una gran diferencia en las ramificaciones legales y en la reputación.

7. La educación es la clave. Se debe encontrar el mejor modo de explicar al personal el valor que tienen los datos, así como las políticas a seguir y cuáles son las mejores prácticas. Haga que los empleados sean parte de su “ejército” para salvaguardar los datos sensibles, en lugar de ocultarles la información.

8. Animar, en lugar de castigar, a aquellos empleados que notifiquen posibles pérdida o fallos de datos. La información puede ayudar a reducir los riesgos.

9. No bloquee todo el tráfico. Los empleados necesitan libertad online para ser eficientes y eficaces. Bloquearlo sólo animará a los empleados a encontrar soluciones nefastas para la empresa. Se hace necesario hablar con ellos, saber lo que quieren, y descubrir una manera de dárselo de la manera más segura posible.

10. Evitar los descuidos. Es muy fácil olvidarse en un taxi o un lugar público un ordenador portátil o un smartphone que contenga información sensible. Los datos siempre deben estar cifrados, pero también se debe poder utilizar una limpieza remota si los dispositivos se pierden.

eco-Shredder, empresa especializada en la destrucción de documentos “in situ”.

La Agencia Vasca de Protección de Datos crea una web para enseñar a los alumnos a proteger la privacidad de sus datos personales

Reda y Neto es una web creada por la Agencia Vasca de Protección de Datos que enseña a los alumnos de 9 a 12 años cómo proteger la privacidad de sus datos personales mediante una serie de entretenidas animaciones en formato flash.

Las animaciones consisten en 4 dibujos animados protagonizados por Reda y Neto que pretenden que los niños adquieran las siguientes ideas:
1. Tienes muchos datos personales y tu imagen también es muy importante.
2. Tus datos personales son un tesoro, protégelos.
3. Tienes derecho a no dar todos tus datos personales.
4. Los datos personales de los demás no te pertenecen, pero protégelos como si fueran tuyos.

Cada animación viene acompañada de cuestiones para el debate oral en grupo y actividades prácticas on-line y off line en aula, que permiten experimentar en contextos reales las ideas que las aventuras transmiten. Además, se presentan actividades para realizar con la familia, cuyo objetivo también es sensibilizar a ésta de su papel educativo en el uso de las tecnologías de la información y comunicación.

Se trata de una propuesta muy interesante y útil que permite iniciar a los niños de forma natural en la protección de datos, un área que será fundamental para el uso de la tecnología a lo largo de sus vidas.

eco-shredder, empresa para la destrucción de documentos confidenciales “in situ”.

Medios sociales: ¿dónde queda la protección de datos?

El crecimiento de los usuarios de redes sociales como Facebook y Twitter es enorme. Y muchos de sus usuarios exponen sus datos personales en la esfera pública, lo que podría generarles consecuencias de gran alcance.

Alrededor de una quinta parte de los usuarios de Facebook, la red social más popular del mundo con más de 500 millones de miembros, expone su información personal en la esfera pública de forma imprudente, y quizá sin saberlo

“Facebook tiene sus datos”

Aunque los medios sociales pueden facilitar la comunicación y la participación, también acarrean riesgos. Los usuarios olvidan en ocasiones que sus informaciones privadas no son privadas en la red. Esto se debe a que no se comprende fácilmente cómo se entrega información por este medio. Tampoco se pueden conocer las configuraciones de seguridad y privacidad de todos los amigos en la web social.

Si los usuarios hacen uso de otras aplicaciones de Facebook, otros datos, también de sus amigos, serán suministrados gratuitamente. Pero si el usuario niega la entrega de esta información, entonces no podrá hacer uso de la aplicación, y por ende se debatirá entre obtener la nueva función o negar el suministro de datos. De esta manera, Facebook lo invita siempre a facilitar datos de sus amigos, aunque en la realidad uno no sepa si ellos aprueban esto. Así, Facebook tiene nuestros datos.

Configuración de privacidad, demasiado complicada

Quien abre una cuenta de usuario en los medios sociales debe preguntarse quién tendrá acceso a su información, así como cuáles datos desea sean públicos en su perfil. Ahí entra en juego la configuración de privacidad, que es compleja y difícil de entender. Ése es precisamente el argumento de los críticos como Jo Bager, que dicen que Facebook estructura de forma innecesaria y complicada la configuración de privacidad, y que además la cambia periódicamente, para así hacerla todavía menos entendible.

Es por esto que expertos demandan que las configuraciones estándar de las compañías de redes sociales sean más comprensibles para sus usuarios. Por el momento, después de haber creado un perfil, los datos son públicos mientras el usuario no lo configure de manera distinta. Lo que implica un peligro, siempre y cuando se divulguen más datos de los que el usuario quiere. Sería mejor para el usuario que existiera una preconfiguración, con la cual puede reservarse la divulgación de datos de acuerdo con sus necesidades.

Frontera entre público y privado

Los medios sociales son todavía un fenómeno. La sociedad digital tendrá entonces que aprender inevitablemente a manejar la publicación de sus datos privados en Internet, para así desarrollar también un mejor sentido de qué es público y qué privado, es decir adquirir una habilidad en este medio.
La demanda de conceptos sobre la protección de datos también es diferente ahora. El desafío actual se refiere a que las personas se protejan de sí mismas, y ya no sólo de la invasión de extraños. Pero mientras no se desarrollen estos conceptos, cada usuario deberá delimitar su propia frontera entre lo público y lo privado.

eco-Shredder, empresa especializada en la destrucción de documentación confidencial “in situ”.

¿Cómo trabajan los coches de Google y qué datos han recogido?

¿Qué es Google Street View?

Google lanzó Street View en 2007 en EEUU. Una flota de vehículos se puso en marcha para recorrer las calles tomando fotografías por medio de cámaras de 360 grados. La idea era dotar a sus servicios geográficos Google Maps y Google Earth de una capa en la que los usuarios pudieran ver una imagen real ‘a pie de calle’ de los mapas. Gracias a un sistema de localización por GPS que llevan incorporado, las cámaras pueden etiquetar las fotografías para ubicarlas sobre el mapa. Tras la toma de las imágenes, Google las procesa y une para dar continuidad a la escena, lo que permite ‘navegar’ por la realidad.

¿Qué datos han grabado los vehículos?

A finales de abril, durante una inspección, las autoridades alemanas descubrieron que los coches, además de las cámaras y el GPS, llevaban una antena de rastreo y recogida de datos de las redes WiFi de los vecindarios por donde pasaban. En su primera versión, del 27 de abril, Google aseguró que sus vehículos sólo recogían datos de las redes (como su dirección IP, que las identifican en internet, su posición, la potencia de la señal o el número del router desde el que se conecta). Pero la semana siguiente reconocieron que también grabaron, al menos parcialmente, la información que circulaba por ellas, como direcciones de correo, historial de navegación, contraseñas…

¿Qué alega la compañía ante la polémica?

Google siempre ha dicho que todo es fruto del error. Un diseñador había programado en 2006 un sistema para recoger datos de redes WiFi. Google asegura que los ingenieros que diseñaron Street View incluyeron esta porción de código informático en la versión final de programa. El buscador también alega que la información era de carácter parcial (al estar el coche en movimiento). Además, dice, sólo grabaron datos de las redes que no están protegidas o con las comunicaciones cifradas. En su descargo, el buscador insiste en que, tras enviarlos a sus servidores centrales, los datos eran archivados de forma agregada, negando que se guardara información concreta sobre personas u hogares. Por último, y como baza ante posibles problemas legales, reitera que nunca hubo intención de rastrear las comunicaciones de los usuarios.

¿Adónde ha ido a parar la información?

Todos los datos recogidos por los vehículos está almacenada en varios servidores de Google. La compañía anunció que destruiría esa información. Así lo hizo en el caso de Irlanda. Pero la mayoría de las autoridades de protección
europeas, además de la canadiense y la australiana, exigieron al buscador que los conservara para poder analizarlos durante los procedimientos de inspección que han abierto. Google entonces ofreció un acceso online al material. Así lo hizo al menos para la Agencia Española de Protección de Datos. Pero, como dijo su director, Artemi Rallo, la solución ofrecida por Google a los inspectores de la agencia no les ha satisfecho. Quieren que les entreguen los discos duros (en realidad una imagen de los mismos, copia idéntica e íntegra de su contenido). Por su parte, los coches de la compañía han reiniciado su marcha en países como Reino Unido.

eco-Shredder ofrece servicios de destrucción de documentación confidencial “in situ”.

El PP acusa al gobierno local de Benidorm de vulnerar la Ley de Protección de Datos

El grupo popular en el Ayuntamiento de Benidorm ha acusado hoy al gobierno local de vulnerar la Ley de Protección de Datos al estar “empleando” a personal civil en el centro de control de la Policía Local “sin contrato específico y sin declaración jurada de confidencialidad”.

También ha subrayado que este personal civil trabaja junto a agentes de la Policía Local y, en consecuencia, tiene acceso a datos confidenciales, como “antecedentes policiales” y “sanciones de tráfico”, entre otros.

El edil de la oposición ha calificado este hecho de “extremadamente grave”, al entender que se están “vulnerando derechos fundamentales de los ciudadanos”.

Según la oposición, este personal civil lleva trabajando en el centro de control desde que se puso en marcha el sistema de control de acceso al barrio de El Calvari, “hace seis o siete meses”.
A su juicio, la externalización de este servicio de control sería legal en caso de que se hubiera realizado mediante un “pliego de condiciones” y estableciendo “un protocolo de actuación” que permitiera “subsanar y sancionar” a los trabajadores ante cualquier “irregularidad” o “filtración” de dato protegido.

Sin embargo, ha asegurado el concejal popular, no hay ningún contrato, ni con los trabajadores ni con la concesionaria, para la prestación de este servicio.

El grupo ha señalado que existen varios partes incidiendo en los riesgos que supone tener personal civil sin declaración firmada de confidencialidad y en los que agentes de la Policía Local del centro de control “se lavan las manos por si en su turno hay una filtración”.

El PP ha enviado un escrito al alcalde, Agustín Navarro, informándole sobre esa cuestión y pidiéndole que “tome medidas”.

Asimismo, está previsto informar al respecto a la Agencia Española de Protección de Datos por “si tiene que tomar medidas”, ha comunicado el edil de la oposición.

Por su parte, el concejal de Movilidad y Seguridad, José Bañuls, ha dicho que este personal civil está en el centro de control desde el pasado mes de julio, que su única misión es la de “atender a los usuarios del servicio de control de acceso” y que “no tienen ningún acceso a datos confidenciales”.

eco-Shredder, empresa especializada en la destrucción de documentación “in situ”.

Hallan documentos de la bolsa de trabajo en un vertedero

El PSOE acusa al equipo de gobierno de favoritismo en las contrataciones.El alcalde dice que se ha abierto una investigación para aclarar lo sucedido.

El PSOE-A de Espejo (Córdoba) ha lamentado que las solicitudes de la bolsa municipal de empleo, que incluyen decenas de datos personales y currículos, han aparecido “tiradas en un vertedero” junto al cementerio.

En un comunicado, la secretaria general del PSOE de Espejo, Francisca Casado, manifestó que se trata de unos hechos que evidencian que el alcalde, Francisco Medina (IU), “ha enterrado en la cuneta su compromiso adquirido hace siete años sobre el reparto justo y equitativo del empleo temporal” en el municipio.

Casado ha acusado al gobierno municipal de “burlarse del derecho al trabajo de los espejeños, que con ilusión y confianza han ido inscribiéndose en la bolsa de empleo”, ya que, “a pesar de que IU presume de transparencia, dicha bolsa nunca se ha puesto en marcha y nunca fueron avisados para trabajar”. Por ello, añadió que es todavía “más indignante y doloroso” que aquellas carpetas hayan acabado en un vertedero y puedan ser objeto de “un presunto de delito contra la protección de datos”.

Por su parte, el alcalde, Francisco Antonio Medina, respondió a las acusaciones del PSOE diciendo que el equipo de gobierno ha abierto una investigación “para aclarar si ha existido alguna deficiencia en la destrucción de estos documentos, dentro de la reforma que se está llevando a cabo en las dependencias del ayuntamiento”. Aun así, quiso dejar claro que “desde este ayuntamiento siempre se han tomado todas las medidas para garantizar que la destrucción de documentos no comporte ningún riesgo a la intimidad de los datos personales de los solicitantes”.

eco-Shredder ofrece un servicio seguro de contenedores para la destrucción de documentación de su empresa, evitando las posibles pérdida o filtraciones de la información.

eco-Shredder, empresa especializada en la destrucción confidencial de documentos “in situ”.

Recomendaciones de AGPD e INTECO para el uso de las redes sociales

La Agencia Española de protección de Datos y el Instituto Nacional de Tecnologías de la Comunicación presentaron un estudio sobre la privacidad de los datos personales y seguridad de la información de las redes sociales.

Las recomendaciones están dirigidas a todos los que de una forma u otra intervienen en las redes sociales:

- Redacción de condiciones de uso y políticas de privacidad con un lenguaje comprensible para cualquier tipo de usuario para que tenga claros sus derechos y obligaciones.

- Control del almacenamiento de los perfiles por parte de los buscadores.

- Cambios en la configuración del nivel de privacidad, de forma que se establezca, por defecto, el máximo grado de seguridad en el perfil del usuario (generalmente permite la máxima difusión de los perfiles)

- Puesta a disposición del usuario de herramientas que le otorguen control absoluto de la información que publica en la red, es decir medios que limiten la posibilidad de etiquetar a otros usuarios en la red ( recibiendo automáticamente una solicitud de aceptación o rechazo)

- Implantación de sistemas que faciliten la comprobación de la edad de los usuarios que intenten acceder al servicio, reduzcan los casos de suplantación de identidad (bloqueando el acceso de el usuario que utilizó el perfil de otro de forma ilegitima) o detecten el nivel de seguridad  de las contraseñas elegidas (e informen de los mínimos aconsejables)

- No publicar en los perfiles excesiva información personal y familiar( ni datos que permitan la localización física), tener cuidado a la hora de alojar contenidos gráficos y configurar cuidadosamente el grado de  privacidad del perfil de usuario en la red social.

- No aceptar solicitudes de contacto de forma  compulsiva, sino únicamente personas conocidas con las que se haya tenido relación previa.

eco-shredder, empresa especializada en la destrucción de documentos confidenciales “in situ”.

Nueva guía sobre “SEGURIDAD Y PRIVACIDAD DE LA TECNOLOGÍA RFID” elaborada por la AEPD e INTECO

La Agencia Española de Protección de Datos (AEPD), y el Instituto Nacional de Tecnologías de la Comunicación (INTECO), han elaborado una Guía sobre “seguridad y privacidad de la tecnología RFID”, ante la proliferación de estos sistemas en elementos de la vida cotidiana de los ciudadanos.

En dicha guía, se analiza el funcionamiento de esta tecnología, los tipos de dispositivos existentes en la actualidad y sus usos y aplicaciones principales. Asimismo, se recogen de forma destacada los riesgos existentes en materia de seguridad, privacidad y protección de los datos en el empleo, en implantación de los dispositivos de identificación por radio frecuencia, en diversos ámbitos, y las garantías exigibles para prevenirlos.

Por si fuera de su interés puede consultar la nota de prensa en la que se resume el contenido de la misma:
Nota de prensa

También puede acceder al contenido de Guía:
Guía Seguridad y Privacidad de la Tecnología RFID

eco-Shredder, empresa especializada en la destrucción de documentación “in situ”