27 oct. 2011

La Sentencia Comentada de SNS-Osasunbidea


Continuando con la noticia que leí en Diario de Noticias de Navarra, he conseguido localizar la sentencia Jdo. Contencioso-Administrativo Nº 1 de Pamplona/Iruña que paso a comentar a continuación.

La sentencia hace hincapié en que lo que se ha hecho mal en Osasunbidea es el poco control de accesos que hay en cuanto a las autorizaciones se refiere. Ya que a pesar de disponer de medios y de una implantación hecha en materia de LOPD, la juez apelando a lo expuesto por el perito informático destaca que no existen apenas límites a la hora de acceder a los historiales clínicos desde la aplicación informática de Osasunbidea (sí disponen de usuario y contraseña, pero pueden acceder distintos perfiles de empleados, tales como enfermeras/ os, médicos, auxiliares y otros no especificados si apenas límites en los accesos y sin que medie relación con el paciente).


Se destaca en la sentencia que sí se ha formado a los empleados en cuanto a su deber de confidencialidad y en materia de protección de datos.

Por otro lado en la sentencia, se tocan fundamentalmente dos puntos, uno el de los accesos indiscriminados y no justificados al historial clínico por parte de personal no autorizado a tal efecto y otro el hecho de que a la paciente se le tomaron fotografías sin su consentimiento ni el de sus familiares en estado de inconsciencia y después se adjuntaron al expediente o historial médico. En este último punto se establece lo siguiente en la sentencia:

“Es claro que muchas de las actuaciones medicas que se llevan a cabo en la practica, se hacen con el consentimiento tácito del paciente y la necesidad de sacar fotografías podría en este caso, tal y como explicaban los médicos intervinientes considerar justificada, sin embargo hay que reconocer, que son muchas las fotografías que se sacaron, son fotografías especialmente duras del cuerpo de una mujer muy joven desnudo y en un estado impactante. Estas fotografías se ha acreditado que obraban en la historia clínica informatizada y en algunas de ellas se podía identificar la cara, por lo tanto se podía identificar a la paciente, aunque después se retiraron. Sin embargo, a esas fotografías se pudo acceder, como así fue. Por otro lado tampoco se sabe hoy a ciencia cierta, que estas fotográficas no sigan circulando por ahí, es decir, no sean accesibles a través del acceso , valga la redundancia a la historia clínica informatizada de xxxxxxxx .”

En cuanto a la indemnización establece 50.000€ para cada progenitor de la paciente fallecida y 25.000 para la hermana. Desarrolla un poco el tema del derecho al honor en cuanto a que a pesar de ser un derecho personalísimo como el de la protección de datos en ocasiones es ampliable al ámbito familiar, como es el caso en esta sentencia. Para ello cita lo siguiente:

“Ha dicho el Tribunal Constitucional que los derechos a la integridad física, a la intimidad, al honor, o a la dignidad humana, son personalísimos y, en principio, intransferibles por lo que el titular de los mismos sólo puede ser la persona viva, y ello sin perjuicio de reconocer que la persona ya fallecida, como realidad jurídicamente distinta, ha de ser objeto de una particular protección jurídica por cuanto el techo a la intimidad familiar puede verse afectado ( Auto del Tribunal Constitucional 149/1999, de 14 de junio ).”

Reconoce así mismo que no es un derecho absoluto,

En conclusión establece que la formación estaba bien desarrollada en el hospital y los sistemas de acceso no, ya que era un poco como se suele decir coloquialmente café para todos.

Dice más cosas pero en general en mi opinión lo más destacable de las 21 hojas de las que dispone la sentencia es más o menos lo anteriormente expuesto.

Sentencia completa sin datos personales

18 oct. 2011

Sentencia contra SNS-Osasunbidea en materia LOPD





SNS-O debe pagar 125.000 €

Tal y como publicó el Diario de Noticias de Navarra el pasado 12 de octubre, "La historia clínica de una mujer, ya fallecida, fue vista por 419 sanitarios en 2.825 ocasiones", por lo que la jueza entiende que las medidas de seguridad y el protocolo de Salud no son suficientes para garantizar la protección de datos.

En el fondo lo veía venir, ya que Osasunbidea arrastraba desde hace años claras deficiencias en la adaptación y cumplimiento de la LOPD y que decir del RD 1720/2007 que la desarrolla. La duda que me queda es si en la actualidad, tal y como comenté en un post anterior (Osasunbidea deberá auditar la seguridad en materia de protección de datos), se encuentra a día de hoy correctamente adecuada a la citada normativa sobre Protección de Datos de Carácter Personal o si por el contrario continua padeciendo dicha insuficiencia (ya que la sentencia es sobre un asunto de 2007).

En mi opinión este tipo de sentencias deja clara una cuestión y no es otra que la importancia de la formación, el problema no es que determinadas personas entren por puro "cotilleo" a un historial, sino que el propio centro no haya advertido claramente de su prohibición y de las consecuencias que puede acarrear el incumplimiento sobre dicha prohibición. Por no mencionar el hecho de la falta de procedimientos en cuanto a las medidas de seguridad se refiere, ya que deberían disponer de medios en el sistema de información de Osasunbidea para evitar los accesos no autorizados, así como de medios para poder registrar e identificar todos los accesos no autorizados de forma inequívoca, para poder proceder si fuese el caso, a la apertura de investigaciones y expedientes disciplinarios, en aquellos supuestos de accesos no autorizados que no dispusiesen de alguna disculpa coherente y justificada por la cual se hubiese producido el citado acceso no autorizado.

Por último destacar claramente una cuestión a todos los empleados del sector público y en especial al sanitario (en vistas a que estos últimos tratan y gestionan datos de mayor sensibilidad). Los datos personales son de las personas físicas, es decir, de los ciudadanos, no de los hospitales o centros sanitarios y mucho menos de sus empleados. Por ello los datos personales deben ser tratados y/o gestionados exclusivamente por personal autorizado para las actividades que tengan asignadas en sus funciones y para las finalidades descritas en las mismas.


En conclusión, a mi modo de ver es vital la formación y concienciación de los empleados ya que es fundamental de cara a evitar este tipo de noticias tan penosas y vergonzosas, consiguiendo de este modo entre otras cosas un servicio de mayor calidad y confianza para los ciudadanos.


7 jun. 2011

Hackean Inteco


Como ya casi todo el mundo sabe, INTECO ha sufrido un ataque en su plataforma de formación, la verdad es que últimamente hay muchas noticias sobre este tipo de ataques, pero de momento creo que la respuesta ante la incidencia de seguridad por parte de INTECO está siendo ejemplar, veremos en que para y que consecuencias tiene el ataque, ya que los usuarios afectos pueden ser 20.000 y eso son muchos usuarios, pero de momento el plan de contingencia y la reacción de INTECO creo que son adecuadas.

INTECO ha reconocido su fallo o el ataque sufrido en su página web, http://www.inteco.es/

Asi mismo en su web informa de los siguientes aspectos:

06/06/2011
El Instituto está adoptando las medidas necesarias para minimizar los daños a los usuarios de la Plataforma
El hecho ha sido descubierto hoy en el curso de actuaciones que lleva a cabo regularmente INTECO, en colaboración con empresas de seguridad de la información y otros centros de respuesta a incidentes de seguridad.
Según las primeras investigaciones, la sustracción de datos podría haber afectado a parte de los 20.000 usuarios de la plataforma y la información personal que habría sido robada se refiere exclusivamente a los siguientes datos, en el caso de que hubieran sido aportados por los usuarios:
  • Nombre y apellidos.
  • Número de teléfono.
  • DNI.
  • Correo electrónico.
INTECO ha puesto el incidente en conocimiento de la Brigada de Investigación Tecnológica de la Policía Nacional y está preparando un comunicado personalizado a los posibles afectados alertándoles de los riesgos derivados del incidente y de la manera de protegerse.
INTECO pide disculpas a los usuarios de su plataforma de formación en línea por los inconvenientes causados.
En el sitio web de INTECO (www.inteco.es) se irá ofreciendo información actualizada sobre este incidente.
Le recomendamos que siga los siguientes consejos de seguridad:
  1. Desde INTECO nunca se le solicitará información de carácter personal por correo electrónico o teléfono. No responda a ninguna petición de información de estas características.
  2. No haga clic en enlaces incluidos en mensajes de correo electrónico, mensajes SMS o MMS cuyo origen no sea confiable.
  3. Revise el estado de seguridad de su equipo. En particular, compruebe que el sistema operativo, el navegador y otras aplicaciones (entre otras las de seguridad) están debidamente actualizadas.
  4. Ante cualquier duda, póngase en contacto con INTECO en la dirección de correo electrónico: incidencias@cert.inteco.es
Otras publicaciones han dado eco a la noticia: http://www.diariodeleon.es

Actualización 1: INTECO no es la única organización que ha sufrido un ataque en las últimas horas, El FBI atacado por hackers

Actualización 2: La AEPD abre una investigación a INTECO. Nota informativa AEPD

Actualización 3:
Han matizado cuales han sido los datos que han sustraído de INTECO, http://www.inteco.es/Prensa/Actualidad_INTECO/INTECO_incidente_Seguridad
Sí han sustraído:
Nombre y apellidos.
Número de teléfono.
Dirección.
Sexo y fecha de nacimiento.
No han sustraído el número de DNI ni el correo electrónico de los usuarios, según el análisis forense realizado en INTECO.


Actualización 4:
http://www.abc.es/agencias/noticia.asp?noticia=863078

27 may. 2011

Suben las denuncias ante la AEPD en Navarra


Hoy he leído en "Diario de Noticias de Navarra" que en los últimos cinco años las denuncias ante la AEPD en materia de protección de datos se han duplicado desde 2006, la noticia cita que la mayoría de las denuncias provienen de un incremento de las mismas por parte de los empleados a las propias empresas donde trabajan. En cualquier caso siempre es bueno que los ciudadanos tomen conciencia de sus derechos y que los ejerzan cuando lo crean conveniente más si cabe con las modificaciones en materia sancionadora que ha introducido la Ley de Economía Sostenible, con novedades como la figura del apercibimiento, de forma que aquellas empresas que cometan una infracción leve o grave por primera vez, en lugar de ser sancionadas con una multa o sanción económica, la AEPD les advertirá de la irregularidad cometida y les requerirá la adopción de las medidas adecuadas que permitan, en cada caso, corregir la situación o evitar la repetición de la conducta infractora. Por ello al disponer de una primera advertencia antes de la sanción, con más razón los ciudadanos deberemos velar por nuestros Derechos en este Derecho Fundamental que es el Derecho a la Protección de Datos Personales.


Para ello, quiero recordar como se puede denunciar ante la AEPD y cual es el procedimiento, ¿Cómo denuncio ante la AEPD? ¿Qué hay que hacer?


23 may. 2011

Android y su agujero de seguridad


Android es un sistema operativo basado en Linux para dispositivos móviles, tales como teléfonos inteligentes o tablets. Fue desarrollado inicialmente por Android Inc., una firma comprada por Google en 2005. Es el principal producto de la Open Handset Alliance, un conglomerado de fabricantes y desarrolladores de hardware, software y operadores de servicio. En la actualidad las unidades vendidas de teléfonos inteligentes con Android se ubican en el primer puesto en los Estados Unidos, cuenta así mismo con más de 200.000 aplicaciones y hoy por hoy es el único sistema operativo que rivaliza directamente con el Apps Store de Apple.


No obstante, al igual que la todo poderosa Sony, Android ha mostrado fallos importantes en materia de seguridad, yo como usuario del mismo también me veo preocupado por esta cuestión, ya que por lo visto dispone de una brecha de seguridad en conexiones de red wifi abiertas, públicas o inseguras, de las cuales se puede acceder a datos del usuario tales como a datos personales y bancarios, esto sucede en versiones 2.3.3 (“Gingerbread”) y anteriores, este fallo de seguridad podría afectar al 99,7% de los usuarios de Android.

Así lo han manifestado algunos investigadores de la Universidad alemana de Ulm los cuales informaron de que algunas aplicaciones de Android transmiten datos confidenciales de autenticación sin asegurar adecuadamente cuando están conectados a una red Wi-Fi insegura, además permitirían, por ejemplo, que un atacante realizara cambios en dicha información sin conocimiento del usuario. De esta forma sería posible cambiar la dirección de correo electrónico almacenada del jefe de la víctima o algún socio de trabajo con la intención de recibir material sensible posteriormente.

Por otro lado FACUA-Consumidores en Acción ha solicitado a la Agencia Española de Protección de Datos (AEPD) que abra una investigación a Google por los fallos de seguridad del sistema operativo Android en 'smartphones' y tablets, por haberse vulnerado el "principio de seguridad de los datos", regulado en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por no contar con las suficientes medidas de seguridad.

Una posible solución por el momento:

Precaución a la hora de conectar el terminal móvil a redes Wifi púbicas o libres inseguras ya que resulta extremadamente sencillo capturar información que viaja en claro. Actualizar lo antes posible a la versión 2.3.4

Actualización: Android Market víctima de nuevo malware/ Security Alert: DroidDreamLight, New Malware from the Developers of DroidDream

Listado de aplicaciones afectadas.

Magic Photo Studio

Sexy Girls: Hot Japanese

Sexy Legs

HOT Girls 4

Beauty Breasts

Sex Sound

Sex Sound: Japanese

HOT Girls 1

HOT Girls 2

HOT Girls 3

Mango Studio

Floating Image Free

System Monitor

Super StopWatch and Timer

System Info Manager

E.T. Tean

Call End Vibrate

BeeGoo

Quick Photo Grid

Delete Contacts

Quick Uninstaller

Contact Master

Brightness Settings

Volume Manager

Super Photo Enhance

Super Color Flashlight

Paint Master

DroidPlus

Quick Cleaner

Super App Manager

Quick SMS Backup

GluMobi

Tetris

Bubble Buster Free

Quick History Eraser

Super Compass and Leveler

Go FallDown !

Solitaire Free

Scientific Calculator

TenDrip

Más info en http://blog.mylookout.com/2011/05/security-alert-droiddreamlight-new-malware-from-the-developers-of-droiddream/