8 sept 2014

Phishing

El Phishing es un clásico dentro de las amenazas de Internet, se trata de hacerse pasar por quien uno no es o no representa, es decir llevar acabo una suplantación de la identidad de un tercero.

Se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como "phisher", se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, habitualmente por medio de un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. Algunos ejemplos o supuestos relacionados,  Pharming (cambio de la dirección IP legítima de una entidad), SmiShing (Phising vía SMS) o Scam (premio de lotería o similar previo envío de dinero).


La entrada completa aquí





19 may 2014

6ª Jornada Abierta de la AEPD, 14 de marzo de 2014


Aunque un poco tarde, pongo a disposición este post que fue quedándose atrás en el tiempo pero que espero que resulte del interés del lector y que así comenzaba: 

Para aquellas personas que no pudieron acudir el pasado viernes 14 de marzo de 2014 al Teatro Real de Madrid a la 6ª Jornada de Puertas Abiertas de la AEPD, he realizado este pequeño resumen con intención de trasladar las cuestiones que allí se trataron y acontecieron.



En dicha jornada, muchas eran las cuestiones que estaban abiertas desde hace tiempo, en este campo del derecho y de la seguridad de la información, las cuales versaban desde las cuestiones relativas a las innovaciones tecnológicas como pueden ser el denominado como el Internet de las cosas, los drones”, el "derecho al olvido" etc. Así como otras cuestiones que también estaban pendientes tales como la aprobación del Reglamento Europeo de Protección de Datos de Carácter Personal o su no futura aprobación y como no, la cuestión recurrente y polémica en materia de “Cookies, su regulación, interpretación, ámbito de aplicación, sanciones o resoluciones.

Por tanto dado que hubo bastante materias bajo análisis, comenzaremos a describir las cuestiones allí tratadas en el orden según el programa de la jornada.

José Luis Rodríguez Álvarez como Director de la Agencia Española de Protección de Datos (AEPD) abrió la jornada hablando de las principales novedades en materia de protección de datos. Entre las cuales hizo referencia al nuevo reglamento Europeo de protección de datos del cual afirmo sin ningún genero de dudas que dadas las fechas era evidente que en esta legislatura no sería aprobado y por tanto no entraría en vigor, por lo que en ese sentido y a falta de poco más de un año de cumplirse los veinte años desde que se aprobase la Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Se abre una época de cierta incertidumbre en ese sentido.

Por otro lado y sorprendentemente, el Director de la AEPD no hizo ninguna referencia a lo expresado el pasado 12 de marzo en el artículo publicado por Europa press en referencia a la falta de recursos de la Agencia, en dicho artículo, el Director del órgano de control, remarcaba que en los últimos años la carga de trabajo se había incrementado hasta en la AEPD en un 300%. El por qué de este incremento tan asombroso puede deberse a varias razones, que cada cual saque sus conclusiones...

Así mismo y sin citar tampoco el caso de “Eduard Snowden” y la NSA, comentó el estado actual en el que se encontraba Europa respecto a la crisis de confianza generada por el espionaje manifiesto que se estaba dando de gran parte de la ciudadanía por los diferentes centros de inteligencia mundiales.

Comentó también los estudios que se están llevando a cabo por parte del Grupo Europeo de Protección de Datos del Artículo 29 respecto al reto en materia de privacidad en cuanto a los avances tecnológicos tales como el concepto del Internet de las cosas, drones y como no el Big data. Destacando de las citadas tecnologías el hecho de que pueden conllevar una enorme ingerencia en la vida privada de los ciudadanos. A todo ello apostillo que a pesar de que la innovación es fuente de bien estar, ello no quiere decir que se trate de un vector absoluto ya que puede cercenar derechos y libertades de los ciudadanos.


En ese sentido y para paliar determinados efectos negativos de la innovación, desarrollo su ponencia en cuanto al trabajo que desde la AEPD se está llevando a cabo en cuanto a la EIPD” o Evaluación de Impacto de Privacidad o de Protección de Datos” en Inglés PIA” “Privacy Impact Assessment” es muy interesante la guía sobre “PIA” del ICO en este sentido me parece altamente recomendable la lectura del artículo de Francisco Javier Sempere en Privacidad Lógica, actualizado tras la jornada del pasado viernes 14 de marzo de la AEPD en el que habla de estas cuestiones.

Posteriormente, continuó con la jornada y precisamente con ese tema, Emilio Aced Félez, Jefe de Área de la Unidad de Apoyo de la AEPD. Realizo su intervención en cuanto a la evaluación de impacto en la privacidad o PIA, como elemento altamente recomendable a llevar a cabo por las entidades a la hora de diseñar las áreas de negocio respecto a la privacidad, como elemento para llevar a cabo el concepto de Privacy by design u una privacidad desde el diseño a la realidad. Para ello, será por tanto recomendable, realizar un EIPD” o Evaluación de Impacto de Privacidad o de Protección de Datos”, para lo cual se requiere que el producto o servicio, sea analizado para comprobar si es necesaria o no una evaluación de impacto respecto a la privacidad.

Para llevar a cabo dicho análisis, según Emilio Aced Félez, es fundamental, definir los equipos de trabajo respecto a que cubre el proyecto y quien debe formar parte del mismo, es decir, que resultara apropiado que existan representantes de todo tipo, así como un DPO, y representantes de las áreas de negocio de la entidad. Todo ello en un intento de acercarse al concepto de “Privacy by Design” con la evaluación de impacto y sus riesgos potenciales. Es evidente el significativo parecido de estos preceptos y los establecidos en estándares internacionales como ISO 27001 e ISO 31000 los cuales han seguido o tomado como referencia (al menos así lo reconoce el ICO el cual a su vez parece haber influenciado de manera importante a la AEPD en esta materia).

Posteriormente, llegó el turno de María José Blanco Antón, Secretaria General de la AEPD, comento básicamente la página Web de la agencia y su sede electrónica, comento también la documentación (resoluciones, guías, materiales didácticos, modelos de documentos…) así como las herramientas que se encuentran disponibles en www.agpd.es tales como Evalua etc.

Antes de la pausa de la jornada, se procedió a la entrega de los premios de protección de datos 2013, de los cuales fueron premiadas las siguientes personas (noticia referenciada por Europa Press):

Premios de Comunicación – Premio Ex Aequo:

-. Marimar Jiménez (Cinco Días). -. Beatriz Navarro (La Vanguardia).






















Premios de investigación 2013:

-. Vicente Guasch Portas (Premios de investigación 2013).






















-. Ana Sánchez Henajeros (Premios de investigación 2013).





















Premio en la categoría de Trabajos originales e inéditos sobre protección de datos en países iberoamericanos otorgado a mi amiga y compañera Dolores Dozo y a Pablo Martinez. 

















Tras la pausa, se reanudo la jornada con la ponencia de Jesús Rubí Navarrete como Adjunto al Director de la AEPD, el cual, realizó una exposición en cuanto a la aplicación de la normativa de Cookies, citando algunos procedimientos incoados por vía de la LSSI y de la propia LOPD, destacando que cuando una aplica la otra no entra en juego o no tiene porque ya que son materia distintas.

Se citaron cuestiones respecto a Informes Jurídicos relevantes, la legitimación y la aplicación del interés legítimo (Art. 22.2 LOPD) etc.

En mi opinión el tema de las cookies no se ha solucionado de la mejor de las maneras y esto se trascendió también a la jornada así como a su planteamiento en este ámbito, sobre todo en lo que a las cuestiones que al final de la jornada se plantearon y las respuestas aportadas por la propia AEPD.


A continuación, tuvo lugar la ponencia de Don Agustín Puente Escobar, Abogado del Estado y Jefe del Gabinete Jurídico de la AEPD Informes y Sentencias Relevantes. Referenció la Política de Privacidad, con respecto a las ambigüedades que suelen encontrarse en los términos y condiciones de uso respecto al "podrá, podrán hacer uso.." etc. así como con cuestiones sobre como Google "podrá mejorar las experiencias del usuario..." y otras cuestiones relacionadas con temas o asuntos establecidos en determinadas cláusulas de grandes proveedores de servicios en Internet, los cuales en muchas ocasiones almacenan datos de forma injustificada... cuando la Ley Orgánica de Protección de Datos es clara en este sentido, ya que establece que deberán ser eliminados aquellos datos que no mantengan la finalidad para la cual fueron recabados y deberán ser proporcionales.

También se hablo sobre la libertad sindical, o de información, la tutela judicial efectiva etc. en concreto en lo que se refiere a que el derecho de Protección de datos y la apreciable cesión en favor de los anteriores así como por otras limitaciones competenciales por cuestiones geográficas etc. 


José López Calvo, Subdirector General de Inspección de Datos de la AEPD, principales resoluciones. Realizó una ponencia a toda velocidad, tal vez pecando de introducir demasiadas resoluciones para el poco tiempo del que disponía, no obstante destacan entre las mencionadas:

-. Calidad de los datos tasas de basuras a personas que no debían ser por vulneración de calidad de los datos.

-. Deber de información previo por el acceso del e-mail corporativo, para ello es necesario de informar a los mismos, destacar el tema del USB caso de concejales y partidos políticos, insertar información indebidamente en Internet, inserción de sentencias sin eliminar datos, cuestiones de páginas que incluyen supuestos. Imágenes de menores por padres separados etc.

-. Vídeo vigilancia: Captación de vía pública, ausencia de proporcionalidad y la no disposición de carteles.


-. Sanciones por altas sin consentimiento, sector de la energía, denuncias que han superando a la banca arrebatándole el segundo puesto y pasando esta al tercer puesto. Como desde hace algún tiempo,  el primero continua siendo el sector de las telecomunicaciones. También se comentó lo concerniente a los ficheros de morosidad.

-. Publicidad, vulneraciones, Spam, llamadas comerciales, sanciones vinculadas a publicidad viral, correo electrónico, retención de tarjetas que luego hacían lo contrario (finalidades distintas), exención del deber de información (tan sólo se ha admitido una).

-. Facebook, cancelación de datos, ha cancelado tras instancia, buscadores, captación de noticias de hace 30 años y de vídeos etc.


Otras cuestiones: Se han desestimado cuestiones relativas al art. 25.8 RDLOPD 1720/2007, no cabe la caducidad de la firma electrónica, casos de relevancia pública en cuestiones de correo electrónico, obtención del número de IP o en los casos respecto a los Boletines oficiales, salvo que existan razonamientos fundados por cuestiones de seguridad.


Registro General de Protección de Datos y Transferencias Internacionales, Don Julián Prieto Hergueta. Subdirector General del Registro General de Protección de Datos
Información aportada respecto a Ficheros:

-. 3.000.000 de ficheros inscritos.


-. Ficheros con más de un responsable, cada uno debe contar con los suyos.


-. Hay que obtener el consentimiento o acreditación respecto a quien va a inscribir los ficheros o que cuenta con poderes suficientes para ello.


-. Administraciones públicas, delegaciones de deporte, mancomunidades y también empresas externas deberán considerarse a efectos de responsables del fichero y deberán cumplir con las obligaciones que a ellas se le aplican.


-. Ficheros comunes para la prevención del blanqueo de capitales, con límites respecto al acceso de la información.


-. Aspectos de Seguridad: en cuanto a la seguridad deben tener un nivel de seguridad de nivel alto cuando se trate de personas de relevancia pública respecto a sus cargos.

-. Perfiles de empresa limitación en redes sociales y en especial de menores.

Bases de datos y cesiones, hay que ver el tema del no uso ya que hay o existe un plazo.

-. Verificar el fichero con fuentes accesibles al público.
-. LSSi excluye la aplicación de la LOPD. Se debe poder disponer el tema del recurso del envió no sólo en la Web sino también en otras cuestiones.

Disociación debe ser irreversible, ejemplo Padrón de habitantes en el que se quería hacer público en una Web disociándolos pero de una manera reversible.

Otros temas tratados respecto a ficheros:

-. Colegios profesionales.

-. Comunidad de vecinos.

-. Fichero de solvencia patrimonial:

-. Transparencia y acceso a la información ley Administración Pública, Ley de 1992 en el art. 32. Para la colaboración entre Administraciones tiene que acreditarse la trascendencia.

-. Cuestiones sobre Videovigilancia: Puestos de persecución de delitos por temas de responsabilidad civil (por cuestiones de auxilio) y en colegios para proteger a los menores y siempre que no se desvié la finalidad.


Rafael García Gozalo, Coordinador del Área Internacional de la AEPD realizó especial hincapié en las cuestiones relativas al BCR – CBPR WP 212. Para empresas o entidades con cesiones de datos entre sus matrices y filiales en materia de protección de datos.

Por último llego el turno de las cuestiones y Consultas planteadas por los asistentes. 
Muchas de las cuales versaron sobre materia referente a las cookies, materia de la cual en mi opinión en la AEPD adolecieron de técnicos expertos que hubiesen facilitado la resolución de determinados conflictos. No obstante con la vigente normativa tampoco se pueden hacer grandes interpretaciones o líneas de trabajo satisfactorias en este sentido.