Escándalo por filtración de datos personales

Desde varios post de este blog (véase por ejemplo Me da igual y Me sigue dando igual) se ha tratado de concienciar a todo el mundo de la importancia de seguir ciertas políticas de seguridad para mantener nuestros equipos y los datos que ahí guardamos a salvo de extraños. La ignorancia y la despreocupación sobre la seguridad de nuestro equipo y sobre la importancia de los datos que ahí puede haber guardados, se traslada muchas veces al ámbito del trabajo. Frente a la legislación actual que trata de proteger la privacidad en la gestión de los datos de carácter personal (véanse los post sobre LOPD en este mismo blog), siempre sigue habiendo personas, empresas, instituciones, que no ponen todo el énfasis que debieran en proteger los datos.

Hoy mismo se ha publicado una noticia en la que se informa de que más de 11.000 historias clínicas de pacientes, entre las que se incluyen 4.000 historias de casos de abortos, han podido ser filtradas desde una clínica de Bilbao. La noticia es especialmente preocupante ya que los datos fueron compartidos a través de la red P2P de emule, lo cual indica deficiencias graves de seguridad por parte del empleado/s (que utilizaron el emule en el trabajo sin preocuparse de lo seguro que podía ser) y también por parte de la clínica (que no se ha preocupado por la seguridad de su red informática). La clínica en cuestión ha sido sancionada con 150.000 euros por la agencia española de protección de datos (AEPD) lo cual obviamente ha hecho que tome conciencia del problema e implante medidas de seguridad estrictas en sus sistemas informáticos. No obstante, según la misma noticia, este no es un caso aislado. La agencia de protección de datos ha abierto 21 expedientes a lo largo de 2007 por filtraciones a Internet de datos personales sobre historias clínicas, datos personales de recursos humanos, solicitantes de adopciones internacionales, etc.

¿Está nuestra privacidad a salvo en la era de la información? .......

Guzmán Santafé
S21sec labs

¿Cambiarán las interceptaciones de comunicaciones y la conservación de datos de tráfico y localización tal y como las conocemos?

Casi a la par se están produciendo dos recursos sobre dos normativas que afectan de forma importante al negocio de los operadores de comunicaciones electrónicas, pero sobre todo a los derechos fundamentales de todos nosotros a la intimidad personal y familiar, al secreto de las comuncaciones y a la autodeterminación informativa o privacidad.

Por un lado, y en España, después de que el Tribunal Supremo rechazara el recurso de la Asociación de Internautas contra el régimen de las interceptaciones de las comunicaciones recogido en el Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios (en adelante, "RD 424/2005"), ahora la AI contrataca interponiendo un nuevo recurso contra esta norma, esta vez en el Tribunal Constitucional. El motivo principal no es otro que en lugar de mediante ley orgánica, los derechos fundamentales afectados por esta regulación han tenido su base en una ley cuya aprobación no ha requerido mayoría absoluta.

Por otro lado, pero en este caso en Irlanda aunque con repercusión a nivel europeo, el Gobierno interpuso un recurso contra la Directiva 2006/24/CE, sobre la conservación de datos generados o tratados en lreación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, si bien este recurso se basa en los defectos formales en su adopción, de modo que ha sido aprobada no por unanimidad, sino por mayoría. A ello se han sumado Open Rights Group, Statewatch y Privacy International, entre otros 40 grupos defensores de derechos civiles han presentado una objeción a la Directiva 2006/24/CE, sumándose a la iniciativa del Gobierno irlandés, pues opinan de idéntica forma sobre los defectos formales de su tramitación, pero también alegando que la referida Directiva atenta contra el derecho a la privacidad, la libertad de expresión y la libertas de inforamción de las personas, además de ir contra el derecho a la propiedad de los operadores de comunicaciones electrónicas

En España, a pesar de que ya no queda prácticamente nada para que llegue el 8 de mayo, fecha para la que los operadores de comunicaciones electrónicas habrán de haber iniciado la conservación de los datos de tráfico y localización, aún seguimos sin que se haya aprobado la Orden Ministerial conjunta de los Ministros de Interior, de Defensa y de Economía y Hacienda regulando la forma en la que los operadores deban ceder los datos retenidos a los agentes facultados y que debiera haber estado lista el pasado 8 de febrero.

Desde luego, con la normativa sobre interceptación de comunicaciones electrónicas ya en vigor desde hace tiempo, y con el 8 de mayo a la vuelta de la esquina, en los próximos años podremos ver si nos cambían las reglas del juego tal y como las conocemos. Veremos entonces si entonces será aún más necesario que se revise íntegra y adecuadamente el desarrollo legislativo del artículo 18 de nuestra Constitución, o si por contra el legislador sigue en sus trece. Mucho me temo que puede ser mas lo segundo que lo primero.

Álvaro Del Hoyo
Departamento de Consultoría

Guía de seguridad RLOPD de la AEPD

Desde hace un rato está disponible en la web de la AEPD la "Guía de seguridad" con base en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD").

No habrá que perder de vista esto que dijimos recientemente en relación con los ficheros de datos de carácter personal preexistentes, sean estos automatizados o no,

Este nuevo documento llega un poco a traición de quienes asistan mañana a la 1ª Sesión Anual Abierta de la AEPD, que no podía ser de otra manera, este año se ha dado en denominar "El Nuevo Reglamento de desarrollo de la Ley Orgánica de Protección de Datos: Problemática, interpretación y aplicación".

Álvaro Del Hoyo
Departamento de Consultoría

Adaptados los formularios de inscripción de ficheros del Sistema Nota

Por este aviso oficial de la AEPD nos enteramos de que hoy mismo han sido publicados los nuevos formularios del Sistema Nota para inscripción de ficheros de datos de carácter personal de titularidad pública y privada de conformidad con el nuevo régimen reglamentario traído por el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD").

El procedimiento de inscripción de la creación, modificación o cancelación de oficio (a instancia de parte o de oficio) de ficheros en el Registro General de Protección de Datos está regulado en el Capítulo IV del Título IX del RLOPD, reglamento que entró en vigor el pasado sábado 19 de abril de 2008.

Como novedad en el formulario de inscripción de ficheros de titularidad privada se ha incluido una nueva notificación tipo precumplimentada para notificar los ficheros de Videovigilancia.

Los nuevos formularios pueden ser accedidos aquí.

Álvaro Del Hoyo
Departamento de Consultoría

Entra en vigor el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999

Hoy mismo, 19 de abril de 2008, pasados tres meses ya desde su publicación en el BOE, ha entrado en vigor el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD").

Se desarrolla con esta norma no sólo un nuevo o modificado régimen en cuanto a las medidas de seguridad exigibles de conformidad con el principio de seguridad, sino todo el articulado de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), habiendo además traido consigo por fin un desarrollo reglamentario específico los ficheros no automatizados de datos de carácter personal. Ya nos hemos hecho eco aquí de las novedades que trae consigo el RLOPD y seguiremos haciéndolo.

Debe tenerse en cuenta no obstante que:

• la Disposición Transitoria Primera da un plazo de un año para la adaptación de los Códigos Tipo inscritos en el Registro General de Protección de Datos;
  
• la Disposición Transitoria Segunda establece diferentes plazos de implantación para las medidas de seguridad de los ficheros automatizados y no automatizados preexistentes, así como para la implantaciones de las medidas adicionales que no estuvieran previstas en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (en adelante, "RMS"), con lo que el articulado relativo a medidas de seguridad no será aplicable a estos ficheros hasta pasados 12, 18 ó 24 meses según los casos;
  
• las Disposiciones Transitorias Tercera, Cuarta y Quinta establecen que las solicitudes para el ejercicio de los derechos de las personas y los procedimientos y actuaciones previas iniciados con anterioridad a hoy, 19 de abril de 2008, se regirán por la normativa anterior y no por el RLOPD; y
• han quedado derogados el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de los datos de carácter personal, el RMS y todas las normas de igual o inferior rango que contradigan o se opongan a lo dispuesto en el RLOPD.
  

Con respecto a la moratoria sobre la implantación de las medidas de seguridad es preciso además tener en cuenta que la exención de responsabilidad puede no alcanzar a las infracciones por vulneración de los principios distintos del de seguridad establecidos por la LOPD, de modo que podría darse el caso de que la AEPD sanciones a quienes pudieran sufrir por ejemplo una fuga de información, que quizás hubiese podido ser evitado de haber mediado las nuevas medidas de seguridad aún no implantadas. La fuga de información es un incidente de seguridad que consistiría en una vulneración del deber de secreto, infracción que dependiendo del tipo de datos de carácter personal revelados podría ser leve (art. 44.2.e LOPD), grave (art. 44.3.g LOPD) o muy grave (art. 44.4.g LOPD).

Habrá que estudiar en detalle hasta qué punto las Resolucioes e Instrucciones emitidas por la AEPD contradicen o se oponen al RLOPD para determinar si permanecen en vigor total o parcialmente.

Álvaro Del Hoyo
Departamento de Consultoría

Proveedores de correo electrónico y conservación de datos (actualización)

Después del debate sobre la política de retención de datos de Google y sobre la consideración de las direcciones IP como dato de carácter personal, y visto el avance que ya nos había dado la AEPD, parece que ya está próxima la publicación de la Opinión del Grupo del Art. 29 sobre tratamiento de datos de carácter personal por los buscadores de Internet.

Como aperitivo, ayer nos llegaba la versión final no oficial de la Opinión, que como podéis comprobar fue publicada en la página web de la autoridad de protección de datos de carácter personal de Holanda. A este documento rápidamente Google daba réplica y la AEPD nos facilitaba un resumen.

Pues bien, este documento va a ser de vital interés no sólo para los buscadores de Internet, sino también para todo propietario de servidores web que generen cookies y logs de visitas para tratarlos para finalidades como mejorar los servicios de la Sociedad de la Información o los procesos de contratación electrónica ofrecidos, optimizar los buscadores sobre el dominio propio, disponer de estadísitcas de visitas, implantar soluciones de seguridad o prevención del fraude, generar perfiles de usuarios y clientes,... y aquellos que incluso estén facilitando el uso de cookies por terceros como por ejemplo sucede con las cookies de las empresas de publicidad on-line.

La Opinión trae consigo algunos temas que se están tratando como novedosos, pero no hay que perder de vista que otros documentos del Grupo del Art. 29 que son citados en la Opinión y que son la fuente de estos temas pretendidamente novedosos como el ámbito de aplicación de la Directiva 95/46/CE, la consideración de las direcciones IP como dato de carácter personal y las particularidades en el tratamiento de las cookies.

Algo que puede tener especial trascendencia en lo que a la aplicación de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, es que el Grupo del Art. 29 manifiesta que, si bien al servicio de búsquedas de Google no le aplica la Directiva conservación de datos, ésta sí que es de aplicación al servicio de correo electrónico disponible al público de GMail.

Google seguramente opera en el mercado como proveedor de correo electrónico haciendo uso del servicio de acceso a Internet provisto por algún ISP. Éste es precisamente uno de los casos que más dudas está trayendo consigo en lo referente al ámbito subjetivo de la ley de conservación de datos. En mi opinión, la ley aplica a este tipo de proveedores si bien es cierto que por manifiesta imposibilidad técnica en ningún caso podrán atender al requerimiento de conservación:

• Con respecto a los datos necesarios para rastrear e identificar el origen de una comunicación

• El número de teléfono asignado a toda comunicación que acceda a la red pública de telefonía (art. 1.a.2.ii)
  

• Con respecto a los datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:

• El número de teléfono de origen en caso de acceso mediante marcado de números (art. 1.e.3.i) ; o

• La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación (art. 1.e.3.ii).

Estos datos deberán ser conservados por los proveedores de acceso a Internet contratados por los proveedores de correo electrónicos disponibles al público.

Por otra parte, es importante tener claro a este respecto que las empresas que se dotan de servidores de correo electrónico para autoconsumo no son consideradas operadores de comunicaciones electrónicas y por lo tanto no son sujeto pasivo de la legislación de telecomunicaciones ni de la ley de conservación de datos.

Un caso bastante similar al de este tipo de proveedores de correo electrónico es el de los revendedores y los operadores móviles virtuales, con la diferencia de que en estos casos los operadores de telefonía fija o móvil o los proveedores de acceso a Internet se configuran como encargados del tratamiento. De ahí la vital importancia de contar con contratos que dén cumplimiento a lo dispuesto en el artículo 12 LOPD y en el RLOPD, sin olvidar incluir provisiones específicas para la transición a otro operador de acceso en los casos de terminación del contrato que une a revendedor u operador móvil virtual con aquél.

En los próximos días publicaré algunos posts sobre algunas de las cuestiones más relevantes de la Opinión que ha dado pie a este correo.

ACTUALIZACIÓN: El Grupo del Artículo 29 ya ha hecho pública la versión oficial de la Opinión sobre tratamiento de datos de carácter personal por los buscadores de Internet (WP 148). En los próximos días iré publicando posts sobre los temas más relevantes tratados.

Álvaro Del Hoyo
Departamento de Consultoría

Proveedores de correo electrónico y conservación de datos

Después del debate sobre la política de retención de datos de Google y sobre la consideración de las direcciones IP como dato de carácter personal, y visto el avance que ya nos había dado la AEPD, parece que ya está próxima la publicación de la Opinión del Grupo del Art. 29 sobre tratamiento de datos de carácter personal por los buscadores de Internet.

Como aperitivo, ayer nos llegaba la versión final no oficial de la Opinión, que como podéis comprobar fue publicada en la página web de la autoridad de protección de datos de carácter personal de Holanda. A este documento rápidamente Google daba réplica y la AEPD nos facilitaba un resumen.

Pues bien, este documento va a ser de vital interés no sólo para los buscadores de Internet, sino también para todo propietario de servidores web que generen cookies y logs de visitas para tratarlos para finalidades como mejorar los servicios de la Sociedad de la Información o los procesos de contratación electrónica ofrecidos, optimizar los buscadores sobre el dominio propio, disponer de estadísitcas de visitas, implantar soluciones de seguridad o prevención del fraude, generar perfiles de usuarios y clientes,... y aquellos que incluso estén facilitando el uso de cookies por terceros como por ejemplo sucede con las cookies de las empresas de publicidad on-line.

La Opinión trae consigo algunos temas que se están tratando como novedosos, pero no hay que perder de vista que otros documentos del Grupo del Art. 29 que son citados en la Opinión y que son la fuente de estos temas pretendidamente novedosos como el ámbito de aplicación de la Directiva 95/46/CE, la consideración de las direcciones IP como dato de carácter personal y las particularidades en el tratamiento de las cookies.

Algo que puede tener especial trascendencia en lo que a la aplicación de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, es que el Grupo del Art. 29 manifiesta que, si bien al servicio de búsquedas de Google no le aplica la Directiva conservación de datos, ésta sí que es de aplicación al servicio de correo electrónico disponible al público de GMail.

Google seguramente opera en el mercado como proveedor de correo electrónico haciendo uso del servicio de acceso a Internet provisto por algún ISP. Éste es precisamente uno de los casos que más dudas está trayendo consigo en lo referente al ámbito subjetivo de la ley de conservación de datos. En mi opinión, la ley aplica a este tipo de proveedores si bien es cierto que por manifiesta imposibilidad técnica en ningún caso podrán atender al requerimiento de conservación:

• Con respecto a los datos necesarios para rastrear e identificar el origen de una comunicación

• El número de teléfono asignado a toda comunicación que acceda a la red pública de telefonía (art. 1.a.2.ii)
  

• Con respecto a los datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:

• El número de teléfono de origen en caso de acceso mediante marcado de números (art. 1.e.3.i) ; o

• La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación (art. 1.e.3.ii).

Estos datos deberán ser conservados por los proveedores de acceso a Internet contratados por los proveedores de correo electrónicos disponibles al público.

Por otra parte, es importante tener claro a este respecto que las empresas que se dotan de servidores de correo electrónico para autoconsumo no son consideradas operadores de comunicaciones electrónicas y por lo tanto no son sujeto pasivo de la legislación de telecomunicaciones ni de la ley de conservación de datos.

Un caso bastante similar al de este tipo de proveedores de correo electrónico es el de los revendedores y los operadores móviles virtuales, con la diferencia de que en estos casos los operadores de telefonía fija o móvil o los proveedores de acceso a Internet se configuran como encargados del tratamiento. De ahí la vital importancia de contar con contratos que dén cumplimiento a lo dispuesto en el artículo 12 LOPD y en el RLOPD, sin olvidar incluir provisiones específicas para la transición a otro operador de acceso en los casos de terminación del contrato que une a revendedor u operador móvil virtual con aquél.

En los próximos días publicaré algunos posts sobre algunas de las cuestiones más relevantes de la Opinión que ha dado pie a este correo.

Álvaro Del Hoyo
Departamento de Consultoría

Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados

Otra de las novedades que incorpora el nuevo reglamento de seguridad de la LOPD son las medidas que las empresas deberán aplicar a los datos en soporte papel. Dichas medidas quedan detalladas principalmente entre los artículos 105 y 114 del RD 1720/2007 (Título VIII Capítulo IV).


En las próximas líneas intentaremos desgranar los requisitos que se establecen y las implicaciones que se derivan desde el punto de vista de la gestión de los datos en soporte papel.

El Artículo 106 establece la necesidad de seguir unos criterios de archivo de la documentación. En los casos en que estos criterios no estén establecidos en una legislación específica, se hace necesario que el responsable del fichero establezca los criterios de archivo. Es en este último escenario en el que será recomendable disponer de una política específica que establezca las directrices para el tratamiento de los documentos con datos personales. Estas directrices, a su vez, deberán estar respaldadas por los procedimientos de actuación correspondientes.

Los Artículos 107 y 111 nos indican de forma explícita que el control de acceso a la documentación debe realizarse mediante la aplicación de controles físicos, lo cual dificulta tanto la aplicación de los controles (en caso de no existir) como la continuidad en el tiempo de la aplicación de las medidas que se apliquen (el factor humano juega aquí un papel crucial en la aplicación continua de los controles).

Una buena medida a considerar relacionada con el Artículo 108 Custodia de los soportes, es la inclusión de cláusula de confidencialidad con las empresas de limpieza. El personal de limpieza accede a áreas o zonas que contienen documentación con datos de carácter personal que no está archivada en los dispositivos de almacenamiento habitual (a los que se refieren los artículos 107 y 111) y sobre los que también se deberá impedir el acceso no autorizado. Puesto que la operativa diaria no puede evitar que, en un momento dado, el persona de limpieza tenga acceso a la documentación que esté en proceso de revisión o tramitación, es recomendable disponer de controles compensatorios como el propuesto.

El Artículo 112.2 establece la necesidad de destruir las copias de forma segura, es decir, evitando el acceso a la información contenida en las mismas o su recuperación posterior. En este caso, para dar debido cumplimiento a los requisitos establecidos se pueden plantear tres alternativas posibles:

1.- Disponer de contenedores específicos para la destrucción de documentos confidenciales: Dichos contenedores sería recomendable que estuvieran cerrados con llave evitando que queden abierto pues, en ese caso, serían equivalentes a una papelera convencional.
2.- Disponer de destructoras de papel (trituradoras) que garanticen la imposibilidad de recuperar la información. Estas destructoras pueden ser personales, departamentales o compartidas por varios departamentos de la empresa.
3.- Externalizar el servicio de destrucción de documentos en soporte papel: En este caso es aconsejable que se establezcan cláusulas orientadas a garantizar la confidencialidad durante la recogida y transporte de los documentos, establecer contractualmente el tamaño del residuo una vez destruidos los documentos y, como e todo contrato de externalización de servicios, tener potestad auditora sobre el prestador. Estas cláusulas permitirán atender, en parte, los requisitos descritos en el Artículo 114 relativo al traslado de documentación, que debe realizarse con las debidas garantías que impidan el acceso o manipulación de la información que sea objeto de traslado.


Joan Ayerbe
Manager de Consultoría, CISM.

Datos especialmente protegidos frente a la aplicación del los niveles de seguridad de acuerdo al Art. 81.5.

En diversas ocasiones se ha dicho de la LOPD que es probablemente una de las normativas de protección de datos más severas del mundo. Esta dureza ha sido criticada hasta la saciedad especialmente por el sector de las PYMES, quienes han considerado injusto determinadas situaciones como que el tratamiento que pudiese realizar un pequeño empresario o profesional autónomo con un PC de sobremesa (y en muchos casos clónico), con una sencilla aplicación de gestión del negocio, podía ser sancionado por un mismo concepto, con una multa de cuantía semejante a la que podrían imponer a una empresa multinacional, cuyos tratamientos pueden realizarse en un Centro de Procesamiento de Datos, cuyas dimensiones podrían ocupar el mismo espacio físico que la nave o taller del empresario al que hacemos referencia.

El artículo 81.5 muestra una clara intención de rebajar o paliar el perjuicio que puede suponer para sectores como el de los pequeños empresarios y/o profesionales autónomos, de tener que adoptar niveles de seguridad semejantes a los que tendría que adoptar un hospital por el tratamiento de los datos de salud sobre sus historias clínicas, por el simple hecho de tener que tratar de forma puntual algún dato especialmente protegido (dato de minusvalía, afiliación sindical, etc.), para dar cumplimiento a un requisito legal de carácter administrativo.

De entre los sectores más desfavorecidos, el sector de las PYMES es uno de los visiblemente más perjudicados, ya que se han visto obligados a destinar tiempo y recursos para poder dar cumplimiento a estas medidas tan técnicas y rigurosas, y que en muchos casos han tenido que adquirir aplicaciones adaptadas a estos nuevos requerimientos.

La primera parte del artículo 81.5.a exime del cumplimiento de las medidas de nivel alto de seguridad, a aquellos responsables de fichero que tratan los datos con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. Claramente en este artículo se está haciendo referencia al caso de los datos de afiliación sindical que los trabajadores comunican al empresario, para que éste descuente de su nómina, el importe de la cuota de afiliación sindical correspondiente.

Por otro lado en el artículo 81.5.b, se exime del cumplimiento de las medidas de nivel alto a aquellos responsable de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. En este apartado se estaría haciendo referencia a situaciones como aquellas en las por ejemplo; un agente inmobiliario para poder verificar la solvencia de un arrendatario, le solicita algún documento (por ejemplo la nómina) en la que se hace referencia a un dato especialmente protegido. En este caso la finalidad principal del fichero sería la gestión del arrendamiento, aunque de forma accesoria se incorporaría una copia de la nómina del arrendatario a efectos de poder justificar la solvencia de éste.

Como conclusión podríamos interpretar el artículo 85 del nuevo reglamento, como un claro ejemplo del esfuerzo por parte del legislador por adaptar las regulaciones a la realidad y a las casuísticas cotidianas de las organizaciones, liberándolas del cumplimiento de unas medidas que vienen, a su vez, impuestas por el cumplimiento de otras normativas como serían los requisitos relacionados con la gestión laboral de los trabajadores, sin que exista otra finalidad (más allá de esa gestión laboral) para el tratamiento de los datos de nivel alto.

Podemos encontrar en este sentido otros ejemplos en el nuevo reglamento que indican el esfuerzo del legislador por regularizar situaciones habituales de la actividad económica, como es el caso de la subcontratación de servicios que viene recogida en el articulo 21. Aunque esto nos daría pie a otro post……

Alfonso Escobar.
Consultor de Seguridad.

El "pretexting" en la legislación española

El "pretexting" es un tipo de ingeniería social realizada por teléfono que consiste en la creación del pretexto suficiente para hacer creer que se está ante una determinada persona a un teleoperador del servicio de atención al cliente de la compañía que posee los datos personales de la persona objetivo.

Antes de llamar al servicio de atención al cliente del responsable del fichero, el atacante ha realizado una labor de recopilación de información suficiente -nombre y apellidos, domicilio, DNI, número de teléfono,...- que le ayude a obtener otros datos personales adicionales haciéndole creer al teleoperador que está ante la persona que el atacante finge ser o, más grave aún, sin hacerse pasar por él o ella argumentando que necesita esos datos para cualquier fin que cree empatía en el teleoperador como para que los revele. Esta práctica del "pretexting" se diferencia del "phishing" en que el ataque va dirigido contra una persona en concreto, pero aprovechando la deficiencia de los procedimientos de seguridad de los servicios de atención al cliente de operadores de telecomunicaciones, bancos, aseguradoras,... o la posible candidez o la solidaridad de los teleoperadores.

Este tipo de ingeniería social se hizo notorio cuando se descubrió que unos detectives privados contratados por HP habían empleado el "pretexting" para acceder a los registros telefónicos de varios de sus consejeros, ya que se sospechaba que estaban pasando información confidencial a determinados periodistas. Los detectives privados accedieron a los registros telefónicos fijos y móviles de los consejeros, los periodistas y de personas del círculo íntimo de todas ellas. Una vez se destapó el escándalo la entonces presidenta de HP, Patricia Dunn, se vio en la obligación de dimitir y la compañía fue investigada por diversas autoridades americanas y no tuvo más remedio que celebrar acuerdos de transacción con los consejeros y los periodistas y personas relacionadas que fueron investigados y con el Fiscal General de California. El escándalo derivó finalmente en la aprobación por el Congreso de una ley federal que prohibe el "pretexting".

Nuestro Tribunal Constitucional declaró que "el derecho a la protección de datos personales atribuye a su titular una haz de facultades, a saber: el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos. En definitiva, el poder de disposición sobre los datos personales". Cuando los clientes de compañías de telecomunicaciones, compañías eléctricas, bancos y cajas de ahorro, compañías de seguros,... recurren a los servicios de atención telefónica por estas entidades provistos se produce un tratamiento de datos personales que han sido recabados con la finalidad de mantener una relación negocial entre ambas partes. Relaciones a lo largo de las cuales los clientes de estas compañías podrán ejercer los derechos de acceso, rectificación, cancelación y oposición que la LOPD les reconoce. Es precisamente en la existencia del derecho de acceso en la que se basa la técnica del "pretexting", ya que su objetivo final es conocer o hacerse con los datos personales en poder de estas compañías, ya sea suplantando la identidad de la persona o sin ni siquiera ello tratando de aprovechar la ingenuidad o la compasión de los teleoperadores.

En el sector financiero, y más en concreto en los bancos y cajas de ahorros, se ha decidido implantar sistemas de autenticación telefónica basados en el conocimiento de ciertos datos personales (nombre, apellidos, DNI, número de tarjeta,...), y adicionalmente de claves personales de los que se solicitan al menos dos caracteres para poder acceder a los datos que obran en poder del responsable del fichero (los denominados "PINes parciales") o de coordenadas solicitadas aleatoriamente y que se encuentran impresas en tarjetas provistas previamente a los clientes (conocidas como "tarjetas de barcos"). Para ordenar o autorizar operaciones se suele exigir una clave personal diferente o unas nuevas coordenadas. Es por ello que ante estos tipo de sistemas de autenticación telefónica el éxito de quienes hacen uso del "pretexting" depende del acceso previo a datos diferentes a aquellos que pueden ser obtenidos de informaciones públicas o fácilmente accesibles en Internet, guías telefónicas,... Sin embargo, por lo general en los servicios de atención telefónica de compañías del sector de las comunicaciones, el sector eléctrico o las compañías de seguros emplean sistemas de autenticación telefónica basados en el desafío-respuesta en torno a datos personales que pueden ser fácilmente accesibles para cualquier persona. Ello puede tener especial relevancia en el caso de los operadores de telecomunicaciones que puedan ser objeto de prácticas de "pretexting", dado el nivel de información que sobre una persona se puede acceder conociendo sus datos de facturación telefónica.

En el próximo post veremos de qué manera el Derecho español incide en la figura del "pretexting".

Álvaro Del Hoyo
Departamento de Consultoría

Procedimiento para la Autorización de Conservación de Datos para fines Históricos y Estadísticos (Título IX Capitulo VII Sección Segunda)

El presente procedimiento supone una novedad dado que establece un procedimiento para obtener de la AEPD una declaración de la concurrencia para el tratamiento de datos con valor histórico, científicos o estadísticos.

En dicho procedimiento se establece la necesidad de realizar una solicitud:

• Que identifique claramente el tratamiento de datos al que se aplica la excepción.
• Que este motivada expresamente las causas que justificarían la declaración.
• La exposición detallada de las medidas de seguridad que el responsable del fichero se propone implantar.

Lo que no se establece y tasa en este Art. 157 es el ámbito de aplicación de dicho procedimiento, lo que ha causado problemas de interpretación notables en al ámbito privado, hasta el punto de que ciertas organizaciones se planteen, a partir del 19 de abril iniciar un procedimiento para la autorización de conservación de datos para fines históricos, estadísticos o científicos, por ejemplo para conservar expedientes de clínicos o de las secuelas de un accidente laboral.

Tanto es así que algunas consultoras de reputado renombre incluyen en sus fichas de producto para la adecuación al RD 1720/2007 la recomendación de tomar decisiones para acelerar dicho procedimiento con anterioridad de la entrada en vigor del texto.

Lo que parece que no han hecho es relacionar el Art. 157 con el Art. 8.6 en cuanto establece la necesidad de cancelar los datos cuando hayan dejado de ser necesarios o pertinente a la finalidad para la cual fueron recabados, salvo que de su utilización pueda exigirse algún tipo de responsabilidad derivada; y con el Art. 9 1 cuando determina que el tratamiento con fines estadísticos, históricos o científicos se establece en:

• Ley 12/1989 Reguladora de la Función Estadística Pública
• Ley 16/1985 del Patrimonio Histórico Español
• Ley 13/1986 de Fomento y coordinación General de la Investigación

Lo que si parece claro con esta relación es que las organizaciones que se pueden acoger a la conservación de los datos con fines estadísticos, históricos y estadísticos solamente serán aquellas que traten los datos previstos en las regulaciones que establece Art.9.1 y en ningún caso cualquier persona jurídica

Por lo que el procedimiento aplicará normalmente a las AAPP y a aquellas Administraciones del Estado y las entidades de ella dependientes; la organización de sus servicios estadísticos y sus relaciones en materia estadística con las Comunidades Autónomas y las Corporaciones Locales, así como con la Comunidad Europea y Organismos Internacionales. (Art. 2 Ley 12/1989)

David Imizcoz Etxeberria
Manager de Consultoría

Comienza el Reto de la adecuación a la normativa de desarrollo de la LOPD 15/1999

Como os comentamos hace unas semanas, queremos que marzo sea un mes especial centrado en la adecuación a la normativa de desarrollo de la LOPD 15/1999 tras la aprobación del Real Decreto 1720/2007.
Hoy comenzamos con la serie de post que comentamos en su día. Por la tarde publicaremos el primero de los post titulado "Procedimiento para la Autorización de Conservación de Datos para fines Históricos y Estadísticos (Título IX Capitulo VII Sección Segunda)".

Para nosotros es muy importante vuestra aportación mediante comentarios, así que contamos con vuestra presencia para enriquecer el contenido con diferentes puntos de vista.

Seguimos en contacto.
Saludos!

Datos personales, direcciones IP y los movimientos de Google (III)

En relación con esta serie de posts, 1 y 2, hemos de indicar que Google ha dado un nuevo paso. Y el Grupo del Artículo 29 también.

Por otra parte, gracias al blog de Samuel Parra he accedido a esta interesante resolución de la AGPD en la que se decide que dada la posibilidad de modificar una dirección IP no se puede determinar con exactitud que un usuario de una red local, haciendo uso del equipo informático que la empresa le tenía asignado, fuera quien publicó en una página web datos personales contenidos en un fichero responsabilidad de aquélla.

Una buena monitorización y gestión de "logs" podía haber ayudado a esta empresa a evitar la interpretación hecha en la jurisdicción social.

Álvaro Del Hoyo
Departamento de Consultoría

Datos personales, direcciones IP y los movimientos de Google (II)

Peter Fleischer, responsable de privacidad para Europa de Google, ha publicado un nuevo post en su blog personal acerca del debate sobre la consideración o no de las direcciones IP como datos de carácter personal.

Expone los mismos argumentos en contra del carácter personal de las direcciones IP que exponía yo en nuestro anterior post sobre este tema, pero sigue olvidándose de tomar en cuenta que los buscadores de Internet, proveedores además de otros muchos servicios de la Sociedad de la Información, adquieren cantidades ingentes de datos que relacionan o pueden relacionar con los identificadores únicos que asignan a los navegadores de sus usuarios y que se recopilan junto con las direcciones IP fijas o dinámicas que estos emplean.

Parece que Peter Fleischer declaró que "there is no black or white answer: sometimes an IP address can be considered as personal data and sometimes not, it depends on the context, and which personal information it reveals" y quizás sus propias palabras le estaban dirigiendo a la respuesta que no espera recibir del Grupo del Artículo 29.

Me temo que próximamente todos los buscadores de Internet se van a llevar un par de jarros de agua fría en forma de Dictamen del Grupo del Artículo 29: uno, sobre el uso de "logs" y "cookies" y, otro sobre publicidad contextual. Aparte de la que se le pueda venir encima en términos de privacidad a Google en relación con la compra de Double-Click.

En cualquier caso, sí que estoy de acuerdo con Peter Fleischer en destacar los problemas que trae consigo la consideración de las direcciones IP como datos de carácter personal en relación con el deber de información, el principio de consentimiento, ya sea para el tratamiento o para la cesión de las direcciones IP, o con las transferencias internacionales de estos datos o con el ejercicio de derechos de acceso, rectificación cancelación y oposición.

Pensemos por ejemplo en el tratamiento que de los datos de tráfico -las direcciones IP lo son- están habilitados los ISPs a llevar a cabo para la gestión de la seguridad de sus servicios y redes (ver artículo 4 de la Directiva 2000/58/CE) o en el tratamiento de direcciones IP que hacen los CERT para la vigilancia de la Red y la defensa organizada contra el ciberterrorismo o ataques a gran escala contra los usuarios de la Red.

¿No sería mejor que los ISPs no necesitaran de consentimiento para la cesión entre operadores para combatir de forma conjunta ataques distribibuidos, el "spam" o el "phishing"? ¿Realmente no sería beneficioso que un CERT quede excepcionado de cumplir con los principios de transparencia, consentimiento y cesión con respecto a las direcciones IP que tratan?

Veremos en qué resulta finalmente todo este debate.

¿Alguna modificación en ciernes de la regulación europea de la privacidad?

Álvaro Del Hoyo
Departamento de Consultoría

Marzo, el Reto de la adecuación a la normativa de desarrollo de la LOPD 15/1999 tras la aprobación del Real Decreto 1720/2007

De cara a la próxima entrada en vigor del Proyecto de Real Decreto por el que se aprueba del Reglamento de Desarrollo de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, queremos proponer a los bloggers, lectores y editores de este blog un calendario con los post a publicar sobre esta temática para prepararnos ante la inminente entrada en vigor del texto el próximo 19 de abril.


El calendario propuesto tratara sobre los siguientes temas:

1. Procedimiento para la Autorización de Conservación de Datos para fines Históricos y Estadísticos (Título IX Capitulo VII Sección Segunda)
2. Medidas Aplicables a los Ficheros y tratamientos no Automatizados de Datos (Título VII Capitulo IV)
3. Novedades en la Gestión de Soportes y Documentos Art. 92, 97 y 101 (Título VIII Capitulo III)
4. Regulación de la función de auditor LOPD de acuerdo al Art.106 (Título VIII Capitulo III)
5. Disposiciones Generales de las medidas de Seguridad en el Tratamiento de Datos de Carácter Personal. La figura del encargado del tratamiento (Título VIII Capitulo I)
6. Novedades para los Niveles de Protección
7. Transferencias Internacionales de Datos y códigos tipo (Título VI Título VII)
8. Datos especialmente protegidos frente a la aplicación del los niveles de seguridad de acuerdo al Art. 81.5.

Os invitamos a participar mediante comentarios en este foro que pretende resolver o al menos dar una visión y una interpretación a las controversias que plantea el nuevo texto.


David Imizcoz Etxeberria
Manager de Consultoría