¿Cambiarán las interceptaciones de comunicaciones y la conservación de datos de tráfico y localización tal y como las conocemos?

Casi a la par se están produciendo dos recursos sobre dos normativas que afectan de forma importante al negocio de los operadores de comunicaciones electrónicas, pero sobre todo a los derechos fundamentales de todos nosotros a la intimidad personal y familiar, al secreto de las comuncaciones y a la autodeterminación informativa o privacidad.

Por un lado, y en España, después de que el Tribunal Supremo rechazara el recurso de la Asociación de Internautas contra el régimen de las interceptaciones de las comunicaciones recogido en el Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios (en adelante, "RD 424/2005"), ahora la AI contrataca interponiendo un nuevo recurso contra esta norma, esta vez en el Tribunal Constitucional. El motivo principal no es otro que en lugar de mediante ley orgánica, los derechos fundamentales afectados por esta regulación han tenido su base en una ley cuya aprobación no ha requerido mayoría absoluta.

Por otro lado, pero en este caso en Irlanda aunque con repercusión a nivel europeo, el Gobierno interpuso un recurso contra la Directiva 2006/24/CE, sobre la conservación de datos generados o tratados en lreación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, si bien este recurso se basa en los defectos formales en su adopción, de modo que ha sido aprobada no por unanimidad, sino por mayoría. A ello se han sumado Open Rights Group, Statewatch y Privacy International, entre otros 40 grupos defensores de derechos civiles han presentado una objeción a la Directiva 2006/24/CE, sumándose a la iniciativa del Gobierno irlandés, pues opinan de idéntica forma sobre los defectos formales de su tramitación, pero también alegando que la referida Directiva atenta contra el derecho a la privacidad, la libertad de expresión y la libertas de inforamción de las personas, además de ir contra el derecho a la propiedad de los operadores de comunicaciones electrónicas

En España, a pesar de que ya no queda prácticamente nada para que llegue el 8 de mayo, fecha para la que los operadores de comunicaciones electrónicas habrán de haber iniciado la conservación de los datos de tráfico y localización, aún seguimos sin que se haya aprobado la Orden Ministerial conjunta de los Ministros de Interior, de Defensa y de Economía y Hacienda regulando la forma en la que los operadores deban ceder los datos retenidos a los agentes facultados y que debiera haber estado lista el pasado 8 de febrero.

Desde luego, con la normativa sobre interceptación de comunicaciones electrónicas ya en vigor desde hace tiempo, y con el 8 de mayo a la vuelta de la esquina, en los próximos años podremos ver si nos cambían las reglas del juego tal y como las conocemos. Veremos entonces si entonces será aún más necesario que se revise íntegra y adecuadamente el desarrollo legislativo del artículo 18 de nuestra Constitución, o si por contra el legislador sigue en sus trece. Mucho me temo que puede ser mas lo segundo que lo primero.

Álvaro Del Hoyo
Departamento de Consultoría

Guía de seguridad RLOPD de la AEPD

Desde hace un rato está disponible en la web de la AEPD la "Guía de seguridad" con base en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD").

No habrá que perder de vista esto que dijimos recientemente en relación con los ficheros de datos de carácter personal preexistentes, sean estos automatizados o no,

Este nuevo documento llega un poco a traición de quienes asistan mañana a la 1ª Sesión Anual Abierta de la AEPD, que no podía ser de otra manera, este año se ha dado en denominar "El Nuevo Reglamento de desarrollo de la Ley Orgánica de Protección de Datos: Problemática, interpretación y aplicación".

Álvaro Del Hoyo
Departamento de Consultoría

Adaptados los formularios de inscripción de ficheros del Sistema Nota

Por este aviso oficial de la AEPD nos enteramos de que hoy mismo han sido publicados los nuevos formularios del Sistema Nota para inscripción de ficheros de datos de carácter personal de titularidad pública y privada de conformidad con el nuevo régimen reglamentario traído por el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD").

El procedimiento de inscripción de la creación, modificación o cancelación de oficio (a instancia de parte o de oficio) de ficheros en el Registro General de Protección de Datos está regulado en el Capítulo IV del Título IX del RLOPD, reglamento que entró en vigor el pasado sábado 19 de abril de 2008.

Como novedad en el formulario de inscripción de ficheros de titularidad privada se ha incluido una nueva notificación tipo precumplimentada para notificar los ficheros de Videovigilancia.

Los nuevos formularios pueden ser accedidos aquí.

Álvaro Del Hoyo
Departamento de Consultoría

Entra en vigor el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999

Hoy mismo, 19 de abril de 2008, pasados tres meses ya desde su publicación en el BOE, ha entrado en vigor el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD").

Se desarrolla con esta norma no sólo un nuevo o modificado régimen en cuanto a las medidas de seguridad exigibles de conformidad con el principio de seguridad, sino todo el articulado de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), habiendo además traido consigo por fin un desarrollo reglamentario específico los ficheros no automatizados de datos de carácter personal. Ya nos hemos hecho eco aquí de las novedades que trae consigo el RLOPD y seguiremos haciéndolo.

Debe tenerse en cuenta no obstante que:

• la Disposición Transitoria Primera da un plazo de un año para la adaptación de los Códigos Tipo inscritos en el Registro General de Protección de Datos;
  
• la Disposición Transitoria Segunda establece diferentes plazos de implantación para las medidas de seguridad de los ficheros automatizados y no automatizados preexistentes, así como para la implantaciones de las medidas adicionales que no estuvieran previstas en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (en adelante, "RMS"), con lo que el articulado relativo a medidas de seguridad no será aplicable a estos ficheros hasta pasados 12, 18 ó 24 meses según los casos;
  
• las Disposiciones Transitorias Tercera, Cuarta y Quinta establecen que las solicitudes para el ejercicio de los derechos de las personas y los procedimientos y actuaciones previas iniciados con anterioridad a hoy, 19 de abril de 2008, se regirán por la normativa anterior y no por el RLOPD; y
• han quedado derogados el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de los datos de carácter personal, el RMS y todas las normas de igual o inferior rango que contradigan o se opongan a lo dispuesto en el RLOPD.
  

Con respecto a la moratoria sobre la implantación de las medidas de seguridad es preciso además tener en cuenta que la exención de responsabilidad puede no alcanzar a las infracciones por vulneración de los principios distintos del de seguridad establecidos por la LOPD, de modo que podría darse el caso de que la AEPD sanciones a quienes pudieran sufrir por ejemplo una fuga de información, que quizás hubiese podido ser evitado de haber mediado las nuevas medidas de seguridad aún no implantadas. La fuga de información es un incidente de seguridad que consistiría en una vulneración del deber de secreto, infracción que dependiendo del tipo de datos de carácter personal revelados podría ser leve (art. 44.2.e LOPD), grave (art. 44.3.g LOPD) o muy grave (art. 44.4.g LOPD).

Habrá que estudiar en detalle hasta qué punto las Resolucioes e Instrucciones emitidas por la AEPD contradicen o se oponen al RLOPD para determinar si permanecen en vigor total o parcialmente.

Álvaro Del Hoyo
Departamento de Consultoría

Proveedores de correo electrónico y conservación de datos (actualización)

Después del debate sobre la política de retención de datos de Google y sobre la consideración de las direcciones IP como dato de carácter personal, y visto el avance que ya nos había dado la AEPD, parece que ya está próxima la publicación de la Opinión del Grupo del Art. 29 sobre tratamiento de datos de carácter personal por los buscadores de Internet.

Como aperitivo, ayer nos llegaba la versión final no oficial de la Opinión, que como podéis comprobar fue publicada en la página web de la autoridad de protección de datos de carácter personal de Holanda. A este documento rápidamente Google daba réplica y la AEPD nos facilitaba un resumen.

Pues bien, este documento va a ser de vital interés no sólo para los buscadores de Internet, sino también para todo propietario de servidores web que generen cookies y logs de visitas para tratarlos para finalidades como mejorar los servicios de la Sociedad de la Información o los procesos de contratación electrónica ofrecidos, optimizar los buscadores sobre el dominio propio, disponer de estadísitcas de visitas, implantar soluciones de seguridad o prevención del fraude, generar perfiles de usuarios y clientes,... y aquellos que incluso estén facilitando el uso de cookies por terceros como por ejemplo sucede con las cookies de las empresas de publicidad on-line.

La Opinión trae consigo algunos temas que se están tratando como novedosos, pero no hay que perder de vista que otros documentos del Grupo del Art. 29 que son citados en la Opinión y que son la fuente de estos temas pretendidamente novedosos como el ámbito de aplicación de la Directiva 95/46/CE, la consideración de las direcciones IP como dato de carácter personal y las particularidades en el tratamiento de las cookies.

Algo que puede tener especial trascendencia en lo que a la aplicación de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, es que el Grupo del Art. 29 manifiesta que, si bien al servicio de búsquedas de Google no le aplica la Directiva conservación de datos, ésta sí que es de aplicación al servicio de correo electrónico disponible al público de GMail.

Google seguramente opera en el mercado como proveedor de correo electrónico haciendo uso del servicio de acceso a Internet provisto por algún ISP. Éste es precisamente uno de los casos que más dudas está trayendo consigo en lo referente al ámbito subjetivo de la ley de conservación de datos. En mi opinión, la ley aplica a este tipo de proveedores si bien es cierto que por manifiesta imposibilidad técnica en ningún caso podrán atender al requerimiento de conservación:

• Con respecto a los datos necesarios para rastrear e identificar el origen de una comunicación

• El número de teléfono asignado a toda comunicación que acceda a la red pública de telefonía (art. 1.a.2.ii)
  

• Con respecto a los datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:

• El número de teléfono de origen en caso de acceso mediante marcado de números (art. 1.e.3.i) ; o

• La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación (art. 1.e.3.ii).

Estos datos deberán ser conservados por los proveedores de acceso a Internet contratados por los proveedores de correo electrónicos disponibles al público.

Por otra parte, es importante tener claro a este respecto que las empresas que se dotan de servidores de correo electrónico para autoconsumo no son consideradas operadores de comunicaciones electrónicas y por lo tanto no son sujeto pasivo de la legislación de telecomunicaciones ni de la ley de conservación de datos.

Un caso bastante similar al de este tipo de proveedores de correo electrónico es el de los revendedores y los operadores móviles virtuales, con la diferencia de que en estos casos los operadores de telefonía fija o móvil o los proveedores de acceso a Internet se configuran como encargados del tratamiento. De ahí la vital importancia de contar con contratos que dén cumplimiento a lo dispuesto en el artículo 12 LOPD y en el RLOPD, sin olvidar incluir provisiones específicas para la transición a otro operador de acceso en los casos de terminación del contrato que une a revendedor u operador móvil virtual con aquél.

En los próximos días publicaré algunos posts sobre algunas de las cuestiones más relevantes de la Opinión que ha dado pie a este correo.

ACTUALIZACIÓN: El Grupo del Artículo 29 ya ha hecho pública la versión oficial de la Opinión sobre tratamiento de datos de carácter personal por los buscadores de Internet (WP 148). En los próximos días iré publicando posts sobre los temas más relevantes tratados.

Álvaro Del Hoyo
Departamento de Consultoría

Proveedores de correo electrónico y conservación de datos

Después del debate sobre la política de retención de datos de Google y sobre la consideración de las direcciones IP como dato de carácter personal, y visto el avance que ya nos había dado la AEPD, parece que ya está próxima la publicación de la Opinión del Grupo del Art. 29 sobre tratamiento de datos de carácter personal por los buscadores de Internet.

Como aperitivo, ayer nos llegaba la versión final no oficial de la Opinión, que como podéis comprobar fue publicada en la página web de la autoridad de protección de datos de carácter personal de Holanda. A este documento rápidamente Google daba réplica y la AEPD nos facilitaba un resumen.

Pues bien, este documento va a ser de vital interés no sólo para los buscadores de Internet, sino también para todo propietario de servidores web que generen cookies y logs de visitas para tratarlos para finalidades como mejorar los servicios de la Sociedad de la Información o los procesos de contratación electrónica ofrecidos, optimizar los buscadores sobre el dominio propio, disponer de estadísitcas de visitas, implantar soluciones de seguridad o prevención del fraude, generar perfiles de usuarios y clientes,... y aquellos que incluso estén facilitando el uso de cookies por terceros como por ejemplo sucede con las cookies de las empresas de publicidad on-line.

La Opinión trae consigo algunos temas que se están tratando como novedosos, pero no hay que perder de vista que otros documentos del Grupo del Art. 29 que son citados en la Opinión y que son la fuente de estos temas pretendidamente novedosos como el ámbito de aplicación de la Directiva 95/46/CE, la consideración de las direcciones IP como dato de carácter personal y las particularidades en el tratamiento de las cookies.

Algo que puede tener especial trascendencia en lo que a la aplicación de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, es que el Grupo del Art. 29 manifiesta que, si bien al servicio de búsquedas de Google no le aplica la Directiva conservación de datos, ésta sí que es de aplicación al servicio de correo electrónico disponible al público de GMail.

Google seguramente opera en el mercado como proveedor de correo electrónico haciendo uso del servicio de acceso a Internet provisto por algún ISP. Éste es precisamente uno de los casos que más dudas está trayendo consigo en lo referente al ámbito subjetivo de la ley de conservación de datos. En mi opinión, la ley aplica a este tipo de proveedores si bien es cierto que por manifiesta imposibilidad técnica en ningún caso podrán atender al requerimiento de conservación:

• Con respecto a los datos necesarios para rastrear e identificar el origen de una comunicación

• El número de teléfono asignado a toda comunicación que acceda a la red pública de telefonía (art. 1.a.2.ii)
  

• Con respecto a los datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:

• El número de teléfono de origen en caso de acceso mediante marcado de números (art. 1.e.3.i) ; o

• La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación (art. 1.e.3.ii).

Estos datos deberán ser conservados por los proveedores de acceso a Internet contratados por los proveedores de correo electrónicos disponibles al público.

Por otra parte, es importante tener claro a este respecto que las empresas que se dotan de servidores de correo electrónico para autoconsumo no son consideradas operadores de comunicaciones electrónicas y por lo tanto no son sujeto pasivo de la legislación de telecomunicaciones ni de la ley de conservación de datos.

Un caso bastante similar al de este tipo de proveedores de correo electrónico es el de los revendedores y los operadores móviles virtuales, con la diferencia de que en estos casos los operadores de telefonía fija o móvil o los proveedores de acceso a Internet se configuran como encargados del tratamiento. De ahí la vital importancia de contar con contratos que dén cumplimiento a lo dispuesto en el artículo 12 LOPD y en el RLOPD, sin olvidar incluir provisiones específicas para la transición a otro operador de acceso en los casos de terminación del contrato que une a revendedor u operador móvil virtual con aquél.

En los próximos días publicaré algunos posts sobre algunas de las cuestiones más relevantes de la Opinión que ha dado pie a este correo.

Álvaro Del Hoyo
Departamento de Consultoría

Novedades del nuevo Reglamento LOPD respecto a la gestión de soportes y documentos

Al analizar en profundidad el recién estrenado Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RLOPD), me ha llamado la atención la importantísima novedad relativa a la obligación de solicitar autorización al responsable del fichero, cada vez que se remita un correo electrónico que incluya datos de carácter personal.

Art. 92.2: La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

Esta novedad, que parece haber pasado desapercibida en los numerosos artículos y eventos que se están realizando, equipara los correos electrónicos a los soportes de información (memorias removibles, cintas de backup, etc.) siendo por lo tanto necesaria la solicitud de autorización al responsable del fichero cada vez que se quiera enviar un correo electrónico donde se incluyan datos de carácter personal.

Esta medida, lógicamente no es gestionable por ninguna organización independientemente de la magnitud de la misma, ya que todo profesional / trabajador, utiliza el correo electrónico como herramienta de trabajo transmitiendo a través del mismo ingentes cantidades de información que incluyen en muchos casos datos de carácter personal. Asimismo y teniendo en cuenta que la citada medida de seguridad se refiere a datos de nivel básico, se debe cumplir la medida de seguridad en todos y cada uno de los correos electrónicos que incluyan cualquier tipo de dato de carácter personal.

Siguiendo con la problemática surgida con la equiparación de soporte de información y el correo electrónico, se podría, llegando al absurdo, a generar un registro de entrada y salida de todos y cada de los correos electrónicos que entren o salgan con algún dato de carácter personal en su cuerpo o adjunto al mismo. En dicho registro se debería incluir: la fecha, hora, el emisor, el destinatario, el tipo de información recibida o enviada, la persona responsable de la recepción, la persona responsable de la emisión y la correspondiente autorización.

Llegados a este punto, y teniendo en cuenta los plazos de prescripción de las sanciones, los registros y las autorizaciones para recibir y/o enviar correos electrónicos deberán almacenarse por un periodo no inferior a tres años.

Finalmente y como conclusión comentar la gran dificultad que tendremos todas las organizaciones para cumplir escrupulosamente con lo establecido por el nuevo RLOPD, ya que la labor administrativa y organizativa que exige es desmesurada .

Koldo Peciña Txintxurreta
Consultor Senior S21sec

Códigos tipo y transferencias internacionales de datos

La Legislación de Protección de Datos de Carácter Personal vigente en España, permite dentro del respeto de los mínimos legalmente establecidos, la posibilidad de que las entidades públicas y/o privadas que tratan datos de carácter personal, puedan establecer criterios voluntarios de adecuación que les permita mejorar el tratamiento de los datos de carácter personal que realizan.

En este sentido, se pueden establecer diferentes marcos de trabajo entre los cuales destacan:

1. LOS CODIGOS TIPO

Son un conjunto de buenas prácticas de adhesión optativa, que recogen compromisos adicionales y criterios básicos relacionados con la protección de datos.

Los códigos tipo deben cumplir los criterios mínimos que establece la legislación de Protección de Datos, y constituyen una adopción voluntaria que obliga al cumplimiento de su contenido en tanto en cuanto la entidad se adhiera a ellos.

Son inscritos en el Registro General de Protección de Datos, previa aprobación de su contenido por la Agencia Española de Protección de Datos, y se han constituido como elementos útiles para la adopción de posturas adoptadas unilateralmente por empresas o criterios sectoriales para tratamiento de datos de carácter personal.

Los Códigos Tipo tienen una gran aceptación por parte de los clientes potenciales así como de la ciudadanía en general puesto que establece un compromiso de respeto al derecho a la intimidad, al honor y la propia imagen del afectado.

2. ACUERDOS INTERNACIONALES

Si tenemos en cuenta una perspectiva internacional de datos, salvando los casos en los que el afectado consiente de forma expresa el tratamiento internacional de los datos, la Legislación Española de Protección de Datos, establece la necesidad de que el país de origen y el país de destino tengan un mismo nivel de protección en materia de datos de carácter personal.

En relación a ello, se establecerán dos grandes grupos;

1. Países destinatarios con un nivel de protección equivalente. Respecto a los cuales, para la realización de transferencias internacionales de datos no se requiere autorización del Director de la Agencia Española de Protección de Datos, dado que bien el Estado Español bien la Unión Europea considera que garantizan un nivel de protección equivalente. El listado de estos países es publicado regularmente en el Boletín Oficial del Estado.

2. Países destinatarios respecto a los cuales no se considera que exista un nivel de protección equivalente.

En cuyo caso las entidades españolas que pretendan realizar una transferencia internacional de datos a estos países (y dicha transferencia no se encuentra exceptuada por Ley) deberán solicitar autorización al Director de la Agencia Española de Protección de Datos, en donde deberán fundamentar que entre ambas partes se ha establecido acuerdos concretos que garanticen dicha equivalencia de protección a la legislación española.

Ambos supuestos relativos a la transferencia internacional de datos, constituyen en relación a países fuera del espectro territorial de la Unión Europea una adhesión voluntaria, bien Estatal mediante la formalización de Acuerdos Internacionales, bien de la entidad destinataria mediante la formalización de acuerdos bilaterales privados, o la adhesión a protocolos marco (como pueden ser los denominados Protocolo de Puerto Seguro entre Estados Unidos y la Unión Europea).

En todo caso, el contenido de estos acuerdos, contratos bilaterales y protocolos de adhesión son de libre disposición siempre y cuando garanticen el cumplimiento de un contenido mínimo establecido por la Legislación de Protección de datos aplicable en el país de origen.

NORMAS CORPORATIVAS VINCULANTES

Dentro del marco internacional establecido anteriormente, se ha añadido la posibilidad de que empresas de un mismo grupo puedan definir e implantar las denominadas Normas Corporativas Vinculantes (Binding Corporate Rules) que son una propuesta de la Unión Europea enfocado a flexibilizar los movimientos internacionales de datos.

Las Normas Corporativas Vinculantes (NCV) son declaraciones de grupos empresariales internacionales que comparten datos de carácter personal entre todas ellas, que definen un criterio corporativo para el tratamiento de datos de carácter personal.

La ventaja de las NCV respecto al resto de elementos contractuales arriba referenciados, cuando la transferencia internacional de datos se realiza países que no tienen un nivel de protección equivalente al Español es el ahorro de tramites burocráticos ante la Agencia Española de Protección de Datos, dado que sólo se solicita una autorización bajo unas premisas de tratamiento de datos que vincularán a todas las empresas pertenecientes a ese grupo empresarial.

Uno de los “inconvenientes” que se le asocian a las NCV es que deben estar regidos por la norma local más restrictiva en materia de protección de datos, de todas las que apliquen al holding empresarial, y que debe ser de obligado cumplimiento en todas las empresas filiales.

En conclusión siempre bajo el prisma del cumplimiento de los mínimos establecidos en la Legislación Española de Protección de Datos, las entidades ya sean públicas o privadas pueden adherirse a criterios voluntarios relativos al tratamiento de protección de datos que mejoran su imagen empresarial ante Organismos como la Agencia Española de Protección de Datos, y sus clientes potenciales.

No obstante estas normativas de aceptación voluntaria constituyen un catálogo de criterios de adecuación adicionales que deben de ser adoptados por las entidades de forma obligatoria desde su adhesión.

Será por tanto, necesario que cada entidad de forma individualizada establezca dentro de su estrategia empresarial la importancia que quiere dar a la Protección de Datos Personales y las relaciones sectoriales, nacionales e internacionales que desee adoptar.

Montserrat Gómez Florez
Departamento de Consultoría

La figura del encargado del tratamiento

La figura del encargado del tratamiento ha sido objeto de uno de los más manidos debates en la interpretación de la legislación en materia de datos de carácter personal desde sus orígenes.

El estatuto jurídico del encargado del tratamiento fue regulado en primer lugar por el artículo 27 Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (en adelante, "LORTAD"), y desde el inicio de su aplicación práctica generó diversas dudas en su interpretación, en parte alimentadas por el hecho de que no contaba con desarrollo reglamentario alguno y por insuficiencias que fueron parcialmente resueltas por los artículos 12 y 43 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD").

A continuación listamos los principales aspectos que integran el estatuto jurídico de la figura del encargado del tratamiento:

• Distinción entre los términos "responsable del fichero o tratamiento" y "encargado del tratamiento";
• Distinción entre cesión o comunicación de datos y acceso a datos por cuenta de terceros;
• Aplicación a ficheros automatizados y no automatizados;
• Régimen de responsabilidad del encargado del tratamiento;
  
• Formalidades en la contratación del tratamiento de datos a terceros (encargados del tratamiento);
  
• Medidas de seguridad aplicables por el encargado del tratamiento;
• Destrucción y devolución de los datos, soportes o documentos en que conste algún dato de carácter personal objeto del tratamiento;
• Conservación de los datos objeto de la prestación de tratamiento por el encargado de éste;
  
• Posibilidad de subcontratación del tratamiento por parte del encargado de éste y formalidades en su contratación.

La AGPD vino a resolver algunas de las dudas interpretativas existentes por medio de los Informes 283/2004, 416/2004 y 513/2004 de su Asesoría Jurídica, en los que la Asesoría Jurídica venía a reiterar lo ya manifestado en el Plan de Inspección de Oficio a las empresas participantes en la elaboración de los Censos de Población y Viviendas del año 2001, de fecha 17 de julio de 2003. Estos informes se complementan con el Informe 000/2000 cuyo contenido fue revisado en 2006 para incluir la referencia a este Plan de Inspección de Oficio en precisión sobre lo manifestado en este anterior informe sobre la posibilidad de subcontratación de terceros por el encargado del tratamiento.

Precisamente lo manifestado por la AGPD en estas recomendaciones ha sido lo que ha venido a incluirse en el Título II, Capítulo III (artículos 20 a 22) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD") estableciendo la regulación de la figura del encargado del tratamiento en desarrollo del artículo 12 LOPD y que se complementa con lo establecido en el artículo 43 LOPD y con las referencias específicas al encargado del tratamiento en el Título VIII RLOPD relativo a las medidas de seguridad aplicables a los ficheros de datos de carácter personal.

A continuación, citaremos las novedades que trae consigo el RLOPD y los nuevos problemas interpretativos que trae consigo en relación con el estatuto jurídico del encargado del tratamiento aún reconociendo el avance que supone este nuevo articulado:

• Formalidades en la contratación de los servicios que impliquen el tratamiento de datos de carácter personal

Las formalidades en la contratación de los servicios de tratamiento de datos de carácter personal vienen estipuladas en el artículo 12 LOPD, en cuya atención y el artículo 20.2 RLOPD viene ahora a establecer que el responsable del fichero "deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento".

Quizás hubiera sido conveniente añadir en este artículo un "en todo momento" en relación a una posible reclamación basada ya sea en la "culpa in eligendo", "culpa in contrahendo" o "culpa in vigilando".

• Cesión o comunicación de datos a terceros por el encargado del tratamiento

Tanto el artículo 12.2 LOPD como el 20.3 RLOPD establecen que el encargado del tratamiento no podrá comunicar a terceros los datos, ni siquiera para su conservación.

El artículo 20.3 RLOPD en su último párrafo viene a aclarar que "el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el presente capítulo", en clara referencia a la transición del servicio de tratamiento de un encargado del tratamiento a otro.

• Destrucción o devolución de los datos objeto de la prestación de tratamiento

El artículo 12 LOPD dispone que los datos objeto de la prestación de tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento, deban de ser destruidos o en su caso devueltos al responsable del tratamiento.

En este sentido, y en atención a lo dispuesto por los artículos 16.3 y 16.5 LOPD, el artículo 22.1 RLOPD viene a aclarar en su segundo párrafo que la devolución de los datos procederá en tanto en cuanto existan obligaciones legales de conservación. A este segundo párrafo del artículo 22.1 RLOPD se le puede y debe hacer la crítica de que obvia las obligaciones de conservación de tipo voluntario que pudieran existir como reconoce el propio artículo 16.5 LOPD.

• Conservación de los datos personales objeto del contrato del servicio que implique su tratamiento

El artículo 12 LORTAD establecía la obligación de destruir los datos objeto de la prestación de tratamiento una vez concluida ésta, si bien habilitaba la posibilidad de que el responsable del fichero autorizara la conservación de los datos por el encargado del tratamiento por un plazo máximo de 5 años y adoptando las debidas condiciones de seguridad porque razonablemente se presumiera la posibilidad de ulteriores encargos.

Esta posibilidad fue omitida por el artículo 12 LOPD, si bien el Informe 283/2004 vino a recordar que de conformidad con el artículo 1157 Código Civil y con la jurisprudencia del Tribunal Supremo la prestación del servicio de tratamiento de datos se ha de considerar cumplida una vez ésta ha concluido, a salvo de cumplimiento gravemente defectuoso o de ausencia de coincidencia con la prestación estipulada en el contrato. Todo ello sin perjuicio del derecho que asiste al encargado del tratamiento a recibir el pago por el responsable del fichero del precio acordado como contraprestación del servicio prestado. Ello significaría que una vez cumplida la prestación de tratamiento de datos el encargado de éste debería proceder a la destrucción o devolución de los datos objeto del contrato, si bien el artículo 1255 del Código Civil habilitaría un posible pacto entre las partes consistente en que "el cumplimiento de la prestación pudiera entenderse condicionado a la conformidad del responsable del tratamiento con la actuación efectuada por el encargado, de modo que se indicase en el contrato que la prestación de aquél se entenderá cumplida cuando, una vez finalizada la actividad en que consistía el tratamiento encomendado al encargado del tratamiento, el responsable del tratamiento compruebe y dé su conformidad a la actuación de aquél, siempre que para el otorgamiento de dicha conformidad se establezca un plazo razonable y reducido de tiempo".

Aún y todo, no existiendo acuerdo de este tipo entre el responsable del fichero y el encargado del tratamiento, si ha de ser considerado el encargado del tratamiento también como responsable del tratamiento, era lógico pensar que en atención a lo dispuesto en los artículos 16.3 y 16.5 LOPD, el encargado del tratamiento pudiera conservar los datos objeto de la prestación mientras se pudieran derivar responsabilidades de su relación con el responsable del fichero, de igual manera a cómo lo puede hacer el responsable del fichero (bloqueo de datos). Esto viene a ser ahora reconocido expresamente, como era lógico, por el artículo 22.2 RLOPD.

Por tanto, una vez cumplida la prestación de tratamiento los datos, soportes y documentos objeto de la prestación habrán de ser devueltos al responsable del fichero, a la vez que bloqueados para su conservación por el encargado del tratamiento durante el tiempo en que pudieran derivarse responsabilidades de su relación con el responsable del tratamiento. De modo que la destrucción de los datos por el encargado del tratamiento tan sólo tendrá lugar una vez alcanzado el final del referido plazo máximo de conservación que le sea aplicable.

Cuestión distinta serán las dudas interpretativas que genere la regulación del bloqueo de los datos y que la AGPD ha tratatado de resolver en sus Informes 000/2001 y 127/2006. Y digo que ha tratado de resolver, pues creo que la solución dada no es del todo conforme o no encaja perfectamente con el articulado de la LOPD y su normativa de desarrollo, incluido el RLOPD.

• Subcontratación de terceros por el encargado del tratamiento

Como apuntábamos antes, los artículos 12.2 LOPD y 20.3 RLOPD prohíben al encargado del tratamiento comunicar a terceros los datos objeto del servicio, aunque tan sólo fuera para su conservación.

Ello nunca ha impedido la subcontratación de terceros por el encargado del tratamiento siempre que se hiciera con el consentimiento y en nombre y por cuenta del responsable del fichero, si bien es cierto que el principio de transparencia requería ciertas obligaciones formales en la celebración de la subcontratación que no estaban recogidas en la legislación. Esto mismo es lo que vino a poner de relieve el Plan de Inspección de Oficio a las empresas participantes en la elaboración de los Censos de Población y Viviendas antes citado.

La doctrina manifestada por la AGPD en este Plan de Oficio viene a incorporarse en el artículo 21 RLOPD, si bien creo que la redacción de este artículo es manifiestamente mejorable y creo que se ha complicado sobremanera, pues este artículo no viene más que a reiterar las formalidades exigibles en la contratación de los servicios de tratamiento a los casos en los que el encargado del tratamiento los subcontrate total o parcialmente a terceros. Además el artículo 21.2 RLOPD induce a confusión al afirmar que es posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los requisitos en él listados. La subcontratación se ha de producir siempre con autorización del responsable del fichero como demuestran los referidos requisitos y, en especial, lo manifestado por el artículo 21.3 RLOPD.

Álvaro Del Hoyo
Departamento de Consultoría

Niveles de seguridad aplicables a ficheros y tratamientos de datos personales

Recientemente he podido desarrollar un estudio pormenorizado de los niveles de seguridad establecidos en el nuevo Reglamento 1720/2007 de desarrollo de la LOPD (en adelante RDLOPD) en sus arts. 80 y 81 y varias son las cuestiones que me han suscitado algún comentario o debate.

En primer lugar una de las novedades que aporta el RDLOPD es que el establecimiento de los niveles de seguridad ya no se realiza únicamente en función de “la naturaleza de la información tratada” tal como fijaba el art. 3.2. del ya extinto Reglamento 994/1999 de Medidas de Seguridad (RMS), sino que el nuevo RDLOPD tiene en cuenta diferentes factores como son el tipo y naturaleza de los datos contenidos, el tipo de actividad objeto social del Responsable del fichero o la naturaleza pública o privada del mismo. Parece claro que un mismo rasero para todos los responsables de ficheros ya no era la postura más lógica y aquí las administraciones públicas han salido ganando frente a otros colectivos como las telecomunicaciones o la banca.

Respecto de los niveles de seguridad dos tipos de ficheros suscitan la mayor parte de mis dudas…

En el caso “sui generis” de los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y localización; las medidas de seguridad aplicables serán las medidas de nivel básico y medio más el registro de control de accesos del art. 103 RDLOPD. Todo un éxito en la puja entre las empresas de telecomunicaciones y el gobierno que en un primer momento quería obligar a estos operadores a implantar todas las medidas de nivel alto a sus ficheros de facturación y trafico…

Ahora bien, la duda que se nos ha suscitado no pocas veces, recae sobre qué nivel de seguridad declarar ante el Registro General de Protección de Datos respecto de este tipo de ficheros. El sistema de declaración de ficheros de la Agencia, el sistema “NOTA”, tampoco establece una solución del tema. En mi caso entiendo que la solución más prudente en estos casos pasa por declararlos como ficheros de nivel medio y luego incluir en el documento de seguridad la medida de registro de control de accesos exigida, no sea que por declarar el fichero como de nivel alto los inspectores entiendan que son de aplicación todas las medidas de nivel alto y que por tanto se han incumplido las mismas, aunque todos sabemos que la declaración de ficheros únicamente tiene efectos declarativos…

Otro hecho destacable dentro del listado de niveles de seguridad es el siempre controvertido fichero que contenga datos para la “evaluación de la personalidad o comportamiento de los ciudadanos”. La actual redacción del RDLOPD ofrece una mejora respecto del RMS ya que ahora no se habla de la necesidad de contar con “datos suficientes para poder obtener una evaluación de la personalidad” sino que exige que efectivamente el fichero contenga datos referentes a “características o personalidad de los ciudadanos” y que estos datos permitan a su vez “evaluar la personalidad y comportamiento” de los mismos.

¿Es esto un doble requisito o bastaría tener datos “suficientes” como decía el RMS para poder hacer una evaluación de la personalidad?. ¿Cuáles son los datos de características del individuo o de su personalidad?. Tampoco se dice si estos datos deben provenir directamente del individuo o pueden ser fruto de una tratamiento que de los datos iniciales y objetivos del individuo pueda realizar el responsable del fichero Ejemplo típico de estos tratamientos los tenemos en el escoring financiero realizado por bancos o los estudios de fiabilidad hechos por las aseguradoras.

Quizás el art. 36.1 RDLOPD, pueda aportar algo de luz al tema pues al hablar del derecho de oposición habla tangencialmente de las actividades que pueden suponer una evaluación de personalidad, refiriéndose a ellas como aquellas actividades encaminadas a “evaluar el rendimiento laboral, crédito, fiabilidad o conducta” del individuo.

En resumen, ¿Son estas actividades del art. 36.1 RDLOP las evaluaciones de personalidad a las que se refiere el art.81.2.f)? ¿Qué son datos de características del individuo o de su personalidad? y ¿estos datos han de existir de forma previa a la evaluación o basta con un conjunto de datos suficientes para hacerlo?. Última pregunta: ¿Estos datos sobre características y personalidad, han de ser aportados directamente por el individuo o pueden ser elaborados por el responsable del tratamiento a partir de datos objetivos de aquel?

He ahí el debate…

Raúl Rodriguez Celaya

Dpto. Consultoría

El "pretexting" en la legislación española (II)

No existen en España obligaciones legales específicas en cuanto a la configuración o calidad de los sistemas de autenticación en la provisión de servicios de atención telefónica, si bien los responsables de ficheros que los provean han de cumplir con el deber de secreto y seguridad exigidos por los artículos 9 y 10 LOPD y con el régimen legal establecido para la satisfacción del derecho de acceso por los titulares de datos personales.

El artículo 15 LOPD establece que el derecho de acceso consiste en "solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos", derecho que si bien "sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto".

La Instrucción 1/1998, de 19 de enero, de la Agencia de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación vino a determinar la forma y las condiciones en las que se debía producir el ejercicio de los derecho de acceso, rectificación y cancelación, exigiendo que ha de mediar solicitud dirigida al responsable del fichero por el interesado o persona que legal o voluntariamente la represente, la cual contendrá:

• Nombre, apellidos del interesado y fotocopia del DNI del interesado y, en los casos que excepcionalmente se admita, de la persona que lo represente, así como el documento acreditativo de tal representación. La fotocopia del DNI podrá ser sustituida siempre que se acredite la identidad por cualquier otro medio válido en derecho;
• Petición en que se concreta la solicitud;
• Domicilio a efectos de notificaciones, fecha y firma del solicitante;
• Documentos acreditativos de la petición que formula, en su caso; y
• El interesado deberá utilizar cualquier medio que permita acreditar el envío y la recepción de la solicitud.

En esta misma Instrucción se establece que "el responsable del fichero podrá denegar el acceso a los datos de carácter personal cuando el derecho se haya ejercitado en un intervalo inferior a doce meses y no se acredite un interés legítimo al efecto", añadiendo tal posibilidad también "cuando la solicitud sea formulada por persona distinta del afectado", a salvo de los casos en que el derecho de acceso pudiese ejercerse por representante legal o voluntario del interesado, casos en los que el responsable del fichero habrá de asegurarse de constatar la realidad de la representación por medio del documento acreditativo correspondiente.

Por otra parte, concreta esta Instrucción la forma de la información que se debe proporcionar al interesado que ha ejercido su derecho de acceso, así como la información que en concreto deba facilitarse al interesado, resultando particularmente gravoso para los responsables de ficheros que exigiera la entrega de "todos" los datos personales tratados, lo cual además de implicar un elevado coste para los responsables de ficheros podía no ser del interés del titular de los datos que tan sólo pretenda acceder a algunos de los datos en poder de aquellos.

Resulta evidente que estos requerimientos en la autenticación de la identidad del interesado que pretende ejercer el derecho de acceso no casa bien con la agilidad que puede ser necesaria, por ejemplo, en la obtención de una copia de una factura telefónica (y no de todos los datos en poder del operador) o con la posibilidad de ejercer el derecho de acceso por medio de servicios de atención telefónica o medios telemáticos dispuestos al efecto.

Ello vendrá a resolverse con la entrada en vigor del Reglamento de la LOPD (RLOPD) puesto que, además de admitir los servicios de atención telefónica como cauces válidos tanto para la emisión de la negativa al tratamiento como para la revocación del consentimiento, el artículo 24.4 reconoce a quienes disponen de este tipo de servicios la posibilidad de conceder a los interesados por este medio el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, en cuyo caso dispone además "la identidad del interesado se considerará acreditada por los medios establecidos para la identificación de los clientes del responsable en la prestación de sus servicios o contratación de sus productos". Medios que como hemos comentado antes pueden no ser del todo idóneos y estar siendo caldo de cultivo de quienes deseen hacer uso del "pretexting".

Los interesados que ejercieran sus derechos de acceso, rectificación, cancelación y oposición empleando los servicios de atención al cliente quedan excepcionados por el artículo 25.1 RLOPD de enviar comunicación alguna al responsable del fichero, si bien entiendo que ello implica necesariamente que el responsable de fichero deba registrar en sus sistemas los datos identificativos y la petición concreta formulada, así como el domicilio a efectos de notificaciones en caso de que no coincidiera con el domicilio de facturación de los clientes. Si bien es cierto que que cuando fuera necesario los interesados habrán de enviar en cualquier caso los documentos acreditativos de la petición que formulasen los interesados.

El hecho de que no se requiera copia del documento nacional de identidad, pasaporte o documento válido que identifique a quienes ejercen su derecho de acceso por medio de los servicios de atención telefónica deja en manos de la robustez del sistema de autenticación implantado o de la candidez o solidaridad de los teleoperadores el acceso a datos personales de terceros por quienes empleen el "pretexting", incrementado así la probabilidad de que el responsable del fichero en el que obran los datos pueda ser sancionado por vulneración del deber de secreto que le es impuesto por el artículo 10 LOPD y que supone una infracción leve, si bien puede que grave o muy grave dependiendo de los casos, sea dado el sector de las compañías citadas, o por estarse tratando datos de nivel alto o datos que en su conjunto sean suficientes para obtener una evaluación de la personalidad del individuo.

Podría ser mejor que estas compañías que prestan servicios al público en general de especial trascendencia económica derivaran las solicitudes de derechos de acceso, rectificación, cancelación y oposición al "medio de interlocución telemática" basado en el "uso de certificados reconocidos de firma electrónica" que les impone el artículo 2 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. Aunque desconozco hasta qué punto este tipo de compañías van a dotarse de este medio de interlocución telemática, puesto que en esta ley no se establece régimen sancionador para el incumplimiento de esta obligación.

Como decíamos en el anterior post el "pretexting" es una práctica habitualmente empleada por detectives privados, aunque puede ser utilizada por cualquiera. Huelga decir que, abstrayéndonos de los casos en los que el atacado fuera una persona jurídica, los datos personales que fueran obtenidos fraudulentamente y las demás informaciones que gracias a ellos se consiguieran habrán de ser apreciadas como nulas por un Juez en caso de que le fueran presentadas como pruebas (art. 11.1 LOPJ). Aparte se daría el hecho de que los detectives privados que hicieran uso de esta técnica podrían ser sancionados por las condiciones ilícitas en que se produce el tratamiento por estos de los datos personales obtenidos por medio del "pretexting".

Pero el "pretexting" no sólo está regulado por la legislación en materia de protección de datos de carácter personal, ya que al mismo tiempo este tipo de prácticas pueden suponer, según los casos (por ejemplo, acceso a datos de una póliza de seguros de salud o de vida) una intromisión ilegítima en el derecho a la intimidad personal y familiar (artículo 7.2 Ley Orgánica 1/1982) e incluso pueden caber en el tipo del delito de descubrimiento y revelación de secretos (Capítulo 1 del Título X del Libro II del Código Penal).

En definitiva, ya sea por el "pretexting" o casi mejor, para asegurarse de realizar un totalmente adecuado tratamiento de los datos personales de su responsabilidad, cualesquiera entidades que ofrecieran servicios de atención telefónica debieran analizar y revisar los procesos de estos servicios a fin de adecuarlos a la legislación en maeria de protección de datos, prestando especial interés principalmente a la robustez y calidad los sistemas de autenticación empleados en estos servicios no presenciales. Es de destacar que aún no habiéndolos mencionado anteriormente, los servicios de atención telefónica de la Administración Pública pueden ser igualmente objeto de ataques de "pretexting" y que en atención al artículo 8.2.c de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, los sistemas de autenticación empleados deberán garantizar la seguridad de las informaciones sobre los ciudadanos a las que se dé acceso por medio de este tipo de servicios.

Álvaro Del Hoyo
Departamento de Consultoría

Procedimiento para la Autorización de Conservación de Datos para fines Históricos y Estadísticos (Título IX Capitulo VII Sección Segunda)

El presente procedimiento supone una novedad dado que establece un procedimiento para obtener de la AEPD una declaración de la concurrencia para el tratamiento de datos con valor histórico, científicos o estadísticos.

En dicho procedimiento se establece la necesidad de realizar una solicitud:

• Que identifique claramente el tratamiento de datos al que se aplica la excepción.
• Que este motivada expresamente las causas que justificarían la declaración.
• La exposición detallada de las medidas de seguridad que el responsable del fichero se propone implantar.

Lo que no se establece y tasa en este Art. 157 es el ámbito de aplicación de dicho procedimiento, lo que ha causado problemas de interpretación notables en al ámbito privado, hasta el punto de que ciertas organizaciones se planteen, a partir del 19 de abril iniciar un procedimiento para la autorización de conservación de datos para fines históricos, estadísticos o científicos, por ejemplo para conservar expedientes de clínicos o de las secuelas de un accidente laboral.

Tanto es así que algunas consultoras de reputado renombre incluyen en sus fichas de producto para la adecuación al RD 1720/2007 la recomendación de tomar decisiones para acelerar dicho procedimiento con anterioridad de la entrada en vigor del texto.

Lo que parece que no han hecho es relacionar el Art. 157 con el Art. 8.6 en cuanto establece la necesidad de cancelar los datos cuando hayan dejado de ser necesarios o pertinente a la finalidad para la cual fueron recabados, salvo que de su utilización pueda exigirse algún tipo de responsabilidad derivada; y con el Art. 9 1 cuando determina que el tratamiento con fines estadísticos, históricos o científicos se establece en:

• Ley 12/1989 Reguladora de la Función Estadística Pública
• Ley 16/1985 del Patrimonio Histórico Español
• Ley 13/1986 de Fomento y coordinación General de la Investigación

Lo que si parece claro con esta relación es que las organizaciones que se pueden acoger a la conservación de los datos con fines estadísticos, históricos y estadísticos solamente serán aquellas que traten los datos previstos en las regulaciones que establece Art.9.1 y en ningún caso cualquier persona jurídica

Por lo que el procedimiento aplicará normalmente a las AAPP y a aquellas Administraciones del Estado y las entidades de ella dependientes; la organización de sus servicios estadísticos y sus relaciones en materia estadística con las Comunidades Autónomas y las Corporaciones Locales, así como con la Comunidad Europea y Organismos Internacionales. (Art. 2 Ley 12/1989)

David Imizcoz Etxeberria
Manager de Consultoría

Más seguridad para el protocolo HTTP (II)

Hace aproximadamente un mes, comentábamos el esfuerzo por parte de la IETF de reforzar la seguridad del protocolo HTTP con la creación de un borrador. Entonces ya indicamos que se trataba de un borrador inicial y estaba incompleto, y así es, siguen trabajando en él. La anterior url ya no está disponible, ahora podemos encontrar la nueva versión en Security Requirements for HTTP.

¿Por qué es importante este tipo de documentos?

Actualmente las aplicaciones basadas en web se estan volviendo cada vez más sofisticadas y vitales para los negocios online creando así nuevos riesgos de seguridad. Este tipo de documentos ayudará a los desarrolladores web y analistas de seguridad a tener una visión más detallada de los riesgos subyacentes.

Emilio Casbas
S21sec labs

Datos personales, direcciones IP y los movimientos de Google (III)

En relación con esta serie de posts, 1 y 2, hemos de indicar que Google ha dado un nuevo paso. Y el Grupo del Artículo 29 también.