Blog
Proyectos
Mostrando entradas con la etiqueta Protección de Datos. Mostrar todas las entradas
Mostrando entradas con la etiqueta Protección de Datos. Mostrar todas las entradas

viernes 25 de abril de 2008

Escándalo por filtración de datos personales

Desde varios post de este blog (véase por ejemplo Me da igual y Me sigue dando igual) se ha tratado de concienciar a todo el mundo de la importancia de seguir ciertas políticas de seguridad para mantener nuestros equipos y los datos que ahí guardamos a salvo de extraños. La ignorancia y la despreocupación sobre la seguridad de nuestro equipo y sobre la importancia de los datos que ahí puede haber guardados, se traslada muchas veces al ámbito del trabajo. Frente a la legislación actual que trata de proteger la privacidad en la gestión de los datos de carácter personal (véanse los post sobre LOPD en este mismo blog), siempre sigue habiendo personas, empresas, instituciones, que no ponen todo el énfasis que debieran en proteger los datos.

Hoy mismo se ha publicado una noticia en la que se informa de que más de 11.000 historias clínicas de pacientes, entre las que se incluyen 4.000 historias de casos de abortos, han podido ser filtradas desde una clínica de Bilbao. La noticia es especialmente preocupante ya que los datos fueron compartidos a través de la red P2P de emule, lo cual indica deficiencias graves de seguridad por parte del empleado/s (que utilizaron el emule en el trabajo sin preocuparse de lo seguro que podía ser) y también por parte de la clínica (que no se ha preocupado por la seguridad de su red informática). La clínica en cuestión ha sido sancionada con 150.000 euros por la agencia española de protección de datos (AEPD) lo cual obviamente ha hecho que tome conciencia del problema e implante medidas de seguridad estrictas en sus sistemas informáticos. No obstante, según la misma noticia, este no es un caso aislado. La agencia de protección de datos ha abierto 21 expedientes a lo largo de 2007 por filtraciones a Internet de datos personales sobre historias clínicas, datos personales de recursos humanos, solicitantes de adopciones internacionales, etc.

¿Está nuestra privacidad a salvo en la era de la información? .......


Guzmán Santafé
S21sec labs


Publicado por S21sec labs en 13:58 0 comentarios Vínculos a esta entrada
Etiquetas: , , , ,

martes 22 de abril de 2008

¿Cambiarán las interceptaciones de comunicaciones y la conservación de datos de tráfico y localización tal y como las conocemos?

Casi a la par se están produciendo dos recursos sobre dos normativas que afectan de forma importante al negocio de los operadores de comunicaciones electrónicas, pero sobre todo a los derechos fundamentales de todos nosotros a la intimidad personal y familiar, al secreto de las comuncaciones y a la autodeterminación informativa o privacidad.

Por un lado, y en España, después de que el Tribunal Supremo rechazara el recurso de la Asociación de Internautas contra el régimen de las interceptaciones de las comunicaciones recogido en el Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios (en adelante, "RD 424/2005"), ahora la AI contrataca interponiendo un nuevo recurso contra esta norma, esta vez en el Tribunal Constitucional. El motivo principal no es otro que en lugar de mediante ley orgánica, los derechos fundamentales afectados por esta regulación han tenido su base en una ley cuya aprobación no ha requerido mayoría absoluta.

Por otro lado, pero en este caso en Irlanda aunque con repercusión a nivel europeo, el Gobierno interpuso un recurso contra la Directiva 2006/24/CE, sobre la conservación de datos generados o tratados en lreación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, si bien este recurso se basa en los defectos formales en su adopción, de modo que ha sido aprobada no por unanimidad, sino por mayoría. A ello se han sumado Open Rights Group, Statewatch y Privacy International, entre otros 40 grupos defensores de derechos civiles han presentado una objeción a la Directiva 2006/24/CE, sumándose a la iniciativa del Gobierno irlandés, pues opinan de idéntica forma sobre los defectos formales de su tramitación, pero también alegando que la referida Directiva atenta contra el derecho a la privacidad, la libertad de expresión y la libertas de inforamción de las personas, además de ir contra el derecho a la propiedad de los operadores de comunicaciones electrónicas

En España, a pesar de que ya no queda prácticamente nada para que llegue el 8 de mayo, fecha para la que los operadores de comunicaciones electrónicas habrán de haber iniciado la conservación de los datos de tráfico y localización, aún seguimos sin que se haya aprobado la Orden Ministerial conjunta de los Ministros de Interior, de Defensa y de Economía y Hacienda regulando la forma en la que los operadores deban ceder los datos retenidos a los agentes facultados y que debiera haber estado lista el pasado 8 de febrero.

Desde luego, con la normativa sobre interceptación de comunicaciones electrónicas ya en vigor desde hace tiempo, y con el 8 de mayo a la vuelta de la esquina, en los próximos años podremos ver si nos cambían las reglas del juego tal y como las conocemos. Veremos entonces si entonces será aún más necesario que se revise íntegra y adecuadamente el desarrollo legislativo del artículo 18 de nuestra Constitución, o si por contra el legislador sigue en sus trece. Mucho me temo que puede ser mas lo segundo que lo primero.

Álvaro Del Hoyo
Departamento de Consultoría

Publicado por Álvaro Del Hoyo en 9:00 0 comentarios Vínculos a esta entrada
Etiquetas: , , , ,

lunes 21 de abril de 2008

Guía de seguridad RLOPD de la AEPD

Desde hace un rato está disponible en la web de la AEPD la "Guía de seguridad" con base en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD").

No habrá que perder de vista esto que dijimos recientemente en relación con los ficheros de datos de carácter personal preexistentes, sean estos automatizados o no,

Este nuevo documento llega un poco a traición de quienes asistan mañana a la 1ª Sesión Anual Abierta de la AEPD, que no podía ser de otra manera, este año se ha dado en denominar "El Nuevo Reglamento de desarrollo de la Ley Orgánica de Protección de Datos: Problemática, interpretación y aplicación".

Álvaro Del Hoyo
Departamento de Consultoría

Publicado por Álvaro Del Hoyo en 18:33 0 comentarios Vínculos a esta entrada
Etiquetas: , ,

Adaptados los formularios de inscripción de ficheros del Sistema Nota

Por este aviso oficial de la AEPD nos enteramos de que hoy mismo han sido publicados los nuevos formularios del Sistema Nota para inscripción de ficheros de datos de carácter personal de titularidad pública y privada de conformidad con el nuevo régimen reglamentario traído por el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD").

El procedimiento de inscripción de la creación, modificación o cancelación de oficio (a instancia de parte o de oficio) de ficheros en el Registro General de Protección de Datos está regulado en el Capítulo IV del Título IX del RLOPD, reglamento que entró en vigor el pasado sábado 19 de abril de 2008.

Como novedad en el formulario de inscripción de ficheros de titularidad privada se ha incluido una nueva notificación tipo precumplimentada para notificar los ficheros de Videovigilancia.

Los nuevos formularios pueden ser accedidos aquí.

Álvaro Del Hoyo
Departamento de Consultoría

Publicado por Álvaro Del Hoyo en 13:03 2 comentarios Vínculos a esta entrada
Etiquetas: , ,

Federal Trojan Horse

The German investigators have not yet been able to do the controversial secret online searches because of missing software. Joerg Ziercke - chief of the BKA - said they are working under "high pressure" on the appropriate software, but it would be no problem to get it also from other countries which already do this kind of observation.


The law to permit this way of online analysis is not yet determined - but the theoretical agreement exists now even though in a very restrictive form. At present the details are being discussed, like if the police is allowed to enter accommodations to install the software or if everything has to be done remotely.

For the police the situation is comparable to installing secret video cameras in order to observe people - here they are also permitted to enter the accommodations and install the necessary equipment.

The opponents see in secret online observations a break of the basic rights and a big step in the change from a democratic state towards a surveillance state.

Clemens Kurtenbach
S21sec labs

Publicado por S21sec labs en 9:37 0 comentarios Vínculos a esta entrada
Etiquetas: , ,

sábado 19 de abril de 2008

Entra en vigor el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999

Hoy mismo, 19 de abril de 2008, pasados tres meses ya desde su publicación en el BOE, ha entrado en vigor el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD").

Se desarrolla con esta norma no sólo un nuevo o modificado régimen en cuanto a las medidas de seguridad exigibles de conformidad con el principio de seguridad, sino todo el articulado de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), habiendo además traido consigo por fin un desarrollo reglamentario específico los ficheros no automatizados de datos de carácter personal. Ya nos hemos hecho eco aquí de las novedades que trae consigo el RLOPD y seguiremos haciéndolo.

Debe tenerse en cuenta no obstante que:

Con respecto a la moratoria sobre la implantación de las medidas de seguridad es preciso además tener en cuenta que la exención de responsabilidad puede no alcanzar a las infracciones por vulneración de los principios distintos del de seguridad establecidos por la LOPD, de modo que podría darse el caso de que la AEPD sanciones a quienes pudieran sufrir por ejemplo una fuga de información, que quizás hubiese podido ser evitado de haber mediado las nuevas medidas de seguridad aún no implantadas. La fuga de información es un incidente de seguridad que consistiría en una vulneración del deber de secreto, infracción que dependiendo del tipo de datos de carácter personal revelados podría ser leve (art. 44.2.e LOPD), grave (art. 44.3.g LOPD) o muy grave (art. 44.4.g LOPD).

Habrá que estudiar en detalle hasta qué punto las Resolucioes e Instrucciones emitidas por la AEPD contradicen o se oponen al RLOPD para determinar si permanecen en vigor total o parcialmente.

Álvaro Del Hoyo
Departamento de Consultoría

Publicado por Álvaro Del Hoyo en 8:10 0 comentarios Vínculos a esta entrada
Etiquetas: , ,

miércoles 16 de abril de 2008

Proveedores de correo electrónico y conservación de datos (actualización)

Después del debate sobre la política de retención de datos de Google y sobre la consideración de las direcciones IP como dato de carácter personal, y visto el avance que ya nos había dado la AEPD, parece que ya está próxima la publicación de la Opinión del Grupo del Art. 29 sobre tratamiento de datos de carácter personal por los buscadores de Internet.

Como aperitivo, ayer nos llegaba la versión final no oficial de la Opinión, que como podéis comprobar fue publicada en la página web de la autoridad de protección de datos de carácter personal de Holanda. A este documento rápidamente Google daba réplica y la AEPD nos facilitaba un resumen.

Pues bien, este documento va a ser de vital interés no sólo para los buscadores de Internet, sino también para todo propietario de servidores web que generen cookies y logs de visitas para tratarlos para finalidades como mejorar los servicios de la Sociedad de la Información o los procesos de contratación electrónica ofrecidos, optimizar los buscadores sobre el dominio propio, disponer de estadísitcas de visitas, implantar soluciones de seguridad o prevención del fraude, generar perfiles de usuarios y clientes,... y aquellos que incluso estén facilitando el uso de cookies por terceros como por ejemplo sucede con las cookies de las empresas de publicidad on-line.

La Opinión trae consigo algunos temas que se están tratando como novedosos, pero no hay que perder de vista que otros documentos del Grupo del Art. 29 que son citados en la Opinión y que son la fuente de estos temas pretendidamente novedosos como el ámbito de aplicación de la Directiva 95/46/CE, la consideración de las direcciones IP como dato de carácter personal y las particularidades en el tratamiento de las cookies.

Algo que puede tener especial trascendencia en lo que a la aplicación de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, es que el Grupo del Art. 29 manifiesta que, si bien al servicio de búsquedas de Google no le aplica la Directiva conservación de datos, ésta sí que es de aplicación al servicio de correo electrónico disponible al público de GMail.

Google seguramente opera en el mercado como proveedor de correo electrónico haciendo uso del servicio de acceso a Internet provisto por algún ISP. Éste es precisamente uno de los casos que más dudas está trayendo consigo en lo referente al ámbito subjetivo de la ley de conservación de datos. En mi opinión, la ley aplica a este tipo de proveedores si bien es cierto que por manifiesta imposibilidad técnica en ningún caso podrán atender al requerimiento de conservación:

  • Con respecto a los datos necesarios para rastrear e identificar el origen de una comunicación
    • El número de teléfono asignado a toda comunicación que acceda a la red pública de telefonía (art. 1.a.2.ii)
  • Con respecto a los datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:
    • El número de teléfono de origen en caso de acceso mediante marcado de números (art. 1.e.3.i) ; o
    • La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación (art. 1.e.3.ii).
Estos datos deberán ser conservados por los proveedores de acceso a Internet contratados por los proveedores de correo electrónicos disponibles al público.

Por otra parte, es importante tener claro a este respecto que las empresas que se dotan de servidores de correo electrónico para autoconsumo no son consideradas operadores de comunicaciones electrónicas y por lo tanto no son sujeto pasivo de la legislación de telecomunicaciones ni de la ley de conservación de datos.

Un caso bastante similar al de este tipo de proveedores de correo electrónico es el de los revendedores y los operadores móviles virtuales, con la diferencia de que en estos casos los operadores de telefonía fija o móvil o los proveedores de acceso a Internet se configuran como encargados del tratamiento. De ahí la vital importancia de contar con contratos que dén cumplimiento a lo dispuesto en el artículo 12 LOPD y en el RLOPD, sin olvidar incluir provisiones específicas para la transición a otro operador de acceso en los casos de terminación del contrato que une a revendedor u operador móvil virtual con aquél.

En los próximos días publicaré algunos posts sobre algunas de las cuestiones más relevantes de la Opinión que ha dado pie a este correo.

ACTUALIZACIÓN: El Grupo del Artículo 29 ya ha hecho pública la versión oficial de la Opinión sobre tratamiento de datos de carácter personal por los buscadores de Internet (WP 148). En los próximos días iré publicando posts sobre los temas más relevantes tratados.

Álvaro Del Hoyo
Departamento de Consultoría

Publicado por Álvaro Del Hoyo en 11:36 0 comentarios Vínculos a esta entrada
Etiquetas: , , , ,

miércoles 9 de abril de 2008

Proveedores de correo electrónico y conservación de datos

Después del debate sobre la política de retención de datos de Google y sobre la consideración de las direcciones IP como dato de carácter personal, y visto el avance que ya nos había dado la AEPD, parece que ya está próxima la publicación de la Opinión del Grupo del Art. 29 sobre tratamiento de datos de carácter personal por los buscadores de Internet.

Como aperitivo, ayer nos llegaba la versión final no oficial de la Opinión, que como podéis comprobar fue publicada en la página web de la autoridad de protección de datos de carácter personal de Holanda. A este documento rápidamente Google daba réplica y la AEPD nos facilitaba un resumen.

Pues bien, este documento va a ser de vital interés no sólo para los buscadores de Internet, sino también para todo propietario de servidores web que generen cookies y logs de visitas para tratarlos para finalidades como mejorar los servicios de la Sociedad de la Información o los procesos de contratación electrónica ofrecidos, optimizar los buscadores sobre el dominio propio, disponer de estadísitcas de visitas, implantar soluciones de seguridad o prevención del fraude, generar perfiles de usuarios y clientes,... y aquellos que incluso estén facilitando el uso de cookies por terceros como por ejemplo sucede con las cookies de las empresas de publicidad on-line.

La Opinión trae consigo algunos temas que se están tratando como novedosos, pero no hay que perder de vista que otros documentos del Grupo del Art. 29 que son citados en la Opinión y que son la fuente de estos temas pretendidamente novedosos como el ámbito de aplicación de la Directiva 95/46/CE, la consideración de las direcciones IP como dato de carácter personal y las particularidades en el tratamiento de las cookies.

Algo que puede tener especial trascendencia en lo que a la aplicación de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, es que el Grupo del Art. 29 manifiesta que, si bien al servicio de búsquedas de Google no le aplica la Directiva conservación de datos, ésta sí que es de aplicación al servicio de correo electrónico disponible al público de GMail.

Google seguramente opera en el mercado como proveedor de correo electrónico haciendo uso del servicio de acceso a Internet provisto por algún ISP. Éste es precisamente uno de los casos que más dudas está trayendo consigo en lo referente al ámbito subjetivo de la ley de conservación de datos. En mi opinión, la ley aplica a este tipo de proveedores si bien es cierto que por manifiesta imposibilidad técnica en ningún caso podrán atender al requerimiento de conservación:

  • Con respecto a los datos necesarios para rastrear e identificar el origen de una comunicación
    • El número de teléfono asignado a toda comunicación que acceda a la red pública de telefonía (art. 1.a.2.ii)
  • Con respecto a los datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:
    • El número de teléfono de origen en caso de acceso mediante marcado de números (art. 1.e.3.i) ; o
    • La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación (art. 1.e.3.ii).
Estos datos deberán ser conservados por los proveedores de acceso a Internet contratados por los proveedores de correo electrónicos disponibles al público.

Por otra parte, es importante tener claro a este respecto que las empresas que se dotan de servidores de correo electrónico para autoconsumo no son consideradas operadores de comunicaciones electrónicas y por lo tanto no son sujeto pasivo de la legislación de telecomunicaciones ni de la ley de conservación de datos.

Un caso bastante similar al de este tipo de proveedores de correo electrónico es el de los revendedores y los operadores móviles virtuales, con la diferencia de que en estos casos los operadores de telefonía fija o móvil o los proveedores de acceso a Internet se configuran como encargados del tratamiento. De ahí la vital importancia de contar con contratos que dén cumplimiento a lo dispuesto en el artículo 12 LOPD y en el RLOPD, sin olvidar incluir provisiones específicas para la transición a otro operador de acceso en los casos de terminación del contrato que une a revendedor u operador móvil virtual con aquél.

En los próximos días publicaré algunos posts sobre algunas de las cuestiones más relevantes de la Opinión que ha dado pie a este correo.

Álvaro Del Hoyo
Departamento de Consultoría

Publicado por Álvaro Del Hoyo en 9:17 0 comentarios Vínculos a esta entrada
Etiquetas: , , , ,

viernes 4 de abril de 2008

Agilidad frente a seguridad

Todos de vez en cuando tenemos que realizar trámites burocráticos de cualquier tipo, para comprar una casa, un coche, hipotecas, realización de matrículas universitarias, oposiciones, darse de alta con cualquier servicio de telecomunicaciones, y un sin fin de cosas más. Total, papeleo, papeleo, y más papeleo.

Además, muchas veces, para asegurarnos de que los trámites se realizan y poder cubrirnos las espaldas ante cualquier problema que pueda surgir, tenemos que enviar un burofax o una carta certificada, o recibir alguna de ellas de alguna empresa o Administración Pública.

Actualmente existe al menos una empresa que ofrece la posibilidad de enviar y recibir notificaciones certificadas del estilo de multas de tráfico, pagos realizados o a relaizar, convocatorias, etc, mediante el servicio de mensajes cortos de móvil (SMS). La validez jurídica que ese SMS certificado pueda tener queda al margen de este escrito, aunque dada la poca transcendencia que por ahora ha tenido, es de entender que de momento no es un método válido para este tipo de notificaciones que necesitan de un soporte legal en el que apoyarse en caso de necesidad.

La cuestión que nos trae al caso es la seguridad que ofrecen estos servicios y la información que puedan recibir los destinatarios de dichos mensajes, frente a la evidente agilidad a la hora de realizar trámites que estos supondrían, sobre todo para las Administraciones Públicas.

Las personas dedicadas a crear malware han centrado sus esfuerzos principalmente en los ordenadores personales, mucho más vulnerables y con más posibilidades, pero esta tendencia va a ir cambiando a medida que los teléfonos móviles se hagan más necesarios para las comunicaciones de datos. De hecho ya las últimas tecnologías de Sistemas Operativos para móviles centran sus esfuerzos en la seguridad.






Un servicio como el SMS certificado, dependiendo de su procedencia, puede contener información personal tanto de datos bancarios, como otro tipo de datos personales que puedan poner en riesgo al destinatario del SMS.

Si esta técnica es aprobada en algún momento, seguramente por la agilidad con la que se realizarán múltiples operaciones hará que se convierta en el estándar para el envío de certificados. En ese caso, ¿quién será el responsable de la seguridad en los móviles para evitar fuga de datos? ¿Se encargarán las empresan que ofrecen el servicio? ¿Serán las Administraciones Públicas, bancos, empresas de servicios de telecomunicaciones, ... las encargadas de velar por la confidencialidad de los datos? O será el usuario el que tenga que estar rompiéndose la cabeza buscando la manera de adelantarse a cualquier tipo de malware que pueda infectar su móvil y poner en riesgo sus datos privados?


Miguel López-Negrete
S21sec labs

Publicado por S21sec labs en 12:38 0 comentarios Vínculos a esta entrada
Etiquetas: ,

jueves 27 de marzo de 2008

Novedades del nuevo Reglamento LOPD respecto a la gestión de soportes y documentos

Al analizar en profundidad el recién estrenado Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RLOPD), me ha llamado la atención la importantísima novedad relativa a la obligación de solicitar autorización al responsable del fichero, cada vez que se remita un correo electrónico que incluya datos de carácter personal.

Art. 92.2: La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

Esta novedad, que parece haber pasado desapercibida en los numerosos artículos y eventos que se están realizando, equipara los correos electrónicos a los soportes de información (memorias removibles, cintas de backup, etc.) siendo por lo tanto necesaria la solicitud de autorización al responsable del fichero cada vez que se quiera enviar un correo electrónico donde se incluyan datos de carácter personal.

Esta medida, lógicamente no es gestionable por ninguna organización independientemente de la magnitud de la misma, ya que todo profesional / trabajador, utiliza el correo electrónico como herramienta de trabajo transmitiendo a través del mismo ingentes cantidades de información que incluyen en muchos casos datos de carácter personal. Asimismo y teniendo en cuenta que la citada medida de seguridad se refiere a datos de nivel básico, se debe cumplir la medida de seguridad en todos y cada uno de los correos electrónicos que incluyan cualquier tipo de dato de carácter personal.

Siguiendo con la problemática surgida con la equiparación de soporte de información y el correo electrónico, se podría, llegando al absurdo, a generar un registro de entrada y salida de todos y cada de los correos electrónicos que entren o salgan con algún dato de carácter personal en su cuerpo o adjunto al mismo. En dicho registro se debería incluir: la fecha, hora, el emisor, el destinatario, el tipo de información recibida o enviada, la persona responsable de la recepción, la persona responsable de la emisión y la correspondiente autorización.

Llegados a este punto, y teniendo en cuenta los plazos de prescripción de las sanciones, los registros y las autorizaciones para recibir y/o enviar correos electrónicos deberán almacenarse por un periodo no inferior a tres años.

Finalmente y como conclusión comentar la gran dificultad que tendremos todas las organizaciones para cumplir escrupulosamente con lo establecido por el nuevo RLOPD, ya que la labor administrativa y organizativa que exige es desmesurada .

Koldo Peciña Txintxurreta
Consultor Senior S21sec

Publicado por Álvaro Del Hoyo en 11:31 1 comentarios Vínculos a esta entrada
Etiquetas: , ,

Códigos tipo y transferencias internacionales de datos

La Legislación de Protección de Datos de Carácter Personal vigente en España, permite dentro del respeto de los mínimos legalmente establecidos, la posibilidad de que las entidades públicas y/o privadas que tratan datos de carácter personal, puedan establecer criterios voluntarios de adecuación que les permita mejorar el tratamiento de los datos de carácter personal que realizan.

En este sentido, se pueden establecer diferentes marcos de trabajo entre los cuales destacan:

1. LOS CODIGOS TIPO

Son un conjunto de buenas prácticas de adhesión optativa, que recogen compromisos adicionales y criterios básicos relacionados con la protección de datos.

Los códigos tipo deben cumplir los criterios mínimos que establece la legislación de Protección de Datos, y constituyen una adopción voluntaria que obliga al cumplimiento de su contenido en tanto en cuanto la entidad se adhiera a ellos.

Son inscritos en el Registro General de Protección de Datos, previa aprobación de su contenido por la Agencia Española de Protección de Datos, y se han constituido como elementos útiles para la adopción de posturas adoptadas unilateralmente por empresas o criterios sectoriales para tratamiento de datos de carácter personal.

Los Códigos Tipo tienen una gran aceptación por parte de los clientes potenciales así como de la ciudadanía en general puesto que establece un compromiso de respeto al derecho a la intimidad, al honor y la propia imagen del afectado.

  1. ACUERDOS INTERNACIONALES

Si tenemos en cuenta una perspectiva internacional de datos, salvando los casos en los que el afectado consiente de forma expresa el tratamiento internacional de los datos, la Legislación Española de Protección de Datos, establece la necesidad de que el país de origen y el país de destino tengan un mismo nivel de protección en materia de datos de carácter personal.

En relación a ello, se establecerán dos grandes grupos;

  1. Países destinatarios con un nivel de protección equivalente. Respecto a los cuales, para la realización de transferencias internacionales de datos no se requiere autorización del Director de la Agencia Española de Protección de Datos, dado que bien el Estado Español bien la Unión Europea considera que garantizan un nivel de protección equivalente. El listado de estos países es publicado regularmente en el Boletín Oficial del Estado.
  1. Países destinatarios respecto a los cuales no se considera que exista un nivel de protección equivalente.

En cuyo caso las entidades españolas que pretendan realizar una transferencia internacional de datos a estos países (y dicha transferencia no se encuentra exceptuada por Ley) deberán solicitar autorización al Director de la Agencia Española de Protección de Datos, en donde deberán fundamentar que entre ambas partes se ha establecido acuerdos concretos que garanticen dicha equivalencia de protección a la legislación española.

Ambos supuestos relativos a la transferencia internacional de datos, constituyen en relación a países fuera del espectro territorial de la Unión Europea una adhesión voluntaria, bien Estatal mediante la formalización de Acuerdos Internacionales, bien de la entidad destinataria mediante la formalización de acuerdos bilaterales privados, o la adhesión a protocolos marco (como pueden ser los denominados Protocolo de Puerto Seguro entre Estados Unidos y la Unión Europea).

En todo caso, el contenido de estos acuerdos, contratos bilaterales y protocolos de adhesión son de libre disposición siempre y cuando garanticen el cumplimiento de un contenido mínimo establecido por la Legislación de Protección de datos aplicable en el país de origen.

NORMAS CORPORATIVAS VINCULANTES

Dentro del marco internacional establecido anteriormente, se ha añadido la posibilidad de que empresas de un mismo grupo puedan definir e implantar las denominadas Normas Corporativas Vinculantes (Binding Corporate Rules) que son una propuesta de la Unión Europea enfocado a flexibilizar los movimientos internacionales de datos.

Las Normas Corporativas Vinculantes (NCV) son declaraciones de grupos empresariales internacionales que comparten datos de carácter personal entre todas ellas, que definen un criterio corporativo para el tratamiento de datos de carácter personal.

La ventaja de las NCV respecto al resto de elementos contractuales arriba referenciados, cuando la transferencia internacional de datos se realiza países que no tienen un nivel de protección equivalente al Español es el ahorro de tramites burocráticos ante la Agencia Española de Protección de Datos, dado que sólo se solicita una autorización bajo unas premisas de tratamiento de datos que vincularán a todas las empresas pertenecientes a ese grupo empresarial.

Uno de los “inconvenientes” que se le asocian a las NCV es que deben estar regidos por la norma local más restrictiva en materia de protección de datos, de todas las que apliquen al holding empresarial, y que debe ser de obligado cumplimiento en todas las empresas filiales.

En conclusión siempre bajo el prisma del cumplimiento de los mínimos establecidos en la Legislación Española de Protección de Datos, las entidades ya sean públicas o privadas pueden adherirse a criterios voluntarios relativos al tratamiento de protección de datos que mejoran su imagen empresarial ante Organismos como la Agencia Española de Protección de Datos, y sus clientes potenciales.

No obstante estas normativas de aceptación voluntaria constituyen un catálogo de criterios de adecuación adicionales que deben de ser adoptados por las entidades de forma obligatoria desde su adhesión.

Será por tanto, necesario que cada entidad de forma individualizada establezca dentro de su estrategia empresarial la importancia que quiere dar a la Protección de Datos Personales y las relaciones sectoriales, nacionales e internacionales que desee adoptar.

Montserrat Gómez Florez
Departamento de Consultoría

Publicado por Álvaro Del Hoyo en 11:21 0 comentarios Vínculos a esta entrada
Etiquetas: , ,

miércoles 26 de marzo de 2008

La figura del encargado del tratamiento

La figura del encargado del tratamiento ha sido objeto de uno de los más manidos debates en la interpretación de la legislación en materia de datos de carácter personal desde sus orígenes.

El estatuto jurídico del encargado del tratamiento fue regulado en primer lugar por el artículo 27 Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (en adelante, "LORTAD"), y desde el inicio de su aplicación práctica generó diversas dudas en su interpretación, en parte alimentadas por el hecho de que no contaba con desarrollo reglamentario alguno y por insuficiencias que fueron parcialmente resueltas por los artículos 12 y 43 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD").

A continuación listamos los principales aspectos que integran el estatuto jurídico de la figura del encargado del tratamiento:

  • Distinción entre los términos "responsable del fichero o tratamiento" y "encargado del tratamiento";
  • Distinción entre cesión o comunicación de datos y acceso a datos por cuenta de terceros;
  • Aplicación a ficheros automatizados y no automatizados;
  • Régimen de responsabilidad del encargado del tratamiento;
  • Formalidades en la contratación del tratamiento de datos a terceros (encargados del tratamiento);
  • Medidas de seguridad aplicables por el encargado del tratamiento;
  • Destrucción y devolución de los datos, soportes o documentos en que conste algún dato de carácter personal objeto del tratamiento;
  • Conservación de los datos objeto de la prestación de tratamiento por el encargado de éste;
  • Posibilidad de subcontratación del tratamiento por parte del encargado de éste y formalidades en su contratación.
La AGPD vino a resolver algunas de las dudas interpretativas existentes por medio de los Informes 283/2004, 416/2004 y 513/2004 de su Asesoría Jurídica, en los que la Asesoría Jurídica venía a reiterar lo ya manifestado en el Plan de Inspección de Oficio a las empresas participantes en la elaboración de los Censos de Población y Viviendas del año 2001, de fecha 17 de julio de 2003. Estos informes se complementan con el Informe 000/2000 cuyo contenido fue revisado en 2006 para incluir la referencia a este Plan de Inspección de Oficio en precisión sobre lo manifestado en este anterior informe sobre la posibilidad de subcontratación de terceros por el encargado del tratamiento.

Precisamente lo manifestado por la AGPD en estas recomendaciones ha sido lo que ha venido a incluirse en el Título II, Capítulo III (artículos 20 a 22) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD") estableciendo la regulación de la figura del encargado del tratamiento en desarrollo del artículo 12 LOPD y que se complementa con lo establecido en el artículo 43 LOPD y con las referencias específicas al encargado del tratamiento en el Título VIII RLOPD relativo a las medidas de seguridad aplicables a los ficheros de datos de carácter personal.

A continuación, citaremos las novedades que trae consigo el RLOPD y los nuevos problemas interpretativos que trae consigo en relación con el estatuto jurídico del encargado del tratamiento aún reconociendo el avance que supone este nuevo articulado:
  • Formalidades en la contratación de los servicios que impliquen el tratamiento de datos de carácter personal
Las formalidades en la contratación de los servicios de tratamiento de datos de carácter personal vienen estipuladas en el artículo 12 LOPD, en cuya atención y el artículo 20.2 RLOPD viene ahora a establecer que el responsable del fichero "deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento".

Quizás hubiera sido conveniente añadir en este artículo un "en todo momento" en relación a una posible reclamación basada ya sea en la "culpa in eligendo", "culpa in contrahendo" o "culpa in vigilando".

  • Cesión o comunicación de datos a terceros por el encargado del tratamiento
Tanto el artículo 12.2 LOPD como el 20.3 RLOPD establecen que el encargado del tratamiento no podrá comunicar a terceros los datos, ni siquiera para su conservación.

El artículo 20.3 RLOPD en su último párrafo viene a aclarar que "el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el presente capítulo", en clara referencia a la transición del servicio de tratamiento de un encargado del tratamiento a otro.

  • Destrucción o devolución de los datos objeto de la prestación de tratamiento
El artículo 12 LOPD dispone que los datos objeto de la prestación de tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento, deban de ser destruidos o en su caso devueltos al responsable del tratamiento.

En este sentido, y en atención a lo dispuesto por los artículos 16.3 y 16.5 LOPD, el artículo 22.1 RLOPD viene a aclarar en su segundo párrafo que la devolución de los datos procederá en tanto en cuanto existan obligaciones legales de conservación. A este segundo párrafo del artículo 22.1 RLOPD se le puede y debe hacer la crítica de que obvia las obligaciones de conservación de tipo voluntario que pudieran existir como reconoce el propio artículo 16.5 LOPD.

  • Conservación de los datos personales objeto del contrato del servicio que implique su tratamiento
El artículo 12 LORTAD establecía la obligación de destruir los datos objeto de la prestación de tratamiento una vez concluida ésta, si bien habilitaba la posibilidad de que el responsable del fichero autorizara la conservación de los datos por el encargado del tratamiento por un plazo máximo de 5 años y adoptando las debidas condiciones de seguridad porque razonablemente se presumiera la posibilidad de ulteriores encargos.

Esta posibilidad fue omitida por el artículo 12 LOPD, si bien el Informe 283/2004 vino a recordar que de conformidad con el artículo 1157 Código Civil y con la jurisprudencia del Tribunal Supremo la prestación del servicio de tratamiento de datos se ha de considerar cumplida una vez ésta ha concluido, a salvo de cumplimiento gravemente defectuoso o de ausencia de coincidencia con la prestación estipulada en el contrato. Todo ello sin perjuicio del derecho que asiste al encargado del tratamiento a recibir el pago por el responsable del fichero del precio acordado como contraprestación del servicio prestado. Ello significaría que una vez cumplida la prestación de tratamiento de datos el encargado de éste debería proceder a la destrucción o devolución de los datos objeto del contrato, si bien el artículo 1255 del Código Civil habilitaría un posible pacto entre las partes consistente en que "el cumplimiento de la prestación pudiera entenderse condicionado a la conformidad del responsable del tratamiento con la actuación efectuada por el encargado, de modo que se indicase en el contrato que la prestación de aquél se entenderá cumplida cuando, una vez finalizada la actividad en que consistía el tratamiento encomendado al encargado del tratamiento, el responsable del tratamiento compruebe y dé su conformidad a la actuación de aquél, siempre que para el otorgamiento de dicha conformidad se establezca un plazo razonable y reducido de tiempo".

Aún y todo, no existiendo acuerdo de este tipo entre el responsable del fichero y el encargado del tratamiento, si ha de ser considerado el encargado del tratamiento también como responsable del tratamiento, era lógico pensar que en atención a lo dispuesto en los artículos 16.3 y 16.5 LOPD, el encargado del tratamiento pudiera conservar los datos objeto de la prestación mientras se pudieran derivar responsabilidades de su relación con el responsable del fichero, de igual manera a cómo lo puede hacer el responsable del fichero (bloqueo de datos). Esto viene a ser ahora reconocido expresamente, como era lógico, por el artículo 22.2 RLOPD.

Por tanto, una vez cumplida la prestación de tratamiento los datos, soportes y documentos objeto de la prestación habrán de ser devueltos al responsable del fichero, a la vez que bloqueados para su conservación por el encargado del tratamiento durante el tiempo en que pudieran derivarse responsabilidades de su relación con el responsable del tratamiento. De modo que la destrucción de los datos por el encargado del tratamiento tan sólo tendrá lugar una vez alcanzado el final del referido plazo máximo de conservación que le sea aplicable.

Cuestión distinta serán las dudas interpretativas que genere la regulación del bloqueo de los datos y que la AGPD ha tratatado de resolver en sus Informes 000/2001 y 127/2006. Y digo que ha tratado de resolver, pues creo que la solución dada no es del todo conforme o no encaja perfectamente con el articulado de la LOPD y su normativa de desarrollo, incluido el RLOPD.

  • Subcontratación de terceros por el encargado del tratamiento
Como apuntábamos antes, los artículos 12.2 LOPD y 20.3 RLOPD prohíben al encargado del tratamiento comunicar a terceros los datos objeto del servicio, aunque tan sólo fuera para su conservación.

Ello nunca ha impedido la subcontratación de terceros por el encargado del tratamiento siempre que se hiciera con el consentimiento y en nombre y por cuenta del responsable del fichero, si bien es cierto que el principio de transparencia requería ciertas obligaciones formales en la celebración de la subcontratación que no estaban recogidas en la legislación. Esto mismo es lo que vino a poner de relieve el Plan de Inspección de Oficio a las empresas participantes en la elaboración de los Censos de Población y Viviendas antes citado.

La doctrina manifestada por la AGPD en este Plan de Oficio viene a incorporarse en el artículo 21 RLOPD, si bien creo que la redacción de este artículo es manifiestamente mejorable y creo que se ha complicado sobremanera, pues este artículo no viene más que a reiterar las formalidades exigibles en la contratación de los servicios de tratamiento a los casos en los que el encargado del tratamiento los subcontrate total o parcialmente a terceros. Además el artículo 21.2 RLOPD induce a confusión al afirmar que es posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los requisitos en él listados. La subcontratación se ha de producir siempre con autorización del responsable del fichero como demuestran los referidos requisitos y, en especial, lo manifestado por el artículo 21.3 RLOPD.

Álvaro Del Hoyo
Departamento de Consultoría

Publicado por Álvaro Del Hoyo en 16:57 0 comentarios Vínculos a esta entrada
Etiquetas: , ,

martes 25 de marzo de 2008

Niveles de seguridad aplicables a ficheros y tratamientos de datos personales

Recientemente he podido desarrollar un estudio pormenorizado de los niveles de seguridad establecidos en el nuevo Reglamento 1720/2007 de desarrollo de la LOPD (en adelante RDLOPD) en sus arts. 80 y 81 y varias son las cuestiones que me han suscitado algún comentario o debate.

En primer lugar una de las novedades que aporta el RDLOPD es que el establecimiento de los niveles de seguridad ya no se realiza únicamente en función de “la naturaleza de la información tratada” tal como fijaba el art. 3.2. del ya extinto Reglamento 994/1999 de Medidas de Seguridad (RMS), sino que el nuevo RDLOPD tiene en cuenta diferentes factores como son el tipo y naturaleza de los datos contenidos, el tipo de actividad objeto social del Responsable del fichero o la naturaleza pública o privada del mismo. Parece claro que un mismo rasero para todos los responsables de ficheros ya no era la postura más lógica y aquí las administraciones públicas han salido ganando frente a otros colectivos como las telecomunicaciones o la banca.

Respecto de los niveles de seguridad dos tipos de ficheros suscitan la mayor parte de mis dudas…

En el caso “sui generis” de los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y localización; las medidas de seguridad aplicables serán las medidas de nivel básico y medio más el registro de control de accesos del art. 103 RDLOPD. Todo un éxito en la puja entre las empresas de telecomunicaciones y el gobierno que en un primer momento quería obligar a estos operadores a implantar todas las medidas de nivel alto a sus ficheros de facturación y trafico…

Ahora bien, la duda que se nos ha suscitado no pocas veces, recae sobre qué nivel de seguridad declarar ante el Registro General de Protección de Datos respecto de este tipo de ficheros. El sistema de declaración de ficheros de la Agencia, el sistema “NOTA”, tampoco establece una solución del tema. En mi caso entiendo que la solución más prudente en estos casos pasa por declararlos como ficheros de nivel medio y luego incluir en el documento de seguridad la medida de registro de control de accesos exigida, no sea que por declarar el fichero como de nivel alto los inspectores entiendan que son de aplicación todas las medidas de nivel alto y que por tanto se han incumplido las mismas, aunque todos sabemos que la declaración de ficheros únicamente tiene efectos declarativos…

Otro hecho destacable dentro del listado de niveles de seguridad es el siempre controvertido fichero que contenga datos para la “evaluación de la personalidad o comportamiento de los ciudadanos”. La actual redacción del RDLOPD ofrece una mejora respecto del RMS ya que ahora no se habla de la necesidad de contar con “datos suficientes para poder obtener una evaluación de la personalidad” sino que exige que efectivamente el fichero contenga datos referentes a “características o personalidad de los ciudadanos” y que estos datos permitan a su vez “evaluar la personalidad y comportamiento” de los mismos.

¿Es esto un doble requisito o bastaría tener datos “suficientes” como decía el RMS para poder hacer una evaluación de la personalidad?. ¿Cuáles son los datos de características del individuo o de su personalidad?. Tampoco se dice si estos datos deben provenir directamente del individuo o pueden ser fruto de una tratamiento que de los datos iniciales y objetivos del individuo pueda realizar el responsable del fichero Ejemplo típico de estos tratamientos los tenemos en el escoring financiero realizado por bancos o los estudios de fiabilidad hechos por las aseguradoras.

Quizás el art. 36.1 RDLOPD, pueda aportar algo de luz al tema pues al hablar del derecho de oposición habla tangencialmente de las actividades que pueden suponer una evaluación de personalidad, refiriéndose a ellas como aquellas actividades encaminadas a “evaluar el rendimiento laboral, crédito, fiabilidad o conducta” del individuo.

En resumen, ¿Son estas actividades del art. 36.1 RDLOP las evaluaciones de personalidad a las que se refiere el art.81.2.f)? ¿Qué son datos de características del individuo o de su personalidad? y ¿estos datos han de existir de forma previa a la evaluación o basta con un conjunto de datos suficientes para hacerlo?. Última pregunta: ¿Estos datos sobre características y personalidad, han de ser aportados directamente por el individuo o pueden ser elaborados por el responsable del tratamiento a partir de datos objetivos de aquel?

He ahí el debate…

Raúl Rodriguez Celaya

Dpto. Consultoría

Publicado por Álvaro Del Hoyo en 12:09 2 comentarios Vínculos a esta entrada
Etiquetas: , ,

martes 11 de marzo de 2008

Seguridad Electoral

La tecnología electrónica nos permitió conocer en tiempo record los resultados electorales. Sin embargo, estos resultados avanzados entre la noche del nueve de marzo y la madrugada del día diez siguen considerándose un escrutinio provisional. No será hasta este viernes cuando los resultados serán ya definitivos. En la Junta Electoral Central se habrán recogido y contabilizado las actas de todas las mesas, a las que se sumarán los votos de los residentes en el extranjero y los votos de los ausentes temporales (personas que sin residir en el extranjero no pueden emitir su voto el día de las elecciones).

¿Esta verificación “manual” significa que nos seguimos sin fiar de los resultados transmitidos electrónicamente? ¿Cómo se realiza exactamente la transmisión electrónica del escrutinio? ¿Es realmente segura?

Este año, una vez más, la empresa Indra fue la adjudicataria de la transmisión de los datos y la gestión segura de los mismos. Como muchos ya sabréis esta vez se han utilizado cerca de 11000 PDAs que han facilitado esta tarea. Se han utilizado distintos modelos y distintas marcas, todas ellas con un software común y con un sistema de gestión remota que permitía configurar en cada momento qué información debía ser introducida. Así, a las 14 horas todas fueron habilitadas remotamente para poder transmitir únicamente datos relacionados con el avance del índice de participación. Una vez cerrados los colegios electorales, éstas fueron configuradas para admitir ya los resultados de los votos de los senadores y de las listas al Congreso.

En función de la carga de trabajo se determinó el número de mesas que utilizarían una misma PDA. En cada mesa había un representante de la Administración responsable de comunicarse con un único responsable de esa PDA para la transmisión de los datos. Éste debió introducir, para evitar ambigüedades, el número de mesa y como doble verificación una clave única asociada con cada número de mesa.

Una vez introducidos los datos, estos viajaron supuestamente a través de un canal seguro de comunicaciones vía GPRS. Esta comunicación GPRS fue proporcionada por distintas operadoras de telefonía móvil, no reveladas, que a su vez redirigieron el tráfico hacia una operadora única, contratada por el Ministerio del Interior y cuya identidad tampoco ha sido revelada. Esta operadora fue responsable de enviar los datos hacia el centro de Datos de Madrid, otros 18 centros de recogida de datos repartidos por distintas Delegaciones del Gobierno a lo largo del país, y al Centro de Servicio de Indra.

A partir del proceso anterior podemos deducir varios puntos débiles para los cuales parece que se han aplicado políticas y tecnologías de seguridad:

  • En el acceso al envío de datos, sólo una persona cualificada era la responsable de manipular la PDA.
  • Además, fue necesario verificar cada mesa con una clave propia.
  • La transmisión a priori suponemos que fue cifrada, autenticada y con un sistema de verificación de la integridad de la información extremo a extremo. No obstante ha sido imposible verificar estos datos.
  • La altísima redundancia basada en sistemas de backup repartidos por toda la geografía española garantiza prácticamente al ciento por ciento la disponibilidad de los datos.

Parece que ya va siendo hora de que vayamos dando más protagonismo al sistema electrónico, tanto en la transmisión de los resultados como en la implantación de un sistema de votación de este tipo. La tecnología ya lo permite, pero ¿estarán las administraciones a la altura de este nuevo reto de la tecnología de los sistemas de información?


Elyoenai Egozcue
S21sec Labs

Publicado por S21sec labs en 12:21 8 comentarios Vínculos a esta entrada
Etiquetas: ,

jueves 6 de marzo de 2008

El "pretexting" en la legislación española (II)

No existen en España obligaciones legales específicas en cuanto a la configuración o calidad de los sistemas de autenticación en la provisión de servicios de atención telefónica, si bien los res