El principio de proactividad o accountability en protección de datos

Accountability o principio de responsabilidad proactiva en protección de datos es un principio que establece que las organizaciones no solo deben cumplir con la normativa de protección de datos, sino que también deben demostrar que la cumplen. Es decir, deben adoptar medidas técnicas y organizativas que garanticen y evidencien el respeto a los derechos y libertades de las personas cuyos datos tratan.

Este principio se basa en el concepto de **accountability** o responsabilidad proactiva, que se encuentra en los artículos 5 y 24 del Reglamento General de Protección de Datos (RGPD) y en el artículo 28 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

¿Qué implica la política de proactividad para las organizaciones?

Accountability o principio de responsabilidad proactiva en protección de datos implica que las organizaciones deben:

– Definir qué datos necesitan, para qué los van a usar y durante cuánto tiempo los van a conservar, siguiendo los criterios de limitación de la finalidad, minimización de los datos, exactitud y limitación del plazo de conservación.

– Informar a los interesados sobre el tratamiento de sus datos, mediante un aviso legal, una política de privacidad y una política de cookies, que expliquen clara y transparentemente los aspectos esenciales del tratamiento, como la identidad del responsable, la finalidad, la base legal, los destinatarios, los derechos y las opciones de configuración.

– Obtener el consentimiento expreso e informado de los interesados para el tratamiento de sus datos, mediante un mecanismo que permita verificar que lo han dado libremente, específicamente e inequívocamente, como una casilla que deben marcar o un botón que diga “Sí, acepto”.

– Garantizar la seguridad de los datos, mediante la adopción de medidas técnicas y organizativas adecuadas para protegerlos frente a posibles riesgos, como pérdidas, robos, accesos no autorizados, alteraciones o divulgaciones. Estas medidas pueden incluir el cifrado, las contraseñas seguras, las copias de seguridad o el control de acceso.

– Documentar el cumplimiento normativo, mediante la elaboración y actualización de registros de actividades de tratamiento, evaluaciones de impacto, análisis de riesgos o códigos de conducta. Estos documentos deben estar disponibles para demostrar ante terceros, como la Agencia Española de Protección de Datos (AEPD) o los propios interesados, que se respeta la normativa.

– Facilitar el ejercicio de los derechos de los interesados, mediante la habilitación de canales eficaces para que puedan solicitar el acceso, la rectificación, la supresión, la limitación, la portabilidad o la oposición al tratamiento de sus datos. Estas solicitudes deben ser atendidas en el plazo establecido por la ley.

¿Cuál es el beneficio de la política de proactividad?

Accountability o principio de responsabilidad proactiva en protección de datos supone un cambio cultural en las organizaciones, que deben asumir su responsabilidad y adoptar una actitud activa y preventiva frente al tratamiento de datos personales. Esto conlleva una serie de beneficios para las organizaciones, como:

– Mejorar su reputación e imagen ante sus clientes y proveedores.

– Aumentar su competitividad y diferenciación en el mercado.

– Evitar sanciones económicas o daños reputacionales por incumplimientos normativos.

– Fomentar la confianza y la fidelización de sus clientes.

– Optimizar sus procesos internos y externos.

Si quieres saber más sobre la política de ‘proactividad’ en protección de datos o necesitas ayuda para implementarla en tu negocio, puedes contactarnos aquí y te asesoraremos encantados.

¡Hasta pronto!

Recientemente, el Ayuntamiento de Sevilla ha sufrido un ciberataque en forma de ransomware. Como media de previsión se han tenido que interrumpir todos los servicios digitales, para minimizar el daño que el ataque podría causar.
De esta forma han podido detener el daño y a la espera de los informes definitivos, proteger los datos de los usuarios ante posibles fraudes.

¿Qué lo que es un ‘ransomware’?

Para explicarlo de forma fácil: El ransomware es un malware que impide a los usuarios acceder a sus sistemas o archivos, que viene acompañado. Por lo general, los atacantes piden un rescate – sin garantías, como ha sido el caso; a veces, los destruyen.

¿Cómo llega un ransomware a mi sistema?

Uno de los métodos más habituales actualmente es descargar el ransomware a través de correo electrónico spam malicioso, que son mensajes no solicitados. El mensaje de correo electrónico puede incluir archivos adjuntos trampa, como PDF o documentos de Word. También puede contener enlaces a sitios web maliciosos.
Por ello, un simple error humando puede causar un desastre enorme en una organización, como ha pasado con Ayuntamientos, Hospitales y sistemas gubernamentales en muchos países en los últimos años.

¿A quién ataca un ransomware?

Al introducir el ransomware inicialmente (y posteriormente se reintrodujo), estaba dirigido a sistemas particulares (es decir, personas normales y corrientes). Sin embargo, los ciberdelincuentes empezaron a ser conscientes de todo su potencial y desplegaron el ransomware para las empresas y organizaciones. Con ello tuvieron tanto éxito que decidieron seguir atacando a estos sectores, llegando incluso a detener la producción, evacuar hospitales enteros y provocar pérdidas de datos y de beneficios por sumas muy maltas.
Hacia finales del 2016, el 12,3 % de las detecciones empresariales fueron ransomware (a nivel global), frente a solo un 1,8 % de detecciones de usuarios particulares a nivel internacional.
En 2017 el 35 % de las PYMEs habían experimentado un ataque con ransomware.

¿Qué hacer si tengo un ransomware en mi sistema?

Lo más importante, en cualquier caso de infección con ransomware, es no pagar el rescate. Es un consejo respaldado por el FBI para los afectados. En caso contrato, animaríamos a los ciberdelincuentes a lanzar más ataques.

Para solucionarlo, existen desencriptadores gratuitos, pero no todas las familias de ransomware disponen de estas opciones. Hay formas de ransomware muy sofisticados que hay que dejar en manos de especialistas IT / TI antes de estropearlo del todo.

También existen productos de seguridad descargables para la desinfección y análisis con el fin de eliminar la amenaza. Aunque posiblemente no recupere todo lo perdido, al menos elimina la infección.

En el caso de bloqueo de pantallas habrá que restaurar el sistema por completo.

La importancia de la Protección de Datos en estos ataques

Con relación al ransomware, es necesario que personas responsables y encargadas de tratamiento tomen conciencia del riesgo que estos ataques plantean, y que apliquen medidas técnicas y organizativas apropiadas para afrontarlos. Estas medidas se han de orientar en tres direcciones: intentar evitar su materialización, tener capacidad para su detección temprana y rápida evaluación de las consecuencias y minimizar el impacto sobre los derechos y libertades de las personas cuyos datos personales se hayan visto afectados, según indica la AEPD en relación a estos ataques.

Además, resume de forma muy fácil de entender los pasos a seguir:

En una época en el que los datos son el nuevo “oro” de las organizaciones, el impacto de una brecha de seguridad de tipo ransomware puede ser enorme y estrategias adecuadas de gestión de riesgos y gobernanza de los datos son claves para determinar con precisión algunos aspectos clave del análisis de una brecha de seguridad de este tipo y que permiten dar una respuesta adecuada, como son:

• Categorías de datos personales afectados
• Número de registros afectados
• Número de personas afectadas
• Tipología de la brecha de seguridad (disponibilidad y/o confidencialidad)
• En caso de afectar a la disponibilidad, capacidad para reestablecerla sin causar daño o nivel de daño potencial
• En caso de afectar a la confidencialidad, riesgo real de identificación de las personas y nivel de daño potencial

La persona responsable del tratamiento debe tener tal control sobre los sistemas en los que realiza tratamientos de datos personales que le permita determinar con agilidad estos parámetros y valorar el nivel de riesgo para los derechos y libertades de las personas.

La capacidad de determinar este nivel de riesgo es clave para poder dar cumplimiento a los requisitos de responsabilidad proactiva establecidas en el RGPD, como entre otros:

• Obligación de notificar las brechas de seguridad a la autoridad de control, a menos que sea improbable que la brecha suponga un riesgo para los derechos y libertades de las personas afectadas, dentro de las 72 horas siguientes a que la persona responsable sea consciente de que el hecho se ha producido.
• Obligación de comunicar la brecha de seguridad a las personas afectadas en caso de que sea probable un alto riesgo para sus derechos y libertades. El objetivo de la comunicación a estas personas afectadas es permitir que puedan tomar medidas para protegerse de las consecuencias.

Para la notificación de brechas de seguridad a la autoridad de control, la AEPD pone a disposición de las personas responsables del tratamiento un formulario en su Sede Electrónica. Además, como ayuda a la toma de decisiones sobre la necesidad de comunicar una brecha de seguridad a las personas afectadas, la AEPD tiene publicada la herramienta Comunica-Brecha RGPD.

Puede obtener más información en la Guía para la Gestión y Notificación de Brechas de Seguridad, en el sitio web Innovación y Tecnología de esta Agencia, así como en nuestro blog:

• Brechas de seguridad: el correo electrónico y las plataformas de productividad online
• Protección de datos y seguridad
• Brechas de seguridad: Top5 de medidas técnicas
• Brechas de seguridad: comunicación a los interesados
• Brechas de seguridad: qué son y cómo actuar

CEO DATA PROTECT PLUS®

Sylvia Fries

El ladrón en casa. Cuando empleados roban datos.

No son casos aislados, sino cada vez es más común que empleados roban datos de la empresa para su propio beneficio.

El 69% de las compañías IT experimentó el robo de sus datos personales y confidenciales por parte de sus empleados en 2016. Así relata el informe del “The State of Cybersecurity and Digital trust 2016”. Imaginémonos el alcance después de la pandemia y la digitalización de las empresas a nivel global.

Y no solo en este sector está de moda esta tendencia.

¿Cuáles son los mayores riesgos en mi empresa?

La mayor amenaza para la seguridad de una organización no viene de afuera, sino de dentro de la organización, principalmente empleados de confianza. Empleados con afán de crear su propio negocio, que dejan la organización, podrían robar datos corporativos confidenciales para crear su propio negocio, usarlos contra la organización o venderlos para obtener ganancias.

Hay varias formas en las que un empleado malicioso puede sacar a escondidas datos de la organización. Pero las más comunes son:
– Dispositivos externos: La creciente popularidad de Trae tu propio dispositivo (BYOD) ha conllevado un aumento importante en el robo de datos mediante dispositivos personales.
– Correo electrónico: Los archivos críticos de la compañía se filtran fuera de la organización como archivos adjuntos en correos electrónicos.

¿Qué hago si un empleado roba datos en mi empresa? Un caso real.

Una empresa de publicidad y marketing ha experimentado el robo desde dentro de su organización. Durante los trabajos de mantenimiento IT han descubierto el robo, junto con otro problema: Un empleado de máxima confianza ha estado trabajado en paralelo (durante el horario laboral) por su propia cuenta, usando los clientes de la empresa y toda su infraestructura.

Su plan era perfecto, pero no contaba con las revisiones y los conocimientos tan específicos de su jefe.

Ofrecía presupuestos más baratos que la compañía en la que estaba contratado, asegurándose así su aprobación, realizando el trabajo en horario laboral, pero cobrando por cuenta propia.

Una vez descubierto el robo, se puso en marcha una gestión multilateral para abordar el problema:
1. Peritaje judicial informático para recoger pruebas fehacientes de la estafa y robo por parte del empleado para la correspondiente demanda judicial, con la ayuda de un informático cualificado.
2. Contratación de una abogada laborista especializada en esta materia para el despido del trabajador y posterior demanda judicial, debido a la estafa.
3. Denuncia ante la AEPD contra el empleado por robo y uso de datos personales de la empresa sin el consentimiento de los afectados. Gestión realizada íntegramente por el DPO asignado de la empresa, ya que cuentan con todos los protocolos de protección de datos al día, según dicta la normativa vigente LOPDGDD.

¿Cómo prevenir el robo de datos e información por parte de los empleados?

Zer0Trust Endpoint es un servicio que previene el robo de datos frente a amenazas tanto externas como internas de la empresa. Es un servicio modular que se adapta a las necesidades de tu negocio. Se compone de una solución de software de ciberseguridad a medida respaldada por un equipo técnico de profesionales que están pendientes para ayudar y efectuar de manera inmediata los protocolos de seguridad necesarios para proteger a tu empresa. El software utilizado en Zer0Trust Endpoint permite lo siguiente:

– Protege frente a amenazas externas de la empresa como malware, phishing y otras técnicas de ingeniería social o incluso un daño del hardware del dispositivo por una causa externa como por ejemplo un pico de tensión. ¿Cómo solucionamos esto? Utilizando motores de firmas de malware e inteligencia artificial y una solución de backups y respaldos aislados muy completa.

– Protege rente a amenazas internas de la empresa como por ejemplo el robo de datos valiosos por parte de personas que tengan acceso directo a los equipos de la organización. El software esta monitorizando de manera activa constantemente que datos sensibles dentro del equipo y en el caso de detectar la extracción de los mismos fuera del equipo ya sea por un canal virtual (ejemplo  email, una nube o carpetas compartidas) o un canal físico (ejemplo un disco duro, DVD, USB). Bloquea la copia de dichos datos y registra en un log accesible solo para los administradores de la organización y los técnicos informáticos responsables dicho intento de extracción de datos y posteriormente notifica a los responsables de la organización o empresa.

En caso de detectar Zer0Trust Endpoint cualquier amenaza interna o externa, un equipo de profesionales especializado se pondrá en contacto con los responsables de la empresa con la mayor brevedad posible para verificar que todo está correcto y que el propietario del negocio pueda quedarse con la conciencia tranquila y evaluar la situación mas fríamente.

¿Necesitas ayuda? Contáctanos aquí.

CEO DATA PROTECT PLUS®

Sylvia Fries

¿Es obligatorio cumplir la ley de protección de datos en comunidades de propietarios?

La respuesta es SI. Y aquí entra la problemática de las multas en las comunidades que se pueden evitar, simplemente evitando el incorrecto tratamiento de datos personales.

Las comunidades de propietarios deben cumplir con la Ley de Protección de Datos, debido al tratamiento de datos personales de los propietarios, inquilinos, copropietarios, empleados de empresas de servicios y otros proveedores.

¿Quién trata datos en una comunidad de propietarios?

Esta es la principal cuestión para la protección de datos en una comunidad de propietarios. Existen diferentes figuras que se responsabilizan, gestionan o tienen acceso a datos personales de los copropietarios, empleados y proveedores de las Comunidades de Propietarios.

En las Comunidades de Propietarios se reciben, modifican y almacenan datos de carácter personal de diversos colectivos: empleados, proveedores, copropietarios, o personas que acceden al edificio (en caso de videovigilancia).

Por lo tanto, para una correcta gestión de datos en comunidades de propietarios es esencial saber quiénes son los responsables del tratamiento, quiénes los encargados y qué obligaciones tendrá cada uno de ellos.

Entonces distinguimos entre la figura del administrador de fincas y la comunidad de vecinos, que se convierte en ENCARGADO DE TRATAMIENTO. Y la comunidad de vecinos en RESPONSABLE DE TRATAMIENTO (representado por el Presidente / la Presidenta)

El Administrador de Fincas y la comunidad

Es muy común que las comunidades de propietarios contraten los servicios de un administrador de fincas (bien la figura colegiada o bien una gestoría), para que se encargue de diferentes tareas relacionadas con la administración y gestión de la comunidad (gestión de recibos y pagos de la comunidad, la contratación de personal, etc.).

Normalmente, esas tareas implican que el administrado de la finca tenga acceso a los datos personales de los propietarios, inquilinos o copropietarios, convirtiéndose así en ENCARGADO DE TRATAMIENTO a quien la comunidad de propietarios encarga a través de contrato el tratamiento de esos datos con una finalidad determinada.

Ese contrato de encargo de tratamiento, para cumplir con la ley de protección de datos en comunidades de vecinos, debe estar firmado por responsable y encargado y contener la siguiente información:

– El encargado de tratamiento solo tratará los datos personales de acuerdo a las instrucciones dadas en el contrato.

– No se cederán datos a terceros sin el consentimiento expreso del responsable.

– Establecer las medidas de seguridad.

– El destino de los datos una vez finalizado el servicio contratado.

– En caso de usar los datos para otras finalidades, se incumpla el contrato o se comuniquen a terceros, el encargado de tratamiento será sancionado y considerado como responsable.

La RGPD en comunidades de propietarios también establece que, en caso de que el encargado de tratamiento realice subcontrataciones, se requiere autorización del responsable de tratamiento. Y la comunidad, como responsable, puede autorizar la subcontratación de servicios, siempre cuando la subcontrata también cumple con la normativa en vigor.

Las multas más comunes en comunidades

Aquí podríamos iniciar una larga lista, debido a las cuantiosas reclamaciones.

Pero para ser breves, muchas de las reclamaciones están relacionadas con la videovigilancia, la inexistencia de carteles informativos, la falta de información en dichos carteles y el acceso a las grabaciones.

Otro apartado importante se lleva la toma de fotografías y posterior publicación en grupos de whataspp sin autorización de las personas fotografiadas.

También cabe destacar la creación de grupos de whatsapp sin permiso de los participantes, así como la publicación de datos personales en espacios comunes / de paso.

Todas estas multas se pueden evitar con la correcta gestión e información para todas las partes implicadas.

¿Eres Administrador/a de Fincas y necesitas ayuda con la Protección de Datos de la comunidad de Propietarios?

Si eres administrador/a de fincas y no tienes claro si estás cumpliendo con las obligaciones y requisitos de la Ley de Protección de Datos o, simplemente, no tienes tiempo para dedicarle a esta tarea como sería necesario, podemos ayudarte.

Toda la gestión relacionada con la protección de datos, de manera ágil y sencilla y siempre al día respecto a las novedades o modificaciones de la normativa.

No te hacen falta papeles, teniendo toda la gestión online, con nuestra plataforma, de forma fácil y transparente en cualquier momento.

Con un curso para toda la plantilla e información periódica, en Data Protect Plus® velaremos por la seguridad de las comunidades y ayudamos a enseñar a los demás cómo tratar los datos ajenos.

Solicita aquí más información.

Las multas en comunidades se pueden evitar.

CEO de Data Protect Plus®

Sylvia Fries

¿Cesión de datos a terceros, o ceder datos a terceros, qué significa?

¿La cesión de datos a terceros no te afecta? Si tienes un negocio u organización / asociación, tratas con datos personales si quieres o no, o al menos en el 99,9% de los casos, y lo más seguro que la cesión de datos a terceros es un asunto a tratar.

Una excepción puede ser una pequeña tienda que no emite factura y solo cobra en efectivos (un TPV también recoge datos), sin empleados, ni videovigilancia, ni Redes Sociales o página Web, ni cualquier otro medio que pueda recoger datos personales.

Para la cesión de datos personales a terceros, tenemos que distinguir entre dos supuestos:

1. El acceso a datos personales para la prestación de un servicio.

Un ejemplo aquí es una asesoría, que se convierte en Encargado de Tratamiento de los datos de los empleados de todos sus clientes (los responsables del tratamiento de esos datos), tanto empresas como autónomos, asociaciones, federaciones, clubes, etc. Los responsables de los datos determinan en cualquier caso el tratamiento que pueda realizar la asesoría sobre dichos datos.

La base jurídica para el acceso a datos personales en este caso puede ser:

Ahora bien, para ceder datos de forma lícita su negocio deberá contar con el consentimiento previo, específico e inequívoco de los titulares de dichos datos.

• Que la cesión sea necesaria para la ejecución o desarrollo de una relación contractual.
• Que constituya una obligación legal para el cedente.
• Que obedezca a intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
• Que sirva para salvaguardar el interés vital del interesado o de otras personas.

• La cesión de datos en el propio sentido de la palabra. Aquí cabe destacar que el tercero que recibe los datos puede aplicar sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento.

Un ejemplo aquí es un sorteo de forma digital, cuyo acceso está sujeto a varios consentimientos para la participación. Uno de ellos es la aprobación de la política de privacidad (donde se debe recoger toda información sobre responsables, findes de tratamiento y posibles cesiones), además de la aprobación voluntaria e inequívoca de envío de publicidad (tanto propia como por terceros) y cualquier otro tratamiento o cesión previsto, bajo su aprobación por el usuario.

El mismo principio de cesión de datos, definido para el Ciudadano, sería el derecho a la portabilidad de sus datos

La finalidad de este nuevo derecho es reforzar aún más el control de tus datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato.

No obstante, este derecho, por su propia naturaleza, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable.

Más información sobre los derechos del Ciudadano en la guía de la AEPD .

En caso de actuar de forma correcta, las multas dependen de la gravedad de la infracción, como muestra el siguiente ejemplo, que es un claro ejemplo de cesión de datos a terceros sin el consentimiento de la persona correspondiente.

Infracción Art. 6 (1) GDPR, Art. 15 GDPR  

¿Qué lo que indica la AEPD sobre el acceso a datos personales?

“Artículo 2.4. Consentimiento de los interesados

El RGPD requiere que el consentimiento sea “inequívoco”, lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que permitía la normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:

• Puede ser para uno o varios fines.
• Debe ser prestado de forma libre.
• Revocable.
• El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
• Utilizar un lenguaje claro y sencillo.

Por otra parte, también debe ser tenido en cuenta lo siguiente:

• Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.
• Si se recaba el consentimiento para varias finalidades:
  • Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros).
  • Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo, tratamiento por quien recaba los datos y cesión a terceros).”

Para más información al respecto, contacte con nuestros técnicos.

Fuente:

https://www.aepd.es/es/preguntas-frecuentes/1-tus-derechos

https://www.aepd.es/es

Sylvia Fries – CEO de Data Protect Plus®

Sylvia Fries

¿Un agente de policía puede hacer fotos con su móvil privado de documentos personales?

El regulador de privacidad zanja que los agentes de policía no pueden usar dispositivos privados para tomar imágenes de documentos oficiales de los ciudadanos y que esta práctica debe limitarse incluso con móviles oficiales

Los miembros de las fuerzas de seguridad no pueden hacer fotos con sus teléfonos privados de la documentación oficial de una persona a la que estén identificando. Solo se permite que sea un dispositivo corporativo del cuerpo usado para fines estrictamente profesionales. Así lo ha recordado la Agencia Española de Protección de Datos (AEPD) en una reciente resolución en la que sanciona al Ayuntamiento de Ourense. En este caso había permitido al cuerpo de policía actuar de forma indebida.

Como se expresa en la queja ante el regulador de privacidad, los agentes de la localidad tomaron fotografías del DNI de una persona con objetivo de abrir posteriormente un expediente sancionador. “Este tratamiento es claramente excesivo”, zanja la AEPD, que recuerda que existen múltiples métodos para registrar la identificación de un ciudadano. No es necesario exponerlo a los riesgos que entraña una imagen tomada con un dispositivo privado sobre el que la Policía no tiene control.

Esa falta de “control” es el principal argumento del organismo y se extiende al propio agente que posee el teléfono, que podría no conocer “la posibilidad de acceso por terceros a los datos” de forma “inadvertida”. Esto puede ocurrir “si se instalan aplicaciones en los teléfonos móviles que requieran el acceso a los datos, o cuando se produce un almacenamiento de las imágenes o de su copia en una nube”, recuerda la AEPD, “con el agravante de que en ocasiones la falta de transparencia de los desarrolladores de aplicaciones no permite conocer si se están produciendo accesos a los datos almacenados en los dispositivos”.

Esta situación se suma al “uso privado” que cada agente puede hacer de su dispositivo, lo que podría derivar en violaciones del derecho a la privacidad de la persona identificada. Este además “no resultaría compatible con las medidas de seguridad que para el ejercicio de las funciones de indagación, investigación y prevención de delitos e infracciones deban adoptarse”.

Atención con los móviles oficiales para tomar fotos

La resolución de la AEPD llega tras un recurso interpuesto por el Ayuntamiento de Ourense contra una primera sanción del regulador. En su reclamación, el consistorio gallego señala que se tomaron las medidas de seguridad adecuadas, que la finalidad de la foto era solo identificar a la persona contra la que se iba a incoar un expediente administrativo, y que las imágenes son un “medio de prueba admitido en derecho”. Por último, añade que ya ha distribuido móviles corporativos para que la situación no se repita.

En su resolución, la AEPD alega que “no pone en duda” que las fotografías sean útiles para las investigaciones policiales, pero que en este caso no hacía falta fotografiar el DNI del ciudadano para nada. “Basta con la exhibición del DNI y toma de datos por los agentes, sin que sea precisa la conservación posterior de la imagen”, afirma. 

En este sentido el organismo recuerda que aunque el cuerpo policial disponga de móviles corporativos u otros dispositivos oficiales, debe evitarse hacer fotos de documentos personales de los ciudadanos con móvil privado, en la medida de lo posible. Se trata del principio de “minimización de datos”, que se basa en impedir que la información se vea sometida a los riesgos del mundo digital (brechas de seguridad, hackeos, usos irregulares, que acabe en bases de datos de terceros, etc.) cuando existen alternativas. En este caso, una simple libreta.

Por último, la AEPD recalca que la normativa de protección de datos “impone además la supresión de la imagen inmediatamente después de que se haya producido la mencionada identificación” en los casos en los que al final se termine recurriendo a fotografiar un documento oficial.

La sanción al Ayuntamiento de Ourense no conlleva cuantía económica, puesto que la AEPD no puede imponer multas a las instituciones públicas, sino solo “apercibimientos”.

Excepciones en pandemia para fotografiar documentos

El posicionamiento de la AEPD en este caso ha sido contrario al que adoptó en febrero de este año en una situación similar que involucró a la Policía Nacional. No obstante, en ese caso la fotografía sí se tomó con un móvil oficial y el regulador apreció otras variables, como las medidas de reducción del contacto personal por la pandemia.

Aquella resolución desestimó la queja de varios asistentes a una manifestación para pedir la excarcelación del rapero Pablo Hasél, organizada el 20 de marzo de 2021 en Madrid sin comunicarlo a la Delegación de Gobierno. Aquella noche agentes de la Policía Nacional exigieron fotografiar los DNI de un grupo de manifestantes antes de permitirles abandonar el lugar en el que se habían concentrado.

“Dicha forma de actuación se consideró oportuna por las circunstancias y la situación de pandemia existente a fin de evitar el contacto directo con las personas identificadas y sus pertenencias”, alegó la Dirección Nacional de la Policía a la AEPD. Añadió que se trató de un “modo de proceder excepcional” debido al coronavirus y que “una vez realizada la identificación las imágenes del DNI tomadas fueron inmediatamente borradas del dispositivo móvil”. En este caso, si que estaba permitido, de forma excepcional, el tomar fotos de documentos personales con móvil privado.

La dirección del cuerpo añadió que el teléfono utilizado era el “móvil oficial perteneciente al jefe del núcleo de la unidad” y que su uso es exclusivamente policial. No obstante, no identificó el teléfono ni dio pruebas de esta situación.

Fuente: Eldiario.es

CEO. DATA PROTECT PLUS

Sylvia Fries

Contacto: https://dataprotectplus.com/contacto/

Con la oferta de programas disponibles sin coste, hoy no tienes excusa para no proteger tu equipo adecuadamente. Echa un vistazo a los mejores antivirus gratuitos para PC, descárgalos y quédate con el que más te guste. Aquí os dejamos 5 antivirus para descargar totalmente gratis.

AVG Antivirus Free

AVG Press Center

La solución AVG cuenta con dos grandes ventajas. Primero, tiene un alcance impresionante amplio: el software no solo buscará virus y malware, sino que también ayudará a bloquear enlaces sospechosos, evitar descargas inescrupulosas y el uso de archivos adjuntos que puedan estar infectados. Eso hace que la aplicación sea una mejor opción para una familia o usuarios mayores con un presupuesto limitado.

DESCARGA AVG ANTIVIRUS

ZoneAlarm Free Antivirus

ZoneAlarm proporciona firewalls y análisis de antivirus, pero va un paso más allá al abordar dos problemas de seguridad cada vez mayores: el robo de identidad y la pérdida de datos. El robo se previene mediante herramientas de supervisión de crédito diarias y con un “especialista en educación crediticia” para ayudarte a resolver cualquier alerta o problema.

El solftware ZoneAlarm también ofrece su propio servicio de respaldo en la nube para realizar copias de seguridad de tus datos y encriptarlos para su protección online. Si aún no cuentas con un servicio que te ayude a proteger tu identidad y datos, esta podría ser la opción que necesitas.

Si eliges descargar este software gratuito tienes que saber tres cosas: recibirás la versión beta, la licencia gratuita para usarlo dura alrededor de un año y, lo más importante, si tratas de desinstalarla después puedes tener problemas para hacerlo ya que algunas funciones como su extensión de navegador no necesariamente son eliminadas durante el proceso de instalación y puede ser difícil deshabilitarlas.

DESCARGA ZONEALARM

Malwarebytes Anti-Malware Free

Malwarebytes ofrece algunos de los mejores y más completos programas de eliminación de virus disponibles, que lo convierten en una de las primeras fuentes recurrentes para agencias tecnológicas y grupos de soporte por igual.

La única advertencia con la versión gratuita de Malwarebytes es que es más una herramienta de remedio que un escudo de protección activo. La herramienta de escaneo encontrará y eliminará lo que sea necesario, una vez que tu máquina esté infectada, lo hará bien, pero no evita que la infección suceda. Para eso, necesitas la versión premium u otra de las herramientas en esta lista. Sin embargo, como una segunda capa de defensa, la versión gratuita de Malwarebytes es muy buena.

Asimismo, el software cuenta con una extensión gratuita (Browser Guard) para Chrome, Edge y Firefox, que ofrece protecciones de web como bloqueo de anuncios de terceros, de páginas web que tienen malware y de fraudes en línea.

DESCARGA EN MALWAREBYTES

Avast Free Antivirus

En términos de protección básica, Avast es uno de los mejores antivirus disponibles. Recibió el puntaje máximo en la prueba de protección AV Test. El último paquete gratuito del antivirus Avast es impresionante. Además de la protección habitual contra virus y malware, incluye capacidades antirootkit y antispyware.

Este software viene con una gran cantidad de opciones personalizables que puedes alternar en la instalación, incluida la protección de tus dispositivos Android a través de Avast Mobile Security & Antivirus. La versión 2021 de Avast va más allá cuando se trata de hacerte sentir seguro al usar el programa. En la instalación, un desglose muy claro muestra exactamente cómo Avast usa tu información privada.

La compañía se enfrenta a posibles ataques de malware al iniciar escaneos antes de que se abra un archivo desconocido, lo que evitará que lo haga si detecta alguna señal de alarma. El software es bueno para proteger tu PC mientras estás en línea, ya que bloquea las URL maliciosas y detiene descargas automáticas. Asimismo, incluye un modo No molestar que silencia por completo alertas y ventanas emergentes mientras miras una película o disfrutas de tu videojuego favorito.

Dicho esto, recién se informó que Avast también recopila los datos de navegación web de sus clientes (incluidas las búsquedas de Google, las visitas a páginas de LinkedIn y sitios XXX) y vende esa información mediante su empresa matriz Jumpshot.

En un reporte de 2019 Avast no niega que recopila y vende datos de usuarios pero, según Cnet, no recopila “información de identificación personal, incluido el nombre, la dirección de correo electrónico o los datos de contacto” y brinda a los usuarios la posibilidad de no compartir esos datos.

Con el programa gratuito te perderás algunas características exclusivas del paquete premium, que incluyen escaneos y actualizaciones automáticas. Quienes deseen tales actualizaciones deberán optar por un plan de suscripción, que es de aproximadamente $40 dólares para una PC con Windows o una Mac, por el primer año, y después $70 dólares por año. Aún así, la versión gratuita te mantendrá bien protegido.

Avast también ofrece otra suite de seguridad nueva: Avast One. Existen tres versiones de esta: Avast One Essential (la gratuita) y las versiones premium (Avast One Individual y Avast One Family). Avast One Individual ofrece más funciones de protección y rendimiento que el software gratuito, y también es gratis. Las funciones incluyen un firewall, un VPN, y herramientas para acelerar tu PC.

DESCARGA AVAST

Kaspersky Security Cloud

Security Cloud de Kaspersky es simplemente una versión de su software de seguridad que se sincroniza a través de la nube en todos tus dispositivos para que puedas administrar todo a la vez, desde celulares hasta computadoras de escritorio.

La nube también hace que sea más fácil mantener actualizado todo el software de seguridad y enviar alertas a tu dispositivo para que siempre sepas lo que sucede. Aunque es un poco complicado de encontrar, Kaspersky ofrece una versión gratuita del antivirus. Sin embargo, es muy limitada. Tendrás protección contra amenazas de malware y antivirus incluyendo ransomware y Troyanos.

También tendrás acceso (restringido) a funciones como una VPN o almacenamiento de contraseñas para un máximo de 15 contraseñas en una “bóveda de seguridad en línea”.

DESCARGA KASPERSKY SECURITY CLOUD

Avira Free Antivirus

El antivirus gratuito optimizado de Avira es una de las mejores opciones para obtener exactamente las funciones de seguridad que deseas sin extras innecesarios o instalación de software molesto. Las opciones de descarga están disponibles para Windows, Mac, Android y iOS, y la compatibilidad con Mac/iOS es particularmente buena, lo que la convierte en una opción sólida para los usuarios de Apple.

Esta versión gratuita de Avira viene con escaneos y bloqueos de virus, reparación de archivos infectados, actualizaciones en tiempo real, escudo para aplicaciones potencialmente no deseadas, bloqueador de anuncios y bloqueador de rastreo. Incluso puedes usar Avira para escanear dispositivos de almacenamiento externo como un disco duro externo.

La versión Pro cuesta $45 dólares por año y viene con protección de email (solo para Windows), protección adicional contra ransomware, y para compras y operaciones bancarias en línea.

DESCARGA AVIRA

Fuente: DIGITALTRENDS – DANIEL MATUS

La Agencia Española de Protección de Datos (AEPD) ha pedido a un abuelo que retire de Facebook las fotos de su nieto en un tiempo máximo de 10 días. Todo apunta a una rencilla familiar entre la madre y el abuelo, con el trasfondo de la muerte del padre del menor y de la privacidad del niño en las redes sociales.

Este conflicto familiar se inicia en septiembre de 2021, cuando la madre del menor exigió a su abuelo paterno que «no quiere que su hijo aparezca en ninguna fotografía pública y que suprima las que ha publicado». Ante esta situación, el abuelo hizo caso omiso a la madre y ésta decidió dar un paso más y reclamar ante la AEPD.

Aun así, el procedimiento se inadmitió al «no apreciar indicios racionales de la existencia de una infracción en el ámbito competencial de la Agencia Española de Protección de Datos».

La insistencia de la madre continuó e interpuso un recurso donde argumentaba que el padre del menor había fallecido y que por lo tanto era ella la que ostentaba la exclusiva patria potestad sobre el menor. Examinado el citado recurso por la Agencia, esta vez sí resolvió estimándolo y procedió a la apertura del procedimiento.

Entonces en diciembre de 2021, desde la Agencia se requirió que presentara alegaciones a la parte reclamada (el abuelo), que señaló que obtuvo el consentimiento expreso verbal de su hijo para poder publicar las imágenes en la red social Facebook, y que la reclamante «tenía perfecto conocimiento de tal hecho» y «que durante varios años no opuso ninguna objeción a ello». El abuelo también argumentó que «lo cierto es que no tiene capacidad para revocar el consentimiento otorgado por mi hijo en su día, que sigue siendo perfectamente válido aun a pesar de su fallecimiento puesto que este no fue otorgado por un período determinado de tiempo».

La reclamante continuaba su litigio posteriormente y alegaba que no bastaba el consentimiento de uno solo de los cónyuges para que subieran fotos de su nieto en redes sociales y además de perfil público: «En el presente caso, no consta consentimiento de los titulares de la patria potestad, por lo que todas las publicaciones en las que aparezca mi hijo deben ser eliminadas inmediatamente».

La resolución final de la Agencia

Según la documentación obrante en el expediente, la Agencia acreditó que la madre del menor, quien ostenta la exclusiva patria potestad sobre el mismo, ha solicitado al reclamado que elimine todas las imágenes del menor publicadas en redes sociales y que éste se ha negado indicando que disponía del consentimiento del padre fallecido.

La Agencia ha teniendo en cuenta los artículos 154 y 156 del Código Civil, que disponen «en defecto o por ausencia, incapacidad o imposibilidad de uno de los padres, la patria potestad será ejercida exclusivamente por el otro», y que la madre ostenta en exclusiva la patria potestad del menor, ha procedido a estimar la reclamación.

Aun así, desde la misma Agencia han emitido que si la pretensión de la reclamante es la protección de su derecho al honor y a la propia imagen, no son el órgano competente, por lo que deberá dirimirse y resolverse por las instancias correspondientes.

Finalmente, la Agencia insta al abuelo en que en el plazo de diez días hábiles, remita a la madre de su nieto una certificación en la que haga constar que ha atendido el derecho de supresión solicitado. También, la AEPD ha advertido que el incumplimiento de esta resolución podría comportar la comisión de la infracción considerada en el artículo 72.1.m de la LOPDGDD, que se sancionará, de acuerdo con el art. 58.2 del RGPD.

Fuente: ABC

La denuncia de irregularidades o ‘whistleblowing’ se produce cuando una persona informa de una infracción, mala conducta, discriminación o similares en una organización. Esta persona suele ser un empleado, pero también puede ser un tercero, como un proveedor o un cliente.

¿Qué es el Whistleblowing?

Varios escándalos y sucesos recientes han mostrado la importancia de la denuncia de irregularidades para evitarlos o poder tomar las medidas rectificatorias correspondientes para minimizar el impacto en la organización y su entorno. Así, por ejemplo, la crisis financiera mundial de 2007-2008 puso de manifiesto la mala gestión empresarial generalizada en las instituciones financieras, y destapó, entre otros, el escándalo del ‘Dieselgate’ de Volkswagen en 2015. Ambos casos costaron a las empresas miles de millones de dólares y se consideran exactamente el tipo de incidentes que podían haber sido evitados si dichas instituciones hubieran dispuesto de políticas y canales internos de denuncia eficaces.

La Ley Whistleblowing, que regula el Canal de Denuncias, entró en vigor el 17 de diciembre 2021 y es obligatoria para todas aquellas empresas de más de 50 trabajadores. Esta ley es vinculante para España y el resto de países de la Unión Europea y regula el Canal de Denuncias (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión o lo que es lo mismo la Ley Whistleblowing, más conocido en España como el Canal Denuncias.

Según marca esta directiva, debe ser un instrumento de la empresa puesto a disposición de todas sus partes interesadas, con el fin de poder denunciar o revelar posibles infracciones o conductas irregulares que se puedan estar cometiendo en el seno de esta. Además, debe ser confidencial y garantizarse su accesibilidad y visibilidad. Asimismo, las compañías también deben garantizar todos los derechos que asisten a las partes implicadas.

¿Qué dice la nueva ley de Whistleblowing?

La nueva legislación incorpora muchas novedades; como la desaparición de la palabra ‘denunciante’ por ‘informante’; la obligación de adoptar medidas de protección ante posibles represalias (también es posible denunciar de forma anónima). Para garantizar la confidencialidad de las identidades de los alertadores, las autoridades de protección de datos recomiendan el uso de canales de denuncia que permitan la presentación de informes de manera anónima. Esto se debe a que, si una denuncia es anónima, el acusado solo tiene que ser informado de que se ha recibido una denuncia (anónima) sobre él o ella. La identidad del alertador sigue estando protegida.

¿Quién debe implementar las medidas de la ley Whistleblowing?

Esto significa que las empresas de más de 50 personas trabajadoras, públicas y privadas, tendrán la obligación de implantar este sistema de denuncias, no solo las que tenían obligación actualmente: empresas con sistema de prevención de delitos, riesgos penales y antisoborno y las obligadas en materia de detección de blanqueo de capitales. Si bien las empresas de entre 50 y 249 personas trabajadoras dispondrán de un período transitorio de dos años para ello, hasta el 17 de diciembre de 2023.

Es decir, ahora el cumplimiento es vinculante según los siguientes criterios:

• Empresas de más de 250 empleados y sector público.
• Empresas de entre 50 a 249 empleados tendrán margen de implantación hasta el 17 de diciembre de 2023
• Empresas con un volumen de negocio anual igual o superior a 10 millones de euros.
• Empresas que operen en el sector salud pública y/o medioambiental
• Sujetos obligados por la ley de prevención de blanqueo de capitales y financiación del terrorismo.

La ley Whistleblowing estará sometida al estricto cumplimiento del RGPD y de la LOPDGDD, así en todo lo relativo a la legislación de protección de datos de naturaleza penal. De este modo, deberán establecerse las bases legitimadoras de los tratamientos realizados, además de cumplir con obligaciones adicionales, entre las que destacan:

1. La designación de la figura del responsable del Sistema de Información.
2. La creación de políticas y procedimientos documentados para la gestión de denuncias y la confidencialidad de la información (ejercicio de derechos, protección del informante…).
3. La obligatoriedad de contar con un Delegado de Protección de Datos DPO / DPD (las empresas de más de 50 trabajadores deberán contar, pues, con esta figura).
4. El establecimiento de un plazo máximo de conservación de diez años.

Las sanciones, además, son muy duras en caso de incumplimiento (hasta 1.000.000 €):

• 50.000 € por impedir o dificultar el seguimiento de la denuncia; por no cumplir con el derecho de confidencialidad, o por practicar represalias.
• 25.000 € por no disponer de un canal de denuncia interno.

Asesórate con nosotros sobre Whistleblowing ¡Contáctanos!

La FUNDAE (Fundación Estatal para la Formación en el Empleo, antigua Fundación Tripartita) lleva desde 2010 vigilando de cerca a las empresas que se dedican a ofrecer la implantación de Protección de Datos a “coste cero” mediante subvenciones para la formación en el trabajo, a través de las cuales financian estos servicios con cargo a los créditos asignados para la formación bonificada.

El procedimiento que utilizan estas empresas fraudulentas consiste en llamar a las empresas pidiendo por el responsable para alertarlo sobre las posibles multas que comporta el incumplimiento del RGPD. A continuación, le ofrecen cursos a cargo de estos fondos y le obsequian con una presunta consultoría en Protección de Datos, que suele ser incompleta o inexistente. Sin embargo, la empresa víctima del fraude no sabe que en realidad están solicitando crédito a la FUNDAE para destinarlo a una formación que no aprovechará.

Ejemplo de conversación telefónica:

1. Buenos días, nos ha notificado la oficina de la Seguridad Social de que su empresa no está registrada en la Protección de Datos.
2. ¿Perdón, quién le ha notificado qué?
3. Su empresa no tiene hecha la Protección de Datos, según la Seguridad Social.
4. Ahh, pues, no entiendo lo que tiene que ver la Seguridad Social con esto, ni que exista registro.
5. Si, su CIF nos ha salido como pendiente de registro.
6. Oiga, Señorita, la Seguridad Social no tiene nada que ver con la Protección de Datos, ni existe registro para ello. Por lo tanto, ruego que eliminen nuestros datos de contacto y se abstengan a difundir mentiras. Me quedo con su número y el nombre de su empresa, porque en caso contrario nos veremos obligados a denunciar estos hechos.

Fraude sobre implantación de LOPD a través de la FUNDAE

¿Te ha pasado algo parecido? No existe relación entre la Protección de Datos de una organización y la Seguridad Social, ni existe ningún registro para ello. Es una de las muchas tácticas malintencionadas que usan algunas empresas para vender sus cursos de Protección de Datos a través de la FUNDAE.

Notificación de la FUNDAE por peligro de fraude sobre LOPD

Según puedes ver en este enlace:

https://www.fundae.es/actualidad/noticias/detallenoticia/2019/10/03/utilizaci%C3%B3n-de-bonificaciones-para-lopd—nota-informativa

no se pueden usar los créditos de formación para un servicio de la empresa. Los asesores laborales pueden confirmar que han tenido que lidiar con las devoluciones del crédito y multas debido al mal uso de la bonificación. Es una práctica todavía muy común pero no lícita.

Además, un curso de protección de datos no sustituye el principio de la responsabilidad proactiva para proteger los datos de forma permanente. En otras palabras, implica que si se quiere evitar sanciones económicas hay que cumplir con este principio, ya que no bastará con limitarse a cumplir la normativa. Es necesario demostrar que se están adoptando acciones para prevenir cualquier riesgo. La propia página de la Agencia esgrime una serie de pasos que podrían servir como ejemplos de que se está procediendo de forma diligente.

Consecuencias

Las empresas que contraten servicios de adecuación a la ley de protección de datos o al reglamento general de protección de datos o cualquier otro servicio similar con cargo a las bonificaciones de formación para empleados, estarán realizando un fraude a contra la Seguridad Social y contra la Agencia Tributaria.

• Multa de más de 180.000 euros por fraude a la Seguridad Social
• Multa de la Agencia Tributaria por fraude en el pago de IVA
• Devolución de las bonificaciones “ahorradas”
• Riesgo de un trabajo estándar que no cubra necesidades concretas

No contrates servicios de adecuación gratuitos, a ‘coste cero’ o ‘bonificados’ por subvenciones por fondos a la formación.

Hay que evitar dejarse seducir por falsos profesionales que ofrecen estos servicios y que están perjudicando a profesionales como los de Data Protect Plus que realizamos un trabajo honesto para que nuestros clientes reciban un asesoramiento de calidad. La reputación de su negocio está en juego.