¿Qué sanciones son más frecuentes?.

Las reclamaciones presentadas ante la Agencia Española de Protección de Datos (AEPD) durante 2018 se incrementaron un 32,8% hasta alcanzar las 14.146. En cuanto a la temática de las mismas, corresponden a inserción indebida en ficheros de morosidad, videovigilancia , servicios de Internet, reclamación de deudas, Administración Pública, sanidad , publicidad , comercios, transporte y hostelería, entidades financieras y publicidad a través de e-mail o teléfono móvil.


Respecto a los plazos de resolución, la mitad de las reclamaciones admitidas en la Agencia se resuelven en una media de 100 días, sin tener que esperar los más de 200 días de media del modelo anterior. Además hay que tener en cuenta que el traslado de la reclamación al responsable o DPD no conlleva necesariamente que no se vayan a realizar actuaciones inspectoras a posteriori, ya que la Agencia tiene potestad para investigar los mecanismos establecidos por la empresa.


En 2018 se han dictado 907 resoluciones sancionadoras (434 con sanción económica, 96 con resolución de infracción a Administraciones Públicas y 377 apercibimientos). En lo referente a la temática de los procedimientos sancionadores, destacan, por este orden: Contratación fraudulenta, inserción indebida en ficheros de morosidad, videovigilancia, spam (LSSI), publicidad (excepto spam), servicios de Internet, reclamación de deudas, telecomunicaciones, Administración Pública y sanidad.


En el caso de las dos principales (morosidad y contratación fraudulenta), representan, respectivamente, 3.770.803 euros (29%) y 4.979.200 euros (38%) sobre el total del volumen de sanciones (12.824.454 euros). Con respecto al año anterior, crecen las reclamaciones por contratación fraudulenta y descienden levemente las de morosidad.


Las consultas más usuales a la AEPD son las relativas a la obligatoriedad de nombrar un DPD (Delegado de Protección de Datos), cuestiones sobre videovigilancia o la utilización de la huella y datos biométricos como medidas de control de acceso y horario del trabajo. En cualquier caso, y analizando estos datos se desprende el hecho de que tras la vorágine inicial provocada por la aplicación del reglamento y sus muchas novedades; y el celo de las empresas en dar cumplimiento ante el temor de sanciones, parece que ha habido cierta relajación en los últimos meses, lo cual podría ser el motivo de este aumento de las denuncias.

Fuente: Economist&Jurist

La Agencia Española de Protección de Datos (AEPD) define las categorías especiales de datos, en su Guía Ciudadano, como los datos “en los que además de los datos de salud, se encuentran los que puedan revelar tu origen étnico o racial, opiniones políticas, convicciones religiosas o fisiológicas, o afiliación sindical, así como el tratamiento de tus datos genéticos, biométricos (si te identificasen de manera unívoca), así como los relativos a tu vida sexual u orientación sexual”.

Ante la generalización del uso de drones y su crecimiento exponencial, la AEPD ha creído necesario publicar una nueva guía que ofrece recomendaciones específicas para todos aquellos que los utilizan, tanto sea para un uso deportivo o recreativo como a los que hacen un uso profesional. Esta guía analiza las operaciones que se efectúan con drones distinguiendo entre las que no tratan datos, las que eventualmente podrían captar información y aquellas cuyo fin implica un tratamiento de datos personales, como en el caso de la videovigilancia o la grabación de eventos.

 

Guía pdf

Los cinco malwares más peligrosos.


Las brechas de seguridad, el robo de información y de datos personales, así como la suplantación de identidad, entre otros, están a la orden del día. Generalmente denominamos a éstos como “virus”, algo muy común a la vez que erróneo. En el siguiente artículo podrás conocer qué es el malware, nombre correcto para denominar los casos anteriores, además de los cinco ejemplos más habituales.

¿Qué es el malware?


El malware es un programa informático específicamente diseñado para perturbar o dañar un sistema. En español también lo conocemos como programa maligno o malicioso cuya misión es obtener datos. Consiste en un sistema informático, que se instala en un ordenador o red de ordenadores, así como a móviles, con el fin de extraer diversa información, como, claves de correos electrónicos, bases de datos de clientes, datos confidenciales e información bancaria y credenciales de acceso, entre otros. La instalación del sistema informático se realiza sin el consentimiento del usuario y, en muchas ocasiones, ni siquiera éste es consciente de la existencia de estos programas dañinos, debido a que los malwares están diseñados para engañar a los usuarios e instalarse de manera sigilosa o, por el contrario, de manera forzosa.

A menudo definimos como virus todos los diferentes tipos de malware, concepto que debemos diferenciar, ya que existen muchos tipos de malware, y dentro de éste encontramos los virus. Durante el siguiente texto mencionaremos cinco ejemplos de malware acompañados de un ejemplo representativo.

Virus informático


Según la RAE, un virus informático es un “programa introducido subrepticiamente en la memoria de una computadora que, al activarse, afecta a su funcionamiento destruyendo total o parcialmente la información almacenada”.

Uno de los ejemplos más destacados es el Ramsonware, durante este año han existido infinidad de casos en los que un sistema ha sido víctima de este tipo de virus. Éste consiste en cifrar todos los archivos de un ordenador y pedir un rescate para conocer el código para descifrarlos.

Podemos destacar el reciente caso de Cadena SER, este virus provocó que, durante cuatro días, emisoras locales y regionales, no pudieran emitir.

Phishing


El Phishing es uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta. Este malware utiliza técnicas basadas en ingeniería social, haciéndose pasar por una entidad de confianza en una aparente comunicación oficial electrónica: correo electrónico, mensajería instantánea, redes sociales o incluso utilizando también llamadas telefónicas.

Uno de los últimos casos conocidos es la suplantación de la entidad de mensajería, Correos. Este consistió en un mensaje de texto en el que SMS spoofing’ para falsificar el remitente conocemos al remitente y hace referencia al pago de aduanas. Esta web es aparentemente segura, pues dispone de un certificado SSL auténtico y dominio ‘https’ para darle veracidad.

Spyware


Es un programa espía que recopila la información sobre los hábitos y el historial de información, así como información personal, de un ordenador para después transmitirla a una entidad externa sin que el usuario tenga conocimiento de este acto.

Este tipo de malware lo podemos encontrar dentro de otro software o en descargas que realizamos en sitios web, o incluso puede ser instalado cuando el usuario abre un archivo adjunto de un correo electrónico. Además de recopilar información sobre la víctima puede tomar el control de ciertas funciones del sistema, lo que aprovecha para mostrar anuncios, redirigir a páginas web no seguras o llevar a cabo otras tareas encaminadas a molestar al usuario.

Pegasus, es un spyware que afectó a WhatsApp el pasado mes de noviembre, atacó tanto dispositivos de usuarios particulares cómo a las empresas o autónomos que utilizan WhatsApp for Business y la versión del cliente Enterprise. Este malware se ejecutaba en segundo plano, por lo que el usuario no tenía conocimiento de que se había instalado en su dispositivo. Afectó tanto a dispositivos móviles con sistema operativo iOS como Android.

Troyano


A este tipo de malware también lo conocemos como “caballo de Troya”, actúa camuflándose como software legítimo para intentar acceder a los sistemas de los usuarios. Su manera de actuar, normalmente consiste en que algún tipo de ingeniería social engaña a los usuarios para que carguen y ejecuten los troyanos en sus sistemas operativos. Una vez que los troyanos han sido ejecutados e instalados en el sistema, permiten a los cibercriminales espiar al usuario, robar sus datos confidenciales y obtener acceso a través de una puerta trasera (backdoor) a su sistema, esto permite la administración remota de dicho sistema a un usuario no autorizado.

Una de las principales diferencias de los troyanos con otros virus como los gusanos informáticos, es que estos primeros no pueden multiplicarse

Uno de los troyanos más destacado en este 2019 ha sido el malware Emotet, diseñado para registrar datos personales y robar datos financieros. Su última actuación ha sido en octubre. A través de una campaña masiva de spam se infiltra en los sistemas sin el consentimiento de los usuarios, así modifica la configuración del sistema y utiliza el ordenador infiltrado para proliferar con más virus.

Gusano


Un gusano informático es un malware que se multiplica para propagarse a otros sistemas mediante una red informática. Para acceder a un sistema utiliza las brechas de seguridad de éste. Los gusanos casi siempre realizan una acción perjudicial en la red, por mínima que sea, como por ejemplo consumir ancho de banda, mientras que los virus casi siempre corrompen o modifican archivos en una computadora de destino.

Este malware se difunde realizando copias de sí mismo, alojándolas en diferentes ubicaciones del sistema, su objetivo suele ser colapsar los sistemas y las redes informáticas, impidiendo el trabajo de los usuarios.

Uno de los gusanos más conocidos es el Bondat. Está escrito en JavaScript y sirve como un vector de infección inicial, a través de la descarga de diferentes archivos que realizan acciones maliciosas. Se propaga por medios extraíbles mediante el método LNK, es una técnica que consiste en ejecutar el malware para después abrir el archivo correspondiente, de esta manera consigue pasar desapercibido. Posteriormente, Bondat es capaz de controlar los equipos, tanto con sistema operativo Windows como mac, infectado para unirlos a una red de robots informáticos.

 

I. Introducción

Los art.87 a 90 LO 3/2018, de 5 diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD) -EDL 2018/128249-, regulan el derecho a la intimidad en el uso de dispositivos digitales, la intimidad informática frente al uso de dispositivos de videovigilancia y geolocalización y el derecho a la desconexión digital en el ámbito laboral. Esta regulación se aplica a los trabajadores y empleados públicos, formando parte de la legislación laboral y de las bases del régimen estatutario de los funcionarios públicos (DF 2.ª LOPD) y tiene carácter mínimo respecto de la autonomía colectiva (art.91 LOPD).

Todas las entidades, tarde o temprano, sufrirán una brecha de seguridad que afectará a la información. Sus consecuencias serán que los datos personales que maneja la entidad se vean seriamente comprometidos.

A continuación veremos cómo se debe actuar ante una brecha de seguridad para gestionar este grave incidente de la forma más óptima posible.

Según el art. 4 del Reglamento General de Protección de Datos, una brecha de seguridad puede ser definida como “aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
Debemos señalar que, todas las brechas de datos personales son incidentes de seguridad, pero no todos ellos son necesariamente brechas de datos personales, siendo éstas, en las que el incidente de seguridad pueda comprometer al del responsable de tratamiento de datos personales.

El responsable de tratamiento debe llevar a cabo las siguientes fases:

Fase de preparación para responder ante los incidentes de seguridad
Fase de detección e identificación
Fase de Registro
Fase de Clasificación y Valoración

Para tratar una brecha de seguridad, se deberá llevar a cabo un plan de actuación en el que se determinen los recursos humanos y medios materiales adaptados a las diferentes actividades de tratamiento.

El responsable está obligado a documentar la violación de la seguridad mediante un registro de incidentes de seguridad y es recomendable que tengan un procedimiento de respuesta ante incidentes de seguridad.
Determinado el incidente de seguridad, es necesario entrar en una primera fase de análisis que permita recabar información y clasificar el incidente con mayor precisión, identificando a los sujetos implicados en el plan de actuación.

Sujetos que colaboran y actúan en su gestión

Responsable del tratamiento.
Delegado de Protección de Datos (DPD).
Autoridad de control competente.

Fases del plan de actuación

Fase de análisis y clasificación: Desde que se detecta, hemos de tener en cuenta diferentes aspectos, como: recopilación y análisis de la información relativa a dicho incidente, clasificación, determinar si nos encontramos ante una brecha de seguridad, etc.
Proceso de respuesta: Durante el proceso de respuesta, se intenta contener el incidente mediante la eliminación de la situación ocasionada y finaliza por las acciones de recuperación.
Proceso de notificación: Aparte de las notificaciones internas que se deban llevar a cabo para gestionar un incidente de seguridad se deberá notificar a la autoridad de control (art.33 RGPD) como al propio interesado (art.34 RGPD), son obligaciones del responsable del tratamiento, aunque puede delegar la ejecución de las mismas en otras figuras.
Seguimiento y cierre: Siguiendo las directrices de la Agencia Española de Protección de Datos, debemos destacar las siguientes tareas:
Valoración de contratación de un experto.
Valoración de adopción de medidas procesales.
Realización de un informe final sobre la brecha de seguridad.
Cierre de la brecha de seguridad
Una vez confirmada, debemos centrarnos en el desarrollo del proceso de respuesta.

Fases del proceso de respuesta

Contención del incidente
Solución/Erradicación
Recuperación
Recolección y custodia de evidencias
Comunicación/Informe de resolución

Hemos de tener en cuenta que en todas las entidades pueden suceder incidentes de seguridad y por ello hay que gestionarlos de la mejor manera posible.
El art. 33.5 RGPD nos dice que “El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo”. Por tanto, el responsable está obligado a documentar la violación de la seguridad mediante un registro de incidentes, además es recomendable que tengan un procedimiento de respuesta ante éstos.

Una vez confirmada la incidencia debemos de notificarla obligatoriamente, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas física, según lo mencionado en el art. 33.1 RGPD, a tres entes principales:

A la Autoridad de Control, la notificación a la Autoridad de Control correspondiente debe efectuarse en las primeras 72 horas, desde el momento que se tiene constancia de la incidencia. Ahora bien, si en el momento de la notificación no fuese posible facilitar toda la información, podrá entregarse posteriormente de forma gradual, en varias fases. Cuando el responsable efectúe la primera notificación, deberá informar si proporcionará más información posteriormente. También podrá aportar información adicional mediante comunicaciones intermedias a la autoridad de control bajo petición de esta, o cuando el responsable considere adecuado actualizar la situación de la misma.
Notificación al interesado, el art. 34 RGPD hace referencia a la comunicación de la brecha de seguridad a los interesados “Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida”. Debemos de tener en cuenta factores como, cuáles son las obligaciones legales y contractuales, riesgos que implica la pérdida de datos, entre otras, para poder decidir si se va a comunicar a los interesados o no.
Por último, existen algunas excepciones, dónde no será necesaria la notificación a la Autoridad de Control cuando el responsable pueda demostrar, que la brecha de la seguridad de los datos personales no entraña un riesgo para los derechos y las libertades de las personas físicas. Asimismo, no será necesaria la comunicación a los afectados conforme a lo dispuesto en el art. 34.3 RGPD:

No se notificará a la AEPD cuando:

El responsable demuestre que ésta no supone alto riesgo para los derechos y libertades de las personas físicas.
No se comunicará al interesado cuando:
El responsable ha adoptado medidas de protección técnicas y organizativas adecuadas. (cifrado de datos).
Se han aplicado medidas posteriores que garanticen que ya no existe probabilidad de alto riesgo.

 

Fue el 25 de mayo de 2018 cuando entró en vigor la ley de protección de datos europea, conocida por todos como GDPR. Una fecha que llegaba después de dos años de adaptación en la que parece que las compañías no han hecho mucho. Tanto es así que a día de hoy, más de un año después, solo el 21% de las organizaciones españolas aseguran cumplir la regulación. A nivel global la tasa sube ligeramente al 28%.

El 47 % de las empresas españolas están trabajando para adaptarse totalmente al RGPD (Reglamento General de Protección de Datos), aunque ya cumplen con las principales medidas impuestas por esta regulación, según indica una encuesta de Check Point en la que han participado 1.000 CIO y CTO y responsables del área TI en España, Francia, Alemania, Italia y Reino Unido.

En el escenario de consumo tecnológico actual, una gran mayoría de usuarios se descargan aplicaciones en sus teléfonos inteligentes prácticamente a diario.

¿Y cuáles son los peligros de este tsunami de usuarios que llegan a las apps más virales? Se pueden resumir en uno: las condiciones de privacidad redactadas de forma ininteligible para quienes no son expertos digitales y la desinformación en cuanto a las implicaciones de la tenencia de datos por parte de terceros.

Algunos de nuestros clientes

Insefor, Servicios a empresas
Camara Agraria de León
VicMas, fabria de armarios
Vinotecnia, Loboratorio Enologico
Pensión Sandoval
Talleres Tailon

Configuraciones de cookies

×

Cookies funcionnales

Este sitio utiliza cookies para garantizar su correcto funcionamiento y no se puede desactivar desde nuestros sistemas. No los usamos con fines publicitarios. Si se bloquean estas cookies, ciertas partes del sitio no podrán funcionar.

Medida de visitas

Este sitio utiliza cookies de análisis y medición de audiencia, como Google Analytics y Google Ads, para evaluar y mejorar nuestro sitio web.

Contenido interactivo

Este sitio utiliza componentes de terceros, como ReCAPTCHA, Google Maps, que pueden depositar cookies en su máquina. Si decide bloquear un componente, el contenido no aparecerá.

Redes Sociales / Videos

Las redes sociales y los complementos de video, que usan cookies, están presentes en este sitio web. Mejoran la usabilidad y promoción del sitio a través de diferentes interacciones sociales.

    Otras cookies

    Este SITIO WEB utiliza una serie de cookies para administrar las sesiones de los usuarios, por ejemplo.

    Activation