¡Nuevo Curso! Protección y Cifrado de Datos

PROTECCIÓN Y CIFRADO DE DATOS

21 horas presenciales

Mecanismo Máquina de Cifrado

Objetivos

 En este curso se tratan, de forma conceptual y técnicamente, el impacto que las nuevas tecnologías y los servicios de Internet plantean en relación con el derecho fundamental a la protección de datos de carácter personal. Se abordarán las cuestiones relacionadas con el uso de cookies, big data, cloud computing o el derecho al olvido. En las prácticas, nos centramos en las herramientas que permiten a las organizaciones identificar de forma preventiva los posibles riesgos que un producto o servicio puede implicar para la privacidad, y las herramientas para el cifrado de datos y seguridad de la información.


Destinatarios

Dirigido a empresas y/o profesionales que comercialicen y publiciten productos a través de las nuevas tecnologías. Además, aquellos que tengan interés en adoptar en sus organizaciones medidas de seguridad como el cifrado de datos e incorporar los certificados electrónicos, la firma digital y gestionar con la Administración Electrónica.

Imagen en color del ordenador 'Colossus'.

CONTENIDOS - Programa Formativo

  - Protección de datos en la actualidad.
  - Cookies y otras tecnologías de monitorización en Internet.
  - Técnicas de anonimización y seudoanonimización.

  - Big data y protección de datos.

  - Quiebras de seguridad.
  - EIPD: herramienta preventiva.
  - El derecho al olvido en Internet.

  - Cifrado de datos: aspectos legales, y herramientas.

  - Certificados Digitales, Firma electrónica y Administración Electrónica.

¿Dónde?

Información: Cámara de Comercio de Badajoz.

¿Cuándo?

Del 19 de marzo al 14 de abril  

Descargar documentación:

 Descarga

   
Preinscipción:

¡Inscríbete! 

Más información:

CAMARA DE COMERCIO DE BADAJOZ

Protección Sitios Web (I): Seguridad igual a confianza, igual a clientes satisfechos

Quizás te ocupas de gestionar el sitio web de una empresa, te dedicas al marketing, o diriges una empresa de base tecnológica. Igual conoces conoces bien los entresijos del comercio electrónico y otras transacciones web... de cualquiera de las formas,¡protege el sitio web!

Figura 1. Portada.

Los estudios y encuestas demuestran diariamente que los clientes insatisfechos se expresan en público de forma más frecuente que los satisfechos. Los clientes que perciben una advertencia de seguridad al visitar tu sitio web, o peor aún, que acaben con el ordenador infectado; se lo dirá a todos sus amigos y compañeros de trabajo. Si además utiliza las redes sociales para manifestar sus quejas, el daño hacia la reputación online de tu empresa, puede ser irreparable.

Figura 2. Estudio Symantec sobre costes estimados del cibercrimen.

Google detecta a diario 10.000 sitios que no son seguros y los identifica como tales, si además acaban en las listas negras de los motores de búsqueda http://www.google.com/intl/es-419/goodtoknow/protection/internet/  las consecuencias pueden ser irreparables. Tu reputación no es lo único que está en juego. Si tienes un sitio web de comercio electrónico mal protegido en el que se muestren avisos de seguridad, se abandonarán muchas cestas de la compra y perderás clientes.

"Según un estudio de consumo de Internet realizado por Symantec, el 56% de los encuestados acabarían comprando en el sitio web de un competidor si les apareciera una advertencia de seguridad, y solo el 11% volvería después al sitio web original".

Qué tienes que perder

Un robo de datos o una infección con código dañino (malware), no solo dañaría tu imagen y disminuiría el volumen de ventas. Si eres víctima de un robo de datos, es posible que te impongan sanciones o que tengas que ofrecer a tus clientes algún tipo de resarcimiento. Si sufres una infección grave, probablemente tengas que contratar especialistas para solucionarlo. Todos estos contratiempos tienen un coste muy elevado, por no hablar del tiempo que pierden los empleados tratando de localizar el malware. 

Figura 3. Enlace al estudio de costes del cibercrimen.

Según el informe, el tiempo medio de recuperación tras un ciberataque fue de 24 días, lo que equivale a una pérdida de 522.704 euros. Es lógico pensar que las empresas afectadas podrían haber dedicado el tiempo y el dinero perdidos a iniciativas de ventas o desarrollo mucho más provechosas.

 Figura 4. Enlace a Web inspector.

Inclusión en las listas negras de los motores de búsqueda

Cuando un motor de búsqueda bloquea un sitio web, el problema puede tardar hasta seis semanas en resolverse. Hasta entonces, nadie podrá encontrar tus productos o servicios, por mucho empeño que hayas puesto en mejorar tu posicionamiento.

Aunque te libres de las listas negras, ten en cuenta que las advertencias de seguridad que aparecen en el navegador afectan al posicionamiento. Alguien que sospeche que el sitio web no es seguro lo abandonará de inmediato, y cuanta más gente haga lo mismo, pero posicionado estarás.

Figura 5. Enlace al análisis de vulnerabilidades de Symantec.

Incumplimiento de las normativas

Proteger un sitio web no siempre es opcional. Hay leyes y normativas que regulan el procesamiento de pagos, las recopilación de datos, su almacenamiento y otros procesos, e incumplirlas puede salirte muy caro.

En España, el incumplimiento de la ley orgánica de protección de datos (LOPD) puede suponer sanciones de hasta 600.00 euros en caso de infracciones graves, y el nuevo reglamento europeo que está ahora en trámite contempla sanciones millonarias.

Figura 6. Información sobre la normativa europea sobre protección de datos.

La directiva europea sobre protección de datos

La directiva europea sobre protección de datos abarca todo el ciclo de vida de los datos, desde que decides recopilarlos hasta que te deshaces de ellos. Por supuesto, esto afecta muy directamente a los propietarios de sitios web, que están obligados a adoptar las medidas técnicas y de organización adecuadas para evitar el tratamiento ilícito o no autorizado de los datos personales, su destrucción o su pérdida accidental y otros daños.

¿Cómo ejercer el Derecho al Olvido?

Hace unos días ofrecía una introducción sobre Protección de Datos (I): ¿Qué es el Derecho al Olvido?, hoy nos toca dar unas pinceladas para favorecer el procedimiento de ejecución.

 Figura 1. Enlace a noticia Antena 3.

El 13 de mayo, el Tribunal de Justicia de la Unión Europea (TJUE) dio la razón a la Agencia Española de Protección de datos en su disputa con Google. Consideró que los servicios de motor de búsqueda en Internet son responsables de los datos personales incluidos en las páginas web que tratan.

La sentencia de este caso se remonta a 2010 y la opinión del abogado general, Niilo Jääskinen, que en junio de 2013 había dado la razón a Google. Considera que el motor de búsqueda debe eliminar los resultados de particulares cuando "esos datos se revelen inadecuados, no pertinentes o ya no pertinentes o excesivos desde el punto de vista de los fines para los que fueron tratados y del tiempo transcurrido".

Figura 2. Noticia publicada recientemente en el diario ABC.

 

Por este motivo, Google ha decidido permitir que los ciudadanos europeos puedan pedir que se retiren los links que consideran que contienen un material censurable. ¿Cómo se hace? Es tan sencillo como entrar en dicho formulario, en este enlace, y rellenar unos pocos campos que te explicamos a continuación.

   Hay que tener en cuenta que una vez que hayas enviado este formulario, Google podrá reenviar su solicitud, junto con información complementaria, a la autoridad de protección de datos pertinente, así como informar al webmaster en cuestión cuyo contenido se retire de los resultados de búsqueda a consecuencia de la reclamación.

 Figura 3. Formulario inicial elaborado por Google.

Procedimiento a seguir por los interesados

En primer lugar, el interesado debe facilitar el nombre completo para el que solicita que se retiren los resultados de búsqueda. Si rellena el formulario otra persona, debe añadirlo a continuación.

   En caso de que el que rellena el formulario no sea la persona que quiere ver sus resultados eliminados, hay que especificar la relación con la persona a la que representa (por ejemplo, "esposa" o "abogado").

El siguiente paso consiste en facilitar un e-mail de contacto y a continuación ya se podrá solicitar la eliminación de las URL que se consideren censurables por "irrelevantes, obsoletas o inadecuadas".

   En este punto, hay que ser lo más exhaustivo posible a la hora de explicar por qué se considera que esos enlaces han de desaparecer de Google, en una caja que ha incorporado la compañía en el formulario.

 Figura 4. Ejemplo de 'Aviso de eliminación de enlaces'.

Una vez facilitadas las URLs que se quieren ver eliminadas, Google quiere que el solicitante demuestre su identidad. El motivo es que recibe a menudo solicitudes de retirada de contenido fraudulentas de personas "suplantando la identidad de otras, tratando de perjudicar a sus competidores o buscando remover información legal de manera indebida".

   Para verificar la identidad, hay que "subir" al formulario de Google una copia digital "clara y legible" del documento nacional de identidad.

 

 Figura 5. Ejemplo.

El segundo paso en este punto consiste en marcar una casilla de confirmación de conformidad, en la que el solicitante declara estar autorizado para rellenar el formulario.

   Por último, hay que añadir la fecha en la que se cursa la solicitud y el nombre de la persona que lo hace a modo de firma, declarando así que las afirmaciones realizadas en el formulario son verdaderas, que solicita la retirada de los enlaces a las URL indicadas y que, si actúa en nombre de otra persona, tiene la autoridad legal para hacerlo.

A medida que se sucendan noticias o hechos relacionados con el Derecho al Olvido, trataremos de favorecer la comprensión con nuevas entradas en el blog.

Para finalizar, propongo realicéis las siguientes búsquedas en Google.

 Figura 6. Búsqueda "Camping Los Alfaques".

 

 Figura 7. Búsqueda "Hipercor".

Lamentablemente, las tragedias acontecidads en ambas empresas, forman parte de la Historia de nuestro país.  Tienen el mismo derecho, ¿por qué no es tratada de la misma forma la información disponible en Internet sobre cada una de ellas?

Fuente:

"Google recibe más de 18.500 solicitudes en España para aplicar el <<derecho al olvido>>".

WhatsApp: Mensajería en línea y LOPD

Campañas fraudentas y protección de datos

 Figura 1. Captura de mensajes "spam" enviados por WhatsApp.

La siguiente imagen corresponde al texto que el denunciante en el Procedimiento PS/00236/2014 de la Agencia Española de Protección de Datos (AEPD) recibió en su movil, pese a que aseguraba no haber solicitado o autorizado el envío de comunicaciones comerciales por medios electrónicos a la empresa emisora del mensaje.

 Figura 2. Ejemplo de mensajes "spam" enviados por WhatsApp.

 

La denunciada no respondió al requerimiento de la AEPD, con lo que no se disponen de sus posibles alegaciones.

La Agencia declara probado que la compañía remitió una comunicación comercial por medios electrónicos sin la autorización previa y expresa del destinatario y sin acreditar la existencia de una relación comercial previa de servicios similares a los ofrecidos en los SMS.

Además señaló también que no se ofrecía ningún medio de oposición o baja para la recepción de comunicaciones comerciales, con lo que se incumplía el último párrafo del art. 21.2 LSSI.

CONCLUSIÓN

Por todo ello, el Director de la AEPD RESUELVE:

PRIMERO: IMPONER a la entidad COMERCIAL XXX S.L., por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4 d) de la LSSI, una multa de 3.000 € (tres mil euros) , de conformidad con lo establecido en los artículos 39 y 40 de la citada LSSI.

 

Spam con WhatsApp y Google Plus

 

 Figura 3. WhatsApp. 

Las “modas” y los “gurús” están muy bien para las revistas y los programas de televisión de entretenimiento, pero en el mundo empresarial hay que tener cuidado con según qué consejos. En los últimos tiempos se han visto varios artículos, incluso informaciones en televisión, hablando de las ventajas en el uso empresarial de la aplicación de mensajería WhatsApp para el contacto con clientes, pero en ninguna de ellas se hace la más mínima referencia al cumplimiento de la Ley de Servicios de la Sociedad de la Información (LSSI), y por eso en este caso se advierte de los riesgos que puede conllevar, tanto la citada plataforma como alguna de las opciones de la red social Google Plus.

Recordemos que según la LSSI en su artículo 21.1:

Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Puesto que WhatsApp incorpora como contacto a todos los números que tengamos en la agenda del móvil donde se instala la aplicación, encontraremos al abrir ésta que todos ellos están a disposición de enviarles cualquier contenido. Sin embargo el hecho de que ambas partes hayan instalado el servicio no equivale bajo ningún concepto a un consentimiento en los términos de la LSSI y por tanto deberíamos revisar nuestra relación con ellos uno a uno para comprobar la legalidad de una posible comunicación comercial.

En este sentido el párrafo 2 del artículo citado indica:

<<Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente>>.

Respecto a Google Plus hay que señalar que esta red social incluye la posibilidad de que al publicar un contenido, éste sea enviado por correo electrónico a todos los usuarios que haya sido introducidos en un de los círculos mediante los cuales la plataforma permite organizar a quien se sigue. Pero el hecho de que se introduzcan en círculos a potenciales clientes no equivale bajo ningún concepto a un consentimiento como el que se alude en la ley (ni siquiera si ellos ponen a la empresa a vez en uno de sus círculos).

 Figura 4. Ejemplo de mensajes "spam"a través de "Google Plus".

 

Por tanto hacer esa acción pone en riesgo de ser denunciado ante la AEPD y recibir una sanción por spam.

Como resumen, y en vista del continuo estado cambiante de las tecnologías de la información, hay que recordar que usar unas u otras no modifica la legislación vigente y que antes de lanzarse a utilizar estas novedades debemos revisar el tipo de relación que tenemos con los contactos generados para ver si entran dentro del margen de actuación que permite el artículo 21 de la LSSI.

Y finalmente no olvidar el cierre del artículo, donde se señala:

<<En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija>>.

Sanciones por Spam

Según la Ley de Servicios de la Sociedad de la Información (LSSI) en su artículo 26:

<<Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas>>.

Es decir, que si bien la LOPD exclusivamente protege los datos referidos a personas físicas, la LSSI no hace esa distinción, de forma que se necesita un consentimiento expreso para utilizar medios electrónicos como el email o el fax cuando se envían comunicaciones comerciales a una empresa.

Veamos algunos ejemplos de sanciones reales:

 Figura 5. Ejemplo de mensajes "spam"a través de "Google Plus".

----------------------------------------

 

¡Mucho OJO!