Protección de Datos: ¿Qué nuevos derechos ‘digitales’ reconoce la ley de protección de datos a los trabajadores?
La nueva Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), que entró en vigor el pasado 7 de diciembre, reconoce expresamente a los trabajadores un conjunto de derechos digitales que pueden hacer valer frente al empresario. Alguno de ellos, como el derecho a la desconexión laboral, es la primera vez que se regula, otros, como la intimidad frente a la videovigilancia se ejercitaban ya dentro del genérico derecho fundamental a la intimidad (reconocido por el artículo 18 de la Constitución) pero referido al ámbito laboral. En este último caso los tribunales han ido, caso a caso, delimitando las líneas rojas de la empresa a la hora de controlar a sus empleados. La gran novedad es que, ahora, existe un precepto que recoge explícitamente estos derechos, regula su extensión, y, además, incorpora una serie de garantías para protegerlos. Por otro lado, el legislador extiende estos nuevos derechos digitales a los empleados públicos. Uso de dispositivos digitales El artículo 87 de la ley reconoce a los trabajadores el «derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador» y a su vez, la obligación del empresario de «establecer criterios de utilización» estos dispositivos. Estos deberán respetar en todo caso los «estándares mínimos» de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. Esta cláusula, a diferencia de la regla general del Código Civil, enumera en primer lugar el uso o costumbre como parámetro al que deben ajustarse los criterios de utilización del ordenador y otros dispositivos. De esta manera, deberá tenerse muy en cuenta el hábito social generalizado la tolerancia en el uso, por ejemplo, de internet. Una reciente sentencia del Tribunal Superior de Justicia de Madrid(accede aquí al texto), que confirmaba el despido disciplinario de un empleado por navegar demasiado en su tiempo de trabajo, tuvo en cuenta que este hacía un uso de la red que triplicaba el de sus compañeros. Además de establecer criterios claros en el uso de estos dispositivos digitales, la ley precisa que deben establecerse garantías para preservar la intimidad de los trabajadores, «tales como, en su caso, la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados» (acceso a redes sociales, cuentas de correo, leer el periódico, etc.). En todo caso, los trabajadores deben ser informados de los criterios de utilización que se establezcan. Desconexión digital El conocido como derecho a la desconexión digital regulado en el artículo 88 de la ley tiene su origen en la legislación francesa, y establece una garantía para que se respete el descanso, permisos y vacaciones, de los trabajadores (incluidos los directivos) fuera del horario laboral, así como su intimidad personal y familiar. La dificultad de articular este derecho queda patente en el desarrollo que hace la norma. Se establece que las modalidades de ejercicio «atenderán a la naturaleza y objeto de la relación laboral» y se «sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores». Por otro lado, el empleador debe incluir una política interna, consensuada con los trabajadores, que establecerá cómo se puede ejercitar este derecho y sensibilizará sobre el riesgo de fatiga informática. La norma se refiere al caso particular del teletrabajador, señalando que se garantizará su derecho a la desconexión informática. Preservar el descanso y la intimidad personal y familiar a veces entra en conflicto con determinadas exigencias de la relación laboral. El Tribunal Supremo confirmó en una reciente sentencia (accede aquí al texto) el despido de un conductor que se negó a prolongar su jornada para cumplir con las exigencias de un cliente. Existía en este caso un acuerdo firmado con los representantes de los trabajadores para atender estas eventualidades. Videovigilancia y grabación de sonidos La ley permite al empleador el tratamiento de las imágenes obtenidas mediante videocámaras. Sobre la colocación de cámaras de videovigilancia en el lugar de trabajo para controlar a los empleados hay muchas resoluciones judiciales. La más comentada fue la resolución del Tribunal Europeo de Derechos Humanos que obligó a indemnizar a cinco cajeras filmadas robando porque no se les informó de las cámaras ocultas. En el actual artículo 89 de la ley se hace referencia a este caso concreto y se establece que si la cámara captó la comisión flagrante de un ilícito se entenderá cumplido el deber de informar a los empleados de esta medida cuando el dispositivo incluya un cartel o dispositivo que cumpla con los estándares previstos en la norma. Debe colocarse en un lugar visible e informar al menos de que se realizará tratamiento de las imágenes, la identidad del responsable, así como la posibilidad de ejercitar los derechos sobre las imágenes, principalmente de acceso, rectificación, limitación del tratamiento y supresión. Se prohíbe la instalación de cámaras o sistemas de grabación de sonido en lugares de descanso como, por ejemplo, los comedores. También limita el uso de sistemas de grabación de sonidos a situaciones en los que sea una medida relevante para evitar riesgos en la «seguridad de las instalaciones, bienes o personas», aunque siempre respetando el principio de proporcionalidad. Geolocalización El artículo 90 reconoce el derecho del empleador a tratar los datos obtenidos a través del sistema de geolocalización de automóviles o dispositivos móviles para controlar a sus empleados. Siempre se ha de informar a los trabajadores de la existencia y características de estos dispositivos, así como sus derechos de acceso, rectificación, limitación del tratamiento y supresión. De la jurisprudencia existente hasta ahora, existen dos reglas básicas: la empresa puede controlar al empleado mediante GPS siempre que esté previamente informado, y, este control no podrá exceder de la jornada u horario laboral, como estableció el Tribunal Superior de Justicia de Asturias en una sentencia que puedes consultar aquí. Pincha aquí para conocer todas las novedades de la nueva LOPD. Fuente: https://elpais.com/economia/2018/12/11/mis_derechos/1544544358_584483.html?fbclid=IwAR2WgJ6lamdc2eaZMSumL-J8hVaXtFpjrcXvOqstOCyJRhm-FhxhxJsdW3E
Protección de Datos: La concienciación sobre la ciberseguridad, clave en la protección de datos
El sector asegurador está concienciado con el problema de la ciberseguridad a todos los niveles. Su compromiso es tal que, a pesar de ser uno de los sectores que más datos de clientes trata, es uno de los menos sancionados por problemas con fuga de información, lo que demuestra el trabajo realizado en los últimos años para frenar los ataques que, cada vez, son más complejos y más globales. Esta es una de las conclusiones de distintos responsables de compañías de la industria en el Observatorio Ciberseguridad en el sector seguros organizado por elEconomista y KPMG. Los distintos expertos coinciden en señalar en que las inversiones han sido y son cuantiosas para diseñar y poner en marcha herramientas que ayuden a frenar y a mitigar los efectos de un asalto tecnológico, pero que es necesaria la colaboración de la administración y de todas las organizaciones para mejorar la seguridad. «La protección 100% no existe», es uno de los mensajes más repetidos por parte de los ponentes. Por eso, es necesario fijar las medidas necesarias que impulsen la protección de todos los sistemas. En este sentido, la formación y el compromiso de toda la plantilla es «fundamental» para evitar incidencias, además de establecer una metodología capaz de analizar «bien los riesgos en cada momento» tanto propios como de los proveedores de servicios. Métricas para la formación Así, según el socio responsable de Ciberseguridad de KPMG en España, Marc Martínez, «es importante crear métricas que valoren los cursos de formación y sus retornos, porque la seguridad se ha convertido en una parte destacada del negocio de cualquier compañía». Además, añade que a los trabajadores se les debe formar en habilidades para detectar cuál será el próximo ataque y cómo se puede hacer frente». Para el director de Seguridad de la Información de Axa en nuestro país, Enrique Martín, la formación «nunca va a ser suficiente», al igual que las herramientas que se implanten, de ahí que es vital que todos los empleados sean «responsables de sus actos», sobre todo en un momento en que todo está conectado y cualquiera tiene acceso a la redes sociales, donde se pueden filtrar todo tipo de datos. Considera que el personal de una compañía es el «eslabón más débil» de la cadena de seguridad. Una consideración que es compartida por el resto de expertos. El subdirector general de Seguridad y Medio Ambiente de Mapfre, Guillermo Llorente, indica que es «imprescindible la concienciación porque no hay otra forma de proteger». En este sentido, ve como uno de los principales retos «la capacidad de adaptación a los cambios por parte de los seres humanos». Sobre este aspecto, el responsable de Protección & Resilience de Alianz Seguros, Emiliano Astudillo, sostiene que por mucha inversión que se haga, si hay un empleado que quiere compartir información a la que tiene acceso lo puede hacer, por lo que es relevante hacer énfasis en este campo. A su juicio, todas las empresas -las del seguro también- están concienciando a todos los trabajares, incluyendo la alta dirección, que cada vez está más preocupada por la ciberseguidad. El responsable de Producción, dirección de Innovación y tecnología de Pelayo, Raúl Ruiz, señala que es crítico avanzar en la elaboración de análisis forensic sobre ciberataques, algo que los comité de dirección cada vez entienden más y mejor su importancia. En la misma línea, el director de área de Governance, Risk and Complienace de Tirea, Mario de la Fuente, sostiene que la seguridad de un tiempo a esta parte se ha convertido en un asunto «trasversal» en las compañías. «Antes solo interesaba a unos pocos, aquellos que estaban relacionados con los sistemas informáticos», dice. Alta dirección De hecho, la involucración de los equipos y especialmente de la cúpula de las empresas es uno de los cambios más destacados de los últimos años, junto a la presión regulatoria. Todos los directivos presentes en el acto hicieron hincapié en que la normativa ha ayudado a que la alta dirección ahora tenga en cuenta cada vez más la protección y la seguridad. Así, el responsable de KPMG recalca que hace tres ejercicios ningún consejo de administración ni ningún comité de auditoría contataba con expertos en la materia, mientras que ahora se nos piden información y explicaciones «todos los meses». A su juicio, la regulación está ayudando a que el nivel de preocupación aumente entre los máximos responsables de las compañías. Pero también cree que los escándalos y los incidentes ocurridos, como el caso de Wanacry han incentivado que los directivos pongan el foco en esta materia. Los expertos consideran que tiene que haber una normativa que sea homogénea, pero que ésta no debe ser asfixiante. Guillermo Llorente, de Mapfre, advierte que hay países que han pecado de sobre regulación, lo que ha provocado que su economía haya acabado colapsando. «La regulación es imprescindible, pero hay que ser cuidadosos porque las empresas compiten en un mundo globalizado, con compañías de otras partes», indica Llorente. En este sentido, subraya que la ley de protección de datos supone un hito, que avanza en la homogeneización de criterios en Europa, pero matiza que está suponiendo un esfuerzo grande para las empresas con un impacto real. Asimismo, Emiliano Astudillo, de Allianz, enfatiza que el área de ciberseguridad tiene que acompasar la transformación y las medidas que aplique para el aumento de la protección con el negocio, porque cualquier compañía tiene la obligación de ser rentable. «Lo que hay que hacer es balancear y crear un equilibrio de control, seguridad y dinamismo de negocio para poder dar los productos y servicios que demanda la sociedad», añade. La regulación, entre otras cosas ha definido cuáles son los derechos que tienen los ciudadanos en cuestión de protección de datos y ha marcado el paso para que éstos reclamen en caso de que haya algún tipo de incidencia. También e igual de importante es la transparencia que se está demandando a las empresas, algo que está provocando cambios de cultura en todas las organizaciones. «La obligatoriedad de comunicar
Protección de Datos: Multa de 300.000 euros a subcontratadas de Orange por molestar a clientes
La Audiencia Nacional ha confirmado sendas multas de 300.000 euros impuestas por la Agencia Española de Protección de Datos (AEPD) a dos compañías de telemarketing subcontratadas por Orange por ofrecer el producto Jazztel a clientes que habían solicitado su exclusión de la lista de llamadas. La sala de lo Contencioso-Administrativo desestima los recursos de las empresas –Global Telemarketing Solutions y Crosseling Operadores– al considerar que incurrieron en una «grave falta de diligencia» por no verificar que los usuarios entre los que comercializaban los servicios telefónicamente habían manifestado su voluntad de no recibir comunicaciones de este tipo. En la primera sentencia, los magistrados recuerdan que el demandante había expresado en abril del 2013 su negativa a recibir llamadas publicitarias mediante la inscripción de su número de teléfono a un fichero común conocido con el nombre de ‘Lista Robinson’. Dos años más tarde, Jazztel confirmó al cliente la exclusión de la lista, lo cual no evitó que apenas meses después los teleoperadores volvieran a contactar con él. Unas llamadas que no fueron cuestionadas durante el procedimiento por Global, quien sin embargo alegó en su defensa que se efectuaron porque el particular había solicitado información vía internet. Empresa negligente Alegato que rechaza la sala que, aunque no profundiza en la intencionalidad de la falta, subraya la escasa diligencia de la empresa, la cual «pese a dedicarse al marketing telefónico no consultó, como era su obligación, el fichero común de exclusión de acciones publicitarias en el que se hallaba escrito el teléfono del demandante». Asimismo, como ha adelantado hoy el diario ‘El País’, entiende proporcionada la sanción a tenor de los daños causados al cliente, que en su denuncia ante la AEPD dijo ser «una persona que trabaja por turnos, recibe llamadas comerciales en distintos horarios que le desvelan y luego le cuesta conciliar el sueño». En términos similares se expresa respecto a Crosseling, compañía que tenía sus servicios subcontratados con Global a pesar de no contar con la autorización de Orange, y a la que ahora los jueces ratifican el importe de la multa. Fuente: https://www.elperiodico.com/es/economia/20181008/multa-empresas-orange-molestar-clientes-lista-robinson-7078057?fbclid=IwAR1f2CRoeqKIdmZvGkDyT5nT7-KC2KxHHW_37LmKx1EaJlZalE4spupGW70
Protección de Datos: Las siete predicciones de protección de datos para 2019
‘Gestión del dato, mejores prácticas de privacidad, fin de los data lake’ son algunas de las predicciones que marcarán el año 2019 en cuanto a la protección de los datos según Commvault. Los conjuntos de habilidades tecnológicas y los intervalos de tiempo frenarán la transformación digital: los métodos tradicionales para satisfacer las nuevas demandas ya no sirven en la era digital. Los conjuntos de habilidades de TI integrales que atraviesan la TI tradicional y la nueva TI híbrida serán cada vez más escasos. Las nuevas medidas de conformidad y gobernabilidad, junto con una creciente monetización de los ataques de malware y ransomware, continuarán ejerciendo presión sobre las organizaciones de TI, obligando a mejorar las operaciones para satisfacer con éxito las necesidades de las empresas que se están transformando. Los esfuerzos de transformación digital se detendrán especialmente a medida que el cloud computing se convierta en el estándar para el crecimiento de la empresa digital. Las métricas de preparación para la recuperación se convertirán en la nueva tendencia en RFP: los proveedores de tecnología deben estar preparados para cumplir con el requisito de preparación para la recuperación, o la velocidad con la que un servicio, solución u oferta puede volver a conectarse correctamente en línea ante una interrupción del servicio. El año 2019 cambiará el juego para la adopción de la nube en las cargas de trabajo de TI de producción a nivel mundial: las empresas continuarán invirtiendo en iniciativas de la nube, centrándose cada vez más en las tecnologías y los servicios que les permiten transformar la nube de simplemente una ubicación de almacenamiento en una solución que permite a los nuevos formas más ágiles de trabajar. Los proveedores de tecnología se moverán cada vez más para ofrecer esta agilidad al ofrecer soporte nativo para servicios multicloud.. La inteligencia artificial y el aprendizaje automático se convertirán en un requisito: la brecha de habilidades de TI requerirá que las empresas implementen soluciones nuevas e innovadoras que automaticen las operaciones complejas. El aprendizaje automático y la inteligencia artificial se convertirán en requisitos clave para las nuevas soluciones de TI para ayudar a las empresas a cerrar la brecha de habilidades a través de operaciones más inteligentes y soluciones de TI modernas. Las firmas de software empresarial obligarán a sus proveedores estratégicos a integrar inteligencia artificial y machine learning en sus ofertas existentes. El fin de los data lakes: Durante la última década, a medida que los costes del hardware de almacenamiento de datos se desplomaban y las aplicaciones proliferaban, las empresas a menudo recolectaban y almacenaban la mayor cantidad de datos que podían, a menudo reflexionando poco o nada sobre qué eran estos datos o cuán valiosos podían ser para su organización; normalmente almacenaban todos estos datos en un repositorio conocido como un data lake. No saber o comprender completamente qué se está almacenando resulta insostenible e ineficiente para la minería y la recopilación de información. La privacidad es una prioridad: a medida que las agencias gubernamentales citan cada vez más a las empresas por el incumplimiento de GDPR, las empresas adoptarán cada vez más un primer enfoque para la gestión de datos. Sin embargo, los desafíos a los que se enfrentarán estas empresas cuando intenten integrar las mejores prácticas de privacidad de datos en sus aplicaciones existentes, así como nuevas aplicaciones móviles, IoT y otras, serán importantes. Las empresas necesitarán soluciones de administración de datos automatizadas, impulsadas por resultados y basadas en la inteligencia artificial para enfrentar estos desafíos si esperan implementar políticas sólidas de privacidad de datos sin sacrificar la productividad o la agilidad. SaaS vs. Cloud: las soluciones locales seguirán siendo una parte importante de TI, sin embargo, el crecimiento de TI continuará acelerándose en la nube y a través de las ofertas de SaaS, lo que obligará a los proveedores a reevaluar sus estrategias sobre cómo servirán a sus clientes y, en última instancia, les ayudará a definir y lograr los resultados de TI y negocios necesarios. Fuente: https://www.computerworld.es/tendencias/las-siete-predicciones-de-proteccion-de-datos-para-2019?fbclid=IwAR2oSJBrDjngnK4lUzeDAiv0JvoY85MjGmn-mBaORZNbQSBdKbl44WueluY
Facturación Electrónica: cambios para tener en cuenta en este proceso
Con la Resolución 000062 del 30 de noviembre de 2018, la Dian agregó el artículo 2-1 a la Resolución 000010 de febrero 6 de 2018, ampliando hasta enero 1 de 2019 el plazo para que los grandes contribuyentes que hayan presentado dificultades técnicas empiecen a facturar electrónicamente. Cabe recordar que los más de 3.600 grandes contribuyentes que habían adquirido esta condición tendrían que empezar a facturar electrónicamente a partir de septiembre 1 de 2018. Sin embargo, si en el proceso de preparación para el cumplimiento de esta obligación llegaban a experimentar dificultades técnicas, el artículo 2 de la Resolución 000010 los facultaba para actuar antes de junio 1 de 2018, presentando ante Dian una solicitud de ampliación del plazo para el inicio de la obligación de facturar electrónicamente. Pese a lo anterior, algunos grandes contribuyentes, a causa de sus grandes volúmenes de facturación, han continuado experimentando dificultades técnicas, que les impidieron iniciar con su proceso electrónico el 1 de diciembre de 2018, razón por la cual la Dian expidió la Resolución 000062. Para Alberto Redondo, director de marketing del facturador electrónico Seres, la adaptación de los plazos y la gradualidad de la obligatoriedad por sectores facilitará la transición a la factura electrónica y asegurará su éxito. La puesta en marcha de esta nueva obligación en Colombia, al igual que en otros países donde se ha implantado la facturación electrónica, irá acompañada de la aparición de una multitud de propuestas. “Para evitar equivocaciones, las empresas colombianas deben confiar solo en proveedores autorizados que aporten una solución fiable, que realmente le dé un valor añadido al negocio, siendo esta la más adecuada para las necesidades específicas, presentes y futuras de la empresa”, dice Redondo. Factura electrónica con validación previa en 2019 «solicita que una copia de cada factura electrónica expedida a los clientes sea enviada a la Dian durante las 48 horas siguientes, para que sea validada» La facturación electrónica exigida a los grandes contribuyentes es la que se ajusta a la reglamentación del Decreto 2242 de noviembre de 2015, la cual solicita que una copia de cada factura electrónica expedida a los clientes sea enviada a la Dian durante las 48 horas siguientes, para que sea validada. Sin embargo, y luego de los cambios que la Ley 1819 de diciembre de 2016 efectuara al artículo 616-1 del ET, la Dian deberá cambiar dicho sistema de validación por uno de validación previa. Por esto, la entidad indicó que quienes ya estén facturando electrónicamente con el sistema de validación posterior contarán con un período razonable para migrar a la de validación previa. Finalmente, y aunque la Dian podrá imponer la sanción del cierre del establecimiento de comercio a los contribuyentes que no cumplan con su obligación de facturar electrónicamente, en el texto del artículo 16 del proyecto de ley de financiamiento se propone modificar el artículo 616-1 del ET, en el que se establecería que quienes estando obligados a emitir factura electrónica incumplan con esta obligación no serán sujetos a las sanciones previstas en el ET, siempre y cuando cumplan con las siguientes condiciones: Expedir factura por los métodos tradicionales diferentes al electrónico. Demostrar que la razón por la cual no emitieron facturación electrónica obedece a: 1) impedimento tecnológico; o 2) por razones de inconveniencia comercial justificada. Fuente: https://actualicese.com/actualidad/2018/12/18/facturacion-electronica-cambios-para-tener-en-cuenta-en-este-proceso/?fbclid=IwAR23ZJympa1zlIy9P6-w7NprTzr1aPgzITIv0883L5Xt_-aEf20g8HEJgl8
Protección de Datos: 10 claves para entender el nuevo escándalo que alcanza a Netflix y Spotify
El New York Times reveló el martes 18 de diciembre que Facebook le dio a otras 150 empresas, entre las que se encuentran Netflix, Spotify, Amazon, Yahoo y Microsoft, acceso a los datos de sus usuarios mucho más de lo revelado anteriormente. El diario estadounidense precisa que Facebook incluso dejo ver mensajes privados con los nombres de contactos, lo que se ha convertido en un nuevo escándalo para la red social de Mark Zuckerberg. A continuación, 10 claves para entender la polémica que mucha gente está comentado alrededor del mundo: 1. Según los documentos a los que el Times tuvo acceso, Facebook permitió al motor de búsqueda de Microsoft, Bing, ver nombres de amigos de Facebook sin consentimiento. 2. A Netflix y a Spotify, le dio la capacidad de leer mensajes privados. 3. Amazon podía obtener nombres de usuarios e informaciones de contacto a través de sus amigos. 4. Yahoo, en tanto, podía ver las publicaciones de sus amigos. 5. Facebook indicó que el informe del Times era sobre «socios integradores», que habilitan «experiencias sociales (…) y otras aplicaciones y sitios web populares». 6. La red social afirma que lo que hizo fue ayudar a los usuarios a acceder a sus cuentas de Facebook o características específicas en dispositivos y plataformas construidas por otras compañías como Apple, Amazon, Blackberry y Yahoo, lo que se conoce como ‘socios de integración’. 7. Agregó que estos socios tuvieron acceso a los mensajes, pero los usuarios «tenían que iniciar sesión explícitamente en Facebook primero» antes de usar características de mensajería de un socio. 8. Según el director de desarrollo de plataformas y programas de Facebook, Konstantinos Papamiltiadis, «ninguno de esos acuerdos o herramientas dieron a las compañías acceso a informaciones sin el permiso de la persona» ni violaron el acuerdo privado de 2012 con la Comisión Federal de Comercio estadounidense. 9. Facebook agregó que cerró casi todas estas asociaciones en los últimos meses, excepto las de Apple y Amazon. 10. Un día después de conocerse el informa del Times, el fiscal de Washington demandó a Facebook por su gestión de datos personales en el marco del escándalo de Cambridge Analytica. Esta es la primera demanda de una entidad oficial estadounidense, lo que podría suponer consecuencias legales para la primera red social del mundo. Fuente: https://elcomercio.pe/tecnologia/redes-sociales/facebook-permitio-netflix-spotify-leer-mensajes-privados-usuarios-claves-escandalo-noticia-589433?fbclid=IwAR0qaNwlQQRHfc900tlSNNaDt5w0KqX9a88m4ganBn-rzr4IQXsYZxWzDTM
Protección de Datos: Alemania sufre el mayor ‘hackeo’ de su historia con la filtración de datos personales de centenares de políticos
La filtración masiva de datos personales de centenares de políticos, periodistas y artistas sacudió este viernes a Alemania, que se enfrenta al peor ataque de piratería informática sufrido por el país. Desde una cuenta de Twitter cerrada este mismo viernes se ha revelado información como la de los números de las tarjetas de crédito o direcciones de los afectados, entre ellos la propia canciller, Angela Merkel. La filtración ha alcanzado a todos los partidos, salvo a uno: la ultraderechista Alternativa por Alemania (AfD). “El Gobierno se toma el incidente muy, muy en serio”, dijo la portavoz adjunta, Martina Fietz. Los diferentes servicios de seguridad e inteligencia interna intentaban este viernes localizar al hacker o grupo detrás del ataque masivo, descubierto por las autoridades en la noche del jueves y adelantada por el canal regional RBB Inforadio, pero que comenzó a principios del pasado diciembre con datos de algunos artistas antes de lanzar los de centenares de políticos estatales, federales y del Parlamento Europeo. En el perfil de la cuenta de la red social usada para dar acceso a la información robada aparecían la descripción de “investigador de seguridad”, “artista” y “sátira”. Twitter bloqueó este viernes la cuenta. La ministra de Justicia, Katarina Barley, denunció un “grave ataque” y apuntó sin concretar más a los que “quieren sabotear la confianza en la democracia y sus instituciones”. “Estos criminales y quienes los respaldan no deben bajo ningún concepto dictar los términos de debate alguno en nuestro país”, añadió. En un intento por devolver la calma ante el impacto del suceso en el mundo político alemán, la portavoz adjunta del Ejecutivo, Martina Fietz, aseguró que ninguna información “sensible” de la canciller se había visto comprometida. Sus números de teléfono o direcciones electrónicas eran auténticos, pero algunas informaciones estaban obsoletas. “Tras la primera inspección se constató que las publicaciones no contenían información y datos sensibles, pero los publicados deben manejarse con mucha cautela porque algunos documentos auténticos podrían haber sido infiltrados con datos falsificados”, apuntó Fietz. “Los primeros análisis dan a entender que los datos fueron recuperados a través de un uso fraudulento de las contraseñas de acceso a servicios de almacenamiento en la nube informática, en cuentas de correos electrónicos y de las redes sociales”, aseguró, por su parte, el ministro del Interior, Horst Seehofer, en un comunicado. El ministerio confirmó que resultaron víctimas del ataque los principales partidos alemanes, desde la CDU de Merkel hasta los Verdes, pasando por los socialdemócratas y los liberales. El líder del grupo parlamentario de Die Linke (La Izquierda), Dietmar Bartsch, también afectado, dijo estar “profundamente conmocionado” por este “grave ataque a la democracia”. TERCER GRAN ATAQUE CONTRA INSTITUCIONES ALEMANAS E. M. / G. C. Esta no es la primera vez que la política alemana sufre un robo de datos masivo. El 8 de mayo de 2015, las autoridades revelaron que la red informática del Bundestag estaba siendo atacada y que la descarga de datos podía llegar a colapsar el servicio. Hans Georg Maasen, entonces jefe del espionaje interior alemán, apuntó meses después como responsable a Moscú. En mayo de 2016, se hizo público que un grupo ruso también había pretendido piratear a la Unión Demócrata Cristiana (CDU) de la canciller, Angela Merkel. En 2017, el mismo grupo de ciberespionaje, conocido como APT28, accedió con éxito a los ministerios de Exteriores y de Defensa, así como a la red de datos del Gobierno alemán y a la de los servicios secretos, según confirmó entonces la agencia de noticias alemana DPA. A los mismos piratas informáticos se les considera responsables también de numerosos ciberataques, entre ellos el que en 2016 afectó a los sistemas informáticos del Comité Nacional Demócrata de Estados Unidos. A los ciberataques contra instituciones y partidos sobre los que planea la sombra sobre todo de una injerencia rusa, se han sumado otros dirigidos contra compañías internacionales. Así, en mayo de 2017, un softwaremalicioso que encriptaba los datos se propagó en equipos informáticos de Windows que no estaban actualizados. Este virus, llamado WannaCry, de la variedad ransomware —ciberataques que secuestran datos y exigen un rescate para liberar el sistema— afectó a ordenadores de más de 170 países. Los servidores de al menos 16 hospitales y centros de salud de Reino Unido —en especial los servicios de radiología de estos centros—, las fábricas de la compañía automovilística Renault-Nissan en Francia, Eslovenia y Rumania —que suspendieron la producción durante un fin de semana— o los equipos de la sede de Telefónica en Madrid se vieron atacados por este malware. El Departamento de Justicia de Estados Unidos acusó a un ciudadano norcoreano de estar tras este ataque. A finales de junio del año pasado, Petya, un virus más sofisticado que el WannaCry, afectó a los sistemas informáticos de instituciones y grandes empresas globales, principalmente en Ucrania. La única excepción fue la formación ultraderechista AfD. De momento se desconoce si se ha evitado deliberadamente la filtración de datos de esta formación o si los hackerstenían previsto publicarlos en otro momento. De los centenares de víctimas, entre las que también está el presidente alemán, Frank-Walter Steinmeier, se han desvelado documentos personales, mensajes privados, números de teléfonos móviles, información de tarjetas de crédito, direcciones, cartas y facturas, entre otros. Parte de la información es antigua. De Merkel se han difundido su número de fax, su dirección de correo electrónico y varias cartas. Alarma cibernética También se ha publicado información de periodistas de las dos cadenas públicas de televisión, ZDF y ARD, donde hay decenas de afectados, entre ellos profesionales de varios informativos. Otro de los objetivos ha sido el periodista Hajo Seppelt, que destapó el escándalo del dopaje sistemático en Rusia. La grave fuga de datos ha apuntado a varios artistas, como el humorista Jan Böhmermann, que generó en su momento tensiones diplomáticas por una sátira contra el presidente turco, Recep Tayyip Erdogan. Tras ser informado y valorar la dimensión del ataque, el Gobierno activó la llamada “alarma cibernética”, una medida destinada a descubrir el origen del ataque y en la que participan la Oficina Federal de Seguridad de la Información (BSI), la de la
Protección de Datos: Silicon Valley alaba a la UE
El objeto de las alabanzas entonadas la semana pasada por el jefe de Apple no era ni el último iPhone ni ningún otro artilugio omnisciente, sino —prepárense— la Unión Europea. Para ser más exactos, el Reglamento General de Protección de Datos de la Unión Europea, una normativa que refuerza desde mayo a los consumidores dentro y fuera de las fronteras de los Veintiocho contra los gigantes tecnológicos de Silicon Valley. Tim Cook, por una vez con corbata, se quejaba en Bruselas del “complejo industrial de los datos”. Con ello se refería a su propio sector, que utiliza la información que recopila sobre los usuarios de Internet “como un arsenal”. El consejero delegado de Apple opina que el reglamento de la UE desempeña un papel fundamental para la protección de los consumidores, y lo considera modélico, especialmente para su propio país. Se podría echar en cara a Cook su oportunismo. Apple no se ha convertido en la empresa con más valor de la historia gracias al comercio de datos, sino mediante la venta de productos de diseño útiles, aunque también carísimos. Por eso, la protección de la privacidad apenas representa un problema para la compañía. Sus rivales tecnológicos —Amazon, Facebook y Google— amasan beneficios multimillonarios gracias al desaforado expolio de información sobre sus clientes. También cabe la posibilidad de que la intención de Cook en Bruselas fuese la de mostrar un rostro amable, para variar. Apple mantuvo un litigio con la Unión Europea por el pago de 13.000 millones de euros suplementarios en impuestos. Con todo, los elogios que llegan desde Silicon Valley son dignos de atención, sobre todo teniendo en cuenta que la jefa de protección de datos de Facebook (sí, el cargo existe) también se pronunció ante al Parlamento Europeo a favor de una normativa parecida a la de la UE para Estados Unidos. Las grandes tecnológicas defienden las normas europeas y contradicen el rechazo de su propio Gobierno a la regulación de datos de Bruselas Son dignos de atención, en primer lugar, porque los representantes de las grandes empresas tecnológicas contradicen con ellos a su propio Gobierno. Tan solo un par de días antes, Wilbur Ross, secretario de Comercio de Donald Trump, había vuelto a expresar en Bruselas sus “serias dudas” sobre la protección de datos en la Unión Europea. Según Ross, la normativa es un obstáculo para los negocios de la industria estadounidense de Internet. Sin embargo, el principal argumento es que resulta evidente que Silicon Valley se toma en serio la protección de los consumidores de Internet que la UE va a imponer de ahora en adelante bajo la amenaza de sanciones draconianas. Hasta ahora, los gigantes tecnológicos habían desplegado libremente su aspiradora de datos por todo el mundo. En los primeros tiempos de la Red, la resistencia en contra era pequeña debido a que los servicios gratuitos ofrecidos parecían de gran utilidad, pero, sobre todo, porque poca gente se daba cuenta del riesgo que ello entrañaba para la esfera privada y, en consecuencia, para las libertades individuales. Las empresas pronto se volvieron tan grandes e importantes que apenas se podía hacer nada contra su poder de influencia, especialmente en su mercado nacional. Ahora la Unión Europea ha dado la vuelta radicalmente a las reglas del juego, y lo ha hecho de tal manera que las consecuencias alcancen a los prepotentes colosos de Internet. De ello se podrán beneficiar no solo los ciudadanos de la Unión Europea. Dado que el flujo de datos, dinero y mercancías suele rebasar inevitablemente el territorio de la Unión, millones de consumidoras y consumidores extracomunitarios quedan también bajo su protección. Lo mismo ocurre con Suiza, que no pertenece a la Unión Europea y que todavía se va a conceder un par de añitos para adaptar su caduca legislación al respecto. Así que resulta que los políticos de la UE, a los que tanto gusta tachar de gerifaltes, y sus mecanismos, reprobados por su falta de transparencia, son de lo más útil. Y lo son precisamente para la vida de las ciudadanas y los ciudadanos particulares de la Unión Europea y de fuera de ella. Por una vez hemos podido afirmarlo con toda tranquilidad, justo la misma semana en que los populistas italianos se jactaban de haber salvaguardado a su pueblo de los tacaños de la Unión Europea en su disputa por los presupuestos. Los suizos más que nadie deberíamos tomarnos también en serio el ejemplo de la Unión Europea en cuanto al reglamento de protección de datos. Nuestro país no solo se concede tiempo de sobra para dictar una normativa de privacidad eficaz, sino que además se da el lujo de celebrar un referéndum para decidir si tiene que evitar someterse a cualquier clase de reglamentación internacional. La campaña se lleva a cabo bajo el eslogan “jueces extranjeros”, y defiende que los auténticos confederados deben oponerse a ellos. La idea tiene su origen en la mítica acta constituyente de Suiza del siglo XIII. En la era de Internet ha quedado fuera de lugar. Fuente: https://elpais.com/elpais/2018/10/26/opinion/1540568058_782324.html
Protección de Datos: Netflix, Amazon y Apple entre los acusados de violar la ley de protección de datos europea
EFE La ONG austríaca «Noyb» presentó este viernes una queja contra ocho empresas digitales internacionales, entre ellas, Netflix, Amazon Prime, Apple Music y YouTube, por supuesta «violación estructural» de un aspecto clave de la normativa comunitaria sobre protección de datos. Noyb, cuyas siglas proceden de la expresión inglesa «None of your business» («No es asunto tuyo»), es iniciativa del activista austríaco Max Schrems, conocido porque una de sus demandas tumbó el anterior acuerdo de transferencia automática de datos personales de ciudadanos europeos a Estados Unidos. La ONG señala que en los servicios audiovisuales en Internet de estas empresas se cometen «violaciones estructurales» del Reglamento General de Protección de Datos europeo (RGPD) al no respetar el denominado «derecho al acceso» a los datos personales. «A los usuarios se les otorga el derecho de obtener una copia de todos los datos en bruto que una empresa posee sobre ellos», explica la ONG en un comunicado. Además, «información adicional sobre las fuentes y los destinatarios de los datos, el propósito con el que se procesan o la información sobre los países en los que se almacenan y durante cuánto tiempo», agrega. Sin embargo, Noyb asegura haber puesto a prueba el cumplimiento de este derecho por parte de estas empresas y los datos facilitados no son los que legalmente se les exige entregar. Schrems, director de Noyb, lamenta que las empresas «a menudo ni siquiera proporcionan de forma remota los datos a los que todo usuario tiene derecho». «Esto lleva a violaciones estructurales de los derechos de los usuarios, ya que estos sistemas están diseñados para retener información relevante», agrega el joven jurista, de 31 años. Debido a estas vulneraciones, Noyb ha presentado ante la Oficina austríaca de protección de datos una queja formal en nombre de diez usuarios contra ocho empresas. De acuerdo con las normas europeas, estas empresas podrían ser multadas con hasta 18.800 millones de euros en total. El nuevo reglamento europeo de protección de datos prevé multas máximas de hasta el 4 % de la facturación mundial de las empresas que hayan sido declaradas culpables, recuerda Noyb. La ONG defiende su acción al argumentar que el derecho al acceso es un elemento central de la protección de datos, ya que permite a los ciudadanos saber cómo y por qué se almacenan o comparten informaciones sobre ellos. Las empresas contra las que se ha interpuesto la queja, además de las citadas, son el portal de transmisiones deportivas DAZN, el de películas Filmmit, el portal de distribución de audios Soundcloud y el de música Spotify. Las multas máximas a las que se enfrentan las compañías van desde los 8.000 millones de euros de Apple a los 20 millones de DAZN (entre 9.100 y 22 millones de dólares). Fuente: https://www.publico.es/sociedad/proteccion-datos-europa-netflix-amazon-apple-acusados-violar-ley-proteccion-datos-europea.html
