Nota de prensa de la AEPD en el Día Internacional de la Seguridad de la Información

Gracias a la Asociación Profesional Española de la Privacidad (APEP), transcribo la Nota de Prensa de la AEPD, en el Día Internacional de la Seguridad de la Información:

 

La AEPD reclama que empresas, organizaciones y ciudadanos asuman la seguridad de la información en el uso de las Nuevas Tecnologías como una prioridad

(Madrid, 30 de noviembre de 2011). Hoy se celebra el Día Internacional de la Seguridad de la Información, un evento anual que se lleva a cabo el 30 de noviembre desde el año 1988 y tiene porobjetivo concienciar acerca de la importancia de la seguridad de la información en el uso de las Nuevas Tecnologías.

Con motivo de esta celebración, la AEPD hace un llamamiento a empresas y organizaciones públicas para que afronten la seguridad de la información en Internet como algo prioritario en el desarrollo de su actividad. En este sentido se recuerda que -al igual que en el mundo off-line-, en el uso de las Nuevas Tecnologías, empresas y organizaciones deben respetar las obligaciones en materia de seguridad y confidencialidad de los datos personales establecidas en la legislación de protección de datos, teniendo un grado de diligencia específica para evitar vulnerabilidades o accesos no autorizados en los servicios prestados a través de Internet.

La AEPD junto con el resto de Autoridades de Protección de Datos de la UE han trabajado activamente para que el proceso de revisión de la Directiva de Protección de Datos del 95,actualmente en curso, que tiene como objetivo adaptar sus disposiciones al mundo de las nuevas tecnologías, introduzca nuevos principios, como la noción de privacidad desde el diseño o “privacy by design”. Este principio exige la realización de un análisis escrupuloso de las implicaciones que un servicio -antes de ofrecerlo a los usuarios- tiene para la privacidad y la adopción de las medidas necesarias para garantizar la seguridad de los datos personales.

Por otra parte, se recuerda que tanto la AEPD como otras Autoridades de Protección de Datos vienen reclamando y exigiendo a la industria y a las empresas que prestan sus servicios a través de Internet, y especialmente a los prestadores de servicios de redes sociales, que establezcan por defecto los parámetros de configuración más garantistas y respetuosos con la privacidad de sus usuarios.

Con todo, y ante los nuevos riesgos que pueden derivarse de las nuevas tecnologías de la información para sus usuarios, en el Día Internacional de la Seguridad de la Información, la AEPD incide en la necesidad de que los ciudadanos sean diligentes y adopten todas las medidas a su alcance para proteger su información personal y la de terceras personas en la Red.

Para ello, y particularmente ante casos recientes tramitados por la AEPD sobre difusión inconsentida de datos personales en redes sociales, o la distribución inadvertida de datos personales a través de redes intercambio de archivos o Peer to Peer (P2P), se destaca en este día la necesidad de que los usuarios de internet extremen las medidas en el uso de redes de intercambio de archivos para evitar la difusión inadvertida de datos, y se apela a su responsabilidad ante las posibilidades de publicación de datos personales de terceras personas sin consentimiento en servicios de internet como redes sociales.

Especial énfasis en la protección de los menores

En el marco del Día Internacional de la Seguridad de la Información desde la AEPD se hace un llamamiento especial a todos los agentes implicados –poderes públicos, responsables de redes sociales, educadores y padres- para que adopten una actitud y compromiso activo en laprotección de los menores ante su creciente presencia en la Red, y se involucren ante los riesgos que en gran medida, nacen del desconocimiento por parte de los menores de cómo ejercer un control efectivo sobre sus datos y los de terceras personas.

Particularmente se destaca que, si bien en los últimos años se han producido algunos avances,aún existen importantes carencias en el desarrollo e implantación de sistemas efectivos para identificar la edad de los usuarios y limitar la presencia incontrolada de menores en Internet.Esta es una de las prioridades de la AEPD, y por ello se reclama un mayor compromiso de las compañías con el desarrollo de las herramientas tecnológicas de verificación de la edad, que permitan comprobar que cuando los menores se registran en un servicio de Internet tienen la edad legalmente establecida-14 años- para ceder datos sin la autorización de sus padres.

Además, se incide en la necesidad de que la formación en materia de privacidad y protección de datos en el ámbito de las nuevas tecnologías sea incorporada a los programas de estudio,incluyendo un aprendizaje que ponga en valor el uso de la información personal, de forma que los menores puedan: aprender a controlar la información personal; el respeto por los derechos de terceros, e identificar los riesgos que para su privacidad y seguridad pueden presentarse en la sociedad de la información.

Gabinete de prensa de la AEPD

APEP alerta contra estafas en el asesoramiento en materia de LOPD

La Asociación Profesional Española de la Privacidad (APEP), ha publicado en su web una alerta sobre un nuevo brote de posibles estafas consistentes en suplantar la identidad de la Agencia Española de Protección de Datos. Con ánimo divulgatorio, transcribo el texto completo de dicha noticia disponible en su web:

Asociados de APEP en Andalucía han podido constatar un nuevo brote de posibles estafas consistentes en suplantar la identidad de la Agencia Española de Protección de Datos. Los suplantadores son empresas que registran dominios de internet con denominación similar al de la propia Agencia. En el último caso este dominio es www.agenciaprotecciondatos.net.

Una vez se dispone de un dominio basta con buscar empresas cuya cuenta de correo sea pública y se envía un mensaje como el que sigue:

Date: Mon, 26 Sep 2011 10:23:19 +0200

From: info@agenciaprotecciondedatos.net

To: info@__-andalucia.es

Subject: Notificacion Urgente

Estimado Sr __________

Le comunicamos que pronto recibira la visita de un Agente Inspector

para comprobar si cumple con la normativa de LOPD (Ley Organica de Proteccion de Datos)

Le recordamos que deve tener visibles los documentos que acreditan dicha inscripcion en nuestros archivos

Si la gestion de sus datos lo gestiona una empresa o agente autorizado (INFORMATICAS, CONSULTORAS o ADMINISTRADORAS)

deve facilitarnos los datos de la misma para comprobar su inscripcion en nuestros sistemas.

Recordandole que de no cumplir con la normativa vigente sobre la proteccion de datos puede recibir una sancion de 900 a 40.000EUR

Rogamos nos indique su horario laboral para consertar la cita de nuestro agente

De no indicarnos su horario laboral procederemos hacer visita sorpresa

AGENCIA DE PROTECCION DE DATOS

     COORDINADOR DE AGENTES

*El texto, faltas de ortografía incluidas, corresponde a un mensaje realmente enviado a una empresa andaluza.

Estas organizaciones, suelen registrar el dominio a través de entidades norteamericanas enmascarando su verdadera identidad.

Esta actuación no puede ser sino calificada de estafa y desde APEP alertamos a todos los que reciban este tipo de mensajes a hacer caso omiso de los mismos. Asimismo desde la asociación. APEP ha puesto estos hechos en conocimiento de las autoridades policiales y administrativas competentes, y sin perjuicio otras acciones que puedan emprenderse, se hace un llamamiento a quienes los reciban a poner en conocimiento los hechos mediante denuncia formulada ante las Fuerzas y Cuerpos de Seguridad del Estado. Del mismo modo se apela a las Cámaras de Comercio y a las organizaciones empresariales para que procedan a informar a sus asociados y a prevenir ante este tipo de actuaciones.

APEP considera perniciosa esta conducta en la medida en la que afecta al buen nombre de una alta institución del Estado, la Agencia Española de Protección de Datos, y genera desconfianza respecto de quienes desarrollan tareas de consultoría con la adecuada profesionalidad.

No sólo las estafas, cualesquiera prácticas basadas en utilizar el miedo a la sanción como estrategia o consistentes en ofrecer un servicio de consultoría financiado con fondos de formación (LOPD-Coste 0) sólo pueden ser calificadas como intolerables.

La implementación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal por todas las organizaciones constituye un proceso beneficioso más allá del mero cumplimiento normativo. Aporta a todos los procesos basados en el uso de tecnologías de la información y de las comunicaciones seguridad y calidad, y ofrece confianza a aquellas personas cuyos datos tratamos.

APEP ha elaborado un documento sobre “Claves para identificar un proyecto adecuado de consultoría para implementar la LOPD de forma integral” que permite identificar cuando una propuesta de consultoría en materia de LOPD resulta confiable.

Claves para identificar un proyecto adecuado de consultoría para implementar la LOPD de forma integral

La Asociación Profesional Española de la Privacidad (APEP), ha publicado en su web una Guía para identificar un proyecto adecuado de consultoría para implementar la LOPD de forma integral. Con ánimo divulgatorio, transcribo el texto completo de dicha noticia disponible en su web:

“Ante la reiterada preocupación del sector profesional de la privacidad sobre la existencia de prácticas inadecuadas de consultoría la Asociación Profesional Española de Privacidad ha elaborado un conjunto de recomendaciones básicas que permitirán a las organizaciones privadas y públicas identificar cuando se les ofrece un asesoramiento adecuado.

Antes de contratar un proyecto de consultoría para implementar el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal tenga en cuenta que:

• Adaptarse para cumplir la normativa requiere la implicación del cliente además del trabajo del consultor. Tanto la adecuación a la LOPD como mantener este cumplimiento legal en el tiempo requiere que el cliente esté concienciado; incluso es necesario que determinadas personas de la organización intervengan activamente en el proyecto.

Si en el proyecto sólo trabaja y se compromete la consultora, si le ofrecen un documento para que lo firme sin haber estudiado su empresa es muy posible que NO ESTEMOS ANTE UN BUEN PROYECTO.

• El cumplimiento no es algo puntual, la normativa exige mantenerlo en el tiempo. Si todo el proyecto se ciñe a la entrega de una documentación tras rellenar unos cuestionarios, y no se definen acciones que han de tener su continuidad en el tiempo, definitivamente NO ESTAMOS ANTE UN BUEN PROYECTO.

• Un asesoramiento adecuado debe incorporar un capítulo adecuado de formación de calidad y de concienciación al personal. Las formas de llevar a cabo la formación pueden ser diversas pero deben permitir contestar afirmativamente a las siguientes cuestiones:

                                – ¿Incluye medidas para que los usuarios tomen conciencia de la importancia del derecho fundamental a la protección de datos personales?

                                – ¿Precisa las obligaciones impuestas por la normativa y cómo cumplirlas?

                                 – ¿Transmite las consecuencias de su incumplimiento?

Si la respuesta es negativa, NO ESTAMOS ANTE UN BUEN PROYECTO.

• La adaptación puede suponer cambios. Si tras el análisis de su organización no se han identificado las buenas prácticas y no se han propuesto correcciones a las que pudieran ser inadecuadas NO ESTAMOS ANTE UN BUEN PROYECTO.

• La aplicación de la LOPD nunca es teórica, no existen recetas de “copiar pegar”, no basta con marcar cruces en un cuestionario, debe adaptarse a la realidad específica de la organización.Con independencia del procedimiento utilizado, su asesor debe conocer en profundidad su empresa u organización visitándola físicamente si procede, y lo habitual es que así sea si se quiere diseñar medidas de seguridad en relación con el entorno físico. Si Vd. no percibe ese interés en indagar sobre el funcionamiento real de la organización en todos los ámbitos afectados por el alcance del trabajo solicitado (físico, informático, de gestión, etc.) NO ESTAMOS ANTE UN BUEN PROYECTO.

• Debe exigirse al consultor formación específica especializada: La recogida de información debe realizarla una persona con formación cualificada. Se requieren conocimientos tanto en el ámbito jurídico como tecnológico y organizativo. El consultor debe disponer de un certificado expedido por alguna universidad española que acredite su conocimiento o documentación similar, como puede ser la certificación ACP de APEP. Cuando nuestro interlocutor en la consultora no reúna estos requisitos, NO ESTAMOS ANTE UN BUEN PROYECTO.

• El objetivo a perseguir ha de ser la adecuación plena, por tanto, el proyecto debe ofrecer acciones que persigan un cumplimiento real no sólo formal. No podemos conformarnos con un documento de seguridad “para archivar” o un conjunto de medidas de seguridad “pendientes de implementación” como meras recomendaciones en el mejor de los casos. La plena adaptación no concluye hasta que las medidas se hayan implementado y verificado su eficacia. En caso contrario, NO ESTAMOS ANTE UN BUEN PROYECTO.

• Ofrecer un servicio de consultoría tiene costes., En ocasiones, nos ofrecen un proyecto de adaptación a la LOPD con anuncios como “esto no nos va a costar nada, o casi nada, ya que aprovecharemos una subvención de otra cosa para pagarlo”. El asesoramiento jurídico y técnico no puede venderse a 2X1. Si Vd. es empresario, si administra una organización sabe perfectamente que ofrecer dos servicios por uno, y generalmente a precios por debajo de los del mercado es un negocio ruinoso. Cuando una empresa nos ofrezca un servicio de esta naturaleza es muy probable que nos esté animando a cometer un fraude, Si nos dicen “esto es gratis”, o “se lo regalo con un proyecto de formación subvencionada” NO ESTAMOS ANTE UN BUEN PROYECTO.

• Si la empresa de consultoría se compromete a ofrecerle un certificado de cumplimiento desconfíe. Si obtener un certificado de calidad, como los ISO, exige una compleja labor de auditoría, ¿cómo puede Vd. creer a las consultoras que “certifican” el cumplimiento por haberlas contratado? Este certificado no lo protegerá ante malas prácticas, denuncias, inspecciones ni las sanciones que se puedan derivar. Si un proyecto le ofrece esta “garantía”, NO ESTAMOS ANTE UN BUEN PROYECTO.

• La evolución de las TIC´s,como las aplicaciones de gestión integral, contribuyen a la mejora de la gestión empresarial, pero, al mismo tiempo, suponen flujos de información complejos que exigen adoptar medidas de seguridad adecuadas. Estos procesos deben ser analizados y documentados adecuadamente en el Documento de Seguridad, del cual se exige no solo actualización y vigencia sino también conocimiento y praxis. Cuando un proyecto no contempla los análisis técnicos adecuados que permitan reflejar las TIC y sus medidas de seguridad asociadas con el rigor exigido en la normativa, NO ESTAMOS ANTE UN BUEN PROYECTO.

• Aunque le aseguren cubrir los daños derivados del asesoramiento o del incumplimiento de la LOPD Vd. nunca estará del todo a salvo. Aunque se contrate la cobertura de un seguro, Vd. siempre se enfrenta al riesgo que para la reputación de su organización comporta la declaración de una infracción y su sanción y publicación en la web de la AEPD. La confianza de sus clientes no la garantiza ninguna aseguradora, exige un esfuerzo cotidiano. Si su consultora no le ha advertido de la necesidad de adoptar medidas de seguimiento y control, si no le ha indicado la importancia de verificar su seguridad cíclicamente y corregir cualquier defecto o incidencia que advierta, si le garantizan que no pasará nada que “el seguro lo cubre todo” NO ESTAMOS ANTE UN BUEN PROYECTO.

Si Vd. quiere conocer las prácticas que usualmente definen un asesoramiento adecuado pinche aquí.”