La “autodenuncia” de Pepehone a la AEPD y la obligación de comunicar brechas de seguridad.

Según esta noticia, este operador había mandado 4.845 correos sin copia oculta de sus clientes, de forma involuntaria, habiendo decidido comunicar este incidente a la Agencia Española de Protección de Datos.

 ¿Qué se busca con esta medida? ¿Dar transparencia? ¿Mitigar las posibles sanciones que pudiese imponer la AEPD ante la denuncia planteada por los usuarios que estimasen vulnerada su privacidad?

La propuesta de Reglamento de Protección de Datos

Recordemos que estamos ante una de las novedades más importantes que recoge esta futura norma, que es la de comunicar las brechas de seguridad a la Autoridad de Control, y que no sólo se introduce en esta materia, sino que también está incluida esta obligación en la futura Directiva y Plan de Ciberseguridad, ya que la Comisión se ha mostrado en los últimos tiempos ciertamente preocupada por las fugas de información y sobre todo por los ataques a los sistemas de información y páginas webs. (más…)


Debate sobre el Estado de la Privacidad: cookies, un añito después!

Ha pasado un año desde la aprobación del Real Decreto-Ley  13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista, y que supuso la modificaron de varios artículos de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico, a fin de adecuar su régimen a la nueva redacción dada, por la Directiva 2009/136/CE, a la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales.

Uno de ellos, el artículo 22.2 al que en numerosas ocasiones se le ha denominado “ley de cookies”.

El caso es que hasta la fecha todavía no sabemos cómo debe implantarse el cumplimiento del citado precepto. ¿Consentimiento expreso o implícito? ¿Aviso al entrar en la web o un enlace en la misma con toda la información?

Durante todo este tiempo y respecto su interpretación, podemos decir que se han “vendido” tres posturas (pueden encontrarse en el post de este mismo blog en la narración de la “Jornada APEP: Cookies and Privacy by Design”): la industria y “no es para tanto, vamos a matar Internet”; los usuarios y “esto vulnera diversos preceptos constitucionales”; y el controlador “hay que proteger al usuario, trabajamos en ello para dar varias opciones” (pero como digo seguimos esperando). (más…)


BYOD: la AEPD inspeccionando en su casa y Guía del ICO.

Miniatura noticia

Como si se tratase de una continuación de la mesa que sobre el BYOD “Traiga su dispositivo móvil” tuve el honor de moderar en la reciente II Euskal SecuriTIConference (resumen y conclusiones, aquí) y en la que participaron como ponentes David Maeztu, Jorge Campanillas (acaba de publicar sobre el BYOD aquí), Gonzal Gallo y Jon Turrillas (todos ellos ilustres blogeros y tuiteros), acaba de aparecer una Guía sobre el BYOD publicada por la Autoridad de Protección de Datos del Reino Unido.

Dejando a un lado si el BYOD es positivo o negativo, una moda, línea de negocio o cualquier otra cosa que se nos ocurra, lo que más dudas genera es el control de estos dispositivos, que son propiedad del trabajador, por parte del empresario. (más…)


II Euskal SecuriTIConference: resumen y conclusiones.

Miniatura noticia

Este evento, al que he tenido el gusto de asistir y participar, y de cuya organización se ha ocupado Pribatua (Asociación Vasca de Privacidad y Seguridad de la Información) se celebró el pasado 5 de marzo en Bilbao con una asistencia de 270 personas. Para el desarrollo del evento se utilizó lo que podríamos llamar un “sistema mixto”, es decir, conferencias y mesas redondas.

La apertura correspondió al Director de la Agencia Vasca de Protección de Datos que hizo un resumen sobre la reforma de protección de datos y su incidencia en las nuevas tecnologías. Le acompañaron  Mikel García Larragan (Presidente de Pribatua) y José Antonio Martínez Decano del COIIE/EIIEO). (más…)


El “polémico” fichero del Ministerio de Justicia con “datos sindicales”.

Miniatura noticia

Y lo califico entre comillas porque ya veremos que la polémica no es tal. Vayamos con los hechos que han saltado a los medios de comunicación en las últimas 24 horas. Puedes leer una noticia al respecto en El País de hoy 22 de febrero de 2013.

Resulta que el pasado martes 19, se ha publicado en el BOE Orden JUS/257/2013, de 14 de febrero, por la que se crean, modifican y suprimen ficheros automatizados con datos de carácter personal del departamento y sus organismos públicos.

Entre los ficheros que se incluyen está el siguiente:

Nombre del Fichero: Régimen disciplinario de los empleados públicos al servicio de la Administración General del Estado con destino en el Ministerio de Justicia.

Personas y colectivos afectados: Personas denunciantes, empleados públicos al servicio de la Administración General del Estado con destino en el Ministerio de Justicia a los que afecte la denuncia, figuren en la información reservada o se les haya incoado expediente disciplinario, así como testigos, actuantes e instructores del procedimiento, en su caso.

Otro tipo de datos:

Datos especialmente protegidos: Datos de afiliación sindical.

Medidas de Seguridad: Nivel medio. (más…)


España pide flexibilizar el contenido del Reglamento de Protección de Datos de la UE.

Miniatura noticia

En el seno del Grupo de Trabajo sobre Intercambio de Información y Protección de Datos (DAPIX en sus siglas) ha visto la luz el pasado 11 de febrero de 2012, un documento (en inglés) donde se expone la postura de varios países sobre la reforma de la protección de datos a nivel europeo. Ya saben, la famosa “propuesta de Reglamento” que sustituirá, si se aprueba, a la vigente Directiva 95/46.

Lo primero que llama la atención sobre el citado documento es que el pobre e improductivo españolito de a pie hace más observaciones al texto citado que el resto de países que aparecen.

Como si de Eurovision se tratase, podemos decir aquello de “Spain, 40 points (páginas)”, mientras que “los del Skoda” (Chequia) se queda en unas míseras 4, los “amigos de Sabonis” (Lituania) ni eso y llegan a 2, los “del barrio rojo” (Holanda) aumentan hasta 16, los “del anterior Papa” (Polonia) bajan 7, los portugueses que son igual de desgraciados que nosotros bajan aún más y se quedan en 3, la parte pobre de Chequia (Eslovaquia) gana a la parte rica sumando 8, y finalmente, los “del té a todas horas” (Reino Unido) alcanzan las 13 páginas. (más…)


Directiva de retención de datos: análisis y situación en los países de la Unión.

Miniatura noticia

En el año 2006 la Unión Europea aprobó la Directiva sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, popularmente conocida como “Directiva de retención de datos” y que ha generado una gran polémica y controversia, ya que para algunos sectores su articulado vulnera la privacidad de los ciudadanos. De hecho, en algunos países no ha sido traspuesta todavía y en otros las normas adoptadas para trasponer la misma han sido declaradas inconstitucionales.

Pero, ¿existe verdaderamente un conflicto entre el texto normativa de esta Directiva y la privacidad? ¿Cuál es la finalidad de la retención de los datos? ¿Quiénes pueden acceder a los mismos? ¿Cómo se ha transpuesto esta norma por los diferentes países de la Unión? (más…)


Autocompletar de Google: ¿Realmente atenta contra tu privacidad?

Miniatura noticia

AEPD abre un nuevo frente contra Google: estima oposición al autocompletado.

Estamos ante la primera resolución publicada en la web de la Agencia Española de Protección de Datos, al menos que conozcamos, en las cuales se estima el derecho de oposición frente a la llamada función de autocompletado que ofrece Google (Google Suggest®) en sus búsquedas. De manera, que podemos afirmar, que en la cruzada iniciada por nuestra Autoridad de Protección de Datos contra Google ya hace tiempo, se sube un peldaño más. (más…)


Educación y privacidad. Mezclado y no agitado.

Miniatura noticia

Hace ya algunas semanas, como dice mi socio Javier, me metí -en Twitter- en uno de esos charcos llenos de barro que tanto me gustan… El fondo del asunto provenía de la publicación el 21 de septiembre en una revista especializada en Derecho, de un artículo en el  que se hacía eco de una nota publicada en fecha 6 de agosto por la Asociación Profesional Española de Privacidad, de la cual soy asociado como ya sabrán a estas alturas. En esa nota, ante la aprobación días antes del RD 1190/2012 que establecía nuevos contenidos en la asignatura de Educación para la Ciudadanía de educación primaria y secundaria obligatoria, esta Asociación reclamaba la inclusión en dichos contenidos de aspectos relacionados con la privacidad y la seguridad de los menores.

Hubo compañeros del sector que inmediatamente criticaron en twitter esta “demanda” con los más diversos argumentos, algunos de los cuales –a título personal- me hicieron llegar por diversos canales (básicamente por la red social, pero también correos privados) y por esto, y por supuesto sin citar quién defiende cada uno de ellos, trataré de exponerles estos argumentos de forma ordenada y, en la medida de mis posibilidades, rebatirlos o compartirlos… (más…)