Responsabilidad y Compromiso de los actores de la Ciberseguridad
Una vez más, el ISMS como viene haciendo dos veces al año –y ésta ya es la XIII-, nos convocó a todos los asociados a una de las dos grandes jornadas internacionales que organiza cada ejercicio, y una vez más, debemos descubrirnos ante la capacidad de organización y convocatoria de esta asociación. Otra gran oportunidad para conocer de primera mano aspectos relacionados con la seguridad de la información desde la perspectiva de grandes y relevantes ponentes del sector.
El acto de apertura de la jornada corrió a cargo de GIANLUCA D´ANTONIO Presidente del ISMS Fórum Spain. Resaltó el papel que juegan los actores de la ciberseguridad nacional, ante un escenario en que amenazas como el ciberespionaje o el ciberterrorismo y en el que cada vez somos más dependientes de los recursos tecnológicos (infraestructuras críticas). Destacó que estos actores van adquiriendo todo lo necesario para el desarrollo de nuevas estrategias, pero falta coordinar a todos ellos… Se hace necesaria una buena dosis de liderazgo para alinear a todos los que tienen algo que ver en ello. (más…)
O, más bien, la pregunta sería si efectivamente sirven para algo o incluso si jurídicamente son ejercitables en el marco de la videovigilancia para fines de seguridad, ya que si hacemos un análisis detallado del ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición) nos vamos a encontrar bastantes incongruencias.
1.- Punto de partida: Instrucción 1/2006 y Guía de la AEPD.
Respecto a la primera, recordemos que en su artículo 3 establece que:
a) Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
b) Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.
Sobre ese cartel distintivo, el Anexo de la citada Instrucción en su apartado 1 dice que: (más…)
De forma casual me he topado con una sentencia que quiero compartir con ustedes, porque me parece un magnífico material didáctico a utilizar en la labor de reflexión y concienciación sobre el acceso a las redes sociales por menores de edad; su control, sus consecuencias y relación con el resto del ordenamiento jurídico e incidencia en su aplicación. Y todo ello muy relacionado con un tema de rabiosa actualidad: el debate abierto por el Gobierno sobre la conveniencia de incrementar la edad para entender válidamente prestado el consentimiento al mantenimiento de relaciones sexuales, que actualmente se fija en… los 13 años, lo que, en mi modesta opinión, es una barbaridad.Por comparar rápidamente, el consentimiento para el tratamiento de datos de carácter personal se puede prestar sin necesidad de complemento de capacidad de padres o tutores a partir de los 14 años (artículo 13 del Real Decreto 1720/2007, Reglamento de Desarrollo de la LOPD). Con esa misma edad, 14, el Juez puede autorizar el matrimonio (artículo 48 Código Civil). Y a partir de los 16 puedes emitir consentimiento informado, en principio sin asistencia de padres o tutores, para someterte a actuaciones médicas (artículo 9 Ley 41/2002, de Autonomía del Paciente).
Pero vayamos al grano: la Audiencia Provincial de Cantabria, Sección 3ª (Sentencia de 5/7/2012) juzga a un hombre adulto como posible autor de delito de abuso sexual contra una niña de doce años de edad con la que mantuvo relaciones sexuales completas consentidas (acceso vía vaginal) (más…)
Según esta noticia, este operador había mandado 4.845 correos sin copia oculta de sus clientes, de forma involuntaria, habiendo decidido comunicar este incidente a la Agencia Española de Protección de Datos.
¿Qué se busca con esta medida? ¿Dar transparencia? ¿Mitigar las posibles sanciones que pudiese imponer la AEPD ante la denuncia planteada por los usuarios que estimasen vulnerada su privacidad?
La propuesta de Reglamento de Protección de Datos
Recordemos que estamos ante una de las novedades más importantes que recoge esta futura norma, que es la de comunicar las brechas de seguridad a la Autoridad de Control, y que no sólo se introduce en esta materia, sino que también está incluida esta obligación en la futura Directiva y Plan de Ciberseguridad, ya que la Comisión se ha mostrado en los últimos tiempos ciertamente preocupada por las fugas de información y sobre todo por los ataques a los sistemas de información y páginas webs. (más…)
Eran las nueve largas, cuando el Teatro Real de Madrid abrió sus puertas… Un entorno “magnífico” para celebrar esta quinta Sesión Abierta de la Agencia Española de Protección de Datos… Tras un eterno proceso manual de acreditación, el Director de la Agencia, D. José Luis Rodríguez Álvarez, dio por abierta esta jornada en que un montón de profesionales de la privacidad (o incluso que aspiramos a serlo algún día) nos damos cita, buscando mantenernos informados y actualizar nuestros conocimientos respecto a los criterios que la Agencia emplea a la hora de interpretar la normativa, de las novedades que se han producido durante el último año, y, sin duda alguna, no nos engañemos, mantener vivo el contacto con otros profesionales dedicados a este campo, o si lo prefieren, “hacer networking”, que queda más “cool”…. (más…)
El pasado día 15, mi compañero, amigo y socio Alfonso Pacheco, publicaba su entrada ¿Cómo compatibilizar LOPD y la necesidad de un asociado de conocer la identidad y demás datos de los otros asociados? Un gran post, la verdad, y que en su línea de trabajo, le supondría un montón de tiempo de documentación. En él nos contaba que para poder “revelar” quienes forman parte de una Asociación, lo suyo es que todos los extremos relativos a información a los asociados y consentimiento de los mismos´esté incluida en los estatutos de la asociación en cuestión… Nos hablaba de supuestos en los que los asociados pueden tener un interés legítimo en conocer quiénes son sus compañeros (a la hora de reunir suficientes votos para convocar una Asamblea, incluir puntos en el orden del día o presentarse como elegible a su órgano de administración). (más…)
La Ley Orgánica 1/2002, de 22 de marzo, reguladora del derecho de Asociación, recoge en su articulado un estatuto mínimo de derechos y obligaciones de todo asociado, que luego debe ser complementado y regulado en los Estatutos de la institución. Es objeto de esta entrada centrarse en el ejercicio de algunos de esos derechos y en la necesidad que puede tenerse, para su efectividad, de conocer la identidad y los datos de contacto de los demás miembros de la Asociación.
En concreto estoy pensando en tres situaciones:
1.- Convocatoria de la Asamblea General, órgano central y soberano de cualquier asociación, por iniciativa de los asociados y no de su órgano de representación.
Lo normal en la vida de una Asociación, al igual que en cualquier sociedad mercantil, es que la Asamblea, que debe reunirse como mínimo una vez al año (art. 11.3 LO 1/2002), sea convocada por su órgano de representación. Pero la norma prevé su posible convocatoria a petición de un número de asociados que, salvo disposición estatutaria en otro sentido, no puede ser inferior al diez por ciento de los asociados (art. 12.b LO 1/2002). (más…)
Ha pasado un año desde la aprobación del Real Decreto-Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista, y que supuso la modificaron de varios artículos de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico, a fin de adecuar su régimen a la nueva redacción dada, por la Directiva 2009/136/CE, a la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales.
Uno de ellos, el artículo 22.2 al que en numerosas ocasiones se le ha denominado “ley de cookies”.
El caso es que hasta la fecha todavía no sabemos cómo debe implantarse el cumplimiento del citado precepto. ¿Consentimiento expreso o implícito? ¿Aviso al entrar en la web o un enlace en la misma con toda la información?
Durante todo este tiempo y respecto su interpretación, podemos decir que se han “vendido” tres posturas (pueden encontrarse en el post de este mismo blog en la narración de la “Jornada APEP: Cookies and Privacy by Design”): la industria y “no es para tanto, vamos a matar Internet”; los usuarios y “esto vulnera diversos preceptos constitucionales”; y el controlador “hay que proteger al usuario, trabajamos en ello para dar varias opciones” (pero como digo seguimos esperando). (más…)
Foto: Nicolás Copérnico, padre del eleopedecentrismo… digo heliocentrismo
Como recordarán los lectores de este blog, a finales del año pasado publicamos una entrada sobre la anulación como prueba de la grabación de un asesinato llevada a cabo por una instalación privada de videovigilancia merced a que la misma captaba a lo bestia imágenes de la vía pública cuando existe una reserva para esa actividad a favor de los Cuerpos y Fuerzas de Seguridad .
Gracias al “chivatazo” de Víctor Manuel Sánchez Tornel, compañero de Murcia, a través del grupo de intercambio de conocimiento en materia de privacidad que coordina Julián Valero Torrijos desde la Universidad de Murcia, he tenido conocimiento de otro supuesto que, espero, generará un interesante debate y un buen número de comentarios: la recientísima Sentencia 29/2013, de 11 de febrero, del Tribunal Constitucional, Sala Primera (BOE 13 de marzo de 2013), por la que se resuelve más de tres años después de su interposición (¿cómo era eso de que una Justicia tardía no es Justicia?) un recurso de amparo que gira en torno al uso de una instalación de videovigilancia dedicada al control de accesos a edificios de una universidad para justificar el incumplimiento reiterado y a lo grande por parte de una determinada persona de su jornada laboral.
La semana pasada se reunieron los Ministros de Justicia e Interior de los países de la Unión Europea para debatir la propuesta de reglamento de protección de datos, que tanto está trayendo de cabeza a más de uno por esa lucha entre los defensores del texto y lo que vamos a llamar la “sección lobby”.
Durante la reunión, y según ha aparecido en la prensa, el Ministro de Justicia Gallardón, manifestó que si bien está de acuerdo con proteger la privacidad habría que eliminar las llamadas cargas burocráticas.
Pero, ¿A qué cargas burocráticas se refiere el Ministro? (más…)