Muchas veces “lo barato sale caro”. Y sino, que se lo digan al dueño de un locutorio donde se ofrecía tanto el servicio de realización de llamadas telefónicas, como el de utilización de ordenadores con acceso a Internet. Dicho locutorio fue intervenido en una inspección realizada por los agentes de la Guardia Civil, al detectarse que los ordenadores que allí se encontraban para prestar sus servicios a los clientes, tenían instalado el sistema operativo Windows XP e incluso alguno de ellos tenía instalada la aplicación ofimática Office, la cual permite el uso de programas como, por ejemplo, Word y Excel; y, que sin embargo, ninguno contaba ni con licencia de explotación comercial ni de uso profesional, habiéndose, en consecuencia, obtenido éstos de forma fraudulenta (“piratas”).

Debemos de partir de la base de que una licencia es el instrumento legal por el cual, el proveedor del servicio concede a los usuarios los derechos de uso o explotación del software, incluyendo una serie de prohibiciones y limitaciones, que tienen como objeto impedir la comercialización del mayor número de copias del software.

En nuestro país es la Ley 1/1996 de la Propiedad Intelectual (LPI), la que reconoce, en los artículos 17 y ss., que corresponde al autor, esto es en este caso al proveedor del software, el ejercicio exclusivo de los derechos de explotación en cualquier forma y, en especial, los derechos de reproducción, distribución, comunicación pública y transformación, que no podrán ser realizadas sin su autorización, salvo en los casos que prevé la propia LPI.

Además de los derechos anteriormente descritos, que la LPI reconoce al proveedor del software, en su Título VII se determina el régimen jurídico en relación con los derechos de autor sobre los programas de ordenador.

En aplicación de lo expuesto anteriormente y volviendo al hecho concreto que estamos analizando, sobre este caso resolvía el Juzgado de lo Penal nº1 de Cuenca, en noviembre de 2019, condenando al titular de la entidad como autor de un delito contra la propiedad intelectual tipificado en el artículo 270.1 del Código Penal (C.P.) a la pena de seis meses de prisión y una multa de 1800 euros, al entender que se necesita por cada ordenador y cada programa instalado, una licencia de explotación comercial y una licencia de uso profesional.

Así, el artículo 270.1 establece que: Será castigado con la pena de prisión de seis meses a cuatro años y multa de doce a veinticuatro meses el que, con ánimo de obtener un beneficio económico directo o indirecto y en perjuicio de tercero, reproduzca, plagie, distribuya, comunique públicamente o de cualquier otro modo explote económicamente, en todo o en parte, una obra o prestación literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios”.

El acusado, por su parte, interpuso recurso de apelación contra la mencionada sentencia, sosteniendo un pretendido error en la valoración de la prueba practicada, puesto que, si bien admitía la presencia de ordenadores dotados de programas informáticos no obtenidos de forma lícita, consideraba, a su vez, que faltaban algunos de los elementos que configuran la conducta tipificada en artículo del C.P. anteriormente mencionado, como: no haber sido los programas instalados por él, ya que adquirió el locutorio mediante traspaso y los ordenadores ya formaban parte del anterior negocio, desconocer que esos programas carecían de cobertura legal y mucho menos que fueran destinados al uso comercial por terceros, mediando el ánimo de lucro con su actividad.

Sin embargo, la Audiencia Provincial de Cuenca (APCU), órgano competente para resolver el recurso en segunda instancia, se ha pronunciado recientemente (ver aquí la sentencia), desestimando el recurso y considerando inadmisible el desconocimiento que alega el acusado respecto a la obligatoriedad de solicitar las licencias, cuando se ha demostrado que fue asesorado por un gestor durante el traspaso del locutorio en relación a la idoneidad de comprar las licencias de las que es titular la conocida multinacional Microsoft, y más aún cuando se trata de la adquisición un negocio del que forman parte unos ordenadores puestos a disposición del público, dándoles un aprovechamiento lucrativo.

En este sentido, cabe analizar los elementos objetivos y subjetivos que integran la figura delictiva del artículo 270.1 CP:

Publicado en Blog

Hoy, acceder a Internet se ha convertido en una parte esencial de nuestra vida diaria. Desde una edad temprana, los niños viven en un entorno digital y crecen utilizando una amplia gama de dispositivos interconectados para diversas actividades (aprendizaje, entretenimiento, comunicación con familiares y amigos, pasatiempos, etc.). A pesar de los beneficios que nos está aportando a día de hoy la conectividad a internet, desde que comenzamos el confinamiento ha aumentado considerablemente el tiempo que los menores pasan conectados y en muchos casos sin la supervisión de un adulto.

Debemos ser conscientes de que existen una serie de riesgos que no podemos olvidar, especialmente en los colectivos más vulnerables como es el caso de los menores, y no es casual que en estos tiempos que corren, hayan aumentado considerablemente los delitos que se cometen vía Internet y redes sociales, precisamente por esa mayor dedicación a las nuevas tecnologías durante este confinamiento. 

Uno de los riesgos más importantes es la exposición de los menores a contenido inapropiado como imágenes de índole sexual, violentas, sobre juego y apuestas, etc. Esta exposición puede producir importantes efectos negativos sobre los menores, que van desde daños emocionales o psicológicos hasta el establecimiento de conductas peligrosas y socialmente inapropiadas o daños para su salud física.

Por lo tanto, si bien el acceso a Internet debe ser tomado como una gran oportunidad para el desarrollo de los menores, no sólo los padres o tutores deben tomar medidas para protegerlos de las amenazas del entorno digital al igual que se hace en el mundo físico, la industria también ha de proporcionar en este sentido herramientas para ayudar a salvaguardar su intimidad y bienestar.

La Agencia Española de Protección de Datos (AEPD) ha elaborado recientemente una nota técnica sobre protección del menor en Internet, que tiene como objetivo poner de manifiesto el daño que puede producirse a un menor cuando accede a contenido no adecuado para su edad.

Si bien es cierto que esta nota técnica está dirigida principalmente a padres y tutores de menores que desean fomentar un uso seguro de la tecnología, en este post nos vamos a centrar especialmente en las recomendaciones dirigidas a entidades y desarrolladores de herramientas de protección del menor. Dichas entidades deben aplicar las medidas técnicas y organizativas necesarias para proteger los derechos y libertades de los menores, así como las implicaciones de privacidad de las mismas y consejos en cuanto a su uso responsable.

Entre las distintas opciones que pone el mercado a disposición de padres y tutores, para controlar y limitar la exposición de los menores a contenido inapropiado, nos encontramos las aplicaciones de control parental, que ofrecen los propios desarrolladores de sistemas operativos, operadores de telefonía y otras empresas. Adicionalmente al final de este post incluimos una tabla de análisis comparativo de las principales herramientas de control parental que existen actualmente en la industria.

¿Qué entendemos por controles parentales?

Los controles parentales son herramientas que permiten a los padres o tutores poner límites a la actividad en línea de un menor y por lo tanto mitigar los riesgos de que el menor puede estar expuesto.

¿Por qué son importantes?

Son importantes porque pueden ser utilizados para apoyar a los padres en la protección y promoción de los mejores intereses de sus hijos, un papel reconocido en la propia Convención de los derechos del niño firmado en 1989 (en adelante CDN). Sin embargo, debemos valorar también el impacto sobre el derecho del menor a su propia privacidad tal y como se reconoce en el artículo 16 de la CDN. El hecho de que los menores estén sujetos a un bloqueo excesivo puede resultar contraproducente -por lo que es importante mantener abierta la posibilidad de desbloquear contenido a petición del menor- y estar abierto a acordar con ellos los filtros y restricciones, entre otras medidas.

Estas herramientas de control parental resultan muy útiles para vigilar y controlar la actividad de nuestros menores en Internet, pero deben ser utilizadas como medidas de seguridad complementarias y no como herramientas de reemplazo a las labores de formación y concienciación que debemos mantener con nuestros hijos en materia de ciberseguridad consideradas fundamentales para educarles, guiarles y apoyarles en el uso seguro de Internet.

¿Qué funcionalidades ofrecen las herramientas de control parental?

Publicado en Blog

El ser humano es un ser social por naturaleza y, por tanto, tiene la necesidad de comunicarse, de ser escuchado y de interactuar con los demás.

La crisis sanitaria a la que nos enfrentamos en estos momentos nos ha obligado a vivir una situación excepcional sin precedentes en nuestros hábitos y, entre otras cosas, nos obliga a permanecer confinados en nuestros hogares.

Para podernos relacionar con las personas que se encuentran fuera de nuestro entorno, somos muchos los que recurrimos a las nuevas tecnologías y, concretamente, ha habido un notable despunte en el uso de aquellas que permiten que nos veamos y nos escuchemos en tiempo real: las videollamadas y, si se trata de reuniones con grupos de personas, las videoconferencias.

Además de la utilidad que se le está dando en el ámbito doméstico, se extiende el uso de las videollamadas o videoconferencias en el ámbito laboral, puesto que, como ya mencionamos en nuestra anterior publicación (ver aquí), dentro de las medidas excepcionales a adoptar por las empresas, que  se  establecen  en  el Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 , se  encuentra promover la modalidad del  trabajo  a  distancia o teletrabajo en aquellos sectores,  empresas  o  puestos  de  trabajo  en  las  que  no  estuviera aún  prevista.

Las videoconferencias en el marco laboral, sólo precisan de una perfecta coordinación en el tiempo de todos los asistentes, y permiten compartir de forma sencilla conocimientos y diferentes puntos de vista, sin importar la logística ni el lugar en el que se encuentren los trabajadores; permiten discutir los proyectos corporativos en curso, tomar decisiones en grupo, obtener un feedback instantáneo, compartir documentos de trabajo, disponer de herramientas tales como un chat o una pizarra virtual mediante la cual se pueden realizar presentaciones de la misma forma que si estuviésemos en una sala de exposiciones

Igualmente, no sólo sirven para establecer comunicaciones internas, sino que dependiendo del sector en el que nos encontremos, muchas veces se hace necesario contactar por esta vía con clientes, proveedores, socios, alumnos, etc.

En todas ellas, además de seguir las pautas y recomendaciones genéricas para teletrabajar que hemos ido aportando a lo largo de los anteriores capítulos, conviene extremar la seguridad para prevenir la intrusión y garantizar la confidencialidad de las conversaciones y de la información que tratamos en ellas, puesto que en estos días, debido al incremento de usuarios de estos servicios, la red de los hogares se ha convertido en un objetivo más atractivo que antes para los ciberdelincuentes, y, tanto el contenido de las conferencias como las grabaciones de las mismas o las herramientas de apoyo que se utilizan, podrían estar expuestas a las siguientes amenazas:

  • Aquellas que son inherentes a las redes inalámbricas e internet.
  • Aquellas que tienen como causa una configuración descuidada o errónea de las sesiones de videoconferencia.
  • Aquellas que están asociadas a las carencias de seguridad de las propias herramientas o servicios de videoconferencia.

Y es en este último punto donde vamos a detenernos. ¿Son seguras las aplicaciones de videoconferencia? El mercado actual ofrece multitud de herramientas y plataformas que ofrecen servicios de videoconferencias: gratuitas o de pago; videoconferencias tradicionales, que utilizan equipos físicos o un software instalado en ordenadores personales; videoconferencias en la nube, etc.

Publicado en Blog

Cada vez son más las empresas en nuestro país que están empezando a implantar el sistema de teletrabajo, consistente en dotar al empleado de la posibilidad de trabajar en su domicilio o en el lugar elegido libremente por éste, sin la necesidad de acudir de manera presencial al centro de trabajo en la empresa.

Los beneficios que este modo de trabajo puede llegar a proporcionar tanto al empleador como a la propia empresa son numerosos, dotando, por una parte, al trabajador de una mayor flexibilidad de horario, así como permitirle una mejor conciliación de la vida profesional y familiar, y, por otra parte, la empresa podrá ver reducidos sus costes en infraestructuras e instalaciones, así como un mayor acceso a la colaboración con profesionales altamente cualificados que no pudieran aceptar el trabajar diariamente en una oficina.

Si bien es cierto que el sistema de teletrabajo todavía no se encuentra instaurado de manera generalizada en nuestro país, desde el último trimestre del pasado año 2019, las cifras se han visto incrementadas respecto a las de años anteriores, llegando a alcanzar el número de personas ocupadas que realizan teletrabajo un total de 1’5 millones, lo que equivale a un 7’9% de la población total ocupada, según nos indica el informe de “The Adecco Group Institute”

El marco normativo regulador del teletrabajo en nuestro país lo encontramos en el artículo 13 del Estatuto de los Trabajadores, que recoge las siguientes cuestiones:

  • Define el concepto de teletrabajo, indicando que el acuerdo por el que se establezca el mismo deberá formalizarse por escrito.
  • Iguala los derechos de los trabajadores a distancia con los trabajadores que realicen su trabajado en el centro de trabajo de la empresa, salvo excepciones.
  • Determina la obligación del empleador a establecer los medios necesarios para que los trabajadores tengan asegurado el acceso a la formación profesional para el desarrollo efectivo del empleo, con el fin de favorecer su promoción profesional.
  • Indica los derechos de los trabajadores a distancia a una adecuada protección en materia de seguridad, en base a lo establecido en la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, y su normativa de desarrollo.

También nos parece importante señalar lo establecido en la Ley 3/2012, de 6 de julio, de medidas urgentes para la reforma del mercado laboral en relación con el teletrabajo, que, si bien no procede a establecer ningún tipo de regulación, sí considera importante darle cabida, con el fin de promover nuevas formas de desarrollar la actividad laboral. Además, entiende que el teletrabajo esuna particular forma de organización del trabajo que encaja perfectamente en el modelo productivo y económico que se persigue, al favorecer la flexibilidad de las empresas en la organización del trabajo, incrementar las oportunidades de empleo y optimizar la relación entre tiempo de trabajo y vida personal y familiar.”

A raíz del estado de alarma ocasionado por la crisis sanitaria en la que nos encontramos actualmente, el Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 también entra a regular en su artículo 5 el trabajo a distancia o teletrabajo, indicando, en primer lugar, su carácter preferente. El mencionado artículo señala una serie de cuestiones que consideramos relevantes destacar:

Publicado en Blog

Las nuevas tecnologías, han hecho posible que manejemos y rentabilicemos mejor la información para el desarrollo de nuestras empresas, pero también ha aumentado la exposición a nuevas amenazas, que facilitan la fuga de información.

Por este motivo, las empresas deben proteger la información de la que disponen y mantener su confidencialidad, disponibilidad e integridad, mediante medidas preventivas que sirvan para proteger tanto la propia información como los soportes donde se almacena, durante todo su ciclo de vida, desde su creación hasta su destrucción. De esta forma, se evita el robo, la manipulación y las posibles fugas de información.

Puede parecer sencillo mantener a salvo esa información cuando permanece en el disco duro de un ordenador de mesa al que solo una persona tiene acceso. Sin embargo, la cosa se complica si se trata de ordenadores portátiles o unidades USB que, por su tamaño o sus características de movilidad, pueden extraviarse o ser robadas; o si por determinadas circunstancias, la información se envía a un tercero mediante correo electrónico, se almacena en carpetas compartidas o en la nube, etc.

Siendo el cifrado de datos aún una asignatura pendiente para muchas empresas, vamos a dedicar ésta y las siguientes publicaciones de este blog a indicar qué pautas se deben seguir para proteger con seguridad los archivos, siempre desde una perspectiva de practicidad y utilidad para las empresas.

Como ya nos hemos referido en otras ocasiones, el artículo 32 del Reglamento General Europeo de Protección de Datos (RGPD) hace referencia a la seguridad del tratamiento de los datos: “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya”.

Además, “se tendrán particularmente en cuenta los riesgos del tratamiento, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

De todas formas, si bien es cierto que las medidas de seguridad deben adaptarse a las características concretas de cada empresa, el propio Instituto Nacional de Ciberseguridad (INCIBE) considera que existen una serie de medidas que deben aplicarse independientemente de su tamaño o actividad:

  1. Control de acceso a la información: Se debe permitir el acceso a la información únicamente a aquellos empleados que la necesitan.
  2. Actualizaciones de seguridad: Las aplicaciones y sistemas deben estar correctamente actualizados a sus últimas versiones, y con todos los parches de seguridad que distribuyen los fabricantes.
  3. Copias de seguridad:  En otra publicación de este blog (ver aquí), ya analizamos el por qué es tan importante realizar copias de seguridad periódicas de los datos relevantes y aplicaciones de la empresa.
  4. Cifrado de información y utilización de contraseñas robustas: Es necesario proteger accesos no deseado a la información mediante el cifrado de esta, de los soportes que los almacenan y de las comunicaciones donde la transmitimos. Esto cobra mayor importancia cuando se hace uso de soportes de almacenamiento externos, dispositivos móviles y conexiones a redes inseguras como wifis públicas.

No hace mucho, analizamos en una de nuestras publicaciones (ver aquí) una reciente resolución de la Agencia Española de Protección de Datos (AEPD) por la que se sanciona por infracción del mencionado artículo 32, a una entidad que había sufrido una brecha de seguridad consistente, en la pérdida de seis pendrives sin cifrar, que contenían datos personales de aproximadamente once mil personas.

Publicado en Blog

Una afirmación indiscutible, actualmente, es que la información propiedad de una organización, ya sea desde el punto de vista comercial o de protección de datos, es uno de los activos más valiosos de los que estas disponen. Una información cuya transmisión inmediata se ha vuelto necesaria para garantizar la operatividad dentro de una empresa. Y ¿cómo podemos llevar esta transmisión a cabo? A través de diversos métodos de conexión, de entre los cuales, el más extendido hasta hace unos años era la conexión por cable.

No obstante, la evolución tecnológica y la entrada en juego de los métodos de conexión inalámbricos han permitido que dispositivos como ordenadores, smartphones, o tablets puedan llegar a interconectarse entre sí, sin necesidad de hacer uso de un cable, proporcionando así, una libertad de movimiento a la hora de conectarse a los recursos que pueda ofrecer una organización, sin que esta conexión esté supeditada a una ubicación física.

Las ventajas acerca de este tipo de conexiones inalámbricas son más que evidentes, siendo la ausencia de cables, y consecuentemente de su necesidad de revisión y mantenimiento, y la alta movilidad, las más destacables. Sin embargo, no podemos dejar de lado las vulnerabilidades que, en materia de seguridad, se encuentran asociadas a su uso y que, en última instancia, pueden poner en riesgo los activos de la empresa. Estos riesgos deberán ser tenidos en cuenta y analizados a la hora de establecer las políticas y medidas que los mitiguen o reduzcan al mínimo, garantizando en consecuencia, la seguridad de las comunicaciones.

En definitiva, se trata de establecer medidas destinadas a cerrar la puerta de nuestro entorno virtual a la delincuencia informática. Para ello, el Instituto Nacional de Ciberseguridad (en adelante, INCIBE) publicó una Guía de Seguridad cuya finalidad no es otra que ofrecer unas pautas que podrán ser tenidas en cuenta, por parte de las organizaciones, para reforzar la seguridad de sus conexiones inalámbricas.

Así, la primera pregunta que debemos responder es, ¿qué es una red inalámbrica? En palabras del INCIBE, sería aquella formada por dispositivos capaces de intercomunicarse entre sí o con otra red (como Internet), sin necesidad de elementos físicos que las conecten como pueden ser los cables. De entre todas las redes inalámbricas existentes, centraremos nuestra atención en las más extendidas, las Redes de Área Local Inalámbricas, conocidas como redes wifi.

Dentro del marco organizativo de una empresa, resulta necesaria la existencia de una configuración, previamente establecida y documentada, que garantice la seguridad de las conexiones, para preservar la privacidad de la información. Para ello, la Guía objeto de análisis en el presente artículo, nos propone unas medidas de seguridad a seguir tales como:

Publicado en Blog

Realizar una copia de seguridad consiste en duplicar la información existente de un soporte a otro para poder recuperarla en caso de que falle el primer alojamiento de los datos. En el ámbito empresarial, se trata de una medida indispensable para garantizar la continuidad del negocio y conservar la imagen positiva y la confianza que los clientes depositan en las entidades.

En este post vamos a destacar los aspectos más relevantes que hay que saber sobre la realización de las copias de seguridad, tomando como base una de las guías publicadas por el Instituto Nacional de Ciberseguridad (INCIBE) para comprender la importancia de su implantación en las empresas. (ver Copias de seguridad: una guía de aproximación para el empresario”)

¿Qué información se debe copiar?

Para establecer cuál es la información de la que se realizará la copia de seguridad, se debe realizar un inventario de activos de información y una clasificación de los mismos en base a su criticidad para el negocio.

Los criterios para realizar esta clasificación deben estar relacionados con las medidas de seguridad aplicables sobre la información, como por ejemplo por el nivel de accesibilidad o confidencialidad, por su utilidad o funcionalidad y/o por el impacto en caso de robo, borrado o pérdida.

Frecuencia y tipo de copias

Para saber cada cuanto tiempo se deben realizar las copias de seguridad, será necesario atender a los siguientes factores:

- el número de datos o archivos generados y/o modificados

- el coste de almacenamiento;

- las obligaciones legales que apliquen. En este sentido cabe señalar que el propio Reglamento Europeo de Protección de Datos (RGPD) prevé que responsables y encargados del tratamiento apliquen las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. 

Teniendo en cuenta estos elementos hay que elegir el tipo de copia de seguridad, siendo las siguientes las más comunes:

Copia de seguridad en espejo o RAID 1

Mientras se trabaja con la información se crea una copia espejo en una ubicación alternativa, creándose una copia exacta de los datos en tiempo real.

Su mayor desventaja es que, si borramos un archivo accidentalmente también se borra de la copia de seguridad.

Copia de seguridad completa

Consiste en hacer una copia de todos los datos de nuestro sistema en otro soporte, proporcionando una fácil restauración de los datos.

Sin embargo, se necesita mucho espacio de almacenamiento, puesto que se copian todos los ficheros del sistema, e implica tener información redundante.

Copia de seguridad diferencial

Cada vez que se vuelve a lanzar, se copian los datos que se han modificado desde la última copia completa realizada. Por tanto, con el tiempo, estos tipos de copia se van haciendo más grandes hasta que se vuelve a realizar la copia completa. No es tampoco la solución más óptima en cuanto a espacio.

Publicado en Blog

¿Debo designar un Delegado de Protección de Datos? ¿Quién puede ser nombrado Delegado de Protección de Datos? Estas cuestiones han sido planteadas por muchas entidades, antes, e incluso después, de que el Reglamento Europeo de Protección de Datos (en adelante RGPD) comenzase a ser plenamente aplicable desde el 25 de mayo de 2018.

Como ya hemos comentado en otras ocasiones, si bien la práctica de la designación de esta figura se ha desarrollado en varios Estados miembros a lo largo de los años, el Delegado de Protección de Datos (DPD) /Data Protection Officer (DPO) ha sido desde el primer momento una de las figuras más destacadas del RGPD, cuyos aspectos más importantes ya hemos tenido ocasión de examinar en este Blog, (El Delegado de protección de datos en el RGPD Parte I, Parte II, Parte III y Parte IV).

Asimismo, conforme evoluciona la normativa europea y la misma adquiere madurez, empiezan a plantearse nuevas cuestiones, respecto de las cuales la Agencia Española de Protección de Datos (en adelante AEPD) comienza a pronunciarse a través de publicación de Informes, como a finales del año 2018 lo hizo en el Informe Jurídico que analiza la posible compatibilidad entre el DPO y el responsable de seguridad del Esquema Nacional de Seguridad (en adelante Responsable de Seguridad ENS), y que será objeto de análisis en el presente artículo.

¿En qué sentido se ha pronunciado la Agencia en este Informe?

Con carácter previo a identificar cuáles son las principales diferencias que existen entre ambas figuras, la AEPD parte de la base de que las mismas pertenecen a dos ámbitos de actuación diferentes: la seguridad de la información y el de la protección de datos de carácter personal.

La seguridad de la información comprende el conjunto de técnicas y medidas orientadas a garantizar la confidencialidad, integridad y disponibilidad de la información y los datos importantes para cualquier organización, independientemente del formato que tengan.

En el ámbito de las Administraciones Públicas, es la  Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, la que establecía el mandato de creación de un Esquema Nacional de Seguridad (ENS), con la participación de las Administraciones Públicas, siendo este aprobado mediante el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante RD 3/2010).

El Esquema Nacional de Seguridad, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

El propio RD 3/2010 establece en su artículo 10 la existencia de tres figuras diferenciadas que forman parte del ENS:

  • Responsable de la información → Determinará los requisitos de la información tratada.
  • Responsable del servicio→ Determinará los requisitos de los servicios prestados.
  • Responsable de seguridad→ Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

La protección de datos de carácter personal se configura como un auténtico derecho fundamental reconocido como tal en el art. 18.4 de la Constitución Española, conforme al cual “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, y que actualmente se encuentra regulado en el RGPD y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Así, la seguridad de la información se sitúa entre el conjunto de los principios, derechos, obligaciones y estructura organizativa de ambas normas, como una de las obligaciones atribuidas a responsables y encargados del tratamiento.

Presentada la diferencia existente entre los ámbitos de la seguridad de la información y de la protección de datos de carácter personal, la AEPD comienza el análisis de las razones que fundamentan su criterio.

¿En que se diferencian el Delegado de Protección de Datos y el Responsable de Seguridad del ENS?

Publicado en Blog

 

Con la reciente entrada del año, una de las fechas claves de esta festividad se va aproximando. Los más pequeños de la familia esperan deseosos y expectantes la llegada de los Reyes Magos, quienes cada año, y recién llegados de Oriente, depositan en sus casas grandes cantidades de regalos.  

Los juguetes tradicionales van perdiendo popularidad frente a un nuevo modelo que ya ha venido para quedarse. Son los denominados “juguetes conectados.”

Tomando como base la guía de juguetes conectados, elaborada por el Instituto Nacional de Ciberseguridad (INCIBE), a través Internet Segura for Kids (IS4K), y por la Asociación Española de Fabricantes de Juguetes, así como la infografía realizada por la Agencia Española de Protección de Datos sobre juguetes conectados, iremos dando respuesta a las numerosas cuestiones que el uso de estos nuevos juguetes puede plantear en relación con la privacidad de los más pequeños.

Antes de tomar la decisión de comprar un juguete conectado, en primer lugar, debemos preguntarnos: ¿qué es un juguete conectado y cuáles son sus funciones?

A diferencia de los juegues tradicionales, la principal característica que albergan estos juguetes conectados es su conexión a internet, así como su interacción con otros dispositivos domésticos, para el intercambio de datos y recopilación de información sobre sus usuarios, normalmente, mediante la instalación de una app y la creación de una cuenta. Además, han de ir dirigidos a niños, excluyendo de tal definición todos aquellos dispositivos de ocio digital dirigidos a usuarios adultos.

Las funciones que un juguete conectado puede realizar son numerosas: desde grabar, registrar, reproducir o reconocer imágenes y sonidos a través de los micrófonos, sensores y cámaras incorporadas en los mismos, hasta interactuar con otras aplicaciones mediante otros dispositivos informáticos, navegar o comunicarse a través de la red.

Otra de las cuestiones que debemos plantearnos es: ¿con qué finalidad se recaban estos datos?

Los juguetes conectados recaban numerosos datos de sus usuarios, tales como los propios datos personales del menor, así como los de su familia, información sobre sus gustos, horarios, localización, imágenes, videos y sonidos grabados dentro del entorno doméstico y familiar del menor. Toda esta información se registra a través de internet, y no es difícil que el uso que se realice de dichas informaciones no sea del todo correcto, pudiendo llegar a producirse filtraciones de los datos a través de la red, con todas las consecuencias perjudiciales que ello podría suponer para la reputación del menor.

El uso de estos juguetes también puede conllevar serios perjuicios en la privacidad de terceros, al poder utilizarse la cámara y los micrófonos para grabar, e incluso espiar a otras personas sin su consentimiento.

Todo ello nos lleva a plantearnos cuál es el verdadero objetivo del almacenamiento y recopilación de los datos, y respondiendo a esta cuestión nos encontramos con varios fines:

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal