Archivo de la categoría: IT Legal Framework

¿Es el neutrino un dato personal?

5 curiosidades de seguridad de la Agencia Española de Protección de datos

1. En su propaganda define su política de seguridad de la información en apenas 140 caracteres, haciendo sólo mención a la “integridad de sus bases de datos”. Nos preguntamos qué pasa con la confidencialidad y la disponibilidad. También nos pica la curiosidad por saber qué tipo de base de datos se refieren, ¿Será un Access¿, porque aquello de que se corrompe mucho, ¿O quizás aquello del dBaseIII plus?

2. Sus mecanismos de alta, modificación y supresión de ficheros tienen una sencilla curiosidad, si conoces el código de inscripción, el NIF/CIF, la razón social y otra cosa, eres el Rey del Mambo, lo gracioso es que casi todos esos datos son públicos y el que falta, lo hacen público algunas empresas. Viva la protección de datos, los no personales, queremos decir !!

3. Son los únicos que se han atrevido a traducir al inglés la palabra BOE, Spanish no se qué Gazette. Hay cosas que atentan a la propia integridad de una nación 🙂

4. Siguiendo con el objetivo de seguridad, la famosa integridad, resulta que si llamas a las 10 para hacer una consulta te dicen una cosa, pero si lo haces a las 12 te dicen otra. ¿O quizás es una cuestión del Principio de Incertidumbre de Heisenberg, eso de la relatividad…? ¿Un neutrino es un dato personal?

5. Dicen las malas lenguas que se escapan tuits desde dentro de la Agencia, al igual que en su día alguien se llevó “papel” para enviar faxes, hoy salen esas famosas cosas que se llaman tuits.

Un poco de humor gris preparando el día Internacional de Protección de datos, el 28 de enero. El logo tipo CIA es verdadero, no le hemos dado al photoshop

Anuncios

Le toca el “Gordo” a la industria musical norteamericana. Multa récord por descarga de archivos

fat-joe
Leemos en varios medios que en Minessota, Estados Unidos, una mujer de 32 años ha sido condenada a pagar una multa de 1,9 millones de dólares (1,4 millones de euros) por descargarse de forma ilegal 24 canciones de Internet.

El pecado
Jammie Thomas-Rasset se bajó entre otros títulos de No Doubt, Linkin Park, Gloria Estefan y Sheryl Crow. Cada descarga individual fue castigada con 80.000 dólares. Explicitamente en la sentencia se dice que había cometido una “violación voluntaria” de los copyrights de las canciones

Próposito de la enmienda

Se trata del segundo juicio para Thomas-Rasset, que en 2006 se enfrentó a seis discográficas que la acusaban de descargar y distribuir más de mil 700 canciones en el gestor de descargas Kazaa. Por este caso la mujer fue multada por un jurado de Minesota con 222.000 dólares.


Computer Forensics

En el proceso, el jurado justificó su decisión con capturas de pantalla de la red de descargas Kazaa, varios CD con música descargada y otros legales y listas de la colección de discos personal de Thomas-Rasset.

Además, aclaró que tanto la reproducción como la distribución de material protegido por derechos de autor constituye una infracción, aunque matizó que “poner algo a disposición de otros” no constituye distribución.

Sentencia relevante

De las 30 mil denuncias presentadas por la Asociación de la Industria de Grabación de Estados Unidos (RIAA) contra personas acusadas de descargar archivos, la de Thomas-Rasset es la única que ha terminado en juicio, y por supuesto la única que ha llegado a dos tribunales

Diferencias con el criterio europeo

Lo sorprendente es que no ha sido probada que esta señora obtuviera un beneficio comercial por venta de estos archivos, circunstancia que es la que se persigue en Europa y en especial en España (violación de la copia privada de la Ley de Propiedad Intelectural). También nos sorprende que la multa nada tiene que ver con el valor real de las canciones, valoradas más o menos por 1 euro en Apple Store-iTunes.

La RIAA, algo asi como la SGAE yanki evidentemente se mostró satisfecha con la sentencia. Quizás el rey del pollo frito lo comente en su trono de jurado de Operación Triunfo…


En ocasiones veo…”datos personales”

en-ocasiones-veo-datos Todas los derechos sobre la privacidad y las obligaciones técnicas, legales y organizativas para protección de los datos personales se basan en que es necesario proteger los datos personales desde su recogida, pasando por su tratamiento y almacenamiento hasta su transmisión o posible destrucción.

Pero podríamos preguntarnos… ¿Qué es un dato personal?. Hace unos años el concepto de dato personal era sencillo, hoy, con la proliferación de Internet, las redes sociales, el uso del móvil y en general con todos los avances tecnológicos el concepto puede ser mucho más amplio …y puede llegar a ser casi “todo”

La legislación europea, Directiva 97/66/CE del Parlamento Europeo y del Consejo de 15 de diciembre de 1997, y la española LOPD 15/99 de 13 dic y más recientemente el RLOPD (Reglamento de la LOPD, 1720/2007 de 27 dic.) definen el concepto de dato personal mediante una redacción que puede llegar a quedarse corta:

El artículo 3 de la LOPD utiliza una definición muy genérica de Datos de Carácter Personal:

“cualquier información concerniente a personas físicas identificadas o identificables”.

Esta definición ha sido ampliada por el artículo 5 del RLOPD al referirse a los mismos como:

“cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”.

Asimismo, el RLOPD ha incluido en el Glosario de Términos la definición de persona identificable, entendiendo como tal:

“toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”.

Aun así, el término sigue siendo poco preciso.

Fuera de los típicos ficheros informáticos o en papel donde existan datos “directos” de personas, es decir características o valores, existen otras “manifestaciones” de los datos personales a partir de los cuales ha sido necesario un estudio específico. De esta manera la AEPD (Agencia Española de Proteccion de datos) a través de sus Resoluciones ha ido concretando  y ampliando los conceptos, por lo que también deberemos considerar Datos Personales los siguientes:

  • La imagen (fija o grabación de vídeo): “…la grabación de la imagen de una persona, ya sea trabajador o no de la empresa, es un dato personal, siendo éste el criterio de la Agencia Española de Protección de Datos…” (Resolución R/00035/2006, Cuestiones Generales sobre Videovigilancia).
  • Datos biométricos (huella, iris, etc.): “los datos biométricos tenían la condición de datos de carácter personal y que, dado que los mismos no contienen ningún aspecto concreto de la personalidad, limitando su función a identificar a un sujeto cuando la información se vincula con éste, su tratamiento no tendrá mayor trascendencia que el de los datos relativos a un número de identificación personal, a una ficha que tan solo pueda utilizar una persona o a la combinación de ambos”.
    (Tratamiento de la huella digital de los trabajadores. Informe AEPD 1/1999.)
  • La dirección de correo electrónico: “…no existe duda de que la dirección decorreo electrónico identifica, incluso de forma directa, al titular de la cuenta, por lo que en todo caso dicha dirección ha de ser considerada como dato de carácter personal”. (Cribado de correo electrónico. Informe Jurídico 0391/2007.)
  • La dirección IP: “…las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos”. Dice elifnorme “En estos casos, ello significa que, con la asistencia de terceras partes responsables de la asignación, se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre dirección, número de teléfono, etc), por medios razonables, con lo que no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 3 de la Ley 15/1999”.
    (Carácter de dato personal de la dirección IP. Informe AEPD 327/2003.).
  • Las Cookies . La generación de datos transaccionales y los logs que almacenan los proveedores de acceso a Internet también es importante desde este punto de vista, ya que contienen información personal sobre las visitas de los navegantes a los sitios que, al igual que con las cookies, se relaciona con una dirección IP. Por otro lado, y tal como señala María de los Reyes Corripio10, podemos equiparar los datos transaccionales a los “datos sobre el tráfico” a que se refiere la Directiva sobre Protección de Datos, y considerarse, por tanto, datos de carácter personal.
  • Lo mismo puede decirse con los llamados clickstream data, que se recogen tanto por proveedores de acceso como por los servidores de páginas web, y contienen información sobre los sitios y páginas web visitadas, el tiempo que se ha estado en cada una, el orden en que se han visitado, los foros en los que ha participado el usuario y las direcciones de correo electrónico enviadas o recibidas por éste.

Todos estos datos se utilizan para finalidades asociadas al Marketing one to one y al Email marketing, lo que requiere la elaboración de contenidos personalizados de acuerdo con el perfil del cliente. En este sentido, sobre todas estas casuísticas de datos personales será necesario aplicar toda la relación de  medidas y actuaciones (aviso legal, registro de ficheros, medidas de seguridad, etc.)


Mi gran amigo Paco

francisco-de-quinto-zumarragaEl 11 de abril de 2009 falleció mi gran amigo FRANCISCO DE QUINTO Y ZUMÁRRAGA. Paco era un auténtico profesional, amigo y colega con el que he compartido muchos y buenos momentos profesionales. Con él aprendí casi todo sobre lo que sé sobre legislacion de Nuevas Tecnologías. Juntos evangelizamos a muchos clientes y estudiantes sobre la facturacion electronica, la seguridad en la red, la LOPD. Juntos también escribimos un libro: “Manual de seguridad en Internet”, momento aquel que guardo con gran cariño.

Sirvan pués estas lineas para mandarle desde la blogosfera un abrazo y un saludo a su familia. Paco leerá esto allá en el cielo, pues además de un caballero y un auténtico profesional, fue una gran persona. Deja un bonito recuerdo en aquellos que hemos tenido la suerte de compartir momentos con él. Su entusiasmo, su carisma y su don de enseñar y aprender me enriquecieron personal y profesionalmente

Gracias Paco

Un abrazo a su familia


Google,las caritas y la dichosa LOPD

Google ha publicado las primeras fotos del street view de Europa.

Sobre datos personales todos los países pertenecientes a la UE deben cumplir la directiva DE 95/46/CE. En UK es el Information Commissioner’s Office quien protege por Ley este tipo de tratamiento. En España, por la LOPD (13 dic 99) la imagen es un dato personal y como tal, entre otras medidas de seguridad técnicas y organizativas, debe informarse a la persona de que sus datos son incorporados a un fichero, en este caso este recurso video/imagen de Google.

Según la Ley española, el titular de la imagen (la persona) puede acceder a cancelarlos, es decir que sean eliminados. Esto os sonará por muchos carteles con fondo amarillo que hay en numerosos sitios de acceso público pero en ámbito privado (parkings, grandes almacenes, estaciones de tren..etc).

Como os podéis imaginar Google no puede avisar persona por persona (aunque queda poco por hacerlo!!), asi que lo mejor es borrar las caritas, pero no os preocupéis. utilizan un software súper para esto , face-blurring technology

Este ha sido el caso de las imágenes grabadas en Australia y Nueva Zelanda, donde la ley Federal Privacy Act es muy similar a la española en estos términos.

Pero la pregunta que algún abogado pejiguero podría hacerse es… ¿podría identificarse a alguna persona con alguna imagen como ésta? . La Ley dice que un datopersonal es la información “identificada o identificable de una persona …”


Curso “Las redes sociales y la protección de datos personales”

La proliferación de las redes sociales han hecho multiplicar los riesgos de nuestra privacidad, en especial de los menores. En pocos meses ya florecen los agujeros legales, y el incumplimiento legal evidente por parte de las grandes redes sociales. Nuevos paradigmas se avecinan que hacen de una regulación urgente tanto a nivel de los legisladores como a nivel educativo para los más pequeños

En este cursos se resumen algunas de estos nuevos paradigmas y las actuaciones que ya están realizando para poder poner un marco apropiado a esta nueva problemática


Protección de datos personales en Internet. Marco jurídico y obligaciones en España

Este curso resumen el marco legislativo y las obligaciones a cumplir. Se ponen ejemplos de qué actuaciones debo realizar si dispongo de una página web. Ejemplo de lo que se debe hacer y de lo que no.