Pasito a pasito: Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales

Seguimos avanzado en el trámite parlamentario para que el ordenamiento jurídico español tenga su nueva ley en materia de protección de datos. El pasado día 9 de octubre se presentaba el Informe emitido por la Ponencia sobre el proyecto de ley de protección de datos en la Comisión de Justicia del Congreso de los Diputados. Hoy, 17 de octubre, se publica el Dictamen de la Comisión que eleva a la Presidencia de las Cortes el recién rebautizado Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Tras este dictamen de la Comisión de Justicia, el proyecto de ley está muy encarrilado para ser aprobado definitivamente, si todo va bien, en los próximos meses. Poniendo el énfasis en los cambios respecto al texto inicial del proyecto de ley presentado a finales del año pasado, cabe destacar la inclusión del Título X relativo a distintos derechos digitales, que más allá de la controversia suscitada, puede llegar a ser una garantía para la protección de los datos en Internet, la educación respecto a la seguridad de la información en colegios y universidades, y la garantía del cumplimiento del derecho al honor y a la intimidad personal y familiar, tal como se establece en el artículo 18.4 de la Constitución. [Read more…]

Aprobación de medidas urgentes en materia de protección de datos

Todos estábamos pendientes del Proyecto de Ley Orgánica de Protección de Datos (podéis ver el seguimiento de la iniciativa parlamentaria pinchando aquí), que este Real Decreto-ley que vamos a comentar nos ha pillado casi por sorpresa.

El pasado martes saltaba la noticia [1] [2] de que el gobierno modificaría con urgencia el régimen sancionador de la Ley de protección de datos. El pasado viernes día 27, el Consejo de Ministros aprobaba el Real Decreto Ley que finalmente ha sido hoy publicado en el Boletín Oficial del Estado (BOE). El Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos adapta aquellos preceptos en los que el Reglamento General de Protección de Datos (en adelante, RGPD) remitía su desarrollo a los Estados miembros, y que no requieren rango de ley orgánica. Este Real Decreto Ley entra en vigor el 31 de julio de 2018. La vigencia de esta norma queda supeditada a la aprobación de la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al RGPD, y completar sus disposiciones.

La norma recientemente aprobada regula los siguientes aspectos: [Read more…]

El RGPD no es cosa de un día

Por fin ha llegado el día 25 de mayo. El día D donde todos los datos personales pasan a estar protegidos. Donde ya no se van a producir incidentes de seguridad. Donde todos los tratamientos de datos personales pasan a ser legítimos. Donde los datos ya no van a ser conservados sine díe. Donde los usuarios tenemos todo el control de nuestros datos. Donde el derecho al olvido es una realidad. Donde todo el mundo ha sido informado de que todas las políticas de privacidad del planeta han sido actualizadas (sí, la nuestra también). El día más esperado ha llegado. Y una vez llegado a este grado de regocijo, ¿y ahora qué?

Pues siento deciros que el RGPD no es cosa de un día. Hoy, 25 de mayo de 2018, entra en aplicación el Reglamento General de Protección de Datos, conocido por RGPD o GDPR por sus siglas en inglés. Pero que entre hoy en aplicación (lleva en vigor desde 2016) no quiere decir que todo lo que no hayamos hecho no hace falta hacerlo, o que si ya hemos hecho una adecuación no tengamos que hacer nada más. ¿Por qué?
[Read more…]

Timbres inteligentes que nos “vigilan”

Queridos lectores, ¿os suena haber visto un timbre que permite ver quién te llama? Estaréis pensando que de dónde he salido, que acabo de descubrir los videoporteros (versión moderna de los telefonillos), ¿verdad? Pues no, no me estoy volviendo loco. Vengo a hablaros de un geek algo novedoso que todos desearíamos tener en nuestra casa, pero que no nos gustaría que tuviese nuestro vecino.

Hace algunas semanas leía un artículo donde se hablaba de un timbre conectado a Internet; y cuando digo timbre me refiero específicamente al que hay al lado de nuestra puerta, no al de la puerta del edificio (que es el videoportero clásico). Sí, otro dispositivo más que se engloba dentro del término IoT (Internet de las Cosas). Lo interesante de este gadget está en su cámara, que permite al usuario visualizar quién llama a su puerta desde el smartphone, y lo que es aún mejor, dispone de un detector de movimiento. Es decir, que más que un timbre, es una cámara de videovigilancia con un telefonillo unifamiliar incorporado.

[Read more…]

Transferencia de datos a Estados Unidos. ¿Y ahora qué?

Ayer, martes 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea declaró nula la Decisión 2000/520 de la Comisión Europea sobre “la adecuación conferida por los principios de puerto seguro para la protección de la vida privada”. El nivel adecuado de protección para la transferencia de datos desde la Unión Europea a Estados Unidos se alcanza si las empresas americanas cumplen con los principios de puerto seguro, respaldados por la Decisión de la CE mencionada anteriormente.

Un ciudadano austríaco denunció en 2013 ante la autoridad irlandesa competente en materia de protección de datos (Data Protection Comissioner) la transferencia de datos que hace la red social Facebook desde su filial en Irlanda a los servidores de la compañía situados en EEUU. Según este ciudadano, esa comunicación no garantizaba una protección suficiente de datos ya que toda información está sometida a la supervisión estatal. Esto se podía demostrar con las revelaciones que Edward Snowden iba filtrando. El Tribunal Superior de Irlanda (High Court), según se puede leer en las conclusiones del Abogado General, planteó esta denuncia al Tribunal de Justicia Europeo entendiendo que la resolución se debe a una normativa europea y por tanto es competencia de la Unión y no de un Estado miembro.

[Read more…]

Los wearable como testigo

Subir escaleras, caminar, correr, dormir,… son algunas de las actividades que hoy en día monitorizamos. O “nos monitorizan”. Gran parte de los smartphones registran, por defecto, una parte de la actividad física que realiza el usuario, donde se registra –además- el día y la hora en que se realiza y en algunos casos incluso la ubicación donde se ha realizado. Pero hoy en día hay otro tipo de dispositivos que también registran este tipo de actividad y son más cómodos “de llevar”. Estos son los wearable, que como sabemos son pequeños dispositivos que “llevamos puestos” como pueden ser relojes, pulseras, gafas inteligentes, sensores en zapatillas, etc.

Desde luego, en muchos casos la información que registran estos dispositivos es muy útil. Más ahora que existe el síndrome “runner” y tantísimas personas practican este deporte. Los más avanzados utilizan relojes GPS que registran la velocidad, el ritmo, el recorrido y otras variables. Otros utilizan los smartphones con aplicaciones que también registran la actividad del corredor y además la mayoría permiten publicar en tiempo real esta información, así como la situación en el mapa de nuestro “atleta”. Es de sobra sabido que quien publica esta información se expone a que cualquier persona esté viendo lo que está haciendo, dónde está e incluso si mantiene una rutina, se la está dando a conocer para que la utilice a discreción.

[Read more…]

Adaptando a la ISO 27001:2013 – Declaración de aplicabilidad

En octubre de 2013, hace poco más de un año y medio, se publicaba la nueva versión de la ISO/IEC 27001:2013.

Mucha era la expectación que se había creado en torno a esta nueva versión y los análisis empezaban a inundar las páginas web del sector y los grupos de LinkedIn. A los pocos días de la publicación en inglés de la norma, publicamos un exhaustivo análisis sobre los cambios que a priori se esbozaban del estándar.

La traducción al castellano, UNE-ISO/IEC 27001:2014, llegó más de un año más tarde, dejando poco margen a las organizaciones que habían estado esperando a la norma en castellano para su adaptación. Recordemos que el plazo que daban desde ISO (International Organization for Standardization) era de dos años desde su publicación en octubre de 2013. Esta situación habrá supuesto un reto para muchas organizaciones.

[Read more…]

ThreatExchange: Facebook busca aliados para compartir información sobre amenazas

La necesidad de colaboración para atajar las amenazas de seguridad de la información es una obviedad de la cual tanto organismos públicos como empresas privadas se están dando cuenta y están tomando cartas en el asunto. Esta semana ha saltado la noticia sobre una red colaborativa nacida de las manos de Facebook cuyo objetivo es el de compartir fácilmente información de amenazas informáticas entre organizaciones, y aprender de los descubrimientos de otros con el fin de hacer los sistemas más seguros. Así lo define Mark Hammel, Responsable de ThreatExchange. ... Leer Más

Recuperación ante un ataque contra Joomla

Quería compartir un ataque sufrido a un servidor dedicado que una organización con la cual colaboraba tenía contratado en una empresa de hosting bastante conocida. Cuando fuimos conscientes del ataque, el atacante ya había obtenido acceso al sistema y había editado los ficheros /etc/passwd, /etc/groups, /etc/shadow y /etc/gshadow modificando las claves de acceso por ssh y creando usuarios propios para acceder al equipo. Por tanto no disponíamos de acceso al servidor.... Leer Más

Securizando Joomla!

Hace unos meses hablábamos [1] [2] de uno de los gestores de contenido o CMS (Content Management System) más utilizado y de la necesidad de tomar medidas para securizarlo. Como ya comentamos en ese artículo, los gestores de contenidos al ser utilizados por multitud de personas están en el punto de mira de los atacantes, y éstos se aprovechan de las vulnerabilidades de la herramienta y lanzan ataques contra las páginas que utilizan estos CMS. Por tanto es fundamental tomar medidas de prevención para no ser víctima de uno de estos ataques. ... Leer Más