Seminario “Protección de datos e Internet"

1Agencia Española de Protección de Datos

MASTER EOI

Madrid 21 de octubre de 2010

José López CalvoSubdirector General de Inspección de Datos

Agencia Española de Protección de Datos


1 Los problemas del control en Internet:• jurisdicción territorial: spam• las técnicas de enmascaramiento de IPs• las dificultades derivadas de wifi y cibercafés

2 Riesgos• (ver https://www.agpd.es/portalweb/canaldocumentacion

/recomendaciones/common/pdfs/Recomendaciones-Internet-mayo-2006.pdf) :– ventanas emergentes, pop-ups o anuncios puede

instalar software malicioso– descargas de archivos pueden instalar software

malicioso (robo contraseñas, ralentización…)


El principio de cautela:·antivirus·opción de privacidad más restrictiva·actualización versiones·comprobar la identidad del responsable de la pagina a la que se transfieren datos·cambiar contraseñas·borrar cookies (posibilidad de limitar por el ordenador).·controlar si se ha instalado software malicioso (cambio página inicial, páginas no accesibles, ventanas emergentes de forma incontrolada…).


Correo-comercio electrónico. Método habitual de introducción de riesgos ·protocolos de seguridad ·Harvesting (programas diseñados para recopilar datos)y

hoax (cadenas de mensajes sin borrar direcciones de destinatarios que se arrastran y que recopila el autor) . No utilizar “guardar contraseña”

·spam·cco·no reenviar cadenas de mensajes·gusanos: capaces de realizar una función a través de

cadena de computadores·troyanos: entran bajo el disfraz de software útil·phising: recopilar señas de identidad (el banco nunca va

a solicitar nº de cuenta y claves)·chats: no enviar datos


3 Redes P2P

71 procedimientos de infracción:

datos salud (11000 clínica de abortos), datos

sindicales, datos bancarios ,seguridad social,

partidos políticos…


4 Youtube: Montera, agresión a discapacitado. El afectado puede solicitar la cancelación a través de la página habilitada por Google (Cuenta y Política y Reclamaciones de Privacidad). Todo ello sin perjuicio de los derechos que otorga la Ley Orgánica 1/1982 o de la eventual incoación de un expediente sancionador: Tratamiento sin consentimiento (precedente Lindquist SAN 20/4/2009).


– Presupuestos:Presupuestos:

a) La imagen como un dato personal.

b) La captación de imágenes de las personas, siempre que permitan la identificación de las mismas, está sometida a la LOPD y requiere el consentimiento de las personas.

c) La responsabilidad será del titular de la línea telefónica que tiene asignada la dirección IP desde la que se subieron las imágenes.


La responsabilidad del titular de la página web:

- Boombang: página destinada a menores con uso de datos sin control de edad.

- Votamicuerpo: sitio web de contactos con usuarios menores de edad.


5. Imágenes en tiempo real en Internet: gimnasio, tienda, vía pública, hotel…

La relevancia de la imagen del menor en:

- fotografía

- televisión

- internet


6. En el caso de datos que aparecen en foros, blogs o vídeos deben extremarse las precauciones para cumplir el principio de tratamiento de datos con consentimiento del afectado. El afectado podrá ejercer el derecho de cancelación que obliga a una reacción en 10 días.


7. En el caso de páginas web corporativas

Publicación de datos personales previamente facilitados por el propio usuario a una organización, que sin el consentimiento de éste se difunden a través de la página web corporativa supone vulneración del deber de secreto.

8. Accesibilidad a datos de terceros por error en las claves

Se hacen accesibles a través de Internet datos de usuarios de determinados servicios prestados a través de Internet (p. ej.: haciéndolos accesibles sin claves o a pesar de las claves) puede suponer una vulneración de la necesaria implantación de medidas de seguridad en la custodia de los datos (art. 9 LOPD).


9. SPAM

Recepción de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes (SMS).Debe tenerse en cuenta la prohibición contenida en el artículo 21 de la LSSI (que traspone en nuestro país la Directiva e-Commerce): de enviar comunicaciones comerciales que no hubieran sido previamente solicitadas o autorizadas salvo que exista una relación contractual previa, el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.


10. Directorios Telefónicos Electrónicos

Se facilita la localización de personas a partir de los directorios de abonados a servicios de comunicaciones electrónicas.Las guías telefónicas son, según la LOPD, “fuentes accesibles al público”, por lo que los datos obtenidos de esta fuente no requieren el consentimiento previo de los abonados, sometiéndose, no obstante, a las obligaciones actualmente vigentes que emanan de la legislación específica española que traspone la Directiva 2002/22/CE (artículos 30 y 64 del Real Decreto 424/2005). En particular:- “opt-in” o consentimiento expreso (para nuevos abonados)- La guía pierde el carácter de fuente accesible al público cuando se publica la siguiente actualización.El prestador del servicio debe publicar datos actualizados datos no actualizados.


11. Confidencialidad del correo electrónico

La duda se plantea respecto al restablecimiento de contraseña a partir de pregunta de seguridad y de las medidas proporcionales para su garantía sin que se introduzcan elementos que paralicen el sistema: .El prestador del servicio ofrece dos opciones que permiten restablecer la contraseña de acceso, en el caso de que ésta sea olvidada. La primera de ellas consiste en recibir en un buzón alternativo de correo electrónico, que el usuario debe consignar en el momento del alta, un mensaje personalizado a través del cual el usuario podrá confirmar una nueva contraseña de acceso que sustituya a la que ha olvidado. La segunda opción consiste en contestar a una pregunta de seguridad, seleccionada también durante el alta, utilizando para ello la misma respuesta literal que se había registrado entonces.Estas opciones de restablecimiento de contraseña, unidas a una imprescindible concienciación conducen a otorgar un adecuado nivel de seguridad al acceso por parte de los usuarios, cumplimentando los requerimientos de la normativa vigente en este país.


12. Buscadores: Más de 70 solicitudes de “amparo” a la Agencia: notificación sentencia de divorcio, indulto, sanciones disciplinarias

Concurren dos elementos: el buscador y el responsable de la página que publicó el contenido.

Junto a ello el buscador dispone de una memoria caché que puede guardar información suprimida.


- Tutelas de derechos sobre “Derecho al olvido”:

a) Boletines:

- Fiscal; publicación en 1998 sentencia de TSJ por infracción administrativa sancionada en 1993 (TD155/2008).

- Real Decreto de 1999 de indulto de un delito contra la salud pública. (TD 989/2009).


b) Prensa digital:

- Noticia de 1989 en prensa digital; imputándole delito de parricidio. (TD 1887/2009).

- Noticia de1975 en prensa digital; detención de activistas del FRAP (TD 30/2010).

- Noticias de 1974 y 1975 en prensa digital; detenciones por consumo y tráfico de drogas. (TD 487/2010).


c) Blogs

- Se le arrestó en 2008 por delitos de tenencia de pornografía infantil, pedofilia, abuso de menores; delito archivados. (TD 92/2010).

Seminario “Protección de datos e Internet"

Documents

Transcript of Seminario “Protección de datos e Internet"