¿TU SITIO WEB ESTÁ ADAPTADO PARA MÓVIL?

…porque, si no es así, a partir del próximo martes 21 de abril tu sitio web será “penalizado” por Google, ya que el buscador efectuará desde ese día un cambio -que dicen, no será “drástico”- en el algoritmo de búsqueda (el conjunto de criterios que prima o desfavorece la posición de un sitio web en los listados) pero que tendrá “un impacto significativo en los resultados de las búsquedas”, ya que lo que se pretende es “obtener resultados de búsqueda más relevantes y de calidad que estén optimizados para sus dispositivos”.

En 2014, el 90% de los usuarios de móvil en EE UU usaron Google.

CAMPAÑA RENTA: “PESCANDO” EN LA RED

Para prevenir posibles ataques informáticos, queremos alertar e informar del aumento de casos de “phishing” durante la campaña de la declaración de renta.

¿Qué es el “phishing”?

El “phishing”, o suplantación de identidad, es el intento de adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, o información detallada sobre tarjetas de crédito, u otra información bancaria).

En estos caso, el estafador -conocido como “phisher”- se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso también mediante llamadas telefónicas.

¿Cómo afecta en la campaña de la declaración de la renta?

Durante este período, los “phishers” envían un falso correo electrónico del Ministerio de Hacienda, con el asunto  Mensajes de devolución de impuestos, en el que envían un enlace que dirige a una página web que contiene un formulario en donde se solicitan los datos de la persona, con la excusa de devolver cierta cantidad de dinero.

En el citado enlace solicitan el nombre, NIF, número de tarjeta, fecha de caducidad, el código PIN y la fecha de nacimiento de la persona, cuando ninguna entidad bancaria, ni organismo oficial, solicita datos de este tipo a través de correo electrónico o formulario.

Realmente ¿qué aspecto tiene este tipo de estafa?

Mostramos aquí un ejemplo de lo que ocurrió el año pasado, y de cómo solicitan la información:RENTA

Recomendación:

Si recibe este tipo de correos, elimínelos de la bandeja de entrada y, posteriormente, de la bandeja de correo suprimido.

COINCIDIENDO QUE HOY ES DÍA 15… ¿SUPERARÍAS, CON ÉXITO, ESTE BREVE CUESTIONARIO “12+3” DE PROTECCIÓN DE DATOS?

Sencillo y rápido…. ¡ adelante !

1-¿TIENES INSCRITOS TUS FICHEROS EN LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS?

  • SI / NO           

2-¿CONSERVAS LAS CARTAS QUE TE REMITIÓ LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS DE ESTAS INSCRIPCIONES?

  • SI / NO                 

3-¿TIENES ENTREGADA A TUS EMPLEADOS, Y FIRMADA POR ELLOS, LA FICHA DE LEGITIMACIÓN DE SUS DATOS Y EL DOCUMENTO DE FUNCIONES Y OBLIGACIONES A NIVEL DE PROTECCIÓN DE DATOS?

  • SI / NO

El incumplimiento de la obligación de proceder a la recogida de datos de carácter personal de los propios afectados proporcionándoles la información que señala el artículo 5 de la LOPD supondría una infracción leve conforme al artículo 44 de la LOPD, sancionable conforme al artículo 45 LOPD con multa de 900 a 40.000 euros.

4-¿TIENES SUSCRITO CONTRATO DE ENCARGADO DE TRATAMIENTO CON TU INFORMÁTICO EXTERNO?

  • SI / NO     

5-¿Y CON TU EMPRESA DE HOSTING, Y/O SERVICIO DE “CLOUD”?

  • SI / NO      

La ausencia de los mencionados contratos supone una infracción leve de acuerdo con el artículo 44 de la LOPD, ya que nos encontramos ante una transmisión de datos a un encargado del tratamiento sin dar cumplimiento al deber formal del artículo 12 de la LOPD, sancionable de acuerdo con el artículo 45 de la LOPD con multa de 900 a 40.000 euros. Asimismo, si el encargado del tratamiento no tiene efectivamente implementada la normativa de protección de datos, puede incurrir en una infracción grave por cesión de datos sin contar con legitimación para ello, sancionable con multa de 40.001 a 300.000 euros.

6-¿ADECUASTE, A PARTIR DE  2008,  TU DOCUMENTO DE SEGURIDAD AL REAL DECRETO 1720/2007?

  • SI / NO

7-¿SABES QUIÉN ES EL “RESPONSABLE DE SEGURIDAD“ EN MATERIA DE PROTECCIÓN DE DATOS EN LA EMPRESA?.

  • SI / NO

El incumplimiento de las obligaciones relativas al mantenimiento y actualización del Documento de Seguridad supone una infracción grave conforme al artículo 44 de la LOPD al mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen, sancionable conforme al mismo artículo 45 LOPD con multa de 40.001 a 300.000 euros.

8-¿CEDES DATOS (DE TUS CLIENTES, EMPLEADOS, PROVEEDORES…) A OTRAS EMPRESAS?

  • SI / NO

9-¿TIENES SUSCRITO CONTRATO DE PROTECCIÓN DE DATOS CON ELLAS?

  • SI / NO

El incumplimiento de esta obligación supondría una infracción grave conforme al artículo 44 de la LOPD. La carencia del mencionado contrato supone que nos hallamos ante una comunicación o cesión de datos de carácter personal, fuera de los casos en que están permitidos, sancionable conforme al artículo 45 LOPD con multa de 40.001 a 300.000 euros.

10-¿TIENES CÁMARAS DE VIDEO-VIGILANCIA?

  • SI / NO

11-¿TIENES COLOCADO EL CARTEL INFORMATIVO, E INSCRITO EL FICHERO EN LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS? (EN EL CASO DE CONSERVAR LAS IMÁGENES)

  • SI / NO      y       SI / NO      

12- ¿ENVÍAS COMUNICACIONES COMERCIALES A CLIENTES POTENCIALES POR CORREO ELECTRÓNICO?

  • SI / NO

13-¿TIENES SU CONSENTIMIENTO PREVIO PARA HACERLO?

  • SI / NO

14-¿REALIZAS ACCIONES COMERCIALES FUERA DE LA UNIÓN EUROPEA?

  • SI / NO

15- ¿SABES SI ESTÁS OBLIGADO A PASAR AUDITORÍAS BIENALES DE PROTECCIÓN DE DATOS?

  • SI / NO

Si, sobre todo hasta la pregunta 6, tienes más de 3 respuestas NO: tu empresa necesita asesoramiento

“ENCARGADO DEL TRATAMIENTO”: ¿QUÉ ES Y QUIÉN LO ES?

Para la normativa de protección de datos, un encargado del tratamiento  es:

”Aquella persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio”.

Este tipo de servicio debe estar regulado por escrito (contrato) o en alguna forma que permita acreditar su celebración y contenido, especificando las instrucciones del responsable del fichero de acuerdo con lo establecido en el artículo 12 de la LOPD para este tratamiento de datos por cuenta de terceros que, de forma no limitativa, contemplará:

  • Tratamiento de los datos
  • Finalidad de este tratamiento
  • Comunicación de datos
  • Medidas de seguridad a aplicar
  • Obligaciones a la finalización del servicio a prestar
  • Consecuencias del incumplimiento

Algunos ejemplos de “encargados del tratamiento” habituales:

  • Asesoría Laboral
  • Asesoría Fiscal
  • Auditor
  • Empresa de marketing
  • Empresa de Prevención de Riesgos
  • Empresa de Servicios Informáticos
  • Empresa de hosting
  • Empresa de servicios de almacenamiento “en la nube”(cloud)
  • Despacho abogados/asesores legales
  • Proveedores de servicios (con acceso a datos): imprenta, agencia de viajes…
  • Empresas de mensajería
  • Transportistas

No confundir la figura del Responsable del fichero o responsable del tratamiento, con la del Encargado del tratamiento.

Hay que tener en cuenta, además, que estas empresas de servicios son a la vez:

  • Responsables del fichero o responsables del tratamiento de sus propios ficheros.
  • Encargados del tratamiento de los ficheros de sus clientes, con los que deberá tener suscrito el pertinente contrato.

MAXIMILLIAN SCHREMS y su demanda contra FACEBOOK

¿Recordáis la conocida como “ley Bosman”?. Fue un “David contra Goliat”, versión años 90.

Bosman era un modesto jugador de la Primera División de la Liga belga de fútbol, cuya demanda originó la sentencia del Tribunal de Justicia de la Unión Europea, el ya lejano 15 de diciembre de 1995, que declaraba ilegales las indemnizaciones por traspaso y los cupos de extranjeros de jugadores nacionales de estados miembros de la Unión Europea (UE).

Pues bien… ¿veremos pronto una futura “Ley Schrems”?.

Éste es el nombre de este joven abogado austriaco que ayer, 9-4-2014, interpuso -y fue aceptada por el Tribunal de Viena- una demanda colectiva contra Facebook en la que acusa al gigante estadounidense de vulnerar el derecho europeo de protección de datos y de no proteger la privacidad de los usuarios ante la Agencia Nacional de Seguridad de Estados Unidos (NSA).

A través de su plataforma Facebook claim, él y otros 25.000 usuarios (limitó él mismo el número) reclaman el cese de la vigilancia masiva que ejerce.

Schrems también creó el proyecto Europe vs. Facebook a favor de la revisión del acuerdo Safe Harbor, el pacto de intercambio de datos que firmaron Estados Unidos y la Unión Europea en el año 2000.

DOCUMENTO DE SEGURIDAD (LOPD)

¿…te suena el término?.

Quizá, ahora que lo lees, recuerdas que en su momento, cuando adecuaste tu empresa a la normativa de protección de datos, lo confeccionasteis, o te lo entregó y comentó tu empresa asesora externa. Pero… ¿dónde está ahora?.

Si tu respuesta es:

-“…por ahí debe estar”, o

-“…no recuerdo dónde, ni quién lo tiene”

…lo que tienes es un problema, porque quiere decir que poca atención le has prestado desde ese lejano día.

La utilidad y la finalidad del Documento de Seguridad sólo se consigue cuando éste está actualizado y revisado ya que, en su confección, se prevé como finalidad el que el responsable de los ficheros (la empresa) cumpla con la obligación de adoptar las medidas técnicas y organizativas que garanticen la seguridad de los datos de carácter personal incluidos en los ficheros protegidos. En el caso de una inspección por parte de la Agencia Española de Protección de Datos, el Documento de Seguridad será requerido y analizado.

El incumplimiento de las obligaciones del mantenimiento y actualización del Documento de Seguridad supone una infracción grave de acuerdo al artículo 44.3 de la LOPD, sancionable según el artículo 45 de la LOPD con multa de 40.001 a 300.001 euros.

LA PRIVATIZACIÓN DE LOS REGISTROS CIVILES (15 de Julio)

El 15 de Julio entrará en vigor la privatización de los Registros Civiles, servicios que serán prestados a partir de esa fecha por los Registradores de la Propiedad y Mercantiles. Las nuevas oficinas se denominarán Oficinas del Registro Civil y Mercantil. Hasta ahora, los Registros Civiles son los encargados de llevar a cabo certificaciones obligatorias para todos, como la partida de nacimiento o defunción, la del DNI, la de matrimonio, fe de vida, etc.

En ciertos sectores se ve esta privatización como un desmantelamiento de lo público y se teme una posible falta de garantías de la privacidad de los datos personales, al ser ahora funcionarios (sujetos al secreto profesional) los únicos que tenían acceso a ellos; y, pasando al sector privado, se teme también por la gratuidad actual de estos servicios, aunque a partir de la entrada en vigor en su totalidad de la Ley 20/2011, de 21 de julio, la prestación del servicio público que constituye el Registro Civil continuará siendo gratuita, sin excepción de ningún tipo.

SIGUE VIVA LA TEORÍA DEL “90-9-1”, de Jakob Nielsen (2006)

El comportamiento de los internautas parece ser que sigue siendo de:

  • Un 90%permanece al acecho”.
  • Tan solo unos pocos, un 9%,comparten contenidos del sitio que visitan, o generan algún tipo de actividad-interacción.
  • Y, todavía menos, un 1%, genera contenidos o participa con convicción.

Según revela un reciente estudio de la empresa Chartbeat, el 55% de los internautas emplean menos de 15 segundos cuando consultan un sitio web.

Luego, si tienes escasamente 15 segundos para COMUNICAR… ¿no crees que es realmente importante que tu mensaje “enganche” rápido al visitante de tu sitio web, que le anime a seguir en él?. Porque ¿cuánto puedes tu llegar a “leer” en 15 segundos? (contando que posiblemente -además- tienes que “navegar”, saltando pantallas, consumiendo parte de estos 15 segundos).

Piensa bien qué comunicas y, sobre todo, cómo lo comunicas. Ganarás segundos…

Pero no olvides las regulaciones legales que todo sitio web debe incluir:

  • Aviso legal
  • Política de Privacidad
  • Política de “cookies”
  • Condiciones de Uso
  • Condiciones de compra (si el sitio web alberga comercio electrónico).

CAUTELAS EN EL USO DE “WHATSAPP”, “GOOGLE DRIVE”, “DROPBOX”, Y OTROS, EN LAS EMPRESAS

IRENE3   Artículo de Irene LÓPEZ, Socia-Directora

Estamos en tiempos de ciberataques y las empresas invierten recursos en la protección de sus sistemas de información. Pero el día a día nos demuestra que los usuarios de estos sistemas tienen a su alcance una serie de herramientas cuyo uso puede resultar una amenaza para la seguridad y confidencialidad de los datos de la empresa.

Deben detectarse vulnerabilidades evidentes, como lo son el uso de aplicaciones de mensajería instantánea o de servicios en la nube (“cloud”) que se han popularizado entre los usuarios a nivel particular y cuya utilización se extiende en las empresas comprometiendo la seguridad de éstas.

Pongamos como ejemplo el uso de WhatsApp por parte de los empleados de una empresa como vía de comunicación con clientes, otros empleados, colaboradores… transmitiendo, a través de este canal, información privada o datos importantes del negocio. WhatsApp tiene serias deficiencias frente a la privacidad y la seguridad; pero, sin embargo, se llega a ofrecer a los clientes como alternativa para el envío de información.

Pensemos también en el uso de servicios de almacenamiento de datos en la nube como Google Drive y Dropbox. Desde el punto de vista de protección de datos personales, cualquier empresa sujeta al cumplimento de esta normativa es responsable del tratamiento de los datos de sus clientes, clientes potenciales… Por lo tanto, al almacenar estos datos en servicios como Google Drive y Dropbox, la empresa debe suscribir con los proveedores el correspondiente contrato de encargado del tratamiento conforme al artículo 12 de la LOPD, hecho que -normalmente- no se lleva a cabo. Además, en las condiciones del servicio que estos proveedores facilitan, prevén la modificación de éstas de modo unilateral por su parte y en cualquier momento, y no concretan el uso que se da a los datos, ni el destino de la información una vez finalice el servicio. Estos servicios, a priori, presentan ciertas garantías de cumplimiento de la normativa de protección de datos, como su adhesión al acuerdo US-EU-Safe Harbor y certificaciones sobre medidas de seguridad (ISO 27001); pero la deslocalización de los datos (ya que en sus políticas se prevé la posibilidad de almacenar información en cualquier parte del mundo) supone una pérdida de control de la información por parte de la empresa. La ausencia de auditorías de protección de datos personales, que establezcan la conformidad de las medidas de seguridad que establece el Reglamento de la LOPD, hace que estos servicios presenten carencias que pueden afectar a la seguridad y confidencialidad de la información almacenada.

Por lo tanto, hay que reflexionar a la hora de compartir documentos relevantes, datos de carácter personal o información que pueda comprometer el negocio en este tipo de aplicaciones o servicios, y determinar qué otras herramientas se encuentran en el mercado para cubrir las necesidades de la empresa y que presentan menos riesgos para nuestro negocio, tras el estudio de las opciones de privacidad y seguridad que nos ofrecen.

Es indudable la necesidad de formar al usuario, que también debe aprender a protegerse y ser consciente de que la seguridad en el negocio depende también de él mismo, además de establecer -por la empresa- normas internas de uso de los recursos informáticos y llevar a cabo un control sobre su cumplimiento.

@IreneLL6

AUNQUE NO TENGAS CUENTA EN FACEBOOK….

Facebook “te rastrea”, según se indica en un reciente informe elaborado por la Agencia de Privacidad belga, instalando una cookie cuando consultas sitios web con el dominio “facebook.com“, aunque estos sitios web sean abiertos al público -páginas de negocios, deportistas, famosos- y no necesiten de una cuenta de Facebook para poder ser visitados. En este caso, Facebook instala un archivo -llamado datr.- que informa a la red social de todos los sitios web visitados que tienen el botón de “Me gusta” incorporado, aún cuando el visitante no le haya dado al botón.

Según el informe, Facebook estaría “violando” la Directiva de protección de datos de la Unión Europea, ya que “no cumplen con los requisitos” de la normativa europea, y más concretamente los del artículo 5 (3) de la Directiva de la UE sobre privacidad y comunicaciones electrónicas, ya que en él se explicita que se requiere el consentimiento previo, libre e informado del individuo antes de llevar a cabo el rastreo de su dispositivo.

A preguntas de “The Guardian”, la red social se ha defendido de la acusación asegurando que la información revelada por el estudio es “incorrecta”:

-“Virtualmente todas las páginas web, incluida Facebook, usan legalmente cookies para ofrecer servicios…

-“Si la gente quiere dejar de recibir publicidad basada en las páginas que visitan, pueden hacerlo a través del (acuerdo) EDAA”, pactado entre más de 100 compañías y la Unión Europea”…

-“Decepcionados con la opinión de la Agencia de Protección de Datos belga (…) que se ha negado a reunirse con nosotros o a clarificar la información incorrecta sobre éste y otros asuntos”…

Dos de los seis autores del estudio han afirmado al periódico británico que

-“hasta la fecha no hemos sido contactados directamente por Facebook, ni hemos recibido ninguna solicitud de encuentro. No nos sorprende que Facebook tenga una opinión distinta sobre lo que requieren las leyes europeas de protección de datos. Pero si Facebook cree que el informe contiene errores, estaremos encantados de recibir cualquier observación específica que quiera hacer”.