RESUMEN NOTICIAS ABRIL 2015

CAUTELAS EN EL USO DE “WHATS APP”, “GOOGLE DRIVE”, “DROPBOX”, Y OTROS, EN LAS EMPRESAS

  Artículo de IRENE LÓPEZ – Socia Directora

Estamos en tiempos de ciberataques y las empresas invierten recursos en la protección de sus sistemas de información. Pero el día a día nos demuestra que los usuarios de estos sistemas tienen a su alcance una serie de herramientas cuyo uso puede resultar una amenaza para la seguridad y confidencialidad de los datos de la empresa.

Deben detectarse vulnerabilidades evidentes, como lo son el uso de aplicaciones de mensajería instantánea o de servicios en la nube (“cloud”) que se han popularizado entre los usuarios a nivel particular y cuya utilización se extiende en las empresas comprometiendo la seguridad de éstas.

Pongamos como ejemplo el uso de WhatsApp por parte de los empleados de una empresa como vía de comunicación con clientes, otros empleados, colaboradores… transmitiendo, a través de este canal, información privada o datos importantes del negocio. WhatsApp tiene serias deficiencias frente a la privacidad y la seguridad; pero, sin embargo, se llega a ofrecer a los clientes como alternativa para el envío de información.

Pensemos también en el uso de servicios de almacenamiento de datos en la nube como Google Drive y Dropbox. Desde el punto de vista de protección de datos personales, cualquier empresa sujeta al cumplimento de esta normativa es responsable del tratamiento de los datos de sus clientes, clientes potenciales… Por lo tanto, al almacenar estos datos en servicios como Google Drive y Dropbox, la empresa debe suscribir con los proveedores el correspondiente contrato de encargado del tratamiento conforme al artículo 12 de la LOPD, hecho que -normalmente- no se lleva a cabo. Además, en las condiciones del servicio que estos proveedores facilitan, prevén la modificación de éstas de modo unilateral por su parte y en cualquier momento, y no concretan el uso que se da a los datos, ni el destino de la información una vez finalice el servicio. Estos servicios, a priori, presentan ciertas garantías de cumplimiento de la normativa de protección de datos, como su adhesión al acuerdo US-EU-Safe Harbor y certificaciones sobre medidas de seguridad (ISO 27001); pero la deslocalización de los datos (ya que en sus políticas se prevé la posibilidad de almacenar información en cualquier parte del mundo) supone una pérdida de control de la información por parte de la empresa. La ausencia de auditorías de protección de datos personales, que establezcan la conformidad de las medidas de seguridad que establece el Reglamento de la LOPD, hace que estos servicios presenten carencias que pueden afectar a la seguridad y confidencialidad de la información almacenada.

Por lo tanto, hay que reflexionar a la hora de compartir documentos relevantes, datos de carácter personal o información que pueda comprometer el negocio en este tipo de aplicaciones o servicios, y determinar qué otras herramientas se encuentran en el mercado para cubrir las necesidades de la empresa y que presentan menos riesgos para nuestro negocio, tras el estudio de las opciones de privacidad y seguridad que nos ofrecen.

Es indudable la necesidad de formar al usuario, que también debe aprender a protegerse y ser consciente de que la seguridad en el negocio depende también de él mismo, además de establecer -por la empresa- normas internas de uso de los recursos informáticos y llevar a cabo un control sobre su cumplimiento.

PROTECCIÓN DE DATOS

LA AEPD RESUELVE COMO INFRACCIÓN LEVE LA NO COLOCACIÓN DE CARTELES INFORMATIVOS DE VÍDEO-VIGILANCIA EN PRISIONESconcluyendo así el expediente abierto contra Instituciones Penitenciarias por las supuestas anomalías detectadas en el sistema de vídeo-vigilancia de las 70 cárceles españolas. Según la resolución, se considera que el Ministerio del Interior ha vulnerado el artículo 5.1 de la LOPD, que obliga a colocar en las zonas vídeo-vigiladas distintivos informativos ubicados en lugar suficientemente visible, y a tener a disposición de las personas que pudieran resultar grabadas impresos con la información relacionada con sus derechos en este sentido. El fallo da a Instituciones Penitenciarias un mes de plazo para subsanar la deficiencia.

MAXIMILLIAN SCHREMS y su demanda contra FACEBOOK ¿Recordáis la conocida como “ley Bosman”?. Fue un “David contra Goliat”, versión años 90. Bosman era un modesto jugador de la Primera División de la Liga belga de fútbol, cuya demanda originó la sentencia del Tribunal de Justicia de la Unión Europea, el ya lejano 15 de diciembre de 1995, que declaraba ilegales las indemnizaciones por traspaso y los cupos de extranjeros de jugadores nacionales de estados miembros de la Unión Europea (UE).

Pues bien… ¿veremos pronto una futura “Ley Schrems”?.

Éste es el nombre de este joven abogado austriaco que ayer, 9-4-2014, interpuso -y fue aceptada por el Tribunal de Viena- una demanda colectiva contra Facebook en la que acusa al gigante estadounidense de vulnerar el derecho europeo de protección de datos y de no proteger la privacidad de los usuarios ante la Agencia Nacional de Seguridad de Estados Unidos (NSA).

A través de su plataforma Facebook claim, él y otros 25.000 usuarios (limitó él mismo el número) reclaman el cese de la vigilancia masiva que ejerce.

Schrems también creó el proyecto Europe vs. Facebook a favor de la revisión del acuerdo Safe Harbor, el pacto de intercambio de datos que firmaron Estados Unidos y la Unión Europea en el año 2000.

AUNQUE NO TENGAS CUENTA EN FACEBOOK, FACEBOOK “TE RASTREA”, según se indica en un reciente informe elaborado por la Agencia de Privacidad belga, instalando una cookie cuando consultas sitios web con el dominio “facebook.com“, aunque estos sitios web sean abiertos al público -páginas de negocios, deportistas, famosos- y no necesiten de una cuenta de Facebook para poder ser visitados. En este caso, Facebook instala un archivo -llamado datr.- que informa a la red social de todos los sitios web visitados que tienen el botón de “Me gusta” incorporado, aún cuando el visitante no le haya dado al botón.

Según el informe, Facebook estaría “violando” la Directiva de protección de datos de la Unión Europea, ya que “no cumplen con los requisitos” de la normativa europea, y más concretamente los del artículo 5 (3) de la Directiva de la UE sobre privacidad y comunicaciones electrónicas, ya que en él se explicita que se requiere el consentimiento previo, libre e informado del individuo antes de llevar a cabo el rastreo de su dispositivo.

A preguntas de “The Guardian”, la red social se ha defendido de la acusación asegurando que la información revelada por el estudio es “incorrecta”:

-“Virtualmente todas las páginas web, incluida Facebook, usan legalmente cookies para ofrecer servicios…

-“Si la gente quiere dejar de recibir publicidad basada en las páginas que visitan, pueden hacerlo a través del (acuerdo) EDAA”, pactado entre más de 100 compañías y la Unión Europea”…

-“Decepcionados con la opinión de la Agencia de Protección de Datos belga (…) que se ha negado a reunirse con nosotros o a clarificar la información incorrecta sobre éste y otros asuntos”…

Dos de los seis autores del estudio han afirmado al periódico británico que:

-“hasta la fecha no hemos sido contactados directamente por Facebook, ni hemos recibido ninguna solicitud de encuentro. No nos sorprende que Facebook tenga una opinión distinta sobre lo que requieren las leyes europeas de protección de datos. Pero si Facebook cree que el informe contiene errores, estaremos encantados de recibir cualquier observación específica que quiera hacer”.

AMAZON OFRECERÁ UN NIVEL DE SEGURIDAD EUROPEO DE PROTECCIÓN DE DATOS. Amazon Web Services (AWS) y el Grupo de Trabajo del Artículo 29, han aprobado el Acuerdo de Procesamiento de Datos (APD) de AWS, lo que asegura a sus clientes el cumplimiento de los niveles de seguridad de la normativa europea en protección de datos. La aprobación del APD de AWS, que enuncia las cláusulas contractuales estándar (frecuentemente denominadas “cláusulas modelo”), significa que los clientes de AWS que deseen transferir datos personales desde el Espacio Económico Europeo (EEE) a otros países pueden estar totalmente seguros de que su contenido en AWS tendrá el mismo alto nivel de protección que reciben en el EEE.

DERECHO AL OLVIDO: CASI UN AÑO DESPUÉS. La Audiencia Nacional ha dictado en un año 72 sentencias sobre el derecho al olvido, en 54 de las cuales (un 75%) ha ordenado retirar los enlaces de los resultados de búsqueda. La aplicación de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) “no implica en ningún caso eliminar la información original, que continúa intacta en la web que lo publicó y que sigue siendo accesible a través del buscador realizando la búsqueda por cualquier otro término que no sea el nombre del afectado”. De acuerdo con datos proporcionados por Google en Enero, habían recibido un total de 18.567 solicitudes en España para borrar enlaces siguiendo las directrices marcadas por el TJUE sobre el derecho al olvido. Las solicitudes de petición de este derecho comenzaron a final de mayo de 2014.

DELITOS INFORMÁTICOS

POSIBLE “PHISHING” DURANTE LA CAMPAÑA DE RENTA. Para prevenir posibles ataques informáticos, queremos alertar e informar del aumento de casos de “phishing” durante la campaña de la declaración de renta. ¿y qué esel “phishing”?

El “phishing”, o suplantación de identidad, es el intento de adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, o información detallada sobre tarjetas de crédito, u otra información bancaria).

En estos caso, el estafador -conocido como “phisher”- se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso también mediante llamadas telefónicas.

¿Cómo afecta en la campaña de la declaración de la renta?

Durante este período, los “phishers” envían un falso correo electrónico del Ministerio de Hacienda, con el asunto  Mensajes de devolución de impuestos, en el que envían un enlace que dirige a una página web que contiene un formulario en donde se solicitan los datos de la persona, con la excusa de devolver cierta cantidad de dinero.

En el citado enlace solicitan el nombre, NIF, número de tarjeta, fecha de caducidad, el código PIN y la fecha de nacimiento de la persona, cuando ninguna entidad bancaria, ni organismo oficial, solicita datos de este tipo a través de correo electrónico o formulario.

Recomendación: Si recibe este tipo de correos, elimínelos de la bandeja de entrada y, posteriormente, de la bandeja de correo suprimido.

DETENIDA UNA PERSONA POR BORRAR BASES DE DATOS DE UN HOTEL. Agentes de la Policía Nacional han detenido a una persona como presunta autora de un delito de daños informáticos tras haberse introducido en el servidor de un hotel, cuya base de datos contable fue eliminada, afectando con ello a las nóminas de todos los empleados.

Gracias al análisis forense que fue practicado “in situ” por los investigadores se pudo identificar, y detener, al presunto autor de los hechos, que resultó ser un ex-trabajador del establecimiento (recientemente despedido) y que en dependencias policiales reconoció haber accedido remotamente al servidor del hotel desde su domicilio particular.

PREVENCIÓN BLANQUEO CAPITALES

 IDENTIFICACIÓN FORMAL DE CLIENTES. Desde 1993 las entidades financieras tenían la obligación de obtener y conservar la copia del DNI de sus clientes. En la Ley de 10/2010 se estableció de forma expresa que esa conservación tenía que realizarse en soporte electrónico para evitar que se perdiera. En 2010 se dio a las entidades un plazo de 5 años (que expira este próximo 30 de abril) para que tuvieran esa documentación digitalizada.

Por lo que parece, a algunas entidades “les ha pillado el toro” con los plazos y ahora andan, muy a última hora, remitiendo a sus clientes cartas o comunicaciones para que pasen por sus oficinas a mostrar su DNI para poder digitalizarlo (es obligación de la entidad la identificación, no del cliente). Aunque también te ofrecen la posibilidad de que se lo remitas digitalizado a una cuenta de correo que te facilitan en la comunicación. En juego está el tener que bloquear automáticamente la cuenta no identificada a partir del 1 de mayo (que se desbloqueará, de igual modo, previa identificación formal).

Atentos al posible “phishing” de los listos de turno, aprovechando el momento:

Tu entidad financiera NO pedirá que confirmes tu número de cuenta ni la contraseña de acceso: te indicará -si ese es tu caso- que te persones en la oficina para mostrar tu DNI para su digitalización (o que se lo remitas digitalizado a su cuenta de correo).

INVESTIGACIONES DEL SEPBLAC EN 2014. España investigó 4.637 casos de blanqueo de capitales en 2014, un 15 % más que en 2013, siendo la mayoría de los asuntos abiertos por el SEPBLAC originados por las comunicaciones de operativa sospechosa (4.508). Al margen de las entidades financieras, la principal aportación al sistema de prevención proviene de las comunicaciones de notarios (288) y de los registradores (147).

Por otro lado, en los procedimientos iniciados por el incumplimiento de obligaciones de declaración de movimiento de dinero en efectivo, se intervinieron fondos no declarados por un valor de 38 millones y se tramitaron 659 expedientes, que dieron origen a sanciones por importe superior a 28 millones.

COMPLIANCE

 REFORMA CÓDIGO PENAL Y COMPLIANCE. A modo de primer avance, éstas son algunas de sus concreciones:

1- La responsabilidad penal queda limitada a las personas jurídicas, sólo a los supuestos en los que el incumplimiento del deber de vigilancia haya tenido carácter ”grave” (en el caso de delitos cometidos por sus dependientes cuando existe una infracción del deber de supervisión sobre los mismos).

2- El que se cuente con un programa de prevención (programa de compliance penal), que puede conducir a una reducción significativa del riesgo de comisión de delitos, puede ser causa de exención de la responsabilidad penal de la persona jurídica; pero habrá que tener en cuenta los requisitos que deberá cumplir ese modelo:

-Identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

-Establecer los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.

-Disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

-Imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

-Establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

-Realizar una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

3- Se prevé la existencia de un órgano de supervisión y control (compliance officer) del modelo de prevención implantado.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *