Seminario “Protección de datos e Internet"

Post on 20-Jun-2015

915 views 1 download

description

Intervención de José López Calvo, Subdirector General Inspección de Datos, en el marco del ciclo de los seminario del Master de Economía digital y Industrias creativas. 21 de octubre de 2010

Transcript of Seminario “Protección de datos e Internet"

1Agencia Española de Protección de Datos

MASTER EOI

Madrid 21 de octubre de 2010

José López CalvoSubdirector General de Inspección de Datos

Agencia Española de Protección de Datos

2Agencia Española de Protección de Datos

1 Los problemas del control en Internet:• jurisdicción territorial: spam• las técnicas de enmascaramiento de IPs• las dificultades derivadas de wifi y cibercafés

2 Riesgos• (ver https://www.agpd.es/portalweb/canaldocumentacion

/recomendaciones/common/pdfs/Recomendaciones-Internet-mayo-2006.pdf) :– ventanas emergentes, pop-ups o anuncios puede

instalar software malicioso– descargas de archivos pueden instalar software

malicioso (robo contraseñas, ralentización…)

3Agencia Española de Protección de Datos

El principio de cautela:·antivirus·opción de privacidad más restrictiva·actualización versiones·comprobar la identidad del responsable de la pagina a la que se transfieren datos·cambiar contraseñas·borrar cookies (posibilidad de limitar por el ordenador).·controlar si se ha instalado software malicioso (cambio página inicial, páginas no accesibles, ventanas emergentes de forma incontrolada…).

4Agencia Española de Protección de Datos

Correo-comercio electrónico. Método habitual de introducción de riesgos ·protocolos de seguridad ·Harvesting (programas diseñados para recopilar datos)y

hoax (cadenas de mensajes sin borrar direcciones de destinatarios que se arrastran y que recopila el autor) . No utilizar “guardar contraseña”

·spam·cco·no reenviar cadenas de mensajes·gusanos: capaces de realizar una función a través de

cadena de computadores·troyanos: entran bajo el disfraz de software útil·phising: recopilar señas de identidad (el banco nunca va

a solicitar nº de cuenta y claves)·chats: no enviar datos

5Agencia Española de Protección de Datos

3 Redes P2P

71 procedimientos de infracción:

datos salud (11000 clínica de abortos), datos

sindicales, datos bancarios ,seguridad social,

partidos políticos…

6Agencia Española de Protección de Datos

7Agencia Española de Protección de Datos

4 Youtube: Montera, agresión a discapacitado. El afectado puede solicitar la cancelación a través de la página habilitada por Google (Cuenta y Política y Reclamaciones de Privacidad). Todo ello sin perjuicio de los derechos que otorga la Ley Orgánica 1/1982 o de la eventual incoación de un expediente sancionador: Tratamiento sin consentimiento (precedente Lindquist SAN 20/4/2009).

8Agencia Española de Protección de Datos

– Presupuestos:Presupuestos:

a) La imagen como un dato personal.

b) La captación de imágenes de las personas, siempre que permitan la identificación de las mismas, está sometida a la LOPD y requiere el consentimiento de las personas.

c) La responsabilidad será del titular de la línea telefónica que tiene asignada la dirección IP desde la que se subieron las imágenes.

9Agencia Española de Protección de Datos

10Agencia Española de Protección de Datos

11Agencia Española de Protección de Datos

La responsabilidad del titular de la página web:

- Boombang: página destinada a menores con uso de datos sin control de edad.

- Votamicuerpo: sitio web de contactos con usuarios menores de edad.

12Agencia Española de Protección de Datos

5. Imágenes en tiempo real en Internet: gimnasio, tienda, vía pública, hotel…

La relevancia de la imagen del menor en:

- fotografía

- televisión

- internet

13Agencia Española de Protección de Datos

14Agencia Española de Protección de Datos

15Agencia Española de Protección de Datos

16Agencia Española de Protección de Datos

17Agencia Española de Protección de Datos

18Agencia Española de Protección de Datos

19Agencia Española de Protección de Datos

20Agencia Española de Protección de Datos

6. En el caso de datos que aparecen en foros, blogs o vídeos deben extremarse las precauciones para cumplir el principio de tratamiento de datos con consentimiento del afectado. El afectado podrá ejercer el derecho de cancelación que obliga a una reacción en 10 días.

21Agencia Española de Protección de Datos

7. En el caso de páginas web corporativas

Publicación de datos personales previamente facilitados por el propio usuario a una organización, que sin el consentimiento de éste se difunden a través de la página web corporativa supone vulneración del deber de secreto.

8. Accesibilidad a datos de terceros por error en las claves

Se hacen accesibles a través de Internet datos de usuarios de determinados servicios prestados a través de Internet (p. ej.: haciéndolos accesibles sin claves o a pesar de las claves) puede suponer una vulneración de la necesaria implantación de medidas de seguridad en la custodia de los datos (art. 9 LOPD).

22Agencia Española de Protección de Datos

9. SPAM

Recepción de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes (SMS).Debe tenerse en cuenta la prohibición contenida en el artículo 21 de la LSSI (que traspone en nuestro país la Directiva e-Commerce): de enviar comunicaciones comerciales que no hubieran sido previamente solicitadas o autorizadas salvo que exista una relación contractual previa, el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

23Agencia Española de Protección de Datos

10. Directorios Telefónicos Electrónicos

Se facilita la localización de personas a partir de los directorios de abonados a servicios de comunicaciones electrónicas.Las guías telefónicas son, según la LOPD, “fuentes accesibles al público”, por lo que los datos obtenidos de esta fuente no requieren el consentimiento previo de los abonados, sometiéndose, no obstante, a las obligaciones actualmente vigentes que emanan de la legislación específica española que traspone la Directiva 2002/22/CE (artículos 30 y 64 del Real Decreto 424/2005). En particular:- “opt-in” o consentimiento expreso (para nuevos abonados)- La guía pierde el carácter de fuente accesible al público cuando se publica la siguiente actualización.El prestador del servicio debe publicar datos actualizados datos no actualizados.

24Agencia Española de Protección de Datos

11. Confidencialidad del correo electrónico

La duda se plantea respecto al restablecimiento de contraseña a partir de pregunta de seguridad y de las medidas proporcionales para su garantía sin que se introduzcan elementos que paralicen el sistema: .El prestador del servicio ofrece dos opciones que permiten restablecer la contraseña de acceso, en el caso de que ésta sea olvidada. La primera de ellas consiste en recibir en un buzón alternativo de correo electrónico, que el usuario debe consignar en el momento del alta, un mensaje personalizado a través del cual el usuario podrá confirmar una nueva contraseña de acceso que sustituya a la que ha olvidado. La segunda opción consiste en contestar a una pregunta de seguridad, seleccionada también durante el alta, utilizando para ello la misma respuesta literal que se había registrado entonces.Estas opciones de restablecimiento de contraseña, unidas a una imprescindible concienciación conducen a otorgar un adecuado nivel de seguridad al acceso por parte de los usuarios, cumplimentando los requerimientos de la normativa vigente en este país.

25Agencia Española de Protección de Datos

12. Buscadores: Más de 70 solicitudes de “amparo” a la Agencia: notificación sentencia de divorcio, indulto, sanciones disciplinarias

Concurren dos elementos: el buscador y el responsable de la página que publicó el contenido.

Junto a ello el buscador dispone de una memoria caché que puede guardar información suprimida.

26Agencia Española de Protección de Datos

- Tutelas de derechos sobre “Derecho al olvido”:

a) Boletines:

- Fiscal; publicación en 1998 sentencia de TSJ por infracción administrativa sancionada en 1993 (TD155/2008).

- Real Decreto de 1999 de indulto de un delito contra la salud pública. (TD 989/2009).

27Agencia Española de Protección de Datos

b) Prensa digital:

- Noticia de 1989 en prensa digital; imputándole delito de parricidio. (TD 1887/2009).

- Noticia de1975 en prensa digital; detención de activistas del FRAP (TD 30/2010).

- Noticias de 1974 y 1975 en prensa digital; detenciones por consumo y tráfico de drogas. (TD 487/2010).

28Agencia Española de Protección de Datos

c) Blogs

- Se le arrestó en 2008 por delitos de tenencia de pornografía infantil, pedofilia, abuso de menores; delito archivados. (TD 92/2010).

29Agencia Española de Protección de Datos