- Semana destacada para ElevenPaths, con importantes anuncios, entre ellos, su nuevo producto Latch, que permite la protección de nuestras identidades digitales, así como la liberación de Foca Final Version, correspondiente con la Foca PRO pero gratuita a partir de ahora. El evento dónde presentaron estos y otros productos formó parte del Innovation Security Day de Telefónica, que podréis volver a ver en este enlace.
- El Consejo de Seguridad Nacional presidido por el presidente del Gobierno, Mariano Rajoy, ha aprobado en su reunión del 5 de diciembre la Estrategia de Ciberseguridad Nacional. Podréis consultar el PDF con toda la información en este enlace.
- Ejecución remota de código en Wordpress 3.5.1. En el post de Vagosec, se explica el exploit para el plugin Lightbox Plus ColorBox.
- Vulnerabilidad 0day en la solución corporativa Open Source de correo electrónico Zimbra, en la que se ha descubierto que es posible la inclusión de ficheros locales.
- En Infosec Institute, gran post (primera parte) que explica con todo detalle la integración de Nessus en Metasploit.
- Más de 840,000 registros de pacientes en riesgo tras el robo de los portátiles de dos empleados.
- En Una al día, vulnerabilidad de ejecución de código arbitrario en Samba (CVE-2013-4408)
- Ejecución remota de código PHP en eBay descubierta por el investigador alemán David Vieira-Kurz. Se incluye video en el post como prueba de concepto para la demostración de la vulnerabilidad.
15 diciembre 2013
Suscribirse a:
Enviar comentarios
(
Atom
)
11 comments :
Aquí hay un error respecto al significado del concepto "fichero" dentro de la LOPD.
En la ley fichero es un conjunto homogéneo de datos independientemente de su soporte, por lo que si un profesional o empresa ha dado de alta correctamente su fichero de clientes ante el Registro General de Protección de Datos, indicando que entre esos datos está el número de teléfono, su agenda en el móvil ya está cubierta por esa inscripción.
La LOPD dice en su artículo 2 que: El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación: a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
Así que a nadie le pueden meter un puro por tener una agenda personal en su móvil, ya tenga el teléfono de Alierta o el de su tía Puri.
Es que el titular mete miedo y la redacción es (en mi opinión) un poco confusa. Como bien dice Sergio, la LOPD, por su art 2.2.a, no aplica a las agendas personales. Sí aplica a las profesionales. Pero, tal y como se cita (en el párrafo 5), el art. 2.2 del Reglamento excluye "los tratamientos de datos referidos a personas jurídicas [...] los datos de personas físicas que presten sus servicios en aquellas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales". El art. 2.3 excluye "los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros". Así es que, si en tu agenda profesional (papel o electrónica) tienes solo esos datos, de tipo profesional, no pasa nada.
Entiendo que el problema vendría (y me parece que es lo que se trata de explicar) cuando alguien con quien tratas por cuestiones profesionales se convierte en amigo, o viceversa, y al añadirle en G+, FB, etc. el móvil sincroniza él solito todos los datos, fundiendo la agenda domestica con la profesional, en una sola. En cuyo caso sí que habría que declararlo.
La app no he tenido tiempo de mirarla. Pero me resulta extraño que yo pueda borrar mis datos de la agenda de otra persona a distancia (si es que lo he entendido bien). Me recuerda a lo de Amazon borrando los libros del Kindle. No veo cómo se va a poder hacer eso. Pero en cualquier caso, eso no resolvería el problema del titular de fichero, ya que es él quien tiene la responsabilidad de declarar los datos; no la otra persona de borrarlos.
En el momento que una persona pasa de ser cliente a ser amigo, pasa de ser un dato de uso profesional a ser de uso personal, ergo no se puede considerar que sea una violación del reglamento. El resto de circunstancias es buscarle otra pata más al gato. El reglamento especifica que las agendas no son objeto de aplicación. Que eso no quita la utilidad de la aplicación, pero no la justifica en las razones que indica el artículo puesto que el problema simplemente no existe.
Aunque estoy en gran parte de acuerdo con lo que comenta Sergio, sí que yo diría que existe un caso en el que una agenda puede tratar datos personales afectados por la ley. Sería el caso de que alguien guarda en su móvil (por ejemplo un móvil de empresa) los nombres de clientes finales cuyos nombres no los tenemos por su actividad profesional sino que los tenemos porque son clientes como personas físicas. Por ejemplo, si vendemos colonias, tuppers, o similar y tenemos los contactos en el móvil.
Sin embargo, como hemos debatido levemente por Twitter, este caso me parece muy infrecuente y el post traslada la sensación de que cualquiera puede estar incumpliendo y que probablemente lo hacer y no creo que sea el caso en mi opinión.
Hola a todos,
Soy Carlos Polo, el autor del post que todos estáis comentando en este hilo.
En primer lugar gracias por tomaros tiempo en revisar el mismo y matizarlo con vuestros comentarios, acertados en su totalidad. En segundo lugar disculpad si la redacción ha sido confusa, no soy periodista, y eso se nota. Y en tercer lugar, me gustaría comentar que todos vosotros tenéis razón en algunos de los comentarios que hacéis, y además, que estos están en línea con lo que expreso en el artículo, en particular lo concerniente al artículo 2.2. de la LOPD.
Si me lo permitís, os voy contestando a cada uno en un hilo en vuestros comentarios.
Un saludo.
Jesús, 100% alineado con lo que comentas al respecto del alta del fichero en la APD, ahí ni hay problema.
Totalmente de acuerdo Sergio, tal y como expreso en el 4º párrafo del artículo.
Florencio, Sergio, María, tenéis razón en vuestros comentarios, como ya os he ido comentando. Quizás el titular del post sea alarmista, pero no nos quedemos solo en eso. Partiendo de que la ley es muy clara al respecto... ¿Qué os parece el tema de fondo que trata el post? Me refiero a ¿Qué os parece que desde tu móvil puedas ejercer tu derecho al olvido y que tus datos personales no estén en las agenda de quien tu no desees con independencia de lo que dicte le ley? Como sabéis, probablemente mejor que yo, normalmente los usos y costumbres van por delante de los legisladores, y la tecnología modifican rápidamente dichos usos y costumbres, por lo que se abre un debate interesante más allá del puramente ligado a la interpretación legal... ¿No os parece?
Un saludo y mil gracias por vuestros comentarios. Enriquecen mucho!
No soy ninguna experta en derecho, pero me da a mí que las patas que tenga un gato dependen muchas veces del jurista que te toque. Ahora bien, el caso que menciona Florencio de los tuppers no creo que sea tan infrecuente. Sobre todo ahora, con la crisis, que mucha gente se monta sus propios negocillos.
El debate me parece muy interesante. De hecho, he generado uno paralelo, cuando lo he comentado.
Sigo pensando que la responsabilidad de aplicar la ley y de facilitar el derecho al olvido es del dueño del fichero, no del afectado de buscarse la vida.
No quita que tu app pueda ser interesante. Aunque no entiendo las implicaciones técnicas y legales de borrar una cosa mía en un dispositivo de otra persona. A ver si saco un rato y lo miro. Claro que me parecería interesante poder quitar fácilmente mis datos que estén por ahí desperdigados. Y si además inventas algo para petardear los grupos de whatsapp, seguro que varias generaciones de internautas te lo agradecen. :)
Un telefono movil SIEMPRE tiene datos de caracter personal, por tener numeros de moviles y/o correos electronicos, fotos, y etc
Si el telefono movil no se usa en actividad profesional (persona fisica, para uso privado): NO ESTA SUJETO A LA LOPD.
En otro caso, SI esta sujeto a LOPD, y el Responsable del Fichero tendra inscritos: Clientes, Proveedores, etc. Ubicados en soportes como: PCs, servidores, PDAs, moviles o archivos de papel ....
La inscripcion de ficheros no es por cada "soporte" que contenga datos. Es en el Documento de Seguridad donde se especifica, y se describen las medidas.
La posible sancion, vendria por defecto en el Documento de Seguridad.
Publicar un comentario