LA NUEVA NORMATIVA DE
COOKIES Y MODIFICACIONES DE LA LSSICE
El pasado viernes 13 de septiembre de 2013 el Gobierno aprobó el Proyecto
de Ley General de Telecomunicaciones, que modifica una serie de preceptos de la
Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de
Comercio Electrónico (LSSICE)[1].
Es importante resaltar que las modificaciones a la Ley 34/2002 afectan a
los prestadores de servicios de la sociedad de la información y de la
contratación por vía electrónica, es decir, todo aquel que ofrezca un servicio a través de una página web,
Blog, y cualquier plataforma, aplicación informática a la cual un usuario pueda
acceder desde su equipo terminal (ordenador, teléfono móvil, tablet,
televisión, etc).
Dentro de las modificaciones previstas por el Proyecto de LGT, presentamos
aquellas consideradas de especial interés:
1.Eliminación de la palabra “publi” o
“publicidad” en comunicaciones comerciales.
Deja de ser obligatorio identificar los correos electrónicos (e-mails), sms, o cualquier comunicación
comercial con la palabra “publi” o
“publicidad”, no obstante sigue siendo obligatorio que tanto las
comunicaciones comerciales como la persona que las envía sean claramente identificables como tales.
Si existe una relación
contractual previa con el
destinatario de la comunicación comercial (un contrato de prestación de bienes
y/o servicios por ejemplo), no será
obligatorio lo anterior, siempre que los datos de contacto del destinatario
hayan sido obtenidos de forma lícita y la comunicación se relacione con los
productos y servicios de la empresa o aquellos que fuesen objeto de
contratación con el cliente.
2.Derecho a “darse de baja” de las
comunicaciones comerciales
Los usuarios
destinatarios de las comunicaciones a través de e-mail deben tener la
posibilidad de darse de baja (dejar
de recibir e-mails) a través de un correo electrónico u otra dirección
electrónica equivalente.
3.Captación del consentimiento al uso de
cookies
Se mantienela
obligación de obtener el consentimiento para la utilización de cookies a
través de los navegadores; no obstante desaparece
la necesidad de que el usuario realice una acción
expresa para otorgar dicho consentimiento cuando se instale o actualice el
navegador.
4.Régimen sancionador sobre las cookies
Frente al incumplimiento de la obligación de
recabar el consentimiento del usuario previo al uso de cookies, se tipifica la infracción consistente
en ignorar la voluntad del usuario a no consentir la utilización de cookies o
continuar su tratamiento incluso después que aquél hubiese revocado el
consentimiento prestado anteriormente (art. 38.3.i).
5.Responsabilidad de las redes publicitarias
por el uso de cookies y juego on-line
Las redes o agencias publicitarias son
responsables también con
respecto a las obligaciones que versan sobre las cookies, en tanto no hayan
adoptado las medidas necesarias para exigir
al editor o prestador del servicio el cumplimiento de los deberes de
información y captación del consentimiento del usuario.
Asimismo se les
obliga a comprobar si los anunciantes de juego on-line disponen de título
habilitante y a facilitar información, pasando a ser también responsables subsidiarias.
6.Régimen sancionador para envío de
comunicaciones comerciales no solicitadas
Las
comunicaciones comerciales enviadas a través de e-mail y no solicitadas, y que superen el número de tres comunicaciones en el plazo de un año, constituyen una infracción grave.
Se introduce una
infracción grave que consiste en el “envío
insistente de comunicaciones comerciales al correo del destinatario”. Con
esta tipificación, se intenta proteger a aquellos usuarios que reciban de manera repetida e insistente comunicaciones
comerciales no solicitadas.
7.Nueva figura: El apercibimiento
Antes de abrir
procedimiento sancionador e imponer una sanción al infractor, el órgano competente tiene la posibilidad
de apercibirle para que adopte, en el plazo que determine, las
medidas correctoras pertinentes, siempre y cuando se traten de infracciones
leves y graves cometidas por primera vez.
Igualmente, de
cara a la cuantía de la sanción, ésta
se podrá reducir cuando concurran las circunstancias atenuantes tasadas en el
art. 39 bis.1); cuando se subsane sin demora las irregularidades, y la
actividad económica generada sea de escasa entidad -entre otras-.
8.Periodos de validez de certificados
electrónicos.
Se modifica el
art. 8.2 de la Ley de Firma Electrónica, siendo que el periodo de validez de los certificados electrónicos reconocidos
(e-DNI)pasa de dos a un plazo no
superior a cinco años.
Actualmente es importante adaptar la prestación de
servicios y comercio electrónico que se hace a través de la web y/o plataformas
digitales similares, frente a las nuevas exigencias en materia de cookies, sobretodo una vez
establecido un régimen sancionador de cara a su incumplimiento.
Como
consecuencia de la denuncia realizada contra una empresa por el uso de cookies
ante la Agencia Española de Protección de Datos, es necesario saber cómo cumplir con los nuevos preceptos y
atender a los criterios de interpretación de la AEPD previstos en la “Guía sobre las normas de uso de las cookies”.
Si precisas más
información o tienes alguna duda referente a este tema y tu página web necesita ponerse al día en relación a la obtención de
datos de sus usuarios, el uso de cookies y las comunicaciones comerciales,
entre otras, puedes dirigirte a:
El pasado miércoles 18 de Febrero nuestro equipo de ATGroup especializado en Responsabilidad Penal Corporativa se trasladó a Bilbao para impartir un seminario, al cual asistieron más de 40 personas, sobre la Responsabilidad Penal Corporativa en las empresas. También impartió en el seminario parte del equipo del Evidentia, expertos en peritaje informático. (www.evidentia.biz)
Durante el seminario, se retransmitió en directo conversaciones a través de Twitter (@atgrup con el hashtag #responsabilidadpenalcorporativa ) y Facebook (www.facebook.com/pages/ATGroup/)
Próximamente se desarrollaran nuevos seminarios sobre RPC (Responsabilidad Penal Corporativa) si quieren más información, no duden en consultarnos a info@atgrup.com
¡Información actualizada! 19 Febrero 2014:
El próximo día 19 de Diciembre, ATGroup y la AJSE organizan el primer seminario de Responsabilidad Penal Corporativa.
A partir de la entrada en vigor de la reforma del Código Penal a través de la L.O. 5/2010, las personas jurídicas son penalmente responsables de determinados delitos cometidos por sus directivos o empleados.
En el seminario pretendemos explicar cómo afectara la nueva reforma a los directivos y jefes de seguridad, con la finalidad de que conozcan cuáles son sus responsabilidades ante el endurecimiento de la ley.
El acto tendrá lugar en las oficinas centrales de ATGroup (Avenida Meridiana 358, 4º B, Barcelona) a las 9:15, y está previsto que finalice a sobre la 1.
La presentación y cierre del evento irán a cargo del Sr. Antonio Cadenilla (Director de la AJSE). Durante el seminario se realizarán dos ponencias:
• “La Responsabilidad Penal Corporativa dentro de las funciones del jefe y/o director de seguridad”, a cargo del Sr. Jorge Ortega, abogado-criminólogo.
• “Certifiación electrónica en un sistema de Compliance”, a cargo del Srr. Iván Moreno, account manager, sector legal de Lleida.Net
El programa también incluye un coffe break y el debate “Nuevo Reglamento de RPC y su influencia en los jefes y directivos de seguridad”, dónde contaremos con la presencia de 6 grandes expertos en la materia.
• Sr. Ángel González, criminólogo y jefe de seguridad
• Sr. Antonio Cadenilla, Presidente de la Asociación de Jefes de Seguridad de España (AJSE)
• Sr. Enrique de Madrid-Davila, consultor estratégico independiente.
• Sr. Iván Moreno de Lleida.Net.
• Sr. José Navarro, doctor en Ciencias físicas. Perito forense.
• Sr. Rubén Pujol, detective/criminólogo.
Aplicación de adhesivos de seguridad, numerados, registrados e inviolables.
En su vocación de mejora continua, y dadas las necesidades de poder acreditar con garantías una buena praxis en materia de auditoría, formación e implementación de planes de cumplimiento de Protección de Datos, ATGroup a decidido adoptar la etiqueta de seguridad acreditada por la Asociación Profesional de Peritos Informáticos (www.aspei.com).
Dicha etiqueta, permite identificar la validez y vigencia del documento en soporte papel donde es incorporada, incorporando dicha etiqueta medidas de protección que hacen prácticamente imposible su manipulación. La etiqueta incorpora un número único y exclusivo, consultable en un registro on line, en dicha registro se puede comprobar la finalidad y la vigencia del documento donde estar incorporada la etiqueta ASPEI.
Evidentemente el registro on line, también posee todas las medidas de seguridad que garantizan la identidad, la integridad, la confidencialidad y la seguridad de la información.
Nuevos retos de la protección de datos de carácter personal.
El pasado 26 de julio se celebró en Madrid la conferencia AAA-NAID EUROPA, donde fueron invitadas como ponentes la Agencia Española de Protección de Datos en la parte institucional, ATgroup en representación del sector de la consultoría especializada en protección de datos personales y AAA-NAID EUROPA, organización internacional que tiene como miembros a las más prestigiosas empresas de destrucción segura de documentación.
El centro de convenciones hubo una gran asistencia de público, impartiéndose la primera ponencia el Sr. Rafael García, Coordinador del Área de Relaciones Externas de la AEPD. La ponencia trató sobre las principales novedades que aporta el nuevo Reglamento de la U.E. y los diferentes problemas que puede ocasionar su implantación en España.
En la segunda ponencia , el letrado Jorge Ortega por parte de ATgroup, hizo una disertación sobre los numerosos problemas que representa la adaptación del nuevo Reglamento de la U.E., especialmente en empresas de más de 250 trabajadores, o profesionales y empresas gestoras de datos especialmente protegidos (médicos, hospitales, clínicas, etc).
En la tercera ponencia, se excuso el Sr. Bob Johnson por problemas de enlace con su vuelo de Londres, y en su representación impartió una interesantísima ponencia el Presidente de AAA-NAID ESPAÑA, el Sr. Amadeu Roig Casanovas. En dicha ponencia se expuso cuales son los nuevos retos que plantea en Reglamento de la UE, al tiempo que se hizo hincapié en las distorsiones del mercado que representan las empresas pseudo profesionales de la destrucción segura de la documentación confidencial.
Toda la documentación de las ponencias y el orden del día se encuentra a disposición de las personas interesadas en:
Ya esta publicado el nuevo Catálogo de Servicios de ATgroup 2013-2014.
En el nuevo catálogo se incorporarn los servicios de adaptación al nuevo Reglamento de protección personales de datos europeo, que se espera sea aprobado en mayo del 2014.
También se incluyen en el catálogo, los servicios de Prevención de Blanqueo de Capitales, Firma electrónica, Evidencia digital y Plan de Prevención del Delito Corporativo (Compliance Program).
Para cualquier duda o consulta, no dude en ponerse en contacto con nosotros.
ATgroup ha colaborado como auditor externo a la ceremonia de renovación del Certificado Raíz de ANF-AC
El pasado 10 de junio ATgroup fue participe de la ceremonia de renovación del Certificado Raíz de la autoridad de certificación ANF-AC.
El certificado raíz es el origen del resto de certificados de una autoridad de certificación en el cual se basa todo el sistema de generación y seguridad de las firmas electrónicas avanzadas y reconocidas que puedan ser emitidos por una entidad de certificación reconocida.
La generación de un certificado raíz tiene que estar dotada de una gran número de medidas de seguridad y es necesario aplicar un riguroso protocolo de generación, que garantice la integridad y la confiabilidad del producto final.
El acto se desarrollo en dos fases, una en la sede central de ANF-AC en sus oficinas corporativas en Barcelona, y una segunda fase, en el Data Center securizado, sito en la ciudad próxima de Hospitalet del LLobregat.
La generación del certificado raíz fue todo un éxito, tanto por la correcta ejecución de los protocolos así como la eficacia del personal asignado por ANF-AC para tan delicada labor.
La Asociación Profesional de Peritos Informáticos (ASPEI,www.aspei.es), en colaboración con EVIDENTIA y ATGROUP, organizó el seminario profesional gratuito "El valor probatorio del correo electrónico", destinado a abogados, a peritos informáticos y a cualquier persona interesada.
El seminario se realizó en modalidad presencial, en Madrid (24 de mayo) , Barcelona (10 de mayo) y Bilbao (17 de mayo), teniendo una gran asistencia de profesionales e interesados en la materia expuesta.
El correo electrónico es una herramienta imprescindible para la comunicación tanto a nivel profesional como personal, por lo que es habitual tener la necesidad de utilizarlo como medio de prueba en procesos judiciales. Sin embargo, no es evidente cómo garantizar la autenticidad e integridad de un correo electrónico, ni bajo qué requisitos una empresa puede analizar los mensajes de un empleado.
En este seminario se divulgarón los conceptos técnicos y métodos aceptados en el sector, así como la jurisprudencia más reciente, con ejemplos y sentencias de casos reales, organizado en los siguientes apartados:
1. Cadena de custodia de evidencias digitales
2. Autenticidad e integridad del correo electrónico
3. Jurisprudencia y percepción del órgano juzgador
Para el próximo mes de septiembre se tiene planificada otra acción formativa.
ATGroup participó en la famosa feria de seguridad SECURITY FORUM, que se celebró el pasado mes de Abril en el Centro de Convenciones Internacional de Barcelona, ubicado en la Plaza de Willy Brandt, la cual fue un gran éxito, con la llegada de más de 4.200 profesionales y 300 congresistas.
SECURITY FORUM es un encuentro entre profesionales de la seguridad física y digital, donde se intercambian información, conocimientos, novedades y contactos acerca de este ámbito.
De igual manera, es otra oportunidad para conocer las novedades en materia de protección de datos. En esta feria se puede encontrar gran variedad de información sobre cualquier aspecto relacionado con la seguridad.
En la misma feria, ATGroup tuvo la oportunidad de contestar a las preguntas de varias personas ávidas por informarse; además de atender a Clientes, Colaboradores, Amigos y Terceros.
A principios del mes corriente, la Comisión Europea ha aprobado la adopción de dos nuevas propuestas para mejorar la lucha contra el blanqueo de capitales y financiación del terrorismo.
Una de estas propuestas se basa en la elaboración de una nueva Directiva que derogará las actuales (Directiva 2005/60/CE y Directiva 2006/70/CE) y la otra, trata de perfeccionar el nuevo Reglamento sobre la información que acompaña las transferencias de fondos. Lo que persigue este Reglamento es que se establezcan las medidas necesarias para que, dado el caso, se permita seguir el rastro de las transacciones hasta poder dar con el ordenante de la misma.
No obstante, debemos destacar que en el marco de la nueva propuesta de Directiva, respecto los sujetos obligados, considera como tales a las personas físicas y jurídicas que comercien profesionalmente con bienes respecto de las transacciones en que los cobros o pagos se efectúen con medios de pago al portador cuando el importe sea igual o superior a 7.500€ y no 15.000 como en nuestro actual marco jurídico.
Todo ello teniendo que ser auditado por un tercero, ajeno a la compañía y a cualquier relación comercial con el auditado, para así, verificar que las políticas y procedimientos establecidos en su entidad reducen todos los riesgos a los que se refiere la nueva Directiva que aún está en estudio.
Estaremos atentos a cualquier novedad.
Isaac Fernández Sánchez
Hechos tan cotidianos como puede ser, por ejemplo, el envío de correos electrónicos a diferentes destinatarios puede suponer un enorme dolor de cabeza para nuestra empresa. ¿Quién no se ha equivocado de campo alguna vez y se le ha escapado un envío masivo sin establecer a todos los destinatarios en el campo de copia oculta (CCO)?
Pues bien, aunque los tiempos que corren no son muy halagüeños, esta conducta está siendo sancionada por la Agencia Española de Protección de Datos (AEPD) a día de hoy con la friolera cantidad de 2.000 euros.
En base al art. 10 de la Ley 15/1999 (LOPD) el cual dispone que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”, y amparándose en sendas sentencias de la Audiencia Nacional (STAS de fechas 14 de septiembre de 2001 y 29 de septiembre de 2004) y otra del Tribunal Superior de Justicia de Madrid (STA de 19 de julio de 2001), la AEPD está facultada para sancionar por el incumplimiento de dicho deber con una cantidad, a nuestro entender más que desproporcionada, de entre 40.000 y 300.000 euros. Pues bien, tal conducta está considerada como una infracción grave.
En el presente caso, ha quedado acreditado en el expediente que el denunciante recibió un correo electrónico remitido por el denunciado, donde se visualizaban datos personales de múltiples personas, (direcciones de correo electrónico) (incluido el suyo propio) por lo que ha de entenderse vulnerado el deber de secreto que impone el artículo 10 de la LOPD.
El último ejemplo lo encontramos en la sanción de 2.000 euros de multa (gracias a tratarse de un descuido y no ser la entidad reincidente) impuesta a la ‘Fundación Santa María La Real’, entidad cultural establecida en Palencia, por enviar un correo electrónico a un millar de destinatarios sin generar una copia oculta de las direcciones de e-mail. Dicho envío se llevó a cabo por parte de la entidad con el inocente propósito de informar a sus clientes de que la misma estaría presente en la Feria del Libro de Madrid.
Como se ha establecido, el correo se remitió sin ocultar las direcciones de los destinatarios “por un error involuntario” de la persona que realizó el envío a través de la aplicación de Outlook de Microsoft, error que según la legislación vigente en materia de protección de datos es extensible a la empresa.
Pese a la nimiedad de lo ocurrido, como a bien tenemos por aconsejar siempre, sólo hace falta que se te cruce alguna persona que normalmente se despierte con el pie izquierdo para que por un simple hecho como el que tratamos, se nos interponga una denuncia.
En este sentido, es muy importante hilar muy fino con estos temas porque aunque nuestra entidad establezca las medidas necesarias al respecto, un descuido que vaya junto con la persona indicada, nos puede generar un imprevisto económico sobre el que no teníamos pensado hacer fente.
Así que desde AT GROUP os emplazamos a tener mucho cuidado con los envíos de correos electrónicos masivos que realizamos y SIEMPRE a darle un último repaso a los campos, tanto de CC como de CCO, previamente al envío final de la información contenida en el e-mail.
Los sistemas internos de denuncias o “WHISTLEBLOWING”
El concepto Whistle Blowing, en el contexto profesional de una Organización, consiste en un sistema mediante el cual el personal interno realiza una denuncia de un mal proceder de dicha organización apelando a un reglamento ya sea propio de la empresa, normativo jurídico; su código deontológico, su ética personal, entre otros.
El concepto cuyo origen proviene del término inglés relativo a la práctica de oficiales de policía que hacían sonar sus silbatos delante de una comisión de un crimen, servía para alertar al público y otros policías del peligro. Actualmente, el que hace “sonar el silbato”, es el profesional en el seno de la organización: Ejemplo de ello es:
El caso en que un empleado denuncia mediante un sistema de buzones internos, conductas a través de las cuales se “soborna” a auditores a fin de que maquillen las cuentas de la empresa; o bien aquellas en que tiene conocimiento de un directivo que facilita información reservada a terceros.
Recordemos que en todo caso, los sistemas de “Whistle Blowing” deben ser conformes a la normativa de protección de datos, y serán revisados en la preceptiva Auditoría que establece el art. 96 del Reglamento de Desarrollo de la LOPD (RD 1720/2007).
Para ello es necesario que se respeten los principios ampliados siguiendo el artículo a través del enlace: http://atgrup.blogspot.com.es/2013/01/la-proteccion-de-datos-en-el.html
Se propone una reforma del Código Penal para penalizar con un año de cárcel a quien difunda imágenes íntimas sin consentimiento.
Recientemente, dentro de la voluntad “reformista” manifestada de forma reiterada por el actual Ministro de Justicia, se ha planteado la enésima reforma del Código Penal de forma urgente, esta vez le ha tocado la fiebre reguladora al uso de las Redes Sociales.
En efecto, en círculos políticos y sociales se ha creado una cierta expectación por el ya conocido caso de una concejala de la pequeña población de Yébenes, que realizó, y comunicó de forma consentida un determinado video de carácter algo más que íntimo a una persona con la cual tenía una relación extramarital.
Un cóctel de luchas políticas, infidelidad, y cierto morbo, han hecho que el caso sea conocido a nivel mundial y que en Twitter fuera trending topic mundial. En esa repercusión ha tenido una participación fundamental la conocida aplicación Whatsapp y por supuesto Internet, donde fue subido por una persona no identificada.
Dicho video íntimo, al ser consecuencia de un ilícito, según la normativa española, europea y estadounidense, no es legal que se hospede en ninguna página web sometida a estas jurisdicciones.
Los representantes legales de la afectada han solicitado a las diferentes páginas pornográficas el borrado de dicho video, y ese video, una vez identificado es borrado en la mayoría de ocasiones por los administradores de dichas páginas.
Entonces, ¿por qué aún está en Internet?, la respuesta es bien sencilla, por los usuarios de la red, le cambian el nombre y/o el formato y lo vuelven a subir a las páginas pornográficas.
En resumen, por mucho que se intente eliminar, siempre habrá una copia del famoso video en un servidor lista para clonarse y multiplicarse por la red, haciendo casi imposible su borrado definitivo.
Esta desgraciada situación, ha hecho que el legislador se ponga algo nervioso y vuelva a recurrir al viejo método de legislar de forma express, precipitada y poco rigurosa, al menos en las propuestas iniciales.
De inicio, el texto penal vigente ya ha sufrido unas cuantas reformas y contempla como delito (arts. 197-201) una serie de conductas como es el apoderamiento sin consentimiento de cartas, documentos, mensajes, papeles, y cualquier elemento de comunicación entre víctima y un tercero. Dichas conductas tienen penas contundentes que pueden implicar el ingreso en prisión.
En la presente reforma se endurece aún más dicho cuerpo legal, contemplando como delito la conducta de difundir imágenes o grabaciones de otras personas, que se obtengan con consentimiento, pero sean divulgadas contra su voluntad, siempre y cuando esa grabación se haya producido en un ámbito personal y la difusión lesione gravemente la intimidad (propuesta art. 197.4.bis).
También creemos importante destacar la omisión del legislador de contemplar una reforma de la Ley del Menor, donde se contemplen este tipo de conductas en sus casos más extremos como es el ciber acoso, o el bulling escolar.
Estaremos a la expectativa del texto final de la ley, cruzando los dedos para que se produzca la subsanación de los errores de codificación aquí expuestos.
El perito informático es un nuevo perfil profesional, reconocido legalmente dentro de la figura del perito especializado en nuevas tecnologías, con una demanda al alza debido al aumento de conflictos, tanto privados como aquellos que deben resolverse mediante juicio, en los que intervienen sistemas informáticos.
Este curso ofrece los conocimientos técnicos y legales necesarios para ejercer como perito informático y generar informes periciales con validez legal, así como las técnicas y requisitos de gestión de evidencias electrónicas y prueba electrónica dentro del entorno corporativo.
Este curso se realizará los días:
Viernes 23/11/2012 de 17.00h a 21.00h
Sábado 24/11/2012 de 09.00h a 19.00h
Aplicación que permite realizar un seguimiento personalizado y de máxima calidad en los proyectos de implementación en materia de protección de datos.
Después de un largo y minucioso proceso de análisis y desarrollo, el pasado mes de abril, se ha puesto en explotación la aplicación ATgroup PHOENIX GEST,1.1. dicha aplicación aporta a los proyectos de implementación LOPD unas características que cubren ampliamente las necesidades documentales y de gestión que exigen las autoridades de control competentes en materia de protección de datos de carácter personal.
Como características de ATgroup PHOENIX GEST,1.1. más destacadas cabe destacar:
• Creación unificación de documentos
• Gestión de registros centralizado (incidencias, inventario de soportes, inventario de usuarios)
• Seguimiento mediante la herramienta on line https: www.documentacionoficial.com
• Registro unificado de certificados
• Apoyo al usuario vía consultor personalizado 902-060-162
La aplicación en esta primera versión esta configurada con una arquitectura cliente servidor, estando en explotación de forma local. En la actualidad se está desarrollando el módulo de Web, que permitirá trabajar en remoto, con la máximas garantías de calidad y seguridad, tanto a los consultores desplazados de ATgrup, como a los diferentes colaboradores y partnerships de la compañía. Dicho módulo tiene prevista su entrada en explotación en diciembre del presente año.
Atgrup
“We know what we do”