chatbots

Agencia española de supervisión de Inteligencia Artificial

Con la propuesta de Reglamento Europeo de Inteligencia Artificial, se hace un especial hincapié a la Gobernanza. Regulada en su título VI. En dicho título se constituyen una serie de organismos de control, uno de ellos, es la obligación de designación de Autoridades de Supervisión de Inteligencia Artificial en cada Estado miembro.

Por este motivo, como antecedentes a su creación, se ha ido citando en las siguientes leyes:

En la disposición adicional centésimo trigésima de la Ley 22/2021, de 28 de diciembre, de Presupuestos Generales del Estado, se establecía la creación de AESIA. La define como una Agencia con independencia plena orgánica y funcional que debe llevar a cabo medidas destinadas a la minimización de riesgos significativos sobre la seguridad y salud de las personas. Así como sobre sus derechos fundamentales, que puedan derivarse del uso de sistemas de inteligencia artificial.

La Ley 28/2022, de 21 de diciembre, de fomento del ecosistema de las empresas emergentes. Conocida como la Ley de startups, también prevé la creación de la Agencia Española de Supervisión de Inteligencia Artificial, en su Disposición adicional séptima.

Y por último, en el Real Decreto 729/2023, de 22 de agosto, por el que se aprueba el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial. La cual prevé su efectiva puesta en funcionamiento con la constitución del consejo rector en un plazo máximo de la entrada en vigor de este real decreto.

Finalmente, el 7 de diciembre de 2023, La Secretaría de Estado de Digitalización e Inteligencia Artificial, publicó los nombres de los integrantes del Consejo Rector. Constituyéndose así esta Agencia pionera. Con la creación de esta Agencia, España se convierte en el primer país europeo en tener un órgano de estas características y se anticipa a la entrada en vigor del Reglamento Europeo de IA.

Esta Agencia, con sede en Galicia, no será la única autoridad en el ámbito nacional. Ya que la propuesta de Reglamento Europeo de Inteligencia Artificial establece que los Estados miembros tendrán que designar autoridades nacionales competentes.  Y entre ellas, seleccionar a una autoridad nacional de supervisión.

Funciones de la Agencia Española de Inteligencia Artificial:

  • Supervisar el cumplimiento de la normativa aplicable en el ámbito de la Inteligencia Artificial. Atribuyéndole una potestad sancionadora en las posibles vulneraciones de estas.
  • Promoción de entornos de prueba que permitan una correcta adaptación de los Sistemas de IA. Para reforzar la protección de los usuarios y evitar sesgos discriminatorios. Por ello, el 8 de noviembre de 2023, se publicó el Real Decreto 817/2013, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento Europeo de Inteligencia Artificial.
  • Fortalecer la confianza en la tecnología. A través de la creación de un marco de certificación voluntario para entidades privadas, que permita ofrecer garantías sobre el diseño responsable de soluciones digitales y garantizar los estándares técnicos.
  • La creación de conocimiento, formación y difusión en relación de la inteligencia artificial ética y humanista. Para mostrar tanto su potencial y oportunidades para el desarrollo socioeconómico, la innovación y la transformación del modelo productivo, como retos, riesgos e incertidumbres que plantea su desarrollo y adopción.
  • Dinamizar el mercado para potenciar iniciativas prácticas innovadoras y transformadoras en el ámbito de IA.
  • Ayudar a la ejecución de programas en el ámbito de la Inteligencia Artificial a través de acuerdos, convenios o cualquier otro instrumento legalmente previsto para apoyar en la ejecución de programas relacionados con la Inteligencia Artificial.

Comparaciones con la Agencia Española de Protección de datos

A grandes rasgos, estas dos autoridades plantean similitudes en sus funciones, aunque cada una en su materia. En Francia, la CNIL, su autoridad de protección de datos será quien asumirá las competencias de la Autoridad de Supervisión dentro de sus fronteras.

Aún así, AESIA y la AEPD no son comparables ya que la presidencia del Consejo Rector recae en la Secretaría de Estado de Digitalización e Inteligencia Artificial. Y será esta quien proponga directamente al director general de AESIA. Mientras que el Estatuto de la AEPD prevé un nombramiento de sus cargos mediante acuerdo parlamentario.

secretos_empresariales

Secretos empresariales y protección de datos – Parte 2

El pasado mes de noviembre publicábamos la primera parte sobre secretos empresariales y protección de datos. Un post donde entramos en la materia contextualizando qué son los secretos empresariales y la ley que los ampara. Hoy vamos a terminar de profundizar en el tema para arrojar un poco más de luz al respecto. ¿Vamos a ello?

¿Qué se considera una violación de secretos empresariales?

Se considera una violación de secretos empresariales cuando una persona o entidad accede a la información confidencial de una empresa sin autorización y la utiliza para obtener beneficios económicos o ventajas competitivas.

Esto puede incluir desde divulgar información confidencial a terceros, a utilizar secretos comerciales para competir directamente con la empresa o incluso apropiarse indebidamente de información confidencial para venderla a otra empresa.

Pasos a seguir para proteger tus secretos empresariales

A la hora de garantizar la protección de secretos empresariales, conviene seguir una serie de pasos como los indicados a continuación:

1. Establecer acuerdos de confidencialidad

Establecer acuerdos de confidencialidad con los empleados y terceros (proveedores) es vital para mantener un orden interno y en caso de que sea necesario, tomar medidas legales que sancionen un mal uso de la información confidencialidad de la empresa.

2. Controlar acceso

Muchas empresas toman en cuenta la seguridad física de los datos, pero hoy, la mayoría de esos datos están en el marco digital. Por eso, las empresas deben incorporar las medidas de protección pertinentes en un mundo cada vez más digital.

3. Definir la información confidencial

A la hora establecer un acuerdo de confidencialidad, es necesario regular que se considera información confidencial dentro de una empresa. Para ello, será necesario realizar un análisis exhaustivo que identifique los secretos y los riesgos asociados.

4. Dar formación

La formación es también clave para evitar fugas de datos hacia el exterior. Por eso, se debe formar a los empleados para capacitarlos sobre cómo tienen que manipular los datos de la empresa.

5. Hacer un equipo especial de protección

Es importante, delegar cierta responsabilidad a un encargado de seguridad y protección de datos. De esta manera, esta persona será la encargada de velar por esa protección.

6. Seguir sumando

Muchas empresas atienden a la protección de datos cuando ya es tarde. Es importante empezar a trabajar en ello desde inmediatamente y seguir sumando proyectos, así como acciones de cualquier tipo para velar por la protección de datos total. En materia de protección de datos se conoce como responsabilidad proactiva.

7. Hacer de la protección, la prioridad

Las ciber amenazas suponen hoy un gran problema a nivel empresarial. Por eso no vale con actuar mañana, la protección de datos en internet debe ser algo a tratar en primera instancia. De no hacerlo así, las empresas pondrán en peligro su economía, así como su reputación.

Proteger los secretos empresariales en una empresa no solo es una medida de prevención, sino de éxito futuro. Si tienes dudas o necesitas más información sobre alguno de estos datos, no dudes en consultar con nosotros. En Bacaria te podemos asesorar.

proteccion_Datos_compras_navidad

8 tips para proteger tus datos en tus compras navideñas

Los ciberdelincuentes intensifican sus ataques para robar nuestros datos personales en épocas como la Navidad, adaptando sus mensajes o ganchos a temáticas relacionadas con las compras. Ya sea por falta de tiempo  o por precio, muchas de las compras navideñas se realizan a través de Internet, lo que puede suponer ciertos riesgos para la privacidad y la protección de datos. Por eso es tan importante que sepas proteger tus datos.

Los datos personales pueden ser utilizados para estafarnos, acceder a nuestra cuenta bancaria y otras actividades fraudulentas. Para ello, los ciberdelincuentes adaptan a cada época del año o evento de actualidad, como la Navidad y las compras navideñas sus mensajes para captar nuestra atención y robarnos nuestros datos. En el post de hoy te ayudamos a identificarlos y te damos consejos para prevenir estos y otros riesgos para tu privacidad.

Tips para proteger tus datos en tus compras navideñas en Internet

1. No abras los correos electrónicos con enlaces que te piden información personal

¿Cuántas veces te ha llegado uno de estos mails haciéndose pasar por tu banco? Seguro que muchas. Aunque todas y todos somos conocedores de este tipo de estafas, en alguna ocasión puede que “piques” por falta de atención o estrés. Estamos todos muy ocupados con nuestros trabajos, compromisos familiares y amistosos y miles de preocupaciones más.

Pase lo que pase sigue siempre este consejo: nunca respondas a este tipo de mails. Ningún banco pide datos personales, datos bancarios o contraseñas a través de un correo electrónico y mucho menos enviando un enlace en el que tienes que hacer clic.

Duda de todo tipo de correos electrónicos alarmistas o con enlaces a grandes ofertas exclusivas que dirigen a webs en las que debemos facilitar datos personales. Contacta con la empresa a través de sus canales oficiales antes de pulsar el enlace. Y, en caso de duda, no pulses el enlace: accede tú mismo a la web de la empresa introduciendo la dirección en el navegador.

2. Presta atención al banner de cookies de los servicios online a los que accedes, y acepta únicamente los tratamientos que consideres apropiados

3. Cuidado con los SMS y mensajes en WhatsApp, Telegram y otros servicios de mensajería instantánea

Otra práctica muy extendida entre los ciberdelincuentes y que seguro también te ha pasado en más de una ocasión es recibir un SMS de una empresa de mensajería diciendo que tu envío está en camino. Y no estás esperando nada ¿a que no?

De todos modos, estés esperando algún pedido o no, y en época navideña raro es el que no esté esperando ningún regalo o auto regalo; te volvemos a dar el mismo consejo. Nunca respondas a este tipo de mensajes, estés esperando algo o no.

Este tipo de técnica se llama smishing y es muy común su utilización asociada con grandes ofertas o envíos de mensajería en época de rebajas o compras navideñas. Además de con SMS, utiliza también otros servicios de mensajería instantánea como WhatsApp, Telegram, etc.

4. Compra en tiendas online oficiales y de confianza

A la hora de comprar en una tienda online revisa siempre la política de privacidad, así como el aviso legal para saber quién es el responsable del tratamiento de tus datos personales.

5. Evita conectarte a wifis públicas

¿Has consumido ya todos tus datos y no puedes esperar a llegar a casa para comprar ese regalo de Navidad? Puede esperar, seguro que puede esperar. No caigas en la tentación de conectarte a una wifi pública para hacer compras en Internet, puede que esté hackeada y algún ciberdelincuente haga compras por ti.

6. Revisa la configuración de privacidad y seguridad de tus dispositivos con regularidad

7. Valora realizar tus compras online con una tarjeta que sólo utilices para eso

8. Utiliza contraseñas distintas en cada servicio de Internet. Para ello puedes ayudarte de un gestor de contraseñas.

¿Tienes alguna duda? Si quieres profundizar más sobre la protección de tus datos personales, sigue leyendo nuestros posts. También te recomendamos esta guía de la AEPD en la que te informan sobre todo lo que tienes que tener en cuenta para proteger tus datos a la hora de comprar por Internet. Y recuerda, en lo que a Internet se refiere, primero desconfía, después analiza y por último actúa solo en caso de saber que no estás ante un ciberdelincuente.

secretos_empresariales_proteccion de datos

Secretos empresariales y protección de datos – Parte 1

Los datos de una empresa es uno de los activos más valiosos. Y es que la información es poder. Hoy vamos a abordar la definición de lo que son los secretos empresariales, y la Ley de Secretos empresariales, arrojando un poco de luz sobre el tema y abordando la protección de los datos que generan.

Qué son los secretos empresariales

Los secretos comerciales son la información confidencial que tiene valor económico para una empresa y que puede ser utilizada para obtener una ventaja competitiva en el mercado.

La definición que da la LSE es muy amplia; considera secreto empresarial cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero. Pueden incluir diseños, fórmulas, procesos, estrategias comerciales, listas de clientes y un largo etcétera.

Para que pueda ser protegible como secreto empresarial, el conocimiento o la información debe ser secreta, lo que se traduce en que solo sea conocida por un número limitado de personas y no ser deducible por expertos del sector mediante observación o ingeniería inversa.

Ley que los ampara

La Ley de Secretos Empresariales tiene como objetivo proteger y garantizar la confidencialidad de la información empresarial que tiene valor económico y que se mantiene en secreto por la empresa. Esta ley establece que se considera secreto empresarial toda aquella información que:

  1. Tenga valor empresarial y económico.
    2. No sea de dominio público.
    3. Se haya establecido sólo para que los empleados o titulares de la empresa, disponiendo de medidas de protección suficientes. 

La LSE sólo será de aplicación cuando pueda acreditarse que la empresa ha adoptado medidas concretas para reforzar la seguridad de la información o conocimientos que se pretenden proteger. En particular, la protección de las empresas se debe basar en los siguientes pilares:

– Identificación de la información o conocimiento considerado como sensible.
– Adoptar medidas de seguridad que garanticen la seguridad.
– Medidas preventivas de carácter jurídico como la firma de acuerdos de confidencialidad.
– Medidas reactivas como la implantación de protocolos de actuación cuando se detecte la vulneración de las medidas de seguridad.

La ley de Secretos Empresariales establece que la divulgación, obtención y uso no autorizado de la información relacionada con secretos empresariales será considerado un delito.

En caso de vulneración de los secretos empresariales, la empresa afectada podrá demandar al infractor y solicitar medidas cautelares, así como una indemnización por los daños y perjuicios causados. En definitiva, el objetivo de esta ley es proteger a las empresas frente a la vulneración de su información confidencial y asegurar el derecho a mantener la confidencialidad de los secretos empresariales.

Hasta aquí la primera parte, en próximos posts abordaremos qué se considera una violación de secretos empresariales desde una perspectiva práctica.

 

 

nueva_ley_general_telecomunicaciones

Nueva Ley General de Telecomunicaciones

¿Cuántas veces por semana recibes llamadas de operadores regalándote un televisor a cambio de contratar un servicio? Demasiadas, ¿verdad? Este tipo de situaciones tan cotidianas y molestas se van a regularizar gracias a la Nueva Ley General de Telecomunicaciones que además de incentivar las inversiones de los operadores, tiene como principal objetivo mejorar la protección de los usuarios.

Hoy te contamos las principales modificaciones que propone este nuevo Proyecto de Ley tanto para operadores como para usuarios. ¿Vamos a ello?

 

Principales modificaciones

Operadores

Se crea un marco más adecuado para la realización de inversiones para el despliegue de redes de nueva generación, que permita ofrecer servicios innovadores y tecnológicamente más adecuados a las necesidades de los ciudadanos.

Establece que la Comisión del Mercado de Telecomunicaciones, a la hora de imponer obligaciones y condiciones de acceso a las redes debe tener en cuenta el riesgo inversor de los operadores.

Se promueve un uso más eficaz y eficiente del espectro radioeléctrico mediante la generalización de los principios de neutralidad tecnológica (utilización de cualquier tecnología) y de servicios (prestación de cualquier servicio).

Respecto a la designación de operador encargado de la prestación del servicio universal, se establece el mecanismo de licitación, mientras que hasta ahora sólo se acudía a este mecanismo si había varios interesados que así lo habían manifestado tras un proceso de consulta.

Además, los operadores que pongan su red a disposición de otras entidades para la realización de emisiones radioeléctricas deberán comprobar, previamente al inicio de dichas emisiones, que estas entidades dispongan del correspondiente título habilitante del dominio público radioeléctrico, lo que constituye una importante medida para evitar las emisiones ilegales de radio y televisión.

Usuarios

Las modificaciones introducidas refuerzan los derechos de los usuarios y su protección. Así, se establece que los usuarios finales tendrán derecho a recibir mayor información sobre las características y condiciones de provisión de los servicios y sobre la calidad con que se prestan (precios, limitaciones de las ofertas, etcétera).

También se protegen de modo más eficaz los datos de carácter personal. Por ejemplo, se aplican las normas de protección de datos a aquellos que se obtengan de las etiquetas de los productos comerciales mediante dispositivos de identificación que hacen uso del espectro radioeléctrico (RFID). Además, establece que se debe dar más información al usuario sobre los archivos o programas informáticos («cookies») que se almacenan en los ordenadores y demás dispositivos empleados para acceder a Internet con el propósito de facilitar la navegación por la red.

La nueva normativa precisa que el cambio de operador manteniendo el número (portabilidad) deberá realizarse en el plazo de un día laborable. Asimismo, mejora el acceso a los servicios para personas con discapacidad o con necesidades sociales especiales, estableciendo que deberá ser en condiciones equivalentes al del resto de los usuarios.

¿Qué cambia con la nueva Ley General de Telecomunicaciones?

Las empresas no podrán llamar a los usuarios con fines comerciales sin un consentimiento previo.

¿Qué pasa si me llama una teleoperadora fuera del hora establecido?

En el marco de la Ley de Defensa de los consumidores y Usuarios, el incumplimiento de esta norma llevaría a la apertura de un expediente sancionador. También abría la posibilidad de presentar reclamación ante la Agencia Española de Protección de Datos que en función de la gravedad, reincidencia, usuarios afectados, etc impondría sanción».

Una norma principal que regula de forma uniforme y omnicomprensiva el sector de las redes y servicios de comunicaciones electrónicas. Quedando excluidos de su regulación los servicios de comunicación audiovisual y los servicios de la Sociedad de la Información.

 

chatgpt_inteligenciaartificial

Peligros de privacidad: Chat GPT

Chat GPT es el desarrollo de inteligencia artificial más importante de los últimos años. El mes pasado hablábamos de su impacto en la protección de datos. Hoy profundizaremos en los peligros que supone para la privacidad. ¿Vamos a ello?

Partiendo de la base de que los chatbots se nutren de nuestros datos personales y cuantos más datos recopilen, más precisa es su capacidad, tanto para detectar patrones como para anticiparse y generar respuestas; los peligros de privacidad aumentan por enteros.

Si además tenemos en cuenta que la información que se usa para entrenar a productos de inteligencia artificial como Chat GPT, se obtiene de Internet y de datos personales que en su mayoría se recaban sin consentimiento de los usuarios, estamos ante un caso de incumplimiento de la normativa de privacidad.

 

Medidas que debería adoptar Chat GPT para cumplir con la normativa de privacidad

1. Informar sobre el tratamiento de datos. Qué datos se usan y para qué.

2. Informar sobre cómo los titulares se pueden oponer a que sus datos sean utilizados para entrenar los algoritmos e implementar mecanismos para ello.

3. Realizar campañas informativas en medios de comunicación

4. Establecer mecanismos para la exclusión del acceso al servicio a usuarios menores de 13 años.

Preceptos de la normativa de privacidad que no se cumplen

En primer lugar, se incumple el deber de información ya que, generalmente, no se proporciona información completa y transparente a los usuarios e interesados sobre el tratamiento que de sus datos hacen estos sistemas.

Además, el incumplimiento de los principios que deben regir el tratamiento de datos personales, entre ellos, el principio de exactitud. Dado que muchos de los datos introducidos en los sistemas son inexactos. Y en consecuencia se produce una desinformación a gran escala. En este sentido, una de las grandes preocupaciones derivadas del uso de sistemas como Chat GPT es la tendencia a “maquillar” la información y aumentar los sesgos en las respuestas proporcionadas al usuario.

Otra de las infracciones destacables es la ausencia de base legitimadora que ampare el tratamiento masivo de datos personales con la finalidad de entrenar los algoritmos que rigen el funcionamiento de los chatbots.

También se destaca la contravención del principio de confidencialidad y la falta de medidas de seguridad. Lo cual incrementa enormemente la posibilidad de brechas y ciberataques.

Por ello, podemos concluir que, aunque la IA tiene el potencial de transformar sectores, solucionar problemas, simplificar respuestas o ser una gran fuente de información. También puede representar grandes riesgos éticos y sociales.

Es importante resaltar que los sistemas de chatbots pueden reproducir, reforzar y amplificar patrones de discriminación y/o desigualdad. En consecuencia, la gestión irresponsable de los datos que pueden realizar estos sistemas, da resultados poco fiables. Que además pueden dañar el bienestar de la ciudadanía y la seguridad en el tráfico jurídico.

¿Se creará un marco regulatorio sólido a nivel mundial que regule los sistemas de inteligencia artifical como Chat GPT? En Bacaria lo seguiremos de cerca para mantenerte informado.

 

CHAT_GPT_OPENAI

Chat GPT y su impacto en la protección de datos

CHAT GPT es un producto de OPEN AI y es considerado el desarrollo de Inteligencia Artificial más importante de los últimos años. Se trata de un modelo de lenguaje entrenado (Generative Pretrained Transformer) para proporcionar respuestas coherentes y naturales a preguntas y comandos de texto. Se caracteriza principalmente por su capacidad para proporcionar respuestas coherentes a preguntas complejas y por su rápido aprendizaje y mejora de su rendimiento.

Entre sus principales tareas destacan las siguientes, traducir idiomas, escribir canciones, entradas de blogs, crear recetas de cocina, responder a preguntas de investigación, generar código e incluso ha llegado a aprobar exámenes en universidades.

¿Cómo funciona?

Cuando se le proporciona una entrada de texto, utiliza su modelo GPT para analizar el significado y el contexto de la entrada y generar una respuesta coherente, además CHAT GPT utiliza su conocimiento previo y su habilidad  para aprender continuamente para mejorar su rendimiento y proporcionar respuestas más precisas y relevantes a las preguntas de los usuarios.

¿Cómo utilizarlo?

Lo primero que hay que hacer es acceder a la página web Open AI https://openai.com/ y registrarse, una vez completado el proceso de registro, ya se accede a su programa de prueba gratuita, hay que tener en cuenta que es un producto que necesita subscrición de pago para acceder a todas sus funcionalidades.

En Bacaria, recomendamos que antes de usarlo se revisen sus políticas en https://openai.com/policies/usage-policies.

¿Cómo afecta CHAT GPT a la Protección de datos?

Hay que destacar que CHAT GPT en sí mismo no recopila datos personales, pero si el usuario los introduce en el chat, este los procesa y genera respuestas a partir de la información del usuario. Además puede acceder a la dirección IP, el tipo y la configuración del navegador, principalmente por temas de seguridad.

Es recomendable no introducir información personal, confidencial o datos sensibles, ya que el equipo responsable del desarrollo y mantenimiento de CHAT GPT puede revisar conversaciones para mejorar los sistemas y con fines de calidad.

Además, OPEN AI asegura que utiliza medidas de seguridad informática, como encriptación de datos, acceso limitado a servidores y la eliminación regular de datos de los usuarios para evitar cualquier riesgo de exposición y vulnerabilidades.

¿Qué debo tener en cuenta, en materia de protección de datos, si quiero implementar un chatbot con CHAT GPT en mi empresa?

Dicha empresa como responsable del tratamiento de los datos tratados a través del chatbot con CHAT GPT, debe tener en cuenta las siguientes implicaciones:

  1. Identificar los tratamientos de datos personales que se van a llevar a cabo con CHAT GPT en su Registro de actividades de tratamiento.
  2. Usar una base de legitimación de las recogidas en el artículo 6 del RGPD.
  3. Cumplir con el deber de informar sobre el tratamiento de datos de forma clara y sencilla al interesado/usuario del chatbot.
  4. En el caso, de que el chatbot con CHAT GPT, sea proporcionado por un proveedor de servicios, se debe llevar a cabo la firma de un contrato de encargo de tratamiento, por el caso contrario si es implementado directamente por la empresa se debe firmar un contrato de encargo con OPEN AI, para ello debes ponerte en contacto a través de su correo electrónico proporcionado en su página web e indicarle que necesitas firmar dicho contrato de encargo de tratamiento.
  5. Llevar a cabo una Evaluación de Impacto de protección de datos para analizar las características del Chatbot con CHAT GPT, como se recopilan y utilizan los datos personales, el impacto en los derechos y libertades y qué medidas se tomarán para proteger los datos personales y mitigar los riesgos de privacidad.

En resumen, como se puede apreciar la utilización de este tipo de tecnologías puede conllevar un riesgo en privacidad, por lo que debe tenerse en cuenta lo estipulado en el Reglamento de Protección de datos y otras normas complementarias, en Bacaria tenemos un equipo especializado en Inteligencia Artificial y privacidad y estaremos encantados de ayudarte.

 

 

 

aplicaciones_moviles_datos

Aplicaciones móviles y protección de datos

Las aplicaciones móviles, como las redes sociales y otros muchos canales y plataformas online; son grandes recolectores de datos. De hecho gran parte de su volumen de negocio está estrechamente ligado al potencial del Big Data que se genera como consecuencia de su actividad. De modo que los usuarios de aplicaciones móviles, son especialmente vulnerables en lo que a protección de datos se refiere. Hoy hablaremos de algunos requisitos que deben cumplir para no vulnerar los derechos de los usuarios.

 

Requisitos sobre protección de datos que deben cumplir las aplicaciones móviles

  1. La información proporcionada a los usuarios sobre el tratamiento de sus datos personales debe cumplir los requisitos establecidos en los artículos 13 y 14 del RGPD y el artículo 11 de la LOPDGDD, en particular con respecto a la información por capas, en los términos señalados en la “Guía para el cumplimiento del deber de informar” y el “Decálogo para la adaptación al RGPD de las políticas de privacidad en internet”.

Dicha información, en forma de política de privacidad, debe estar disponible tanto en la propia aplicación como en la tienda de aplicaciones. Así, el usuario podrá consultarla antes de instalar la aplicación o en cualquier momento durante su uso.

 

  1. El acceso a la política de privacidad debe poder hacerse de forma sencilla desde la aplicación, y requerir del usuario un número de interacciones A ser posible a un máximo de dos clics como recomienda el GT29 en sus directrices sobre la transparencia.

 

  1. El responsable de tratamiento tiene que identificarse claramente en la política de privacidad, y en aquellos casos de responsables de tratamiento establecidos fuera de la UE y que ofrecen sus aplicaciones para usuarios en Europa, deben haber designado un representante en la UE e identificarlo igualmente en lapolítica de privacidad.

 

4. La información sobre el tratamiento debe ser completa y consistente tanto en la tienda de aplicaciones, como en la aplicación. No puede haber discrepancias y también es aplicable en el caso de aplicaciones preinstaladas en los dispositivos.

5. El lenguaje en el que se describen las políticas de privacidad debe ser adecuado para el usuario objetivo de la aplicación. Teniendo en cuenta su edad y su nivel de conocimiento. Además, también se tendrá en cuenta el idioma empleado. Por ejemplo, aplicaciones disponibles en castellano y destinadas por tanto a usuarios hispanohablantes, deben proporcionar la política de privacidad en castellano, sin perjuicio de que pueda mostrarse en otros idiomas. Estos aspectos son especialmente  relevantes en el caso de aplicaciones destinadas a menores.

6. Las políticas de privacidad deben ser concretas y específicas sobre el tratamiento de datos personales que se lleva a cabo. Para evitar la “fatiga informativa” se debe evitar proporcionar información de carácter genérico, no específica de la      aplicación. La política de privacidad ha de evitar, por ejemplo, describir un conjunto de aplicaciones u otros servicios de la organización como su página web.

7. En la política de privacidad de la app debe proporcionarse al usuario toda la información sobre el tratamiento de los datos personales que pretende realizar. Información precisa sobre qué datos y tratamientos son necesarios para el funcionamiento básico de la aplicación, cuáles son opcionales, y toda la información adicional relevante del tratamiento que se va a realizar con los datos.

Además, se deben indicar los permisos que puede solicitar la aplicación para el acceso a datos y recursos, para qué tratamientos y finalidad se solicitan esos permisos y con qué extensión. Por ejemplo, ha de informar si la aplicación tratará los datos únicamente cuando se está ejecutando por acción del usuario en primer plano o necesita acceder también cuando se ejecuta en segundo plano. También se debe facilitar al usuario información relativa a la forma en la que puede gestionar los permisos otorgados a la aplicación de manera que pueda decidir en todo momento si decide otorgar o revocar dichos permisos, o en qué condiciones los otorga.

Estos son algunos de los requisitos que se les exige a las aplicaciones móviles en materia de protección de datos. Aunque existen más que os explicaremos en otro post. Recuerda que ante cualquier necesidad de asesoramiento en materia de derecho digital, en Bacaria estaremos encantados de ayudarte.

datos_Actividad_publicitaria

Tratamiento de datos en la actividad publicitaria

A comienzos de noviembre de 2020, la Agencia Española de Protección de Datos aprobó el primer código de conducta bajo el Reglamento General de Protección de Datos (RGPD). El Código de Conducta de Tratamiento de Datos en la Actividad Publicitaria.

El documento fue presentado por Autoconotrol, Asociación para la Autorregulación de la Comunicación Comercial. Y su contenido fundamental es establecer un sistema extrajudicial para tramitar reclamaciones sobre protección de datos y publicidad, ágil, eficaz y gratuito para los consumidores.

En enero de este año, se aprobó la modificación del mismo con el objetivo de resolver de forma más ágil las reclamaciones en materia de protección de datos y publicidad que puedan plantear los ciudadanos.

Los códigos de conducta, en materia de protección de datos, son mecanismos de cumplimiento en los que se establecen reglas específicas para categorías de responsables. O encargados del tratamiento con la finalidad de contribuir a la correcta aplicación del Reglamento General de Protección de Datos (RGPD). Y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.

La publicidad no deseada es una de las quejas más frecuentes planteadas ante la Agencia. Por lo que la presentación de reclamaciones a través de Autocontrol y de este código de conducta, abierto a todas las empresas que desarrollen actividades publicitarias, va a permitir establecer un procedimiento de mediación voluntario y gratuito para el ciudadano para dar una respuesta más ágil a las reclamaciones que los ciudadanos planteen.

Este código de conducta se aplica a los tratamientos de datos con fines publicitarios o que traten sobre publicidad. Como envío de comunicaciones comerciales, promociones realizadas con objeto de recoger datos personales para utilizarlos con fines publicitarios. También uso de cookies y tecnologías equivalentes para la realización de publicidad comportamental o elaboración de perfiles con fines publicitarios, entre otros.

Autocontrol dispone de un sistema de resolución extrajudicial para resolver controversias que surjan entre los ciudadanos y las entidades adheridas al código con motivo de tratamientos de datos realizados en el ámbito de la actividad publicitaria. De modo que estudiará las reclamaciones recibidas, iniciando el procedimiento de mediación. La entidad a la que se reclame deberá responder en el plazo máximo de 15 días, proponiendo las actuaciones que considere pertinentes para la mediación. La duración máxima del procedimiento será de 30 días.

Por otro lado, cuando las reclamaciones en materia de protección de datos y publicidad contra las entidades adheridas se planteen directamente ante la Agencia, ésta podrá remitírselas al Jurado de la Publicidad, en su condición de organismo de supervisión del código de conducta, para iniciar el procedimiento de mediación. Su duración máxima en este caso será de 27 días, informando a la Agencia del acuerdo que se alcance.

Aunque Autocontrol gestiona estas reclamaciones de forma gratuita, en Bacaria también podemos ayudarte. Si necesitas asesoramiento en materia de protección de datos u otras cuestiones relacionadas con el derecho digital en cualquiera de sus vertientes, contacta con nosotros.

puntos_clave_RGPD

6 puntos clave para cumplir con la RGPD

Como sabrás en 2018 se hizo de obligado cumplimiento el famoso Reglamento General de Protección de Datos (RGPD). Momento desde el cual las sanciones en materia de protección de datos aumentó considerablemente.

La Agencia Española de Protección de Datos impuso casi 300 sanciones con una cuantía de 23 millones de euros en total el año pasado. Siendo Google la empresa más perjudicada con una multa de 10 millones de euros por no gestionar de forma adecuada las solicitudes de derecho al olvido de los usuarios.

Si tienes una empresa entendemos que estás asesorado en esta materia, de lo contrario toma cartas en el asunto. Hoy te contamos 6 puntos clave para cumplir con la RGPD. Comprueba que los cumples todos y evita sanciones.

Puntos clave cumplimiento RGPD:

 

  1. Demuestra el cumplimiento de la normativa

No solo debes cumplir con la normativa, sino que debes poder demostrar que la estás cumpliendo.

  1. Analiza tu política de privacidad

Debe ser un texto claro y transparente, donde informes a tus clientes con detalle sobre cómo tratas sus datos, ofreciéndoles unos acuerdos de privacidad que sean transparentes y que ayuden a generar confianza.

Recuerda que los usuarios que te proporcionen sus datos deben haber leído y estar de acuerdo con tu política de privacidad. Por lo que es importante que introduzcas este apartado en tu web e incluyas una casilla de aceptación de privacidad en los formularios.

  1. Cumple con los derechos de los usuarios

Los usuarios tienen derecho a la eliminación de sus datos de tu base de datos. Así como a saber qué información tiene tu empresa acerca del mismo, y en qué momento los cedió, o por qué medio se han conseguido.

En este sentido también debes implementar procedimientos para gestionar de una manera adecuada los derechos de los interesados que son: acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento y oposición a ser objeto de decisiones individuales automatizadas.

  1. En caso de filtración, informa a los interesados

Si detectas la filtración de datos a terceros, tienes 72 horas para informar a las personas afectadas. Si como consecuencia de un ataque informático o un fallo de seguridad informática, la privacidad de los datos que estás obligado a guardar y proteger se ha visto afectada, debes comunicarlo a los interesados.

  1. Designa un Delegado de Protección de Datos

También tienes que tener un responsable de datos y un delegado de protección de datos experto que te ayude a cumplir con tus responsabilidades para el cumplimiento de la normativa. De modo que si no lo tienes, en Bacaria estamos especializados en derecho digital y podemos asesorarte.

  1. No envíes comunicaciones sin consentimiento

Salvo las excepciones que ya planteaba la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico: que exista una relación contractual previa y que los productos o servicios que se publiciten sean similares a los contratados.

 

Aunque el RGPD contiene más puntos que se deben cumplir. En este artículo hemos resumido los más básicos. A groso modo se trata de asegurar la transparencia en el tratamiento de los datos y de la información de nuestros clientes. Asegúrate de que cumples con la normativa y si no es así contacta con nosotros, podemos ayudarte.

 

 

seguridad niños teléfono móvil

Seguridad con el teléfono móvil para niños

Si tienes hijos, sabrás lo insistentes que son  a la hora de pedir teléfono móvil. Y de esa insistencia surge la preocupación de los padres por protegerlos, ya que en el momento en que decidimos que ya es momento, les damos acceso a gran cantidad de información, relaciones y contenidos de los cuales hay que protegerlos. Hoy hablamos sobre 8 puntos clave sobre seguridad con el móvil para niños. Esperamos que te sirva.

 

8 claves sobre seguridad con el móvil para niños

 

1. Planifica la llegada del teléfono móvil

Niños, niñas y adolescentes manejan la tecnología desde que son muy pequeños, pero no siempre son conscientes de los riesgos a los que pueden exponerse. Cuando decidimos que es el momento de que tengan móvil, les damos la posibilidad de acceder a una gran variedad de información, relaciones y contenidos. Por eso, antes de tomar esta decisión es importante valorar su grado de madurez en función de su edad. Te recomendamos que hagáis una especie de contrato con normas de uso, de forma que se establezca un compromiso por ambas partes.

 

2. Supervisa y pon normas y límites

Sus prioridades deben quedar claras. De manera que el móvil no les quite tiempo de otras actividades clave en su desarrollo como dormir, estudiar, jugar, etc… Asignar unas horas determinadas para usarlo funciona bien si se cumple. Así como prohibir su uso en el colegio, y a las horas de comer y estudiar.

Al principio puedes ayudarte de algún software de control parental, pero no te relajes, en tu mano está la mejor supervisión. Ten en cuenta que un bloqueo excesivo puede ser contraproducente. Mantén abierta la posibilidad de desbloquear contenido de interés y apropiado para su nivel de madurez, y acuerda con ellos los filtros, restricciones y tiempos.

 

3. Cuidado con las redes sociales

Aunque hay que ser cauteloso con el acceso a Internet en general, en el caso de las redes sociales la seguridad debe agudizarse, dado que además de acceder a contenidos que pueden no ser adecuados para ellos, entran a establecer conversación con otras personas. Así que toma nota de estos 4 puntos básicos:

  • Guíales en las redes sociales, cuáles pueden utilizar y cuáles no.
  • Conversa sobre los peligros que se pueden encontrar en internet y las redes sociales y sobre el manejo de sus datos, que quizás pueden ver más personas de las que esperan.
  • Configurad juntos el perfil de la red social para que no todo el mundo pueda ver lo que se publica.
  • Escoged qué información del perfil es pública y qué usuarios pueden acceder a ella estableciendo distintos niveles de privacidad.

Igualmente, en cada publicación que se haga en una red social, enséñale a configurar quién puede verla. Ten en cuenta que los menores de 14 años necesitan tu consentimiento para darse de alta. Asegúrate de que solo se incluyen los datos estrictamente necesarios para completar el registro y no utilicéis su nombre verdadero sino un nick o apodo.

4. No todos los videojuegos valen

El dispositivo que más se usa para jugar es el móvil. Los videojuegos ofrecen entretenimiento, socialización y aprendizaje. La mayoría ya no son una fuente de ocio solitaria sino conectada con otras personas, lo que conlleva las ventajas y riesgos de las redes sociales y, por lo tanto, aplicar las mismas precauciones.

Ofréceles juegos adecuados a su edad y madurez. No todos los videojuegos suponen el mismo grado de exposición a contenidos inapropiados (violencia, sexo, lenguaje ofensivo, etc.). Acompañarles en su vida digital también significa supervisar a qué juegan, cuánto tiempo le dedican y cómo se comportan.

 

5. Conoce con quién hablan

¿Con quién juegan? ¿qué contactos tienen en sus redes sociales? ¿a qué personas siguen? Respetando su privacidad, interésate por estas cuestiones. Enséñales a no compartir información ni fotografías personales con desconocidos, ya que puede llevar

a situaciones de ciberacoso, chantaje o grooming. Es muy importante también que no acepten ni añadan como contacto en ninguna plataforma o servicio a personas a las que no conoce en la vida real.

 

6. Estimula su sentido crítico

Antes de publicar en redes o reenviar fotos, vídeos o audios en los que aparecen otras personas, deben asegurarse de que la otra persona está de acuerdo con que se haga. No deben difundir información sobre otras personas por internet sin su consentimiento. Tampoco deben crear o difundir informaciones falsas o mal intencionadas. Explícales las posibles consecuencias de lo que se envía o se publica. Lo que hoy parece algo simpático o una buena idea puede tener consecuencias impredecibles.

 

7. Garantiza un espacio de desconexión

Comparte con ellos la necesidad de tener momentos libres de tecnología para toda la familia que permitan el acceso a otro tipo de experiencias que beneficien su desarrollo,o simplemente porque necesiten estar concentrados en sus estudios o su descanso. Fijadlos de mutuo acuerdo para evitar el uso problemático y adictivo a las pantallas y aprovechad para generar relaciones personales positivas.

 

8. Observa cómo se siente en su vida digital

Identifica de manera temprana cualquier situación que esté afectando a su bienestar físico y mental. Presta atención a sus emociones, especialmente a cambios de humor o reacciones fuera de lugar tras períodos de uso intensivo. Estos comportamientos nos pueden revelar otros problemas que, no siendo causados por la tecnología, se manifiesten en su interacción. Conversa y mantén tu interés en su experiencia digital. Y si crees que es necesario consulta con profesionales sanitarios y educativos y expresa tus dudas.

 

 

minimizar_seguimiento_en_internet

10 medidas para minimizar el seguimiento en Internet

¿Cansado de que te persigan las cookies? Hoy te explicamos cómo minimizar el seguimiento en Internet. No sólo como consecuencia de las famosas cookies, cuyo objetivo es obtener datos de los usuarios para elaborar perfiles y en la mayoría de casos, ofrecer publicidad ajustada a los intereses y características concretas de cada individuo; sino también de otros métodos con el mismo fin.

Algunas de las técnicas de seguimiento aparte de las cookies son las basadas en identificadores únicos de publicidad, o las implementadas mediante obtención de la huella digital del dispositivo. En los navegadores, el Local Storage e IndexedDB permite almacenar y recuperar información en el dispositivo mientras navegas, y se usan para el seguimiento de la actividad de los usuarios. Los registros de actividad de los servidores (logs) también se pueden usar con el mismo objetivo mediante la correlación de la información almacenada en diversos sitios.

Ahora que ya tienes claros los diferentes métodos a través de los cuales tu privacidad se puede ver afectada, vamos a ver cómo logran acceder a tus datos. Estas técnicas de seguimiento de usuarios no se limitan a los ordenadores. Teléfonos móviles, tabletas y otros dispositivos inteligentes, como las Smart TV, utilizan identificadores únicos de publicidad. Estos identificadores se envían a servidores de Internet cuando se usa una App y ante determinados eventos, permitiendo la singularización y el seguimiento del usuario.

Por otra parte, al inciar sesiones con una cuenta de correo electrónico o a través de nuestra cuenta de Facebook o Instagram, permitimos que accedan directamente a nuestro correo y aplicaciones. Con la sesión de usuario iniciada, el historial de navegación puede estar siendo enviado automáticamente al proveedor de ese servicio.

10 prácticas para minimizar el seguimiento en Internet y la exposición de tus datos personales

  1. Consulta los últimos análisis que se publican sobre los navegadores y aplicaciones que instalas y utilizas en tus dispositivos y elige en función de sus prácticas.
  2. Actualiza tu navegador para beneficiarte de las últimas tecnologías de protección anti-rastreo.
  3. Evita instalar aplicaciones innecesarias.
  4. Activa la protección avanzada anti-rastreo/seguimiento en la configuración de tu navegador y elige el nivel más elevado para evitar ser rastreado y proteger la privacidad de tus datos.
  5. Configura tu navegador para bloquear las cookies de terceros.
  6. Instala dos navegadores. Uno con una configuración más restrictiva y otro más benevolente. Así si las configuraciones restrictivas de tu navegador te impiden acceder a determinados contenidos de tu interés, podrás acceder a través del otro navegador, minimizando la exposición de tus datos. Otra manera de poder acceder a sitios que exigen un mayor acceso a tus datos es añadir una excepción en la configuración de ese navegador.
  7. Configura tu navegador de forma que al cerrarse se eliminen las cookies o bórralas manualmente una vez a la semana.
  8. Evita iniciar sesión identificándote con un usuario en la medida de lo posible o por lo menos evita que la sesión se mantenga abierta.
  9. Configura el navegador para no sincronizar tus datos de navegación con tu usuario de sesión.
  10. Revisa y configura las opciones de personalización, perfiles y publicidad de aquellas aplicaciones, servicios y redes sociales que utilices.

 

Si bien es cierto que mantener tus datos personales completamente a salvo es misión imposible si eres de este planeta, estas recomendaciones te ayudarán a reducir el seguimiento en Internet . ¿Listo para empezar a ponerlas en práctica?

ai-inteligencia-artificial-bacaria

Ingeligencia Artificial, privacidad y seguridad

El potencial de la Inteligencia Artificial (IA) y las oportunidades que aporta a los individuos y al conjunto de la sociedad, son innegables. Pero ello también conlleva un riesgo cuando las empresas o las entidades públicas utilizan esta tecnología inteligente. Las corporaciones deben ser conscientes de los riesgos y proteger los derechos y libertades de estos individuos a la hora de tratar estos datos personales.  

¿Cómo se utilizan los datos? ¿Se procesan de forma justa, transparente y legal? ¿Están a buen recaudo? ¿Los usuarios entienden cómo se usan y qué se hace con ellos? Estas son algunas de las cuestiones que más preocupan, ya que el tratamiento de esta información es, en muchas ocasiones, hermética y/u opaca. 

Y es que hace apenas dos décadas, la cantidad de información que se manejaba era muy limitada. Por lo que resultaba fácil tener un control sobre quienes trataban estos datos y qué hacían con ellos. Pero en la actualidad el tratamiento de información se dispara. Según un estudio elaborado por Domo Business Cloud, en 2020 se realizaron aproximadamente 1.388.889 llamadas de voz o videollamadas, se publicaron en Instagram 347.222 Stories, se subieron a Facebook 147.000 fotos o se enviaron por Whatsapp 41.666.667 mensajes. Y esto es solo un pequeño ejemplo. Según el Informe Cisco Visual Networking Index (VNI) el tráfico de datos móviles en nuestro país se va a situar en 2022 en los 6,3 exabytes, el equivalente a mil millones de gigabytes, mientras que el número de usuarios móviles será de 41 millones (el 88% de la población) y habrá 103 millones de dispositivos con conexión a Internet.

La AEPD publica un documento con los aspectos a tener en cuenta en materia de IA

Esto ha llevado a la Agencia Española de Protección de Datos (AEPD) a publicar un documento que aborda estas inquietudes y cita los aspectos fundamentales a tener en cuenta a la hora de diseñar y lanzar productos y servicios que precisen del tratamiento de datos personales con el uso tecnologías de Inteligencia Artificial. En el documento se presta especial atención a: la legitimación para el tratamiento, la información y transparencia, el ejercicio de derechos, las decisiones automatizadas, la exactitud, la minimización de datos, la evaluación de impacto y el análisis de la proporcionalidad del tratamiento, como exigencias que deben cumplir los tratamientos llevados a cabo con Inteligencia Artificial.

Además, cabe destacar dos problemáticas importantes, que aún necesitan más desarrollo:

  • La perspectiva ética de la IA, que persigue valores como la dignidad, la libertad, la democracia, la igualdad, la autonomía del individuo y la justicia frente al gobierno de un razonamiento automático.
  • La dificultad que conlleva el ejercicio de derecho de supresión, respecto a los datos obtenidos a través del machine learning, ya que a día de hoy no existe normativa que desarrolle este aspecto.

Pero como señala al final del documento en las principales conclusiones, esa guía trata de ser una “mera introducción a la adecuación de los tratamientos que incluyan componentes de IA y no cubre todas las posibilidades y riesgos que se pueden derivar del empleo de soluciones en IA en tratamientos de datos personales”.  

De momento, la Propuesta de Reglamento Europeo por el que se establecen normas armonizadas en materia de Inteligencia Artificial, como normativa más reciente nos guía sobre aspectos como el respeto a la intervención y supervisión humana, la responsabilidad civil para proteger a los ciudadanos de la unión y los derechos de propiedad intelectual, y con ello el registro de las patentes y los nuevos procesos creativos.

BACARIA, a la vanguardia en Big Data e Inteligencia Artificial

En la actualidad, si bien aún estamos en la fase inicial de desarrollo de la Inteligencia Artificial, es el “ahora o nunca”. El momento perfecto para trabajar en el cumplimiento de las normas y garantizar la privacidad de los usuarios. Sin duda es un reto al que nos sumamos desde BACARIA. Por eso, desde nuestro departamento especializado en Big Data e Inteligencia Artificial, trabajamos a fondo para comprender los cambios en esta materia. Y poder así proteger a los usuarios en esta nueva era tecnológica.

Desde hace años, ofrecemos asesoramiento sobre decisiones automatizadas y uso de inteligencia artificial o perfilados. Ayudamos a elaborar códigos de conducta ética. O trabajamos para la correcta implementación de normas, estándares y procedimientos de uso y funcionamiento de robots inteligentes.

 

Esquema-Nacional-Seguridad-ISO

Esquema Nacional de Seguridad e ISO/IEC 27001

Vivimos en un mundo cada vez más conectado y en el que la tecnología avanza demasiado rápido, lo que da lugar a nuevos peligros que ponen en riesgo la información y los servicios de las organizaciones.

Una buena manera de prevenir y gestionar estos riesgos es implantar un SGSI, un Sistema de Gestión de la Seguridad de la Información conforme al Esquema Nacional de Seguridad o la ISO/IEC 27001, lo que nos ayudará principalmente a conocer, gestionar y minimizar riesgos.

¿Qué es el Esquema Nacional de Seguridad?

Se trata del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, en el ámbito de la Administración electrónica, que posteriormente fue modificado por el Real Decreto 951/2015 y a día de hoy, se espera una nueva actualización tras la publicación hace unos meses del Proyecto de Real decreto.

Se trata de una regulación que aplica de manera obligatoria a las Administraciones Públicas y a las empresas del sector privado que presten servicios a alguna administración pública y manejen información de esta.

Está formado por:

 

 

 

 

 

 

 

 

Estos principios básicos y requisitos mínimos sirven de base a las 75 medidas de seguridad. Para poder aplicar las medidas necesarias se debe categorizar el sistema en BAJO / MEDIO / ALTO, valorando la información y servicios en las cinco dimensiones de disponibilidad, confidencialidad, integridad, trazabilidad y autenticidad.

 

¿De qué se trata la ISO/IEC 27001?

Se trata de una norma internacional emitida por la Organización Internacional de Normalización (ISO), que garantiza la confidencialidad, integridad y disponibilidad de la información, los datos y los sistemas que la procesan.

Esta norma internacional especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información en el contexto de la organización.

Se trata de una norma totalmente voluntaria y en su Anexo A, o lo que es lo mismo la ISO / IEC 27002, incluye 114 controles estructurados en 14 secciones:

 

Ventajas de implementar la ISO/IEC 27001 y el Esquema Nacional de Seguridad.

Su finalidad común es reducir el riesgo ofreciendo mayor control de la información, disminuyendo los daños potenciales, mejorando la productividad de los empleados y la fiabilidad de los sistemas.

Obviamente, aunque pongamos medidas, los hechos pueden suceder y suceden, pero debemos tener un buen plan para reducir los riesgos al mínimo posible e intentar saber cuándo y cómo seremos atacados.

La seguridad cero no existe, pero intentaremos reducir la probabilidad y así conseguir un nivel de seguridad aceptable.

 

Principales diferencias y relaciones que existen entre la ISO/IEC 27001 y el Esquema Nacional de Seguridad.

Gris-Temática-de-Café-Portada-de-Facebook-1

EL CERTIFICADO VERDE DIGITAL O CERTIFICADO SANITARIO COVID DE LA UE

El Parlamento Europeo aprobó por procedimiento de urgencia el pasado 25 de marzo el Certificado Verde Digital para acelerar la implantación del llamado pasaporte verde de la UE. El Certificado y su contenido El Certificado Sanitario COVID, también conocido como Certificado Verde Digital se espera que esté operativo en junio de 2021, como un documento de […]

Gris-Temática-de-Café-Portada-de-Facebook

SOLUCIONES DE CIBERSEGURIDAD PARA INCIDENCIAS SOBRE PROTECCIÓN DE DATOS PERSONALES

El Reglamento General de Protección de Datos (UE) 2016/679 regula el control de las incidencias de seguridad que afectan a datos personales por parte del responsable del tratamiento. Este control preceptivo exige el diseño de un protocolo para gestionar las incidencias de seguridad relativas a datos personales y, si procediera, notificar y comunicar la violación […]

Gris-Tematica-de-Cafe-Portada-de-Facebook

CARTA DE DERECHOS DIGITALES

La nueva Carta de Derechos Digitales promovida por la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital pretende reforzar los derechos digitales contemplados en la Ley Orgánica de Protección de Datos y Derechos Digitales (LOPDGDD). Objetivos de la Carta A pocos días de celebrar el Día de […]

Protección de datos y comunicaciones comerciales

COMUNICACIONES COMERCIALES: CLAVES PARA SU CORRECTA GESTIÓN

Cómo puedo enviar comunicaciones comerciales de forma legítima Envío de comunicaciones comerciales El envío de comunicaciones comerciales siempre ha generado dudas. Si bien es cierto que después de la entrada en vigor del Reglamento General de Protección de Datos se alimentó la teoría de que quedaba restringida esta actividad y el tratamiento de datos que […]

Gris-Temática-de-Café-Portada-de-Facebook-2

EL ENCARGADO DEL TRATAMIENTO: CÓMO IDENTIFICARLO Y REGULARLO

Identificar a los Encargados del Tratamiento Es muy común que las empresas y organizaciones cuenten con terceros proveedores de servicios para complementar sus negocios. El contrato con estos terceros puede tener como objetivo la ejecución de servicios diversos que en ocasiones implicará el acceso y tratamiento de datos de datos personales. Cuando estos terceros tratan […]

Gris-Temática-de-Café-Portada-de-Facebook-1

VIDEOVIGILANCIA Y PROTECCIÓN DE DATOS (2)

Videovigilancia como actividad de tratamiento El tratamiento de datos personales a través de sistemas de cámaras de videovigilancia constituye una Actividad de Tratamiento por parte de los responsables y también de los encargados de tratamiento. Será así en aquellos casos en que el servicio sea externalizado, formalizando, en este caso, un contrato de encargo del […]

Untitled-design

¿PUEDE LA EMPRESA OBLIGAR AL TRABAJADOR A DESCARGARSE Y USAR LA APP RADARCOVID?

La Confederación Española de Organizaciones Empresariales (CEOE) anunció en agosto que estaban muy interesados en solicitar una adaptación empresarial de la App estatal de trazado de contactos RadarCovid y que en principio lanzarían su propuesta en septiembre. Parece que la Secretaria de Estado de Digitalización e Inteligencia Artificial, Carme Artigas, recogió el guante, porque este […]

Gris-Temática-de-Café-Portada-de-Facebook

CARNÉ DE INMUNIDAD DEL COVID-19, MEDICIONES DE TEMPERATURA Y PROTECCIÓN DE DATOS

Carné de “inmunidad” del Covid-19 Con relación a la pandemia desatada por el Covid-19, se habla del denominado “carné de inmunidad”, una acreditación que se otorgaría a todas las personas que hubieran pasado la enfermedad y que, gracias a los anticuerpos generados, se verían inmunizadas y podrían tener mayor libertad de movimientos que aquellas que […]

Estudio-de-Fotografía-Portada-de-Facebook

SEGURIDAD EN LAS COMPRAS ONLINE EN TIEMPOS DE COVID-19

Introducción Los datos publicados en los medios indican que en estos tiempos de confinamiento las compras online han aumentado exponencialmente. El Instituto Nacional de Ciberseguridad (INCIBE) y la Agencia Española de Protección de Datos (AEPD) dieron a conocer hace un par de años una guía sobre compra segura en internet, vigente aún a día de […]

Mobile Lunch and Tech Spirit Barcelona

Este año la feria internacional Mobile World Congress (MWC), que lleva celebrándose ya varios años en la ciudad de Barcelona, se ha visto en la situación de tenerse que suspender por motivos de salud ciudadana. Una circunstancia que ha supuesto un golpe para todos aquellos amantes y profesionales de la tecnología que año tras año participan en esta feria internacional. Pero los ánimos no decayeron del todo, así que pese a todos los inconvenientes, gracias a las iniciativas y ponténcia del tejido emprendedor […]

Regtech vs. Legaltech

Con el aumento del uso y desarrollo de las tecnologías en la actualidad se han creado nuevas formas de actuación adaptadas en todos los ámbitos. Así, han nacido las regtech y las legaltech. Se trata de dos ámbitos de negocio que, aunque puedan confundirse, son vertientes distintas pero complementarias entre ambas. En concreto, se trata de dos tipos de startup que pretenden responder a las necesidades legales y regulatorias […]

Canal prioritario de la AEPD

La Agencia Española de Protección de Datos (AEPD) ha creado recientemente el Canal prioritario cuya funcionalidad es ser la herramienta a través de la cual se pueda comunicar la difusión ilícita de contenido sensible. En concreto, se pretende poder ofrecer una respuesta rápida en situaciones excepcionalmente delicadas. Entre ellas, aquellas que incluyen la difusión de contenido sexual o violento que pueden llegar a suponer una humillación pública de las víctimas.  Aprovechando que […]

Anteproyecto de la Ley de Fomento del Ecosistema de Startups

El Gobierno Español actual tiene como uno de sus objetivos principales el fomento de una normativa que ayude a las startups a promorcionarse. Se trata de adaptar la legislación del país a la nueva realidad. El pasado 18 de diciembre de 2018, la Secretaría de Avance Digital del Ministerio de Economía y Empresa, publicó una Consulta Pública en su portal web, […]

¿Qué hago si se difunden imágenes mías sin consentimiento?

La publicación de imágenes sin el consentimiento de su titular es una práctica cada vez más habitual en el mundo digital. Ahora bien, que se haga no significa que sea legal. De manera que existen métodos de defensa en el caso de apoderamiento y difusión de imágenes, vídeos o archivos personales íntimos.    La Agencia Española de Protección de Datos (AEPD) ha […]

Los nuevos derechos digitales. Novedades normativas que traerán cambios a empresas y organizaciones

Introducción  Con la celebración el pasado 28 de enero del Día de Protección de Datos (Data Privacy Day). Y, además, con las recientes normativas en materia de protección de datos que han reforzado o regulado nuevos derechos, aprovechamos este post para profundizar un poco sobre los nuevos Derechos Digitales. Así pues, en el post vamos […]

La nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales

El pasado 6 de diciembre fue publicada la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales. Su objetivo es adaptar el ordenamiento jurídico espanyol al Reglamento General de Protección de Datos (RGPD) y completar sus disposiciones. Recordemos que dicho reglamento fue de obligada aplicación el pasado 25 de mayo de […]

Real Decreto-ley: seguridad de las redes y sistemas de información

INTRODUCCIÓN  El pasado 6 de julio de 2016 se aprobó la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión. Es la conocida Directiva NIS (network and information systems). Esta nueva normativa iba destinada a la […]

El nuevo RGPD y la videovigilancia de los trabajadores

INTRODUCCIÓN Introducir videovigilancia en las empresas es un buen método para controlar y evitar que se produzcan accidentes durante la jornada laboral. Sin embargo, también puede contraer problemas sobre todo en lo que se refiere a la privacidad del trabajador. Así pues, ¿el control del empresario a sus empleados es ilimitado? ¿Los trabajadores pueden reclamar […]

MÁSTER EN DERECHO DE LA SOCIEDAD DE LA INFORMACIÓN DE CAMPUS – ICAB – OCTAVA EDICIÓN

5 RAZONES PARA ELEGIR EL MÁSTER EN DERECHO DE LA SOCIEDAD DE LA INFORMACIÓN DE CAMPUS-ICAB – OCTAVA EDICIÓN 1. Porqué abarca todos los contenidos para ejercer la práctica jurídica como abogado especialista en derecho digital. En los distintos módulos del Máster abordamos las diferentes legislaciones aplicables a entornos virtuales y electrónicos, desde protección de […]

Big Data

CONCEPTO El Big Data es conocido en español por una gran variedad de nombres como grandes datos o macrodatos, entre otros. En definitiva, se trata de un concepto que hace referencia al almacenamiento y la gestión de una cantidad muy elevada de datos para distintos fines. No hay un número exacto de datos a través […]

E-commerce

CONCEPTO E-Commerce o comercio electrónico es otro concepto que esta muy de moda ya hace unos años. Su finalidad es ser un método de compra-venta de bienes, productos o servicios vía online. La principal forma de llevarlo a cabo es a través de Internet aunque también se hace a través de otras redes informáticas. Así […]

Compliance

CONCEPTO Uno de los trending topic de los últimos tiempos en el mundo legal es sin duda el término Compliance. Sin embargo, su significado sigue siendo desconocido para muchos. Así pues… ¿qué es realmente el Compliance? En el intento de hacer una definición fácil de comprender, podríamos decir que se trata de un conjunto de […]

Soy proveedor de servicios y trato datos de empresas, ¿cómo debo cumplir con el Reglamento?

El pasado 25 de mayo pasó a ser de obligado cumplimiento el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas por el que se deroga la Directiva 95/46/CE (en adelante, RGPD). Éste establece un nuevo régimen jurídico del cual es […]

El nuevo Reglamento e-Privacy

>Presentación El pasado 10 de enero, la Comisión Europea aprobó la nueva propuesta del Reglamento Europeo sobre la privacidad y las comunicaciones electrónicas, conocido también como Reglamento e-Privacy. Así pues, sustituirá la actual Directiva 2002/58/CE como también, derogará la directiva que transpone en España en la Ley 34/2001, de 11 de julio, de Servicios de la […]

La protección de los menores en las redes sociales

>Presentación Los menores se están convirtiendo en los principales usuarios de las redes sociales. Están creciendo en la era digital en donde los juegos, los estudios, las relaciones sociales han sido en muchos casos substituidos por los móviles, tablets, ordenadores o incluso gafas de realidad virtual. Así pues, esta exposición al mundo virtual hace que su […]

Las novedades de Global Legal-Data para 2018

>Presentación La entrada a un nuevo año siempre lleva implícito cambios. Nuevas aspiraciones, nuevos objetivos, nuevas promesas, nuevas oportunidades y nuevos retos. Y en Global Legal-Data estamos preparados para afrontar todas estas modificaciones. Así pues, hemos decidido dedicar el primer post del año para comentar las novedades de Global Legal-Data para 2018. >La implantación del Reglamento […]

La importancia de las contraseñas en las redes sociales

> Presentación En la actualidad, las redes sociales son los mecanismos utilizados por excelencia, tanto a nivel personal como empresarial. Día tras día publicamos una gran cantidad de información en la nube la cual puede ser atacada de distintas formas: hackers, apps maliciosas, redes de wifi públicas, etc. Así pues, una de las mejores formas de […]

Jordi Bacaria es el Nuevo Representante de los Expertos de EuroPriSe

> Presentación El Proyecto Sello Europeo de Privacidad, EuroPriSe, tiene como objetivo garantizar, siguiendo un procedimiento muy elaborado, la certificación de todos los productos y servicios tecnológicos que cumplen con los requisitos establecidos por la legislación Europea de privacidad, protección de datos y seguridad. Así pues, dicho procedimiento se encuentra dividido en dos fases para poder […]

Plataformas audiovisuales y privacidad

> Actualidad A raíz de mi intervención en el «Mercat Audiovisual de Catalunya 2017» resumo los temas tratados. Las estadísticas dicen que en los próximos 5 años el tráfico IP en España crecerá significativamente, en especial, el vídeo. Sin embargo, éste tendrá que competir en el sector audiovisual y del entretenimiento con tecnologías como la realidad […]

Admisión de prueba de video-vigilancia para justificar el despido de un trabajador (STS 77/2017, de 31 de enero de 2017)

> El fallo de la Sentencia El Tribunal Supremo ha dictado hace unas pocas semanas la Sentencia 77/2017, de 31 de enero de 2017. En esta admite como prueba unas grabaciones de cámaras de video-vigilancia implantado por la empresa por motivos de seguridad, aunque aparentemente no se había informado a los empleados de la posibilidad […]

Obligaciones de la Ley de Protección de datos para Comunidades de vecinos – Especial referencia a la Videovigilancia

De acuerdo con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) se considera tratamiento de datos personales toda operación y procedimiento técnico automatizado o no, que permita la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de […]

*Felices Fiestas*

En estas fechas es momento de hacer balance del trabajo realizado a lo largo de este año que ya finaliza. Desde Global Legal Data queremos dirigirnos a nuestros clientes para agradecerles la confianza depositada en nuestro equipo y a nuestros colaboradores por apostar por trabajar y crecer juntos. Cerramos un año de cambios y desafíos que todo el […]

El asunto Ashley Madison, cuestiones jurídicas

El próximo día 30 de septiembre, a las 9.15 horas en el Colegio de Abogados de Barcelona, tendré ocasión, junto con Santiago Ripol, de debatir algunas consideraciones jurídicas sobre el asunto Ashley Madison, que este verano ha salido a la luz mientras disfrutábamos de nuestras vacaciones. La web de aventuras sexuales Ashley Madison de la […]

Resumen de la 7ª Sesión anual abierta de la Agencia Española de Protección de Datos

El martes 21 de abril de 2015 tuvo lugar en el Teatro Real de Madrid la Séptima Sesión Anual Abierta de la Agencia Española de Protección de Datos. Como siempre una jornada interesante donde escuchar las reflexiones de expertos acerca de las últimas novedades sobre la materia. Los temas principales del programa de la sesión […]

Transparencia administrativa y Protección de datos personales: STSJC 181/2015

El artículo 15 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y los artículos 23 y 24 de la Ley 19/2014, del 29 de diciembre, de transparencia, acceso a la información pública y buen gobierno, del Parlamento de Cataluña, se refieren a la regulación del […]

La Sentencia del TJUE relativa a la Directiva 2006/24/CE, sobre conservación de datos

El Tribunal de Justicia de la Unión Europea en su Sentencia de 8 de abril de 2014, respondiendo a dos peticiones de decisión prejudicial planteadas por la High Court (Irlanda) y el Verfassungsgerichtshof (Austria), ha declarado inválida la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación […]

Qué información puede publicar una Administración Pública sin infringir la ley

Las Administraciones Públicas como tales tienen la obligación de publicar la mayoría de su información como acuerdos y decisiones que puedan afectar al conjunto de los ciudadanos o a uno concreto para que este pueda ser informado o notificado. Además con la reciente aprobada Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la […]

Procesos de Familia y LOPD: ¿cuál es el límite?

Con independencia de la reciente jurisprudencia sobre prueba ilícita por vulneración de un derecho fundamental en los procesos de divorcio, que incluso ha afectado a abogados, el hecho de decidir hasta donde debe llegar la información facilitada por las partes en un procedimiento judicial de familia, o cuáles son los límites para que un juzgado requiera […]

7 razones por las que una Administración Pública debe cumplir con la LOPD

Son varias las razones por las que es importante que una Administración Pública cumpla con la legislación de protección de datos, pero quizás la razón principal es: Adquirir un sello de calidad. Para obtener este sello de calidad simbólico, es necesario que la Administración: 1. Cumpla con una serie de principios: a) Calidad, entendido como tratar sólo […]