Blog

AEPD Actualización en la guía sobre el uso de cookies

¿Qué es una cookie?

Son archivos que se instalan en tu navegador cuando accedes a sitios web. Estos archivos recopilan información acerca de tu comportamiento mientras navegas, para después ser utilizadas en análisis y/o publicidad. También tienen otros fines funcionales como recordar tu usuario en una aplicación web como, por ejemplo, Amazon.es.

Es por eso por lo que la protección de datos vela para proteger la privacidad. Ya que puede ser vulnerada muchas veces por el uso ilícito de las cookies.

La nueva actualización de la guía AEPD

La agencia española de protección de datos (AEPD) es el organismo encargado de adaptar el reglamento europeo de protección de datos (RGPD) y regular la protección de datos en España.

La nueva actualización se adapta a las directrices revisadas por el Comité Europeo de Protección de datos en mayo. El periodo de adaptación será tres meses, es decir, hasta el 31 de octubre.

En esta nueva actualización se tratan dos puntos:

“SEGUIR NAVENGANDO”

La opción “Seguir navegando” utilizada en los sitios webs como método para la aceptación de cookies no es reconocida como un consentimiento claro por parte del usuario. Por lo que deberá existir una clara opción como «Acepto» o «Aceptar» para validar su uso.

seguir-navegnado-cookies

MUROS DE COOKIES”

Los “muros de cookies”, donde el usuario debe aceptar el uso de cookies para poder acceder al sitio web, no podrán utilizarse a no ser que se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies.

Por otra parte, es importante recordar que hay que indicar al usuario el uso de cada cookie, es decir, su finalidad. De nada sirve aceptar las cookies si no sabemos qué estamos permitiendo.

EmpresaDominioNombre de la cookieObjetivo/Finalidad
GoogleGoogle.comHSID/ SIDSon utilizadas por Google para verificar el user account y el login más reciente
GoogleDoubleclick.nettest_cookieServicio de publicidad
GoogleAnalytics__utmvUtilizada para Google Analytics
TwitterTwitterguest_idUtiliza por Twitter para verificar el user account
CriterioCriteo.comeid / uidVisualizador de banners
FacebookFacebook.comdatrUtilizada por Facebook para validar al usuario
Ejemplo de finalidad de las cookies

El marketing digital

En las campañas de marketing digital se maneja mucho dinero a causa del uso de cookies, es por ello por lo que las empresas dedicadas a este sector deberán buscar alternativas al uso de cookies si deja de ser rentable. Lo primero es la privacidad de los usuarios.

No obstante, el uso de cookies no es algo malo. Pero hay que respetar siempre la privacidad de los datos.


En la guía oficial de la AEPD se encuentra toda la información acerca de cómo hacer buen uso y cumplimiento en la implementación de las cookies:

https://www.aepd.es/sites/default/files/2020-07/guia-cookies.pdf

Fuente: La AEPD actualiza su Guía sobre el uso de cookies para adaptarla a las nuevas directrices del Comité Europeo de Protección de Datos

https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-actualiza-guia-cookies

La AEPD publica «Diez razones para el sharenting responsable»

Dentro del programa de sensibilización para los padres a la hora de subir imágenes a la red, PantallasAmigas, en colaboración con la Agencia Española de Protección de Datos ha publicado «Diez razones para el sharenting responsable, campaña para concienciar sobre el uso de imágenes de menores de edad en internet», así, el «sharenting» viene referido al uso que muchos padres realizan de las imágenes de sus hijos menores de edad, siendo un uso normalizado la publicación en redes sociales de las imágenes de los menores, una práctica que aunque parece inofensiva puede traernos serios problemas, el artículo puede ser de gran utilidad para aquellos padres que deseen tener algo más de información de manera amena y sencilla, puedes consultar el artículo pinchando aquí.

La Agencia Española de Protección de Datos sanciona a GLOVOAPP23 por no nombrar a un Delegado de Protección de Datos

Con la aplicación de Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) se introdujo la figura del Delegado de Protección de Datos o DPD, el nombramiento del mismo viene regulado en los art. 37 del RGPD y 34 LOPDGDD y tiene como misión principal garantizar el cumplimiento de la normativa en materia de protección de datos del responsable que le nombró, cooperando y actuando como punto de encuentro con la Autoridad de Control nacional, en este caso la Agencia Española de Protección de Datos (AEPD).

En determinados casos la designación de un Delegado de Protección de Datos (DPD o DPO) es obligatoria pero nada impide su nombramiento cuando no sea obligatorio, siendo una forma de garantizar un alto estándar de cumplimiento.

En el caso que nos ocupa, la Agencia Española de Protección de Datos (AEPD) en la resolución del procedimiento nº Procedimiento Nº: PS/00417/2019 considera que GLOVOAPP23, S.L. ha inclumplido el art. 37.1.b del RGPD en relación con el art. 34 de la LOPDGDD, puedes ver la resolución aquí.

En base a dicho incumplimiento, ha entendido pertinente sancionar GLOVOAPP23, S.L. con una multa de 25.000€.

Esta es la primera vez que la AEPD sanciona a una empresa por no proceder al nombramiento de un Delegado de Protección de Datos, este hecho puede marcar un cambio de concepción para muchas empresas que, aun estando obligadas a nombrar un DPD todavía no lo han hecho.

Desde Mediter Jurídico siempre hemos confiado en la importancia de esta figura, es por eso que somos la primera entidad con evaluadores formadores en DPD certificados de toda Europa, puedes ver más información visitando nuestra web www.dpdformacioncertificada.es

Teletrabaja de forma segura

Todos sabemos que a causa del COVID-19 muchos establecimientos, oficinas o instalaciones de las empresas han tenido que cerrar como medida de prevención. Trasladando el puesto de trabajo a casa, a veces con equipos corporativos, que la propia organización facilita y otras veces equipos personales de los  trabajadores.

Todo este ajetreo conlleva a descuidar las medidas de seguridad que la empresa pudiera tener en sus instalaciones, pero no fuera de estas. O directamente no se detectan nuevas necesidades que pudieran surgir a causa del trabajo remoto.

Por ello, vamos a ver algunos consejos y medidas que ayudarán a que nuestro sistema sea seguro y esté protegido contra amenazas.

Utiliza un equipo configurado previamente por el personal autorizado

Si el equipo es personal también deberán de aplicarse las medidas de seguridad pertinentes como:

  • Crear dos usuarios: uno para las tareas de trabajo y otro de uso personal.
  • Mantener el equipo y sus programas actualizados
  • Utilizar un Antivirus y Firewall; configura análisis programados, Windows incorpora esta seguridad en Windows Defender.

Utiliza contraseñas robustas y doble factor de autenticación (2FA) en los entornos más críticos.

Por ejemplo: para acceder a la cuenta de Google puedes habilitar 2FA a través del teléfono móvil.

Cifra los dispositivos de almacenamiento cuando la información sea sensible, confidencial o simplemente se quiera proteger la privacidad de esta.

Comprimir un archivo o carpeta con contraseña es una forma siempre de establecer un cifrado robusto.

Realiza copias automáticas de seguridad de los datos necesarios y almacénalas en lugar externo a su origen.

Por ejemplo, si haces una copia de tus Documentos en Windows, deberás guardar la copia en un disco duro externo o en una nube de alojamiento de archivos como Drive, Mega o Dropbox.

Ten mucho cuidado a la hora de gestionar el correo, las campañas de correo fraudulento han aumentado.

Dedica un mínimo de tiempo a analizar el correo que recibas. El dominio o dirección del remitente, a dónde apuntan los enlaces, archivos adjuntos, etc. pueden ayudarte a identificar el correo malicioso.

Evita conectarte a redes públicas

Redes de: hoteles, restaurantes, aeropuertos… Si lo haces, utiliza algún servicio de VPN para cifrar la conexión como: Surfshark o CactusVPN  

Si vas a acceder a la red de la empresa desde fuera (Acceso remoto) haz uso también de una VPN

La VPN permitirá que accedas de forma segura a los recursos dentro de las instalaciones de la organización. Como pueda ser un servidor local.

Si tienes alguna duda contacta con nosotros:

Iconos diseñados por Flat Icons from www.flaticon.es

FAQs Protección de Datos COVID-19

Como todos sabéis la crisis del COVID-19 ha provocado que nos tengamos que adaptar a una nueva realidad, situaciones que hasta hace poco eran excepcionales, como por ejemplo el teletrabajo, se han convertido en nuestro día a día, esto ha generado en todos nosotros muchas dudas y entre ellas destacan algunas relacionadas con la protección de datos. Es por ello que la Agencia Española de Protección de Datos (AEPD), en un intento de realizar una mejor labor informativa, ha publicado recientemente un documento sobre preguntas frecuentes que puedes descargar aquí.

En palabras de la propia AEPD tratan de dar respuesta a las preguntas más frecuentes que se han recibido, en ellas encontrarás respuesta a las siguientes preguntas:

  • ¿Pueden los empresarios tratar la información de si las personas trabajadoras están infectadas del coronavirus?
  • ¿Pueden transmitir esa información al personal de la empresa?
  • ¿Se puede pedir a las personas trabajadoras y visitantes ajenos a la empresa datos sobre países que hayan visitado anteriormente, o si presentan sintomatología relacionada con el coronavirus?
  • ¿Se pueden tratar los datos de salud de las personas trabajadoras relacionados con el coronavirus?
  • En caso de cuarentena preventiva o estar afectado por el coronavirus, ¿el trabajador tiene obligación de informar a su empleador de esta circunstancia?
  • ¿El personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?

Desde Mediter Jurídico recomendamos su lectura pues nos permitirá actuar con mayor seguridad en un momento como el actual.

Protege tu teléfono Android con Sophos Intercept X

[toc]

Sophos Intercept X for Mobile es una herramienta antimalware y con características contra amenezas. También ofrece otras funciones como Gestor de contraseñas, Authenticator o Gestor de privacidad.

La aplicación es gratuita y sin anuncios. Puedes descargarla desde GooglePlay:

https://play.google.com/store/apps/details?id=com.sophos.smsec&hl=es

También está disponible en iOS desde la App Store:

https://apps.apple.com/es/app/sophos-intercept-x-for-mobile/id1086924662

Opciones principales

sophos intercept x - menú principal

Seguridad de dispositivos

En este menú nos indica una serie de parámetros de seguridad y recomendaciones que nuestro teléfono debe cumplir, algunas de estas verificaciones son:

  • Última versión de Android
  • Bloqueo de pantalla
  • Cifrado del dispositivo
  • Fuentes de apps no conocidas: comprueba si tienes habilitada la opción de instalar aplicaciones de fuente no conocidas, que no aparecen Google Play.
  • Notificaciones en pantalla de bloqueo: comprueba que no se muestra el contenido de la notificación en la pantalla de bloqueo. Por ejemplo si recibimos un correo, se mostrara una notificación de esta forma: «Gmail: 1 mensaje nuevo» y no el contenido del mismo.
sophos intercept x - seguridad de dispositivos
sophos intercept x - seguridad de dispositivos

Seguridad de red

Estas opciones están relacionadas con la navegación web y red wifi:

Filtrado web

Nos avisa o bloquea cuando accedamos a un sitio con contenido malicioso, programas espía o phishing a través de un navegador.

También podemos aplicar otros filtros de contenido como: contenido para adultos, alcohol y tabacos, drogas, etc.

Comprobador de enlaces

Permite analizar un enlace antes de abrirlo una vez hemos pulsado en él.

Seguridad Wi-Fi

Detecta amenazas basadas en red.

sophos intercept x - seguridad de red

Seguridad de apps

Esta la opción más importante, permite analizar el dispositivo en busca de apps o archivos maliciosos.

La base de datos de amenazas esta basada en la nube de SophosLabs.

sophos intercept x - seguridad de apps

En este apartado también tenemos las opciones de:

Escaneados programados

Por ejemplo, podemos programar escaneados cada 12 horas.

Live Protection

Protección en tiempo real, otra función principal para todos los antivirus.

Si descargamos cualquier archivo Sophos lo analizará.

Otras opciones

Authenticator

Similar a Google Authenticator, para implementar doble auntenticación en los sistemas que lo permitan.

Cofre de contraseñas

Para almacenar nuestras contraseñas de forma segura bajo una contraseña maestra.

No permite imprimir pantalla y borra el contenido del portapapeles.

Utiliza el mismo formato de archivo que KeePass por lo que podemos importar/exportar contraseñas desde/hacia Keepass.

Protección de apps

Podemos elegir un factor de autenticación adicional para las aplicaciones que escojamos. Es decir, el bloqueo del propio teléfono y otro para aplicaciones.

sophos intercept x - otras opciones
sophos intercept x - gestor de privacidad

Gestor de privacidad

Esta opción es muy interesante, permite ver de forma más visual (con iconos) qué permisos o a qué puede acceder cada aplicación del sistema.

Podemos modificar estos permisos desde esta sección.

Copia de seguridad

Aquí podemos hacer una copia de nuestra configuración de Sophos Intercept X, como los filtros web, el Authenticator, o el banco de contraseñas.

Las copias de seguridad se generan en archivos, por lo que hay que guardarlos en un almacenamiento externo al smartphone, como por ejemplo en Google Drive u o otra nube.

Rendimiento

Desde AV-TEST, el sitio web donde analizan y comparan la mayoría de antivirus, tiene una puntuación 6/6:

https://www.av-test.org/es/antivirus/empresas-android/android/marzo-2020/sophos-intercept-x-for-mobile-9.5-201502/

Con una detección de 99.9% de malware utilizado en las pruebas del último mes (marzo 2020)

Bateria

El impacto en el consumo de batería es inapreciable, con más de 12 horas de uso solo ha consumido un 2% de la capacidad.

uso de bateria android
uso de bateria sophos intercept x

Documentación

En esta guía de ayuda oficial podéis encontrar más información:

https://docs.sophos.com/esg/smsec/help/es-es/PDF/smsecand_h.pdf

COVID-19: Vuelta al puesto de trabajo. Comprueba tu seguridad:

Debido a la desescalada, muchos trabajadores y empresas están volviendo a ofrecer sus servicios desde sus establecimientos u oficinas. Es importante no descuidar la seguridad en los sistemas informáticos, por ello, debéis realizar las siguiente revisiones para comprobar que no existe ningún ciberincidente.

En cualquier caso siempre podéis contactar con nosotros en caso de duda o si pensáis que podéis tener algún incidente.

[toc]

1. Revisa que tus cuentas de usuario no han sido vulneradas:

En este sitio web puedes comprobar a partir de tu correo, si ha sido filtrado a través de una brecha de seguridad.

https://haveibeenpwned.com/

2. Realiza con tu antivirus un análisis completo de tu equipo en busca de malware.

Puedes complementar esta tarea con Sophos Virus Removal Tool y realizar otro análisis. Descárgala de forma gratuita en:

https://www.sophos.com/es-es/products/free-tools/virus-removal-tool.aspx

3. Escanea también tu teléfono Android en busca de malware.

Descarga desde la PlayStore Sophos Intercept X y realiza un análisis. Esta aplicación es un antivirus por lo que sería conveniente dejarla instalada.

https://play.google.com/store/apps/details?id=com.sophos.smsec

4. Comprueba los inicios de sesión en tu cuenta de correo:

En Gmail: https://myaccount.google.com/u/3/security

En Outlook: https://account.microsoft.com/security/ > Actividad de inicio de sesión

5. Comprueba que tus copias de seguridad son válidas

Si no tienes, realiza (y mantén actualizada) al menos una copia de la información más importante y guárdala en alguna nube como Google drive, Dropbox o Mega.

6. Analiza tu red wifi en busca de intrusos

Puedes utilizar Advanced IP Scanner:

https://www.advanced-ip-scanner.com/es/

Si crees que has podido tener algún incidente o tienes alguna duda, contacta con nosotros

comunicacion@mediterjuridico.es

96 382 77 89

665 864 518

StrandHogg: Nueva vulnerabilidad en Android con la que podrían sustraer tus datos

Esta falla de seguridad se ha dado conocer por los investigadores de Promon. Una empresa dedicada al desarrollo software en ciberseguridad.

Esta vulnerabilidad afecta a todas las versiones de Android, incluyendo la última versión, Android 10. Aún no han liberado una actualización que solvente este problema.

Se han detectado al menos 36 apps que pueden acceder a tus datos como contraseñas o fotos (No han confirmado el nombre de éstas). Fueron instaladas en segunda instancia por aplicaciones maliciosas descargadas de la Google Play Store.

¿Cómo funciona?

El malware se camufla por una aplicación legitima (una aplicación de Android de confianza, como pueda ser la aplicación de “mensajes”). Permitiendo engañar a los usuarios y que concedan permisos de aplicaciones maliciosas, también puede mostrar páginas de acceso falsas para robar nuestros datos (phishing).

Fuente:

https://promon.co/security-news/strandhogg/

REGISTRO JORNADA LABORAL: ¿Cómo cumplirla?

REGISTRO JORNADA LABORAL: ¿Cómo cumplirla?

Una de las noticias que más ha destacado en los últimos meses es la publicación de la “Ley de control de la jornada laboral”, es una ley que, ya sea como empleado o empleador afecta a la inmensa mayoría de la población.

Es por eso que, desde Mediter Jurídico, dada nuestra dilatada experiencia en materia de protección de datos, queremos intentar ayudar a entender las consecuencias que la nueva normativa puede tener para nuestros derechos.

Con la entrada en vigor del Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, se añade un nuevo apartado en el art. 34 del Estatuto de los Trabajadores con la siguiente redacción “la empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este artículo…”

Muchos de nuestros clientes nos han planteado sus dudas al respecto pues nos encontramos ante una obligación legal que puede afectar al derecho fundamental de la protección de datos del trabajador.

En la actualidad, podemos encontrar en el mercado distintas opciones para cumplir con esta obligación, pero, son todas iguales para el RGPD o ¿podemos diferenciar entre las distintas opciones?

Lo primero que debemos plantearnos es, ¿qué dicen al respecto las distintas Agencias de Protección de Datos de nuestro país?

La Agencia Española de Protección de Datos (AEPD) afirma que el control de la jornada laboral de los trabajadores debe ser el menos intrusivo posible”, lo que está en consonancia con el principio de minimización de datos recogido en el art. 5.1.c RGPD y que puede traer más de un problema a las empresas que opte.

Principio de minimización de datos

“los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.

Nos encontramos por lo tanto con la necesidad de estudiar las distintas opciones que nos da el mercado para cumplir con la necesidad incluir el horario concreto de inicio y finalización desde la premisa de que la opción elegida sea la menos intrusiva posible.

LA HUELLA DIGITAL PARA FICHAR

Ante ese reto, a muchos de nuestros clientes les ha surgido una duda, ¿qué sucede con el sistema de fichaje mediante huella digital?, un sistema que por su comodidad y fiabilidad puede suponer una opción más que viable para cumplir con la ley por parte de un gran número de empresas.

Lo primero que debemos indicar (y así se lo hacemos saber a nuestros clientes) es que estamos ante un sistema “legal” o, en palabras de la Agencia Vasca de Protección de Datos “adecuada a la normativa en materia de protección de datos”.

De esta forma, la Sentencia del Tribunal Supremo 5200/2007 (aunque referida a la antigua LOPD), en su fundamento de derecho séptimo afirma que “no se ha puesto de manifiesto que el sistema implantado por las resoluciones impugnadas en la instancia incurriera en infracciones a la misma y, por tanto, vulnerara el derecho fundamental a la protección de datos de carácter personal. Desde luego, la finalidad perseguida mediante su utilización es plenamente legítima: el control del cumplimiento del horario de trabajo al que vienen obligados los empleados públicos. Y, en tanto esa obligación es inherente a la relación que une a estos con la Administración Autonómica, no es necesario obtener previamente su consentimiento ya que el artículo 6.2 de la Ley Orgánica 15/1999 lo excluye en estos casos. Además, no parece que la toma, en las condiciones expuestas, de una imagen de la mano incumpla las exigencias de su artículo 4.1. Por el contrario, puede considerarse adecuada, pertinente y no excesiva”.

Asimismo, la Agencia Vasca de Protección de Datos, en su Dictamen nº 16-045 es contundente al afirmar que “podemos entender el tratamiento de los datos biométricos de los trabajadores con la finalidad de control de acceso como adecuada a la normativa en materia de protección de datos.”

No obstante, no podemos olvidar el principio de minimización de datos al que nos hemos referido anteriormente y que debe estar presente en todo tratamiento que realicemos, al respecto, declara la Agencia Vasca de Protección de Datos en el dictamen referido que “tal y como se ha determinado por otras autoridades de control, en caso de ser posible, debieran instalarse preferentemente aquellos sistemas de reconocimiento de huella dactilar que permitan que los medios de verificación (algoritmo de la huella dactilar del trabajador), permanezcan en poder de los afectados”.

HUELLA DACTILAR: UN MÉTODO VÁLIDO

Podemos y debemos confirmar que, respecto al tratamiento de datos biométricos con el fin de control horario estamos ante un tratamiento que, si bien cumple con la normativa en materia de protección de datos debe “CEDER/CLAUDICAR” ante aquellos tratamientos que permitan un tratamiento de datos menor o que permitan que los medios de verificación permanezcan en poder de los afectados.

Finalmente, no podemos olvidar que si optamos por el sistema de huella dactilar como medio de fichaje estaremos tratando una de las categorías de datos que el art. 9 RGPD considera como especiales, lo que conllevaría que (además de las obligaciones “comunes” al resto de opciones) en aplicación del art. 35 RGPD fuera necesaria la realización de una evaluación de impacto si este tratamiento se realiza a gran escala (concepto que explicamos en este otro post).

Por tanto, entendemos que la elección de la huella dactilar como medio de fichaje es un método totalmente válido que requiere un estudio previo por parte del responsable para sopesar si es la opción más viable.


La protección de datos en los juguetes para niños

La privacidad en los juguetes conectados para niños

A día de hoy,  no es difícil que los más pequeños tengan juguetes  conectados a un smartphone o a internet, y que les ofrezca miles de posibilidades nuevas de interacción.

Esto supone tener que aceptar -habiéndolos leído o no- términos de privacidad que podrían vulnerar nuestra protección de datos.

Los juguetes conectados suelen requerir una instalación desde una app, que después los transmite a internet. Normalmente, dichos accesos le permiten registrar sonidos e imágenes a través de micrófonos o cámaras, que podrán grabar todo aquello que los niños digan o hagan en cualquier momento (y todo lo de su alrededor).

Antes de realizar la compra, debemos interesarnos por saber qué datos va a recoger el juguete, así como cuál protocolo utiliza para intercambiar información con la app. Y si hay posibilidad de cambiar ciertos permisos para restringir su acceso más de la cuenta.

Una forma de informarse es preguntar al personal del establecimiento donde quiera adquirir el producto. Y por otra parte, revisar el manual de instrucciones antes de su compra. 

Desde la OCU han advertido en varias ocasiones sobre los riesgos de estos juguete ya que pueden contar con wifi propio a la que se accede sin contraseñas y «en según qué manos puede resultar peligroso». «Además, desgraciadamente hoy en día no existen leyes que regulen este tipo de seguridad y son los consumidores, en este caso menores de edad quienes resultan más perjudicados», alertan desde la asociación de consumidores.


Esta información ha sido extraída de la infografía de aepd

Cómo evitar que un juguete sea hackeado:

1.- Cambiar las contraseñas que vienen por defecto.

2.- Revisar el uso de los menores (con quién chatea, qué hacen… ).

3.- Establecer controles parentales en los dispositivos electrónicos (móviles, tabletas, consolas… ) siempre que se pueda.

4.- Actualizar en la medida de lo posible el software.

En cualquier caso, hay que informarse bien antes de comprar cualquier juguete que se conecte a internet,  y prestar atención a los que ya tenemos, para saber hasta dónde están accediendo a nuestros datos.