FACUA-Consumidores en Acción ha puesto de actualidad este tema al denunciar ante la Agencia Española de Protección de Datos (AEPD) el grave problema de seguridad en los servicios de correo electrónico de  Microsoft (hotmail), Yahoo y Google (gmail).

Lo que plantea FACUA es que cualquiera pueda acceder a la cuenta de correo de otro usuario con sólo conocer dónde vive y la respuesta a una “pregunta de seguridad” que en muchos casos es bastante fácil de averiguar, porque suele ser su actor favorito, fecha de nacimiento, el nombre de su mascota, etc.

Por tanto es realmente sencillo que alguien acceda a nuestras cuentas personales de correo electrónico teniendo acceso así por ejemplo a los mensajes enviados y recibidos, además de poder usurparse su identidad tanto desde el correo como su programa de mensajería instantánea.

Para apoderarse de una cuenta de Hotmail y Yahoo sólo es necesario entrar en sus respectivas webs, teclear la dirección de correo electrónico, indicar que has olvidado la contraseña, indicar el país, provincia y código postal de su propietario y contestar correctamente a una pregunta que éste seleccionó al activarla o modificarla.

Con Gmail, es igual excepto que establece un plazo de 5 días desde que se indica el olvido de la contraseña hasta que puede recurrirse a la contestación de la “pregunta de seguridad” si la cuenta de correo sigue sin abrirse desde entonces.

Al contestar correctamente se ofrece además la posibilidad de modificar la contraseña, con lo cual el usuario se hará con el total dominio de todos los servicios e incluso podrá modificar la pregunta, lo que podría llegar a hacer imposible para el auténtico propietario de la cuenta de correo volver a acceder a la misma.

Facua propone para evitar etsos problemas que la recuperación de una contraseña de correo sea a través permitirse del envío a una dirección electrónica alternativa facilitada por el usuario cuando dio de alta su cuenta.

Más información en Facua.

En una sentencia emitida ayer, el Tribunal precisa que, con carácter excepcional, una persona puede recibir por medio de un SMS los datos fiscales de otras si el objetivo de ese servicio es “periodístico”.

La Corte con sede en Luxemburgo examinó el caso de una empresa que recoge datos públicos de la administración fiscal finlandesa para editar cada año extractos en las ediciones regionales del periódico “Veropörssi”.

Tres jóvenes menores de 14 años aparecen en el fichero de solvencia ASNEF, más conocido como el listado de morosos, por no pagar la factura de sus móviles. La Agencia Española de Protección de Datos (AEPD) ha tomado cartas en el asunto y ha sancionado a Telefónica Móviles, por hacerles un contrato telefónico a pesar de ser menores, por incluir sus nombres en el registro de morosos y por usar sus datos de manera irregular.

Es la primera vez que se da un caso como éste en España y las multas que tendrá que pagar la operadora ascienden a 70.000 euros y otra de 90.000 euros.

“Carolina recibió un día una llamada de un comercial de Telefónica en su móvil prepago. Le ofrecía la posibilidad de pasarse a contrato. Las condiciones le parecieron bien y aceptó la oferta. A los 15 días solicitó la baja. Explicó que era menor de edad y que había sido “engañada”. Sin embargo, no consiguió cancelar el contrato y al poco tiempo recibió la primera factura: 108,88 euros. Trató de ponerse en contacto con Telefónica Móviles. No lo logró. Tampoco pagó la factura. Dos meses después recibió una notificación de que había sido incluida en el registro de morosos.

Su caso es muy similar al de Javier que, según la resolución de la AEPD en la que aparece la reclamación de su padre, “sustrajo” un móvil de tarjeta prepago a su madre y aceptó una oferta de migración a contrato que le hizo un comercial por teléfono. Poco después sus padres, al ver la capacidad ilimitada de llamadas del teléfono sin necesidad recarga, le preguntaron. Éste les contó que había aceptado una oferta para cambiarse a contrato. Poco tiempo después a Javier le llegó una factura de 260,23 euros. Como no la pagó, recibió una carta en la que se le decía que su nombre había sido inscrito en el registro ASNEF.

La Ley de Protección de Datos dictamina que no se puede manejar datos de menores de 14 años sin el consentimiento de sus padres o tutores. Además, la resolución expone que “los menores no emancipados no pueden prestar el consentimiento para contratar, y por tanto sin este requisito no es válido el contrato y no es susceptible de generar obligaciones”. Por tanto, según Protección de Datos, como los contratos hechos tanto a Carolina como a Javier son nulos, las deudas que adquirieron también lo son.

La inscripción de estos menores en el registro de morosos tampoco es válida, según la AEPD. La inclusión en este listado sólo puede hacerse cuando haya una “deuda cierta, vencida y exigible que haya resultado impagada”. Según Protección de Datos, esa deuda no era “cierta” ya que los contratos no eran válidos.

“Este caso ejemplifica el riesgo de vulnerabilidad que tienen los menores en cuestión de protección de sus datos”, dice el director de la AEPD, Artemi Rallo, que explica que las resoluciones tienen dos elementos clave: la prohibición de que un menor contrate un servicio sin el consentimiento paterno, y que “no cabe la obtención de datos personales de un menor de 14 años sin autorización de sus padres”.

Sin embargo, Telefónica Móviles asegura en la resolución -que aún tiene posibilidad de recurso- que no sabía que los usuarios eran menores de edad. Y explica la política de empresa: “En ningún caso se podrá ofrecer a un menor de edad la migración a contrato. En el supuesto de que esté interesado se le indicará la posibilidad de realizarlo a nombre del padre o tutor”. Pero a pesar de esto la empresa trató los datos de los afectados “sin realizar las comprobaciones necesarias en lo referente a su edad y sin requerir la autorización a sus representantes legales”.

“La compañía tenía que haber obrado de manera más diligente y verificar todas las informaciones que le daban los usuarios”, sostiene Rallo. “No pueden decir que son víctimas de una mentira por parte de los menores”, concluye. Sin embargo, la teleoperadora sostiene en dos de los tres casos que los menores mintieron sobre su edad. Aseguran que tanto Carolina como Rosa dijeron tener 16 años.

Pero Rosa (al igual que la otra niña) tenía 13 años en el momento en que adquirió un contrato prepago. También llegó a deber 156,86 euros a Telefónica y fue incluida en el registro de morosos. Algo que su padre describe en un escrito recogido en la resolución como “materialmente imposible” sin su consentimiento. Pero no ocurrió. Nadie pidió a la menor el DNI para venderle el terminal, asociado a una cuenta con el BBVA. Algo que hoy es obligatorio.

De momento, las resoluciones de estos tres menores son únicas. Sin embargo, Ruben Sánchez, portavoz de la asociación de consumidores Facua sostiene que si se revisaran los contratos de las operadoras telefónicas aparecerían muchos más. “A estas empresas no les importa quiénes sean los titulares, sólo que paguen. Cada vez se dirigen más a un público infantil. Estos casos son un ejemplo de qué poco les importa la ley de protección de datos”, sostiene. Por eso exige a la AEPD que inste a las teleoperadoras a que investiguen todos sus contratos para verificar cuántos corresponden a menores sin consentimiento paterno. Y de ser así, que los den de baja.

La ONG Protégeles, dedicada a velar por el buen uso de las nuevas tecnologías en los niños, reclama también que se haga esa verificación. “Actualmente no se cuida el cumplimiento de la ley de protección de datos, sobre todo de menores. No hay conciencia y muchas veces es por desconocimiento”, critica Guillermo Cánovas, su presidente. Sin embargo, Cánovas contradice al portavoz de Facua, quien asegura que las compañías se dirigen cada vez más a captar menores, lo que se ha convertido en un nuevo “nicho de mercado a explotar”. “Es más una cuestión de dejadez de las operadoras”, asegura el presidente de Protégeles.

Pero esa mala utilización de la información personal es frecuente. Y es que, para Rallo, “estas empresas hacen de la obtención de datos personales una actividad principal. Algo muy preocupante en un público objetivo al alza como son los menores”, sostiene Rallo. No va desencaminado. En 2004, el 45,7% de los niños españoles tenía móvil. Un porcentaje que en 2007 había crecido hasta el 65%, según la última encuesta sobre Equipamiento y Uso de Tecnologías de la Información y Comunicación en los hogares del INE.”

Vía: El  País

Ambas normativas tienen muchas implicaciones en el trabajo de las empresas prestadoras de servicios de call/contact center. Para los expertos reunidos en esta sesión la Ley ha de verse como “una oportunidad para identificar marcos jurídicos”, teniendo en cuenta que hay que conocerla a fondo para no cometer posibles irregularidades. De ahí que hagan ciertas recomendaciones como la de contar con el asesoramiento de un abogado en cualquier proyecto que se quiera abordar en el terreno de los centros de contacto, así se evitarán posibles interpretaciones erróneas de la Ley. Rafael García del Poyo, abogado del departamento de Derecho de las Tecnologías de la Información de Garrigues hacía hincapié en ello. “Nos movemos en el mundo de los derechos de las personas, la materia prima con la que se trabaja es la privacidad de las personas”, señalaba.

Análisis de los datos
Recordaba asimismo, que hay que tener presente que los datos privados con los que se trabaja en un centro de contacto se tienen que tratar y analizar desde la vertiente jurídica, informática y organizativa. Si tomamos como ejemplo la vertiente jurídica, uno de los aspectos que contempla la Ley de Protección de Datos es la exigencia a las empresas prestadoras de servicios de call center, cuyo trabajo se desarrolle dentro de la UE, a que firmen con sus empresas clientes contratos que tengan cláusulas de protección de datos. Además, en el caso de los servicios que no se hagan en el entorno de la UE, la Agencia de Protección de Datos exige una autorización previa para realizar la transferencia internacional de datos –la autorización ha de pedirla la empresa dueña de la base de datos, es decir la empresa cliente de la compañía prestadora de servicios de call center, pero ésta ha de asegurarse de que su cliente cuenta con dicha autorización-. La empresa dueña de esa base de datos habrá de presentar la documentación en donde se refleje que en este flujo de datos se van a contemplar las garantías necesarias para un nivel óptimo de protección de datos, el mismo que si se diera el servicio desde España. “El problema surge con la subcontratación. Si la empresa prestadora del servicio tiene sede en España y contrata el servicio con una filial suya en un tercer país con un nivel de protección de datos menor, la Agencia exige que el contrato de garantías esté firmado por el responsable del fichero exportador de datos y por el importador de datos en ese tercer país sin garantías de protección de datos igual a la europea”, señala María José Blanco Antón, subdirectora general del Registro General de Protección de Datos de la Agencia Española de Protección de Datos.

Recordemos que desde hace unos cuatro años, Argentina tiene homologada su normativa en materia de protección de datos y en estos momentos trabajan en esta línea, Colombia, Chile y Uruguay. La evolución de este mercado es un aliciente para los países sudamericanos, de ahí que les interese agilizar los trámites que les permitan facilitar la transferencia de datos privados, ya que es un negocio que revitaliza sus economías. En esta línea hay que destacar la labor de la Red Iberoamericana de Protección de Datos, a través de la cual la Agencia de Protección de Datos Española está en contacto con las instituciones públicas iberoamericanas.

En nuestro país, sólo el 20% de los colegios docentes no universitarios tienen protegidos los datos de sus alumnos. Números de identificación, teléfonos, direcciones y nombres y apellidos que las instituciones privadas y empresas utilizan con fines lucrativos.

Lo que más preocupa de esta situación es la forma en que ese tipo de información llega a estas empresas privadas. En ocasiones se dan procedimientos no permitidos por la ley: las empresas externas acceden a datos que no pueden salir del colegio.

Se trata de listados de alumnos a los que sólo puede acceder el personal docente, mientras que las empresas sólo pueden captar la información relativa a un menor cuando cuentan con la autorización de los padres o tutores de los niños.

Pero no toda la culpa es de las empresas e instituciones privadas, a veces los colegios son los que incurren en falta grave al publicar datos privados.

“El gestor de una página web debe de ser consciente de que las personas son dueñas de sus datos personales, ceden la información al solicitante para un determinado servicio, pero no permiten hacer libre uso de ésta“, apostilló Samaniego. Los aspectos jurídicos del comercio por internet están regulados por la Ley de Servicios de la Sociedad de Información y Comercio Electrónico (LSSICE) y la Ley Orgánica de Protección de Datos (LOPD).

Esta última, obliga a todo aquel que maneje datos personales de los clientes a registrarlos en la Agencia Española de Protección de Datos. Actualmente, no todos cumplen esta normativa, y ante el gran número de páginas web que existen la Agencia no puede actuar contra todas, tendría que tener una dimensión como la agencia tributaria, y sólo actúa ante las denuncias.

Aunque, a juicio de Samaniego, “el registro de datos no debe de hacerse para cumplir con la ley, sino que hay que tener en cuenta que es un criterio de elección para el usuario, y un elemento de prestigio de imagen y de seriedad de la firma“. Además, en el caso del comercio electrónico, la gente es especialmente reticente a ceder sus datos sin garantías.

Algunos de los aspectos que se tratarán en la jornada son los niveles de protección, que dependen de los datos que se manejen. Nivel bajo de seguridad, para datos como el propio nombre o la empresa donde trabaja; datos de seguridad media que podían incluir el domicilio personal, y los de seguridad alta como datos médicos, de seguros contratados o de afinidad política.

Samaniego señaló que los mecanismos de protección de datos a personas físicas no afectan a las jurídicas, cuyos datos tanto de dirección, contacto, dimensión facturación son públicos. En el caso de los autónomos, en ocasiones hay cuestiones que atañen a ambos casos, por los que el año pasado se modificó la normativa para este colectivo. Estas cuestiones las explicará el abogado Javier Prenafeta a una audiencia compuesta en su mitad por trabajadores a cuenta propia.

En esta jornada se ofrecerá una charla sobre los aspectos principales de la normativa jurídica y se realizará también un caso práctico simulado de registro en la Agencia de Protección de Datos, ya que el registro se puede realizar mediante internet, con unas herramientas también disponibles en el web.

Por último, Samaniego destacó el creciente interés de la microempresa aragonesa por las Tecnologías de la Información y de la Comunicación. De esta manera, en las cuatro jornadas de este Networking han tenido que doblar el horario ya que superaban el cupo de participantes. Por ello, celebrarán dos sesiones a las 12.00 y a las 17.00 horas, con un número aproximado de 15 personas cada una.

Samaniego destacó la oportunidad que hoy presenta el comercio electrónico porque es un mercado “todavía no saturado“. Las personas que acceden a este canal de una forma profesional y seria “tienen visos de triunfar en un 90 por ciento“, concluyó.

En relación con la AEPD, la sala, en una providencia de fecha 12 de noviembre, ha decidido no admitir a trámite el incidente de nulidad de actuaciones promovido por el Abogado del Estado en nombre de este organismo, en la que alegaba, para fundar su escrito, que la motivación de la sentencia del Supremo favorable al Arzobispado era “manifiestamente irrazonable”.

En la providencia, en la que señala además que este organismo no es titular de ningún derecho fundamental que haya podido verse conculcado por la sentencia de septiembre, se explica que la interpretación de la sala en la sentencia de instancia sobre el concepto de “fichero” en los Libros de Bautismo es distinta de la realizada por la AEPD pero “difícilmente puede ser tachada de manifiesta irrazonabilidad cuando, para demostrarlo, el Abogado del Estado necesita un escrito de 48 páginas, muchas más de las empleadas en cualquier otro escrito por él presentado en este proceso”.

Más aún, considera que el Abogado del Estado “va contra sus propios actos” porque en la contestación a la demanda –”por ciento, de sólo seis páginas”, señala– había dicho “textualmente” que la resolución de la AEPD de 26 de mayo de 2006, que dio inicio al proceso “no supone ignorar que el libro de bautismos no es una base de datos en el sentido que le otorga la LO 15/1999. Y ahora dice que es ‘manifiestamente irrazonable’ entender que los Libros de Bautismo no son ficheros”.

En este sentido, subraya que “cualquier litigante debería recapacitar seriamente antes de tachar a la sala tercera del Tribunal Supremo –a quien corresponde depurar y unificar la interpretación de las leyes administrativas, incluida la Ley orgánica de Protección de Datos–, de manifiesta irrazonabilidad”.

“El Abogado del Estado no ha tenido ese elemental cuidado y, por si fuera poco, ha hecho la mencionada afirmación entrando en contradicción con la mantenida instancia por la propia Abogacía del Estado”, indica, y agrega que esto supone “indudablemente actuar con temeridad” por lo que está justificado imponer una multa de 600 euros a la AEPD, en una providencia contra la que no cabe recurso.

El TS decidió el pasado 19 de septiembre admitir el recurso del Arzobispado de Valencia y anular la resolución de la Agencia de Protección de Datos, de 23 de mayo de 2006, por la que le obligaba a realizar una anotación marginal en la partida de bautismo de un ciudadano que había pedido cancelar su inscripción. La sala entiende que los libros de bautismo no pueden ser considerados “en ningún caso” ficheros por lo que no están sujetos a la legislación en materia de protección de datos.

Una segunda sentencia de la sección sexta de la sala de lo contencioso-administrativo del Tribunal Supremo decidió el 14 de octubre de este año admitir el recurso del Arzobispado de Valencia y anular la resolución de la Agencia de Protección de Datos, de 20 de septiembre de 2006, por la que le obligaba a realizar una certificación en la que se hiciera constar que había anotado en su partida de bautismo el hecho de que había ejercitado el derecho de cancelación de la inscripción.

La sentencia estima parcialmente la demanda de la víctima al declarar la existencia de intromisión ilegítima en el derecho a la intimidad y a la protección de datos personales, aunque rechaza los 5.000 euros que la mujer pedía por daños y perjuicios al considerar que el impacto psicológico de que le causaron los hechos, aunque “probado”, no fue “de especial, ni siquiera de mediana, significación”, y absuelve a la persona a quien le fueron facilitados los datos.

   Según el relato de los hechos, esta persona, “con la colaboración inevitable” de la sucursal de Banesto en Muriedas, obtuvo unos datos bancarios –un extracto de los movimientos y el importe de una cuenta corriente que la mujer comparte con su hermana en esta sucursal- sin su consentimiento para aportarlos después a un procedimiento judicial, lo que, según el juzgado, supone “una evidente infracción” de la Ley Orgánica de Protección de Datos de Carácter Personal y del derecho a la intimidad garantizado por la Ley Orgánica de Protección del Derecho al Honor, a la Intimidad Personal y a la Propia Imagen. 

   El hombre, al parecer como representante de una asociación, realizó dos ingresos –el primero el 7 de julio de 2005 por importe de 696,01 euros y el segundo, el 1 de agosto por importe de 722,47 euros– en la cuenta corriente que la demandante compartía con su hermana en la sucursal de Muriedas y trató de obtener un recibo expedido y sellado por la entidad bancaria con el objeto de justificar que había hecho dos pagos sucesivos a la mujer.

   Según la sentencia, “no consta que el interés” de esta persona fuera otro que el citado. La entidad le entregó el documento en el que se basa la demanda, un justificante que, dice el juez, “no se detiene en documentar el importe de las entregas, la persona que las hizo, las fechas y el número de cuenta destinatario, sino que documenta quiénes son los titulares de la cuenta y los saldos sucesivos de la cuenta tras la realización de los ingresos”, apuntando que “no consta que estos dos últimos datos fueran cedidos al demandado con el consentimiento de las titulares de la cuenta”.

   El juzgado afirma que la entidad bancaria “infringió con claridad” el deber de secreto que le impone la Ley Orgánica de Protección de Datos de Carácter Personal, al no reunir el consentimiento de las dos titulares de la cuenta corriente para la cesión o comunicación de  datos de “neto carácter personal”, como son la identificación de los titulares de la cuenta y el importe del saldo

   En consecuencia, la conducta se integra en la Ley Orgánica de Protección del Derecho al Honor, la Intimidad y la Propia Imagen, en cuanto que la demandante “padeció una intromisión ilegitima en su intimidad por la revelación, cesión o comunicación efectuada por la entidad bancaria de datos puramente privados”.

   Así pues, señala que “la responsabilidad civil por la intromisión ilegítima es imputable a la entidad bancaria demandada”, pero no al hombre, pues su intención fue “buscar un medio de prueba para aportarlo de inmediato a un procedimiento judicial” y “ninguna prueba permite deducir lo contrario”. Además, indica que la certificación o extracto fue entregado “de inmediato a la autoridad judicial”, lo que no exime de responsabilidad al banco, pues “la cesión sin consentimiento del interesado no vino provocada por la petición previa de las citadas autoridades públicas”.

   Respecto a las alegaciones de la defensa de prescripción o caducidad, el juez apunta que los cuatro años previstos “en modo alguno han transcurrido”.

La verdad es que ahora con tanto canal me pierdo…que si la FOX, que si la CNN, que si las series por internet… Cuando se propuso el blog yo no tenía ni idea del tamaño del mismo pero ahora que me tienen enganchado…pues que os voy a decir.

Series y Series es nuestro blog dedicado a las series de televisión que más te gustan.

La postura contraria defiende que conociendo la dirección IP, junto al día y hora, si es posible identificar a la persona o terminal que está detrás.

Enlace: Are IP addresses personal?