Normalmente, el contacto con los titulares de estos derechos se realiza a través de las entidades de gestión colectiva. Estas entidades se definen como organizaciones privadas de base asociativa y naturaleza no lucrativa que se dedican en nombre propio o ajeno a la gestión de derechos de propiedad intelectual de carácter patrimonial (copyright) por cuenta de sus legítimos titulares.

Las entidades de gestión colectiva en España están autorizadas por el Ministerio de Cultura.

Actualmente en España hay diferentes tipos de entidades de gestión colectiva

Entidades de Gestión de Derechos de propiedad Intelectual de autores:

• Sociedad General de Autores y Editores (SGAE)
• Centro Español de Derechos Reprográficos (CEDRO)
• Visual, Entidad de Gestión de Artistas Plásticos (VEGAP)
• Asociación Derechos de Autor de Medios Audiovisuales (DAMA)

Entidades de gestión de derechos de propiedad intelectual de artistas intérpretes o ejecutantes:

• Artistas Intérpretes o Ejecutantes, Sociedad de Gestión de España (AIE)
• Artistas Intérpretes, Sociedad de Gestión (AISGE)

Entidades de gestión de derechos de propiedad intelectual de productores:

• Asociación de Gestión de Derechos Intelectuales (AGEDI)
• entidad de Gestión de Derechos de los Productores Audiovisuales (EGEDA)

Sus principales funciones consisten en gestionar los derechos de propiedad intelectual por cuenta y en interés de sus legítimos titulares, prestar servicios asistenciales y de promoción de los autores y artistas intérpretes o ejecutantes, intermediar o negociar las condiciones de explotación de las obras de los titulares y fijar las tarifas en función del tipo de explotación que se realice y percibir esa remuneración con arreglo a lo estipulado o hacer efectivos los derechos de naturaleza compensatoria.

En el ámbito de las utilizaciones masivas ayudan en celebrar contratos generales con asociaciones de usuarios de su repertorio y establecer tarifas generales por la utilización del mismo.

Además recaudan y reparten entre sus miembros las cantidades correspondientes por los derechos de propiedad intelectual.

Realizan el control de los derechos de propiedad intelectual. Persiguen las violaciones de la Ley que se cometan, ejercitando las acciones penales y/o civiles acudiendo a la vía judicial.

Áudea, Seguridad de la Información

Karol Sedkowski

Consultor Legal

www.audea.com

Martes 28 de Febrero 2012 Áudea y Buguroo les invitan a un Desayuno Tecnológico, en la Sede Central de Áudea Seguridad de la Información (Las Rozas- Madrid).

En este Desayuno le mostraremos como proteger las aplicaciones, uno de los eslabones más débiles de la cadena, ya que:

•        El 95% de los ataques en Internet van contra el aplicativo. 
•        Más del 90% de las vulnerabilidades de Internet están en el código.

Para asistir contacte con el 91.745.11.57 o envíe un email a info@audea.com

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Buguroo Offensive Security es una empresa especializada en seguridad de aplicaciones. Ayudamos a nuestros partners y clientes a construir aplicaciones seguras por medio de herramientas automatizadas creadas y diseñadas en base a la experiencia de un contrastado equipo de expertos en seguridad informática.

El acuerdo permitirá a Áudea prestar nuevos servicios de seguridad en el campo de la seguridad de aplicación y a Buguroo le ayudará incrementando su base instalada de clientes en España.

Soluciones de Buguroo
En la actualidad el portfolio de soluciones de buguroo se compone de dos herramientas, que vienen a cubrir las necesidades empresariales en materia de análisis y gestión de la seguridad de las aplicaciones: bugScout y bugBlast.

•   BugScout:  es una herramienta de análisis estático de código que nace con la motivación de automatizar el proceso de la revisión manual de código para encontrar vulnerabilidades de seguridad en el software.

•   BugBlast:  primera herramienta que permite gestionar de manera centralizada la ejecución de pruebas de seguridad sobre activos de información. El sistema aporta una gran flexibilidad, permitiendo integrar la ejecución de pruebas manuales y canalizando el intercambio de información entre los equipos de gestión, auditoría y desarrollo.

Áudea Seguridad de la Información
www.audea.com

A pesar de la ambigüedad que crea en muchas ocasiones, la LSSI prohíbe expresamente “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”; a no ser que la empresa “haya obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que fueron objeto de contratación”. Únicamente de esta forma se podría enviar comunicaciones comerciales a vuestros clientes sin su consentimiento, siempre que exista una relación previa y que el contenido de las mismas esté enfocado a los servicios inicialmente contratados.

La Ley dispone que comunicación comercial sería “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional”.

De esta forma, podríamos decir que toda acción que tenga como objeto promocionar, persuadir o comunicar tendría la consideración de comunicación comercial, aunque no es un concepto claro en todas las ocasiones; como pueda ser con el envío de dichas comunicaciones por parte de entidades sin ánimo de lucro, para invitaciones a actos o simplemente felicitaciones en fechas señaladas (en todos los casos, existen sanciones por parte de la Agencia Española de Protección de Datos por el mismo motivo, no contar con su consentimiento previo).

Además, otro problema de interpretación puede venir con lo que puede entenderse como “promoción indirecta”, un concepto amplio que podemos afirmar que hace consideración a la legalidad en el intercambio de enlaces o banners que puede resultar de la colaboración publicitaria entre empresas, pudiendo incluir contenidos ajenos en las comunicaciones autorizadas con clientes o terceros.

En este sentido, la Agencia Española de Protección de Datos ha venido sancionando aquellos supuestos en los que la empresa ha ideado algún sistema de enviar correos comerciales omitiendo las exigencias de la LSSI (disponer de un consentimiento previo e informado, o la existencia previa de una relación contractual). De esta forma, se han podido conocer sanciones por métodos como “envía a un amigo”, por lo que una persona reenvía un correo comercial que desea enviar la empresa.

Para agravar el asunto sobre la materia, esta conducta es particularmente grave cuando se realiza de forma masiva, siendo conocida con el anglicismo SPAM. El bajo coste, el anonimato, la velocidad y las posibilidades que ofrece ha permito el crecimiento de esta forma abusiva. Por tanto, para poder enviar de forma segura mensajes publicitarios o promocionales, deberá haberse solicitado o autorizado expresamente por los destinatarios de los mismos, salvo que exista una relación contractual previa. Incumplir este precepto podría constituir una infracción leve o grave de la LSSI, con multas de hasta 150.000 euros.

Iván OntañónRamos

Departamento Derecho TIC

Áudea Seguridad de la Información

www.audea.com

 Por tal motivo creemos conveniente realizar una serie de recomendaciones encaminadas a evitar que se produzca esta situación.

- Hemos detectado que existen un gran número de contrataciones fraudulentas, efectuadas telefónicamente, por persona distinta del titular de los datos. Ante cualquier indicio de que se está produciendo esta circunstancia recomendamos denunciar ante la autoridad competente.

- La contratación telefónica es un método valido y admitido en derecho, si se hace con las garantías adecuadas. Entre estas garantías será necesario que en el contrato se establezca la aceptación de todas y cada una de las cláusulas del contrato. Posteriormente se enviará inmediatamente al consumidor justificación escrita de la contratación efectuada, donde constarán todos los términos de la misma. Por norma general las operadoras telefónicas están respondiendo que las grabaciones de los contratos no están disponibles en sus ficheros, y no envían posteriormente la justificación de la celebración del contrato. Motivo más que suficiente para que se entienda que el contrato no se ha celebrado.

- La información que trate la operadora telefónica deberá ser exacta y puesta al día, debiendo la operadora implantar los mecanismos necesarios para contrastar los datos que se están transmitiendo telefónicamente. Cualquier comunicación efectuada por el verdadero titular de los datos indicando la suplantación de su personalidad, podría ser indicadora de que los datos que tratan pudieran ser incorrectos. A esta comunicación se debería adjuntar la denuncia que previamente hemos interpuesto.

- Para la inclusión de los datos de impago en los registros o ficheros de impagados se exige que la deuda sea cierta, vencida, exigible y que haya resultado impagada, por tal circunstancia una deuda en la que quede pendiente dilucidar la celebración del correspondiente contrato no es exigible,  hasta la comprobación de la veracidad de los hechos, es decir su certeza.

- También se exige que el acreedor haya requerido de pago al deudor antes de informar los datos a la entidad responsable de la gestión. Requerimiento que debe quedar acreditado necesariamente.

- Además se debe probar que se ha informado previamente de que en caso de impago, se procedería a la inscripción en este tipo de ficheros

- Y por último, si se cumplen todos los requisitos anteriores, el responsable del fichero de morosos, debe notificar a la persona que va a ser incluida en el fichero, con anterioridad, de su inclusión, para que pueda defender su posición. Esta circunstancia también es “olvidada”, en infinidad de ocasiones.

Aurelio J. Martínez Ferre

Consultor legal Áudea Seguridad de la Información.

www.audea.com

¿Qué supone el alojamiento en La Nube desde el punto de vista de la protección de datos y en qué se diferencia de los servicios de hosting tradicionales?

Desde el punto de vista legal, realmente no hay diferencias entre contratar un servicio de alojamiento de datos personales en La Nube y en un hosting que no utilice esta tecnología.

En ambos casos, se trata de una prestación de servicios con acceso a datos personales. Sin embargo, el alojamiento en La Nube y la deslocalización de la información supondrá, en muchos casos, que existan subcontrataciones y alojamientos de la información en terceros países ajenos al Espacio Económico Europeo, y a menudo sin que el cliente esté al tanto de ello.

Unas pocas semanas antes de la sesión abierta de este año, la Agencia lanzó una consulta pública para tomarle el pulso a las empresas españolas. Muchas de las preguntas del cuestionario iban dirigidas a determinar si el marco regulatorio actual es capaz de dar respuesta a esta nueva tecnología que ha venido para quedarse, y seguramente seguirá evolucionando hasta situaciones aún inimaginables.

La respuesta es evidente. La aplicación estricta de la normativa es prácticamente incompatible con el uso de esta tecnología. ¿Por qué?

• Al alojar datos de carácter personal, responsabilidad de una empresa española, surge la obligación de tener un contrato firmado conforme al artículo 12 de la Ley Orgánica de Protección de Datos, y a los artículos 20, 21, 22 y 26 de su Reglamento de Desarrollo (o conforme al clausulado tipo aprobado por Decisión 2010/87/UE de la Comisión, si el prestador está ubicado fuera del Espacio Económico Europeo, de los países con nivel adecuado de protección, o de las empresas estadounidenses adheridas al tratado de Puerto Seguro).

A nadie se le escapa que los servicios de alojamiento en La Nube acaban siendo prestados, directa o indirectamente, por los gigantes de Internet, que imponen sus contratos de adhesión con todo tipo de Disclaimers a su favor ¿Y cuál es la capacidad negociadora de una empresa española con estos proveedores? Ninguna, y la respuesta de la Agencia en la sesión fue tajante: Si se desea contratar un servicio de alojamiento de datos personales en La Nube, y el contrato de adhesión no cumple con la Ley Orgánica de Protección de Datos, la empresa española no podrá contratar el servicio.

• Entre las obligaciones del artículo 12 de la LOPD, está la de especificar las medidas de seguridad aplicables, conforme a lo establecido en el Reglamento.

Por la propia naturaleza del servicio de alojamiento, el proveedor definirá las medidas de seguridad que estime adecuadas, pero no es factible que se apliquen unas medidas u otras dependiendo de las necesidades del cliente. Es decir, no van a entrar en ningún momento a discutir si deben aplicar un nivel de seguridad más estricto dependiendo de la sensibilidad de los datos personales que quiera alojar su cliente. Por lo tanto, lo más lógico sería que las medidas de seguridad por defecto cumpliesen con el nivel alto de seguridad, pero es muy improbable que los proveedores implanten exactamente las medidas de seguridad exigidas por el Reglamento.

En todo caso, la respuesta de la Agencia sobre este asunto, ha sido algo más razonable de lo que cabía esperar. Bastará con que se especifiquen las medidas de seguridad reales que aplican el servicio, siempre que éstas garanticen un nivel más o menos equivalente a lo exigido por la normativa. Es decir, se admite que no se cumplan concretamente las medidas de seguridad definidas en el Reglamento, siempre que se implanten medidas alternativas que garanticen la confidencialidad, integridad y disponibilidad de la información. En especial, se destaca la importancia de la auditoría de seguridad para garantizar que las medidas son las adecuadas.

• Estos servicios suelen configurarse a través de una compleja estructura de subcontrataciones o incluso de reventa del servicio, por lo que, aunque se firme con una empresa española, o europea, el servicio se presta de forma efectiva en otros países. Para que esta estructura sea legal, el cliente debería autorizar expresamente al proveedor para que pueda subcontratar legalmente la prestación del servicio, y en el caso de que la subcontratación implique una transferencia internacional, es necesario dotar el servicio de todas las garantías exigidas por la normativa.

Como novedad, la Agencia ha decidido flexibilizar el criterio que había mantenido anteriormente para la subcontratación con transferencia internacional. Hasta la fecha, era el propio cliente, responsable de un fichero quien debía firmar los contratos y solicitar a la Agencia la autorización para la transferencia internacional (ya fuese por sí mismo, o a través de un poder de representación a favor del proveedor). Es decir, en general, si un cliente contrataba un servicio con un proveedor español, y este quería subcontratar con una empresa de Marruecos, era necesario que el cliente firmase directamente (o por representación) con la empresa de Marruecos, y solicitase la autorización del Director de la Agencia.

La Agencia se ha replanteado este criterio, y ha elaborado un clausulado tipo para permitir que los proveedores (encargados del tratamiento) puedan ser exportadores de datos personales. Sin embargo, esto no deja de ser una transferencia de la responsabilidad de algo que en muchas ocasiones no se va a poder cumplir (por lo que veíamos en el primer punto).

Dejando de lado el tema del alojamiento en La Nube, surgieron algunos otros temas de interés:

• Se procedió a la entrega de los premios protección de datos 2011.
• Expectación sobre decisión del Tribunal Supremo con respecto a la resolución del Tribunal de Justicia de la Unión Europea, por la que España habría transpuesto incorrectamente la Directiva de Protección de Datos; en concreto, en lo referente al uso de datos personales sin necesidad de consentimiento de los afectados.
• Expectación sobre la inminente modificación de la normativa europea de Protección de Datos.
• Abandono del criterio de la sanción mínima en cada escala de infracción. Tradicionalmente, la Agencia siempre ha ido imponiendo las sanciones mínimas dentro de la escala correspondiente en cada caso (actualmente, 900 euros para las infracciones leves; 40.000 euros para las graves; y 300.000 euros para las muy graves). La Agencia ya ha avisado de que este criterio va a dejar de aplicarse, lo que dará mayor peso a las circunstancias agravantes en cada situación conforme al régimen sancionador actual.
• Contra el criterio habitual de la Agencia, en la presentación se admitía como válida la posibilidad de redirigir a una página web para cumplir con el deber de información. No obstante, todo parece apuntar a que se trata de una errata, o de una verdad a medias, pues los fundamentos de la mayoría de las resoluciones, justifican que esto no se puede hacer, ya que el acceso a Internet en España, apenas roza el 50% de implantación.

Al igual que en años anteriores, toda la documentación de la jornada se publicará en los próximos días a través de la página web de la Agencia (www.agpd.es).

Por el momento nos tenemos que conformar con este vídeo de sensibilización, que consiguió dibujar más de una sonrisa.

Áudea Seguridad de la Información

José Carlos Moratilla

Departamento Derecho TIC

www.audea.com

El Lunes 30 de Enero, Jesús Sanchez Director Ejecutivo de Áudea ha sidoentrevistado en Businnes TV y simultaneado en  Radio Intereconomía por José Cavero en su programa Desayunos Capital. 

En este link podéis ver la entrevista:

http://www.youtube.com/watch?v=9Ts2XDq4r60&feature=youtu.be

Ha sido un placer intervenir en el programa y muchas gracias a todos los que lo han hecho posible.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Con 10 años de experiencia, Áudea separa los servicios de formación con el fin de englobarlos en un solo departamento dedicado exclusivamente a captar e identificar las necesidades de los clientes para aportar soluciones en materia de formación y responsabilizarse de la gestión integral garantizando así su calidad y servicio.

La nueva oferta formativa de Áudea engloba las modalidades:

•         Presencial: Nuestros cursos tienen una parte teórica en la que se ofrece una visión específica de las correspondientes normativas, haciendo hincapié en cuestiones de especial interés para el personal asistente y   otra práctica tratando de resolver las cuestiones a las que más frecuentemente se tienen que enfrentar las personas a las que va dirigida la formación.
•         Mixta (Blended learning): Tomamos lo mejor de la formación presencial y lo mejor de la formación online para alcanzar los distintos objetivos que persigue un programa formativo.
•        Online (e-learning): Actualmente contamos con una plataforma propia y dos sistemas de gestión de cursos de distribución libre, MOODLE y SCORM. Estas plataformas tecnológicas también se conocen como LMS (Learning Management System).

Entre otros muchos, destacamos estos cursos:

•        Sistema de Gestión de la Seguridad ISO / IEC 27001
•        Sistema de Gestión de la Continuidad BS 25999  
•        Sensibilización
•        Curso ISO/IEC 20000
•        Auditoría Normativa
•       Protección de Datos y Ley de Servicios de la Sociedad de la Información y Comercio Electrónico
•        Hacking Ético

Los contenidos formativos están diseñados a partir de proyectos reales y con la orientación que demanda el ámbito empresarial, es decir, una formación impartida por y para profesionales, con criterios pedagógicos y con aplicación práctica.

Los títulos de especialización son títulos propios emitidos por Áudea, avalados por su prestigio, experiencia y posicionamiento en el sector.

Para más información envíe un email a info@audea.com o entre en www.audea.com

Es el Sexto Día de la Protección de Datos en Europa ya que esta celebración se remonta a 2006, cuando el Comité de Ministros del Consejo de Europa estableció la celebración anual del Día de la Protección de Datos en Europa el día 28 de enero -en conmemoración del aniversario de la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal- el 28 de enero de 1981, piedra angular de la protección de datos en Europa.

Para más Información de los actos realizados por la AEPD entre en:

https://www.agpd.es/portalwebAGPD/jornadas/dia_proteccion_2012/index-ides-idphp.php

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

En los últimos tiempos, y debido a las mencionadas mejoras en el ámbito de la seguridad perimetral, la ciberdelincuencia se ha orientado hacia la parte más débil: el usuario del sistema. ¿Y cómo llegan estos atacantes hasta el usuario? Las vías más comunes, entre otras, son las siguientes:

-         Correo electrónico: muchos de nosotros hemos recibido algún correo, digamos, “sospechoso”, en el que nos adjuntaban un archivo todavía más sospechoso y nos “invitaban” amablemente a abrirlo. O en otros casos, nos incluían un link que en el que debíamos hacer click para obtener fabulosos descuentos o acceder a áreas premium de los servicios más variopintos.

-         Páginas web (phishing): igualmente conocidos son los websites que imitan a otro real (por ejemplo, una imitación de la página de nuestro banco). En muchos casos, salvo que nos fijemos en ciertos detalles de la página que nos pueden dar pistas de que se trata de una “mala copia”, podremos caer en la trampa y pensar que se trata de la página auténtica, por lo que el atacante se habrá hecho con nuestras credenciales de usuario.

-         Vulnerabilidades o exploits del navegador web: ningún navegador parece estar libre de debilidades de seguridad que se van descubriendo cada mes por todo el planeta. El problema en este caso es que la solución es casi siempre reactiva, es decir, el fabricante del navegador nos ofrece un patch o actualización del mismo cuando la vulnerabilidad ya es conocida por un número notable de personas. En el tiempo que transcurra entre que la vulnerabilidad se ha hecho pública y el usuario instala el parche que la corrige, el sistema estará en serio peligro de ser comprometido por un atacante.

-         Controles ActiveX: en ciertas ocasiones, cuando navegamos por Internet, nos aparece un mensaje que solicita nuestra autorización para ejecutar pequeños programas en nuestro propio equipo, como requisito imprescindible para poder continuar con nuestra actividad en la página web en la que nos encontramos. Estos programas provienen del servidor web al que hemos accedido, pero se ejecutan directamente en el ordenador del usuario, por lo que el peligro está claro.

-         Descarga y ejecución de archivos .exe: puede conseguirse a través de técnicas de ingeniería social, es decir, a través del engaño del usuario o del abuso de su confianza, simpatía, etc.

-         Mensajería instantánea: actualmente los programas tipo Messenger están muy extendidos entre los usuarios, que incluso pueden llegar a aceptar como contactos a personas que no conocen, o que no conocen lo suficiente. En estos casos el atacante intentará que la víctima acepte un archivo y lo ejecute en su equipo.

-         Explotación de vulnerabilidades de terceros a través del navegador: no podemos dejar sin comentar otra de las vías por las que un atacante puede llegar a controlar el equipo de un usuario, y esa vía es la de aprovechar a través del navegador de Internet las vulnerabilidades o exploits que se dan en aplicaciones de terceros (distintos al fabricante del navegador en la mayoría de los casos). Especial atención se debe prestar a los numerosos exploits que afectan a conocidos reproductores de vídeo que la mayoría de nosotros utilizamos con notable frecuencia.

Y hasta aquí la primera aproximación a los ataques más comunes que pueden lanzarse para hacerse con el control de un equipo de usuario, que podrá servir al atacante como plataforma de ataque a una red entera o a servidores de la organización a la que pertenezca el usuario.

Queda, pues, patente la necesidad de educar y concienciar a los usuarios, pues es la forma más eficaz de proteger en última instancia toda nuestra red.

Áudea Seguridad de la Información

Manuel Díaz Sampedro

Departamento Gestión de la Seguridad

www.audea.com