Pues seguro que más de un@ responderá que sí, pero por ahora sólo se sabe que un@ de sus usuarios ha presentado la primera denuncia por suplantación de personalidad en una red social a la Agencia Española de Protección de Datos (AEPD).

La AEPD así a la primera denuncia por “suplantación de su personalidad” a través de una red social, lo que ha provocado una investigación de las dos redes sociales internacionales y una tercera “importante” web española. Todo parece indicar que se tratarían de MySpace, Facebook y Tuenti.

Durante la presentación de un estudio sobre la privacidad de los datos personales en estos sitios web, en colaboración con el Instituto Nacional de Tecnologías de la Comunicación (INTECO), la AEPD hizo público el primer caso de una suplantación de personalidad en la popular red social.

Una vez más la AEPD mostró su preocupación por la Protección de Datos en las redes sociales y sobre todo en los menores ya que son los principales usuarios. Y es que  casi la mitad de los usuarios tiene configurado su perfil de forma que pueda ser visto por cualquier persona de la Red.

A partir de la primera denuncia por “suplantación de su personalidad” a través de una red social, la AEPD ha abierto un plazo de investigación de 12 meses y, en caso de encontrar fundamentos, se iniciará un procedimiento a resolver en el plazo de 6 meses. Las sanciones en materia de Protección de Datos a empresas y particulares van de los 600€ hasta los 600.000€ en los casos más graves.

FACUA-Consumidores en Acción ha puesto de actualidad este tema al denunciar ante la Agencia Española de Protección de Datos (AEPD) el grave problema de seguridad en los servicios de correo electrónico de  Microsoft (hotmail), Yahoo y Google (gmail).

Lo que plantea FACUA es que cualquiera pueda acceder a la cuenta de correo de otro usuario con sólo conocer dónde vive y la respuesta a una “pregunta de seguridad” que en muchos casos es bastante fácil de averiguar, porque suele ser su actor favorito, fecha de nacimiento, el nombre de su mascota, etc.

Por tanto es realmente sencillo que alguien acceda a nuestras cuentas personales de correo electrónico teniendo acceso así por ejemplo a los mensajes enviados y recibidos, además de poder usurparse su identidad tanto desde el correo como su programa de mensajería instantánea.

Para apoderarse de una cuenta de Hotmail y Yahoo sólo es necesario entrar en sus respectivas webs, teclear la dirección de correo electrónico, indicar que has olvidado la contraseña, indicar el país, provincia y código postal de su propietario y contestar correctamente a una pregunta que éste seleccionó al activarla o modificarla.

Con Gmail, es igual excepto que establece un plazo de 5 días desde que se indica el olvido de la contraseña hasta que puede recurrirse a la contestación de la “pregunta de seguridad” si la cuenta de correo sigue sin abrirse desde entonces.

Al contestar correctamente se ofrece además la posibilidad de modificar la contraseña, con lo cual el usuario se hará con el total dominio de todos los servicios e incluso podrá modificar la pregunta, lo que podría llegar a hacer imposible para el auténtico propietario de la cuenta de correo volver a acceder a la misma.

Facua propone para evitar etsos problemas que la recuperación de una contraseña de correo sea a través permitirse del envío a una dirección electrónica alternativa facilitada por el usuario cuando dio de alta su cuenta.

Más información en Facua.

El próximo 28 de enero de 2009 se celebra la tercera edición del Día Europeo de la Protección de Datos.

Dentro de las actividades previstas por la Agencia para esta fecha, se convoca la 2ª Sesión Anual Abierta de la Agencia Española de Protección de Datos en el Auditorio de la Universidad Carlos III (Avenida de la Universidad, 30, 28911-Leganés).

La AEPD invita a cualquier profesional, empresario, institución o ciudadano a una sesión pública, abierta, gratuita y, esencialmente práctica dirigida a resolver cuantas preguntas deseen formularnos, y en la que se analizarán también las principales novedades acaecidas en el último año en materia de protección de datos personales tanto en el ámbito nacional como internacional. En el marco de esta 2ª Sesión Anual, está asimismo prevista la presentación de una “Guía de Videovigilancia ” elaborada por la Agencia.

La apertura de la Sesión correrá a cargo del Sr. Ministro de Justicia y, tras breves presentaciones, el personal directivo de la AEPD se ocupará de analizar y contestar las cuestiones planteadas por los asistentes por escrito en la solicitud de inscripción y, si fuera posible, en un turno abierto de intervenciones.

En una sentencia emitida ayer, el Tribunal precisa que, con carácter excepcional, una persona puede recibir por medio de un SMS los datos fiscales de otras si el objetivo de ese servicio es “periodístico”.

La Corte con sede en Luxemburgo examinó el caso de una empresa que recoge datos públicos de la administración fiscal finlandesa para editar cada año extractos en las ediciones regionales del periódico “Veropörssi”.

Tres jóvenes menores de 14 años aparecen en el fichero de solvencia ASNEF, más conocido como el listado de morosos, por no pagar la factura de sus móviles. La Agencia Española de Protección de Datos (AEPD) ha tomado cartas en el asunto y ha sancionado a Telefónica Móviles, por hacerles un contrato telefónico a pesar de ser menores, por incluir sus nombres en el registro de morosos y por usar sus datos de manera irregular.

Es la primera vez que se da un caso como éste en España y las multas que tendrá que pagar la operadora ascienden a 70.000 euros y otra de 90.000 euros.

“Carolina recibió un día una llamada de un comercial de Telefónica en su móvil prepago. Le ofrecía la posibilidad de pasarse a contrato. Las condiciones le parecieron bien y aceptó la oferta. A los 15 días solicitó la baja. Explicó que era menor de edad y que había sido “engañada”. Sin embargo, no consiguió cancelar el contrato y al poco tiempo recibió la primera factura: 108,88 euros. Trató de ponerse en contacto con Telefónica Móviles. No lo logró. Tampoco pagó la factura. Dos meses después recibió una notificación de que había sido incluida en el registro de morosos.

Su caso es muy similar al de Javier que, según la resolución de la AEPD en la que aparece la reclamación de su padre, “sustrajo” un móvil de tarjeta prepago a su madre y aceptó una oferta de migración a contrato que le hizo un comercial por teléfono. Poco después sus padres, al ver la capacidad ilimitada de llamadas del teléfono sin necesidad recarga, le preguntaron. Éste les contó que había aceptado una oferta para cambiarse a contrato. Poco tiempo después a Javier le llegó una factura de 260,23 euros. Como no la pagó, recibió una carta en la que se le decía que su nombre había sido inscrito en el registro ASNEF.

La Ley de Protección de Datos dictamina que no se puede manejar datos de menores de 14 años sin el consentimiento de sus padres o tutores. Además, la resolución expone que “los menores no emancipados no pueden prestar el consentimiento para contratar, y por tanto sin este requisito no es válido el contrato y no es susceptible de generar obligaciones”. Por tanto, según Protección de Datos, como los contratos hechos tanto a Carolina como a Javier son nulos, las deudas que adquirieron también lo son.

La inscripción de estos menores en el registro de morosos tampoco es válida, según la AEPD. La inclusión en este listado sólo puede hacerse cuando haya una “deuda cierta, vencida y exigible que haya resultado impagada”. Según Protección de Datos, esa deuda no era “cierta” ya que los contratos no eran válidos.

“Este caso ejemplifica el riesgo de vulnerabilidad que tienen los menores en cuestión de protección de sus datos”, dice el director de la AEPD, Artemi Rallo, que explica que las resoluciones tienen dos elementos clave: la prohibición de que un menor contrate un servicio sin el consentimiento paterno, y que “no cabe la obtención de datos personales de un menor de 14 años sin autorización de sus padres”.

Sin embargo, Telefónica Móviles asegura en la resolución -que aún tiene posibilidad de recurso- que no sabía que los usuarios eran menores de edad. Y explica la política de empresa: “En ningún caso se podrá ofrecer a un menor de edad la migración a contrato. En el supuesto de que esté interesado se le indicará la posibilidad de realizarlo a nombre del padre o tutor”. Pero a pesar de esto la empresa trató los datos de los afectados “sin realizar las comprobaciones necesarias en lo referente a su edad y sin requerir la autorización a sus representantes legales”.

“La compañía tenía que haber obrado de manera más diligente y verificar todas las informaciones que le daban los usuarios”, sostiene Rallo. “No pueden decir que son víctimas de una mentira por parte de los menores”, concluye. Sin embargo, la teleoperadora sostiene en dos de los tres casos que los menores mintieron sobre su edad. Aseguran que tanto Carolina como Rosa dijeron tener 16 años.

Pero Rosa (al igual que la otra niña) tenía 13 años en el momento en que adquirió un contrato prepago. También llegó a deber 156,86 euros a Telefónica y fue incluida en el registro de morosos. Algo que su padre describe en un escrito recogido en la resolución como “materialmente imposible” sin su consentimiento. Pero no ocurrió. Nadie pidió a la menor el DNI para venderle el terminal, asociado a una cuenta con el BBVA. Algo que hoy es obligatorio.

De momento, las resoluciones de estos tres menores son únicas. Sin embargo, Ruben Sánchez, portavoz de la asociación de consumidores Facua sostiene que si se revisaran los contratos de las operadoras telefónicas aparecerían muchos más. “A estas empresas no les importa quiénes sean los titulares, sólo que paguen. Cada vez se dirigen más a un público infantil. Estos casos son un ejemplo de qué poco les importa la ley de protección de datos”, sostiene. Por eso exige a la AEPD que inste a las teleoperadoras a que investiguen todos sus contratos para verificar cuántos corresponden a menores sin consentimiento paterno. Y de ser así, que los den de baja.

La ONG Protégeles, dedicada a velar por el buen uso de las nuevas tecnologías en los niños, reclama también que se haga esa verificación. “Actualmente no se cuida el cumplimiento de la ley de protección de datos, sobre todo de menores. No hay conciencia y muchas veces es por desconocimiento”, critica Guillermo Cánovas, su presidente. Sin embargo, Cánovas contradice al portavoz de Facua, quien asegura que las compañías se dirigen cada vez más a captar menores, lo que se ha convertido en un nuevo “nicho de mercado a explotar”. “Es más una cuestión de dejadez de las operadoras”, asegura el presidente de Protégeles.

Pero esa mala utilización de la información personal es frecuente. Y es que, para Rallo, “estas empresas hacen de la obtención de datos personales una actividad principal. Algo muy preocupante en un público objetivo al alza como son los menores”, sostiene Rallo. No va desencaminado. En 2004, el 45,7% de los niños españoles tenía móvil. Un porcentaje que en 2007 había crecido hasta el 65%, según la última encuesta sobre Equipamiento y Uso de Tecnologías de la Información y Comunicación en los hogares del INE.”

Vía: El  País

La Agencia Española de Protección de Datos ha multado con 60.101 euros a la Sociedad General de Autores y Editores (SGAE) por grabar sin permiso una boda en Sevilla y aportar el vídeo a un juicio, lo que constituye «una clara violación del derecho constitucional a la intimidad y a la propia imagen».

Protección de Datos, considera que la SGAE incurrió en una infracción «muy grave», pues grabó un acto privado como es un banquete de bodas, sin la «autorización inequívoca» de los interesados, como exige la ley.
La SGAE, en el contexto de su política para cobrar derechos de autor, contrató a un detective, que se coló en una boda en el restaurante «La Doma» de San Juan de Aznalfarache (Sevilla) y grabó a los invitados bailando al ritmo de canciones protegidas.
El salón de bodas fue condenado a pagar 43.179 euros de canon musical en base a otras pruebas periféricas, ya que la sentencia del juzgado de lo Mercantil sevillano declaró nulo el vídeo porque constituía «una clara violación del derecho constitucional a la intimidad y a la propia imagen», al ser la boda un «acto privado y reservado», y más aún cuando la grabación se ejecutó «a escondidas, cuando la celebración estaba ya avanzada».
Al conocer la sentencia, la Asociación para la Protección de Datos de los Consumidores (Consudato) denunció los hechos a la Agencia de Protección de Datos, que ha sancionado a la SGAE con una multa de 60.101 euros.
La resolución dice además que la actuación del detective vulneró la Ley de Seguridad Privada, que prohíbe a esos profesionales usar en sus investigaciones «medios técnicos que atenten contra el derecho al honor, a la intimidad y a la propia imagen».
En su defensa, la SGAE alegó que se limitó a contratar al detective sin decidir sobre los medios que debía utilizar para conseguir pruebas, y que la filmación no pretendía generar un fichero de datos personales, que es el aspecto protegido por la ley.
La resolución recuerda que los contrayentes declararon no haber autorizado a la SGAE a filmar su boda y que, pese a ello, la novia aparece en varios momentos de la grabación.
La ley, según la resolución, exige el «consentimiento inequívoco del afectado» para la captación o tratamiento de sus datos personales, definidos como «toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, tratamiento o transmisión y concerniente a una persona física identificada o identificable».
Por su parte, el abogado Joaquín Moeckel han indicado a EFE que Consudato ha elevado otra denuncia similar ante Protección de Datos porque la SGAE ha vuelto a presentar una demanda judicial contra otro salón de bodas, en este caso «El Vizir» de Espartinas (Sevilla) con el apoyo del vídeo de un detective.
El detective «se introdujo en la boda simulando ser invitados y ocultando la cámara de vídeo» ya que dicho recinto «no estaba abierto al público sino solo a unas personas determinadas».
Consudato afirma que se trata de una infracción «muy grave» pues la prueba se consiguió «de forma engañosa y fraudulenta» y además constituye «una reiteración en una actuación ya sancionada por Protección de Datos».

La Agencia de Protección de Datos ha sancionado a Portal Latino, una web creada por la Sdae, la Sociedad Digital de Autores y Editores,(integrada en la SGAE), cuyo principal objetivo es la promoción y difusión del repertorio cultural latino.

Varios socios de la organización denunciaron a la web después de que sus datos aparecieran volcados sin su consentimiento en la plataforma de intercambio de archivos eMule.

La Ley de Protección de Datos califica como infracción grave “la vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros”.

De acuerdo con la resolución, “queda acreditado que por parte de Portal Latino, responsable de la custodia de los datos, se vulneró el deber de secreto garantizado en la ley al haber posibilitado el acceso no restringido a datos personales sin consentimiento de sus titulares”.

La Agencia insiste, además, en que “este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática y, por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley”.

Entre los datos de los socios de Portal Latino que aparecieron en la plataforma de intercambio de archivos figuraban, entre otros, documentos que contenían información con el nombre, apellidos, domicilio, teléfono, DNI, además del identificador de usuario y contraseña de acceso al sistema del portal. Por todo ello, y según lo establecido en la ley, Portal Latino, deberá pagar una multa de 6.000 euros. La SGAE deberá hacer ahora efectivo el pago de la sanción antes del 20 de enero o, de lo contrario, “se procederá a la ejecución en periodo ejecutivo”. Ayer, la entidad declinó sin embargo hacer ninguna valoración al respecto.

La Agencia de Protección de Datos ha dictado esta resolución a raíz de una denuncia presentada por tres socios de Portal Latino, que vieron vulnerados sus derechos: Luis Cobo, Marcos Navarro y Fernando Bellver. Cobo, más conocido como Manglis, es uno de los artífices del rock andaluz de los 80, y fue candidato independiente a las últimas elecciones de SGAE. En los últimos meses ha denunciado que la organización le está negando el pago de sus derechos, además de provocar un agujero en las cuentas del Montepío de los autores.

Vía: El economista

Ambas normativas tienen muchas implicaciones en el trabajo de las empresas prestadoras de servicios de call/contact center. Para los expertos reunidos en esta sesión la Ley ha de verse como “una oportunidad para identificar marcos jurídicos”, teniendo en cuenta que hay que conocerla a fondo para no cometer posibles irregularidades. De ahí que hagan ciertas recomendaciones como la de contar con el asesoramiento de un abogado en cualquier proyecto que se quiera abordar en el terreno de los centros de contacto, así se evitarán posibles interpretaciones erróneas de la Ley. Rafael García del Poyo, abogado del departamento de Derecho de las Tecnologías de la Información de Garrigues hacía hincapié en ello. “Nos movemos en el mundo de los derechos de las personas, la materia prima con la que se trabaja es la privacidad de las personas”, señalaba.

Análisis de los datos
Recordaba asimismo, que hay que tener presente que los datos privados con los que se trabaja en un centro de contacto se tienen que tratar y analizar desde la vertiente jurídica, informática y organizativa. Si tomamos como ejemplo la vertiente jurídica, uno de los aspectos que contempla la Ley de Protección de Datos es la exigencia a las empresas prestadoras de servicios de call center, cuyo trabajo se desarrolle dentro de la UE, a que firmen con sus empresas clientes contratos que tengan cláusulas de protección de datos. Además, en el caso de los servicios que no se hagan en el entorno de la UE, la Agencia de Protección de Datos exige una autorización previa para realizar la transferencia internacional de datos –la autorización ha de pedirla la empresa dueña de la base de datos, es decir la empresa cliente de la compañía prestadora de servicios de call center, pero ésta ha de asegurarse de que su cliente cuenta con dicha autorización-. La empresa dueña de esa base de datos habrá de presentar la documentación en donde se refleje que en este flujo de datos se van a contemplar las garantías necesarias para un nivel óptimo de protección de datos, el mismo que si se diera el servicio desde España. “El problema surge con la subcontratación. Si la empresa prestadora del servicio tiene sede en España y contrata el servicio con una filial suya en un tercer país con un nivel de protección de datos menor, la Agencia exige que el contrato de garantías esté firmado por el responsable del fichero exportador de datos y por el importador de datos en ese tercer país sin garantías de protección de datos igual a la europea”, señala María José Blanco Antón, subdirectora general del Registro General de Protección de Datos de la Agencia Española de Protección de Datos.

Recordemos que desde hace unos cuatro años, Argentina tiene homologada su normativa en materia de protección de datos y en estos momentos trabajan en esta línea, Colombia, Chile y Uruguay. La evolución de este mercado es un aliciente para los países sudamericanos, de ahí que les interese agilizar los trámites que les permitan facilitar la transferencia de datos privados, ya que es un negocio que revitaliza sus economías. En esta línea hay que destacar la labor de la Red Iberoamericana de Protección de Datos, a través de la cual la Agencia de Protección de Datos Española está en contacto con las instituciones públicas iberoamericanas.

 ¿La razón? La Consellería de Presidencia, Administracións Públicas e Xustiza publicaba en su web sin filtros la relación de admitidos para las citadas ayudas; y el listado íntegro ya había sido colgado en varias páginas más, entre ellas, las de sindicatos como la CIG, CC.?OO. y UGT.

El afectado se puso entonces en contacto «co xefe de informática da Xunta» y los sindicatos para solicitarles la retirada de esos datos personales. «É unha información que pode dar pé a utilizacións perversas, e só faltaba que puxeran a cor do pelo», manifestó a La Voz. Sin embargo, ante la falta de reacción y en vista de que la información seguía siendo de libre acceso, en septiembre del 2006 decidió presentar una denuncia en la Agencia Española de Protección de Datos (AEPD).

Dos años más tarde, el organismo estatal acaba de darle la razón en primera instancia, indicando que la consellería podría haber incurrido en una infracción del artículo 10 de la Ley Orgánica de Protección de Datos (LOPD), por la que podría ser sancionada con una multa de entre 300.506,06 y 601.012,10 euros. Afirma que «el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional de los mismos y al deber de guardarlos».

Tras recibir el «acuerdo de inicio de procedimiento de declaración de infracción de Administraciones públicas», el denunciante se mostró satisfecho y sorprendido. «Contaba que isto estaría esquecido [...] Ao principio eu non tiña intención de denunciar pero, ao ver que había unha incompetencia tan grande, tomei a decisión», afirmó.

A continuación comentó que a través de Presidencia ya no se puede consultar el listado libremente: hacen falta el DNI y el año de solicitud. Sin embargo, esos datos todavía se pueden localizar en otras páginas. «Unha vez que a Xunta espallou en todos os sitios o documento, agora non o controla nin san Pedro, é imposible», lamentó.

En nuestro país, sólo el 20% de los colegios docentes no universitarios tienen protegidos los datos de sus alumnos. Números de identificación, teléfonos, direcciones y nombres y apellidos que las instituciones privadas y empresas utilizan con fines lucrativos.

Lo que más preocupa de esta situación es la forma en que ese tipo de información llega a estas empresas privadas. En ocasiones se dan procedimientos no permitidos por la ley: las empresas externas acceden a datos que no pueden salir del colegio.

Se trata de listados de alumnos a los que sólo puede acceder el personal docente, mientras que las empresas sólo pueden captar la información relativa a un menor cuando cuentan con la autorización de los padres o tutores de los niños.

Pero no toda la culpa es de las empresas e instituciones privadas, a veces los colegios son los que incurren en falta grave al publicar datos privados.