Vía libre a las empresas para comercializar con datos personales sin pedir permiso

Dos sentencias emitidas por el Tribunal Supremo acaban de poner fin a la batalla que durante años ha enfrentado a la Agencia Española de Protección de Datos (AEPD) con las empresas de marketing online y ventas por Internet. Y lo hace a favor de estas últimas.

En 2008, la Federación de Comercio Electrónico y Marketing Directo (actual Asociación Española de Economía Digital) y la Asociación Nacional de Establecimientos Financieros (ASNEF) presentaban sendos recursos contra el reglamento de 1999 que desarrolla la Ley Orgánica de Protección de Datos de Carácter Personal y que transponía la directiva europea en esta materia.
¿El motivo? La obligación de conseguir el consentimiento expreso de los usuarios para recabar, almacenar y ceder sus datos. Y la exigencia de que la información usada y cedida figurara expresamente en fuentes accesibles al público como el BOE, los periódicos o las agendas telefónicas.
Así las cosas y tras consultar con el Tribunal de Justicia de las Comunidades Europeas, los jueces del Supremo han decidido anular esta parte de la normativa española por ser más garantista e ir más allá de lo que establecía la directiva. Esto da luz verde a las empresas para que usen datos personales sin el permiso de sus dueños cuando son extraídos de fuentes públicas siempre y cuando se destinen a un fin legítimo y no contravengan los derechos de los particulares, según informa Europa Press.

La UE busca una forma de evitar que se envíen datos al gobierno de EEUU

El conflicto sobre la forma de tratar los datos en la nube, puesto de manifiesto la semana pasada en el lanzamiento de Microsoft 365, está empujando a la Unión Europea a buscar formas de combatir las consecuencias de Patriot Act estadounidense. Por medio de esta ley, las compañías no pueden garantizar que la información en sus servidores europeos no recale en Estados Unidos.
La semana pasada, en el lanzamiento en Londres de Microsoft 365, Gordon Frazer, vicepresidente de Microsoft International, admitió que su compañía no puede ofrecer la garantía de que los datos en la nube almacenados en servidores emplazados en Europa no vayan a dejar este continente.
En virtud del Patriotic Act -la ley estadounidense aprobada tras los atentados del 11-S que aumenta considerablemente las potestades para investigar llamadas telefónicas, correos electrónicos y otros datos con el objetivo de evitar acciones terroristas- cualquier compañía, según confesó Frazer, puede verse obligada a enviar información a Estados Unidos.
Esto entra en conflicto con las leyes europeas de protección de datos, ya que la información almacenada en la nube, dentro de la Unión Europea no está asegurada ante la legislación estadounidense, siempre que se atienda a las declaraciones de Frazer.
Tras conocer esto algunos miembros del Parlamento Europeo han mostrado su preocupación por el tema y han coincidido en la necesidad de reforzar las leyes de protección de datos para evitar que se den estas situaciones. Sophie in't Veld, miembro del comité de libertades civiles del Parlamento Europeo, planteó la cuestión de la prevalencia del Patriot Act sobre la legislación europea.
El miembro de la Comisión Europea encargado de la protección de datos ya ha señalado que compañías tecnológicas que almacenan grandes cantidades de información, como Microsoft, Google o Facebook, tienen que respetar y cumplir con las leyes europeas. De las declaraciones de Frazer se desprende que en estos momentos la situación permite lo contrario.

El Mundo

Piden a las compañías más responsabilidad ante los datos online

Las compañías de Internet necesitan ser más responsables con la enorme cantidad de datos personales que recopilan de los usuarios para protegerlos del cibercrimen, según ejecutivos de la industria.

"La información es la divisa del crecimiento, pero también se está convirtiendo cada vez más en la divisa del delito", dijo el martes Peter Cullen, responsable de la estrategia de privacidad de Microsoft, en la conferencia anual del Family Online Safety Institute.

"La gente tiene expectativas muy altas sobre las compañías en lo que se refiere a cómo recopilan, utilizan, almacenan y sobre todo protegen su información", dijo Cullen.
Las compañías deben mantener un alto nivel cuando gestionan la información personal de los consumidores e invertir más en estructuras internas para garantizar la privacidad, añadió.
Michael Fertik, fundador de la compañía de gestión de reputación online ReputationDefender, pidió normas en Estados Unidos que obliguen a crear ajustes por defecto que den a los consumidores un mayor control de su "expediente digital".
"Es extraordinario lo profundos que son los grupos de datos sobre nosotros, y es inquietante", dijo Fertik a Reuters, citando las páginas web que rastrean la localización de los usuarios.
Compañías como Google, Yahoo, Facebook y Microsoft recogen datos personales que se utilizan a menudo en publicidad o son traspasados a terceras partes sin conocimiento de los usuarios.
Fertik pidió límites al tiempo en que las compañías pueden mantener datos sobre consumidores, advirtiendo de que con el tiempo los datos podrían utilizarse para algo más que para la publicidad, como evaluaciones de primas de seguros de salud a partir de la frecuencia con la que una persona acude a restaurantes de comida rápida.
"Las compañías cuya fuente principal de ingresos procede de la publicidad tienen una tensión terrible entre ese incentivo económico y tus intereses de privacidad", dijo Fertik.
El Departamento de Comercio anunció esta semana que el número de abonados a Internet de alta velocidad se había multiplicado por siete entre 2001 y 2009.
Los dispositivos móviles también están siendo cada vez más utilizados para acceder a Internet, y aún así la mayoría de los estadounidenses no están familiarizados con las implicaciones para la privacidad de estar conectados en cualquier momento y en cualquier lugar.
La Comisión Federal del Comercio de Estados Unidos está preparando recomendaciones para las leyes de privacidad, y analistas de telecomunicaciones prevén un respaldo de ambos partidos sobre este tema.

Los datos bancarios robados pierden valor en el mercado negro

Fuente: eWeek.

Los ciberdelicuentes pueden ser víctimas de su propio éxito, ya que los robos de información masivos provocan una reducción notable de su precio.

Las tarjetas de crédito y otros datos bancarios robados no son tan fáciles de vender en el mercado negro como podía preverse. Este tipo de economía está siempre ocupada, especialmente en una época de sustracciones masivas como las que sufrieron Heartland Payment Systems y Hannaford Brothers.

Los precios en el mercado negro son más bajos de lo que cabría pensar, según una investigación de Kaspersky Labs. Dmitry Bestuzhev, analista de virus de la compañía, encontró un sitio web donde se proporcionaba material robado. Lo más caro actualmente en él son las tarjetas de crédito alemán, que pueden venderse a 6 dólares la pieza. Por otro lado, las Visas de Estados Unidos pueden encontrarse a 2 dólares la unidad.

“Es complicado dar una cifra exacta sobre los sitios como este que existen. No son muy numerosos debido a su baja rentabilidad en la actualidad. Además, los delincuentes cibernéticos funcionan como un club en el que todos se conocen” explica Bestuzhev.

En cierto modo, las bandas cibernéticas pueden ser víctimas de su propio éxito. Según algunos investigadores, la enorme cantidad de información robada que se vende en el mundo ha empujado hacia abajo los precios.

Sin embargo, habida cuenta de las infracciones a miles de tarjetas, cabe destacar que el malware es el tipo común de robo. Según un estudio de PandaLabs, el 71% del malware que se encuentra al día son troyanos, muchos de los cuales están diseñados para robar datos bancarios y números de tarjetas de crédito.

“Los delincuentes tecnológicos han hecho de la venta de información personal en el mercado negro la base de su negocio”, explica Luis Corrons, director técnico de PandaLabs. Es más, luego está el costo de la pérdida de negocio.

Por esta razón, es importante para las empresas permanecer vigilante. “Desde que se produce el robo de identidades hasta que la entidad afectada se da cuenta pasa un tiempo. De este modo, resulta chocante comprobar que estas empresas no sabían que algo no autorizado circulaba por sus redes”, concluye Luis Corrons.

Filtran en Internet datos de seis millones de chilenos

Fuente: La Jornada.

Datos personales de seis millones de chilenos quedaron disponibles en internet por varias horas, luego de que un hacker que filtró varios registros oficiales publicó los archivos en dos sitios altamente visitados, informó este domingo el diario El Mercurio.

La filtración es investigada por la brigada del Cibercrimen de la Policía de Investigaciones y ocurrió entre la tarde del sábado y la madrugada del domingo.
"Se trataría de un hecho grave. Por ello se investiga la veracidad de la información", dijo el diario.

Los datos fueron divulgados por un hacker en el sitio de tecnología Fayer Wayer y en el de contenidos varios El Antro, donde se publicaron archivos de varias instituciones públicas y privadas, entre ellas el Servicio Electoral, el Ministerio de Educación y de compañías de teléfonos.

Los datos contenían los nombres, direcciones, teléfonos comerciales y particulares, correos electrónicos e información académica y social de los afectados.

El autor de la filtración explicó que su idea era "mostrar lo mal protegidos que están los datos en Chile" y que "nadie se esmera en proteger esta información", por eso él la hacía pública "para todo el mundo".

La publicación de estos archivos es penada por la legislación chilena. Los archivos fueron retirados ya de los sitios donde fueron publicados, según aclararon sus administradores.

Venden en Reino Unido datos bancarios y personales a través de Internet

Fuente: El Mundo.

De susto en susto. Así andan los británicos estos días, sabedores de que sus datos, personales y bancarios, están, en el mejor de los casos, perdidos en el cajón de algún courier despistado, en el peor, a merced del mejor postor que quiera pujar por ellos en Internet para vaciarles el bolsillo.

Apenas dos semanas después de que se desvelara que Revenue & Customs, la Agencia Tributaria del Reino Unido, había perdido en el correo dos disquetes con detalles bancarios de 25 millones de ciudadanos —un escándalo que ha puesto en aprietos al Primer Ministro, Gordon Brown—, 'The Times' aseguraba que b>había conseguido descargarse de la Red informaciones bancarias de 32 personas, incluido un juez del Tribunal Supremo.

Aunque los dos hechos no tienen por qué estar relacionados, el hallazgo del periódico británico pone aún más en entredicho la fiabilidad de la protección de datos en el Reino Unido, y podría ahondar la crisis de competencia del ya maltrecho Gobierno de Brown. Entre los detalles a los que tuvo acceso 'The Times', sin pagar un sólo penique, hay números de cuentas bancarias, claves y códigos de seguridad, direcciones, teléfonos y e-mails.

Se ofrecían en más de 100 páginas web, una de las cuales prometía acceso a números de tarjetas bancarias (incluida la fecha de validez y el código de seguridad) de 30.000 británicos al precio de una libra por cada una. En otra, se vendía hasta uno de los supuestamente inviolables pasaportes electrónicos.

En resumen, una ganga para defraudadores. Algunas de estas páginas cuentan con secciones en las que los compradores pueden recomendarse unos a otros las mejores oportunidades y los vendedores más fiables.

Scotland Yard y la agencia oficial encargada de la protección de datos, la Information Commissioner's Office, están ya investigando los hechos. De hecho, los responsables de este organismo quieren plantear nuevas medidas de seguridad, como que se persigan de oficio los fallos en la custodia de este tipo de detalles o que su personal pueda hacer redadas en agencias gubernamentales y empresas privadas.

El objetivo es evitar casos como el que hace dos semanas sacudió a la Agencia Tributaria, que, por otra parte, ya había perdido en septiembre un ordenador personal con datos de 400 personas y, a principios de noviembre, otro CD, esta vez con información sobre 15.000 pensionistas.

El pasado domingo se desvelaba un nuevo escándalo: el hallazgo de otros dos discos que se encontraban esta vez en manos de un empleado del departamento de Trabajo y Pensiones. Estuvieron en su casa, durante un año, simplemente porque olvidó devolverlos. Contenían los números de la Seguridad Social de otras 18.000 personas.

Mientras el rosario de descuidos continúa, las víctimas del fraude desvelado por 'The Times' expresaban un temor que puede estar haciendo mella también entre sus conciudadanos: "Estoy profundamente afectado. Es desconcertante saber que algo tan personal está disponible para cualquiera", se preguntaba el juez Robert Seabrook.

Google sabe demasiado

Fuente: El Pais.

El mayor buscador de Internet almacena información de cada usuario - Los perfiles se convierten en anónimos a los 18 meses - La compañía promete buenas prácticas a los reguladores europeos.

Google, el mayor buscador de Internet y una de las compañías que mueve más dinero en el mundo, ha decidido despojarse de ese sambenito que le describe desde hace años como el Gran Hermano del siglo XXI; un ojo que todo lo ve y que almacena aquello que nos define, desde nuestras perversiones más ocultas hasta la búsqueda de tiques para el concierto del próximo fin de semana.

El método que sigue el buscador estadounidense con sede en California para quitarse esa pegajosa etiqueta es enviar de gira a su asesor de política de privacidad de datos, Peter Fleischer. En los últimos meses, Fleischer ha visitado varios países de la Unión Europea y ayer estuvo en España donde se reunió con la Agencia Española de Protección de Datos para explicar que los datos personales que almacena Google sólo se guardan por un período limitado de tiempo que no va más allá de dos años y que nunca podrían ser usados para fines oscuros.

En una entrevista concedida ayer a EL PAÍS, Fleischer, insistió sobre este punto con un palabro si se traduce al castellano: "Lo que hacemos es anonimizar los datos de las búsquedas pasados los 18 meses, de la misma forma que un banco tacha los últimos números de una tarjeta de crédito. Eso permite que las búsquedas no se asocien a un ordenador determinado". El compromiso reciente de Google pasa también por borrar las cookies, archivos de información que se almacenan en su ordenador cada vez que usted visita una página web a petición del servidor y que éste recupera en posteriores visitas. Es decir, una especie de nota que permite al servidor reconocerle y saber si a usted le gustan los Beatles o la pesca submarina. Esas cookies, según Google, se borrarán cada dos años.

Las explicaciones de la compañía no terminan de convencer a muchos. La primera pega es que esas notas de información son renovadas periódicamente sustituyendo a las ya caducadas. Hace tres meses la Unión Europea comunicó a la compañía que esos dos años podrían ser excesivos según la directiva de protección de datos. Otros son más duros. La ONG Privacy Internacional considera que Google es la empresa con peor nota en lo que se refiere a políticas de privacidad de datos. La Asociación de Internautas Españoles no ve con buenos ojos el monopolio en el que el buscador se ha convertido con la compra de otras empresas que ayudan a dibujar con más precisión el perfil de un usuario. Aún más con el anuncio hace unos meses de la creación de i-Google. Este último Google es un poco más listo que el que usa la mayoría. El usuario puede acceder con él a una base de datos aún más personalizada que les permitirá preguntar cosas como "¿qué debería hacer mañana?" o "¿qué trabajo debería elegir?"

"Tienen empresas de todo tipo, de venta de banners [anuncios de Internet] hasta correo electrónico [gmail] pasando por los vídeos que cuelga la gente [Youtube]. Una sola empresa lo tiene todo sobre ti", declara Miguel Pérez. Fleischer se defiende asegurando que son muy pocos los trabajadores de Google que tienen acceso a esas bases de datos. "El riesgo de que se haga un uso indebido de esa información es mínimo. Todo lo que hacen nuestros ingenieros queda grabado", asegura.

Los datos de Google se han convertido además en una estupenda fuente para la investigación y a veces son los gobiernos los que solicitan hacer uso de ella. 'Nuestra respuesta a esas peticiones es: "Depende". Hace dos años las autoridades estadounidenses nos pidieron que revelásemos los datos de ordenadores desde los que se podían haber cometido delitos de pornografía. Nuestra respuesta fue un rotundo no. De hecho, fuimos el único buscador que se resistió a esas peticiones y llevamos el tema a los tribunales. Hemos ganado el caso y ha sentado jurisprudencia. Si alguna vez la petición es válida y legal, en ese caso accedemos', relata el asesor. En cualquier caso, Fleischer señala la complejidad de trazar los límites de algo que está en continua expansión. "Nos parece importante que se hable de estos temas. Son nuevos para mucha gente y queremos contribuir a que se discuta y se entienda que no somos los enemigos".

El debate que plantea el asesor y que se ha encargado de introducir en sus visitas a gobiernos y medios de comunicación europeos es paralelo al que se vive con el terrorismo. "Hay que encontrar un equilibrio entre seguridad y privacidad. Las amenazas en la Red son muchas. Un hacker (pirata informático), deja un rastro de datos de la misma forma que otra persona. Su almacenaje permite a veces evitarlos", asegura.

La abogada y experta en nuevas tecnologías Paloma Llaneza apunta que los obstáculos con los que Google se da de bruces son precisamente los que tienen que ver con la legislación: "Por eso les interesa que se hable de esto. En Estados Unidos las leyes son mucho menos restrictivas que aquí, mientras que en España la privacidad de los datos es un derecho constitucional".

La empresa estadounidense, salida de un cuartucho lleno de aparatos informáticos en el que Larry Page y Sergei Brin cocinaron su idea, es hoy el mayor emporio de la Red. En sus oficinas de Googleplex, en California, jóvenes informáticos imberbes circulan en monopatín de una sala a otra pensando en nuevos algoritmos y soluciones para los nuevos retos de la compañía. Su lema sigue siendo el mismo: Don't be evil (No ser malvado) pero todas las acusaciones sobre la intromisión de Google en los datos de los usuarios y su decisión de permitir la censura en China lo han puesto en entredicho. Por eso Google, la empresa que pretende cambiar el mundo, en palabras de director, Eric Schmidt, necesita explicarse y promover un debate que les permita seguir trabajando.

LAS CIFRAS DE UN GIGANTE

- Google fue fundada en 1998 por dos estudiantes de la Universidad de Stanford, Larry Page y Sergey Brin.- La compañía ofrece acceso a 10.000 millones de páginas web.- El 97% de los internautas españoles usan Google, según la consultora Nielsen Netratings.- Su salida a Bolsa fue la más sonada de esta década. Hoy vale en Bolsa 116.000 millones de euros.

Cómo protegerse de los virus y el robo de datos personales en Internet

El Observatorio de Seguridad de la Información de Red.es realiza en su último informe sobre la materia varias recomendaciones para evitar la infección por virus y el robo de datos personales en Internet. El organismo dependiente del Ministerio de Industria publicaba además hoy una guía legal sobre protección de datos de carácter personal. De ambos textos puede extraerse una lista de normas que harán su navegación más segura y le ayudarán a proteger sus datos personales.

1. Acceda siempre a banco o a los portales de comercio electrónico desde un ordenador de su confianza.

2. Mantenga el navegador y el antivirus actualizados y con los últimos parches de seguridad instalados.

3. Aplique el sentido común y esté informado de las últimas novedades en materia de seguridad informática. Lea también las recomendaciones y avisos de seguridad que su banco o caja publica a través de su web.

4. No facilite nunca sus claves personales a terceros por teléfono, fax o por correo electrónico. Su banco nunca le contactará por estas vías para pedirle este tipo de información. Desconfíe de los correos electrónicos que le soliciten sus claves con urgencia.

5. Acceda a su banco o a los portales de comercio electrónico tecleando siempre la dirección en el navegador. No acceda a estos sitios web a través de enlaces proporcionados por terceros.

6. Cuando se disponga a realizar transacciones electrónicas, asegúrese de que la web utiliza un protocolo seguro.

7. Compruebe regularmente los movimientos de su cuenta bancaria. De esta forma podrá saber si se ha producido alguna transacción que usted no ha ordenado y actuar en consecuencia.

8. Si en algún momento sospecha que se encuentra ante un caso de phishing, o que usted ha sido víctima de un delito de este tipo, contacte con su entidad bancaria y con la Brigada de Investigación Tecnológica de la Policía. Ellos se encargarán de

minimizar el impacto del ataque y de tomar las medidas oportunas para atajar el ataque a tiempo.

9. El usuario de servicios de telecomunicaciones debe tener claro los derechos que tiene sobre sus datos personales, y ejercitarlos en el caso de que así lo crea necesario. Se trata del derecho de acceso (poder solicitar información sobre los datos personales que tiene una empresa y conocer cómo han sido obtenidos), rectificación (solicitar la modificación de alguno de nuestros datos personales de que disponga), oposición (solicitar que nuestros datos personales no sean tratados con una finalidad concreta, sin que ello suponga la eliminación de la base de datos) y cancelación (a solicitar la cancelación o bloqueo de los datos).

Fuente: El Pais.

Los datos de 120.000 usuarios españoles, en manos de 'ciberpiratas'

Piratas informáticos han atacado en las últimas semanas la base de datos de una importante empresa española dedicada a gestionar dominios de Internet. Así han logrado robar claves de e-mail de usuarios, datos bancarios, teléfonos y domicilios personales de unas 120.000 personas, según fuentes conocedoras de las pesquisas. Además de obtener ilícitamente esos datos, los hackers lograron inyectar un virus en miles de páginas web pertenecientes a los usuarios afectados, entre los que figuran conocidas empresas españolas.

La unidad anticiberterrorista de la Guardia Civil se ha hecho cargo de las pesquisas para tratar de localizar a los hackers, que han ocasionado serios daños a la citada empresa de gestión de dominios. Además, la delictiva acción ha permitido que datos confidenciales de miles de clientes estén en manos de delincuentes. Dada la sofisticación de medios empleada por los piratas, los investigadores están teniendo problemas para averiguar desde qué lugar y quién o quiénes están detrás de este masivo ataque.

Algunos indicios apuntan a que han actuado a través de servidores ubicados en Rusia y EE UU. Ello dificulta el localizarles, porque utilizan servidores anónimos. En España ha habido pocos ataques de la envergadura del registrado ahora por esta firma española. En los que ha habido, procedentes casi todos del extranjero, casi nunca se logró conocer la identidad de los delincuentes.

Fuentes de la investigación han evitado facilitar el nombre de la empresa afectada. Ésta se vio impotente en un principio para detener el ataque. Por ello, contrató a una empresa informática especializada en seguridad, que logró bloquear los accesos y detectar el agujero por el que habían entrado los piratas. Pero la fechoría ya se había producido.

Los técnicos descubrieron que al menos uno de los hackers se había dado de alta como cliente de la empresa semanas antes para ir preparando el ataque. Debía buscar los agujeros del sistema e informar de ellos a sus otros compinches para robar los datos personales de los clientes: claves de correo electrónico, movimientos y pagos bancarios, documentos de identidad, direcciones de los usuarios... En cerca de 10.000 casos, los hackers han hecho uso de datos de carácter personal de usuarios o firmas españolas que tenían contratado su servicio con esta empresa.

El mayor ataque se produjo un sábado del mes de mayo, cuando la vigilancia en la empresa era más reducida. Fueron algunos clientes los que dieron la voz de alarma. Tenían páginas web contratadas con esa firma y, al abrirlas, observaron que alguien había entrado ilegalmente en ellas y las había modificado a su antojo. A la vez, se toparon con otra sorpresa: al entrar en sus web, aparecía una ventana que les llevaba a otra página de Internet ubicada en un servidor extranjero. La página, en realidad, era un peligroso virus de los llamados troyanos. La web original del cliente quedaba bloqueada. La empresa logró en cuestión de horas restablecer las web originales de sus clientes y eliminar los virus. Pero había una preocupación: que el virus se extendiese por España.

Los hackers suelen utilizar los datos robados con fines delictivos. Hay casos en los que el objetivo es chantajear y pedir dinero a las empresas: "O me das tanto dinero o difundo o utilizo los datos de tus clientes". La acción de los piratas informáticos está penalizada en España como delito de revelación de secretos. El problema es cazar a los intrusos y llevarlos ante la justicia.

Fuente: El Pais.