admin

Categorías

Coobis

Protección datos

Aportar contraseñas en un juicio es ilegal

El artículo 11.3 del derogado Real Decreto 994/1999 establecía:

“Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.”

En idéntico sentido informa el vigente Real Decreto 1720/2007 en su artículo 93.4:

“El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.”

¿Qué significa “ininteligible”?, pues según el Diccionario de la Real Academia: “No inteligible”, así que con el concepto aclarado podemos continuar.

En el caso de hoy tenemos a  Fleurop Interflora España (Interflora), que ante la presunta estafa llevada a cabo por un cliente al pagar uno de sus productos vía web con una tarjeta de crédito de la que no era titular, presentó denuncia ante el Juzgado correspondiente.
Entre la documentación presentada al órgano jurisdiccional aportó una hoja en la que, entre otros datos, se indicaba el nombre de usuario y la contraseña de acceso utilizados por el presunto estafador en la web de clientes de Interflora.

Este hecho lo puso en conocimiento de la Agencia Española de Protección de Datos mediante la correspondiente denuncia.

Interflora declaró a la AEPD en un primer momento que las contraseñas en efecto se almacenan de forma ininteligible (no inteligible) pero que el Administrador de la web, mediante unas herramientas, puede descifrarlas para que, en casos como este, se pueda acompañar la contraseña en la denuncia.

Sin embargo, luego afirmó que las contraseñas se almacenan generando un hash con el criptosistema SHA-1 y luego aplicando una codificación Base64, y que no es posible descifrarlas, sino que la clave que introduce el cliente en la autentificación se encripta y se compara con la que hay almacenada. Declaraciones contradictorias.

Se consigue probar que las contraseñas estaban en texto claro en la base de datos de Interflora, y la Agencia advierte que “no es que se aporte en abierto (la contraseña) para que el Juzgado pueda visualizarla, que también es sancionable, sino que previamente se hallaba visible“.

Ninguna de las alegaciones de Interflora prosperan y finalmente, aunque la infracción constituye una sanción mínima de 60.000 euros, la Agencia se lo deja en 1.000 euros.

Este caso también ha puesto de manifiesto las diferencias entre lo que se indica en el Documento de Seguridad de la empresa y lo que ocurre realmente. Según el Documento de Seguridad de Interflora, respecto a las contraseñas de afirma que “en el caso de aplicaciones de gestión definidas en el presente documento de seguridad, el cifrado de contraseñas será realizado por el sistema gestor de bases de datos o por la propia aplicación”, lo cual no era cierto. Así como tampoco los Avisos Legales que afirman algo parecido en su página web.

La Resolución sancionadora es de fecha 4 de junio de 2009. Descargar.

Fuente:  Samuel Parra

__________________

Enlaces relcionados:

Nuevas amenazas a la seguridad en la Web 2.0

Actualidad informática. Protección datos

El próximo domingo 19 de abril finalizarán algunos de los plazos establecidos en la DTrans 2ª del RLOPD

El próximo domingo (19 de abril 2009) finalizan algunos de los plazos establecidos en la Disposición Transitoria 2ª del RLOPD (R.D. 1720/2007 de 21 de Diciembre) para que los Responsables de los Ficheros (Empresas, Organismos Públicos, etc) se adecuen a las medidas de seguridad tanto en ficheros en soporte automátizado s, como en otros soportes no automatizados.

Información detallada en: Derecho de las TICs – ISO 27001. (España)


Adivinación
Adivinos
Cartas astrales
Consultas de salud
Esotérico
Esoterismo
Horóscopo
hoteles baratos barcelona
Vidente
Zodiaco

Las modernas iniciativas electorales de los partidos políticos no respetan la protección de datos

Vaya por delante que no soy militante de ningún partido político.
Esta entrada tiene como detonante esta noticia. En resumen, nos comentan que la iniciativa del PP de la web http://www.tupropuestaen30segundos.com/
donde cualquiera podía introducir su número de teléfono y su nombre para que recibiera una llamada con una locución de Mariano Rajoy ha desbordado todas las previsiones; ahora han sustituido la llamada telefónica por un email.

Me ha resultado curiosa la propuesta y he visitado esa web con la intención de ver como trataban a la Ley Orgánica de Protección de Datos.

Mis conclusiones son inatacables; en total he contabilizado 4 infracciones, lo que podría sumar 450.000 euros en multas como máximo. Para conocer los detalles del examen haz clic en

En primer lugar, y para entender bien los supuestos, os recomiendo que visitéis la web http://www.tupropuestaen30segundos.com/ y hagáis clic en lo de “te necesitamos pincha aquí”; así sabréis de qué estamos hablando.

Hecho esto, os habréis dado cuenta que tan sólo nos piden 2 datos: el nombre y el correo electrónico (antes pedían el número de teléfono en lugar del email).
El nombre por sí sólo no es posible considerarlo un dato personal, ya que Juan o Pedro no identifican a nadie, pero el correo electrónico sí.

Por tanto, podemos afirmar, que este formulario está “recabando datos personales”. Y la pregunta es ¿qué medidas debemos adoptar cuando recabamos datos personales?. Veamos qué dice el artículo 5 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal:

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Los apartados b), c) y d) podrían obviarse en este supuesto según el apartado tercero de este mismo artículo (aunque siendo puristas debería también respetarse).
En cualquier caso, la información correspondiente a los apartados a) y e) es necesaria y en este caso, como cualquier puede ver, brilla por su ausencia. PRIMERA INFRACCIÓN.
Pasamos al siguiente artículo, el 6 de esta misma Ley Orgánica de Protección de Datos:

Artículo 6. Consentimiento del afectado
1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; […]

El tratamiento de los datos (enviar un correo electrónico es un “tratamiento de datos”) como vemos, requiere el consentimiento del interesado. En este caso podría entenderse que estamos dando nuestro consentimiento para el tratamiento, ya que estamos introduciendo los datos en un formulario; el problema es que realmente uno no sabe que va a pasar cuando pulse el botón de aceptar ¿que harán con mi correo electrónico?. Al no informarse de nada y al no poder interpretarlo del contexto, no es posible afirmar que estamos consintiendo al tratamiento de nuestros datos por faltar uno de los requisitos esenciales del consentimiento. El consentimiento se define en el artículo 3 como:

Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada

Los requisitos de “libre”, “inequívoca”, y “específica” podríamos aceptarlos, pero el de “informada” desde luego que no, por lo ya expuesto: no es posible saber qué van a hacer con mi correo electrónico al no informarme de nada. SEGUNDA INFRACCIÓN.
Por otra parte, el correo electrónico debe almacenarse en algún sitio para su tratamiento y posterior envío del mensaje de Mariano; es decir, estamos constituyendo un fichero de datos aunque sea de forma temporal, dado que un listado de correos electrónicos, es sin duda, un fichero de datos personales.
A la hora de constituir un fichero de datos, es necesario estar a lo dispuesto en el artículo 26 de la Ley Orgánica de Protección de Datos:

Artículo 26. Notificación e inscripción registral
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

No me ha sido posible encontrar el fichero de datos que genera esa página web en el Registro General de la Agencia Española de Protección de Datos. TERCERA INFRACCIÓN.
Por último, examinando el contenido del correo electrónico que recibimos en nombre de Mariano Rajoy, uno puede concluir en afirmar que podríamos estar ante un supuesto de comunicación comercial no consentida, en relación al artículo 21 de la Ley de Servicios de la Sociedad de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE):

Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

En el correo electrónico se nos invita a participar con un spot electoral acudiendo a una dirección web del PP (la anteriormente citada)… ¿ah? ¿para eso tenía que poner mi correo electrónico? ¿para qué me enviaseis publicidad para participar en vuestras iniciativas?; pero peor aun es si le damos a la opción de “reenviar a un amigo” que también está disponible en la web; allí podremos introducir el nombre y el correo electrónico de un amigo para que le llegue un mensaje que simplemente pone

“Visita esta web!!
http://www.tupropuestaen30segundos.com
te sorprenderá”

Como remitente aparece mariano.rajoy@pp.es
Sin duda alguna nos encontramos ante el supuesto descrito en el artículo 21 de la LSSI-CE. CUARTA INFRACCIÓN y más aun si ponemos la dirección de otra persona (de esto ya hablaremos en el futuro para ver la responsabilidad de lo de “enviar a un amigo”).

Según el régimen sancionador de estas normativas, tendríamos:

  • Primera infracción: infracción leve, con multa de entre 600 y 60.000 euros
  • Segunda infracción: infracción grave, con multa de entre 60.000 y 300.000 euros
  • Tercera infracción: infracción leve, con multa de entre 600 y 60.000 euros
  • Cuarta infracción: infracción leve, con multa de hasta 30.000 euros.

Esto viene a demostrar como la normativa de protección de datos sigue siendo la gran desconocida no sólo en el mundo empresarial sino también en el político.

Si tenemos tiempo, hablaremos en unos días de algunas iniciativas del PSOE que tampoco se queda corto.

Fuente: Samuel Parra. Derecho de las nuevas tecnologías

Related Posts with Thumbnails

Calendario

noviembre 2024
L M X J V S D
« Nov    
 123
45678910
11121314151617
18192021222324
252627282930  

Spam

Otros enlaces

  • Enlaces

    Este blog no tiene ninguna relación con ellos, ni los recomienda.


  • Paperblog

    autobus las palmas aeropuerto cetona de frambuesa