Nuestros dispositivos con Wifi

Algunos ejemplos en el ámbito doméstico pueden ser los aspiradores “inteligentes”, las máquinas de cocinar, las pulseras multifunción, las llamadas Smart TV, e incluso nuestros coches, que actualmente disponen de conexiones a la red inalámbrica de nuestros hogares, a otros dispositivos Bluetooth, o a Internet a través de tecnología 4G y 5G, para ofrecernos nuevas funcionalidades.

En el ámbito empresarial la situación es muy similar. La extensión del uso de ordenadores portátiles, la instalación de unidades de almacenamiento (discos duros compartidos) o de impresoras inalámbricas, de casos o auriculares para teleasistencia, o la expansión de múltiples dispositivos conectados a Internet, como cámaras de vigilancia, controles de acceso, o climatización inteligente, hacen cada vez mas uso de redes Wifi.

¿Cuáles son los posibles problemas del Wifi?

Además de las amenazas típicas de las redes cableadas, a las redes inalámbricas hay que sumarles otras, entre las que se destacan:

1. La denegación del servicio mediante peticiones masivas de servicio, en las que el atacante realiza numerosas y reiteradas peticiones de servicio a los puntos de acceso (routeres inalámbricos), colapsando la red e impidiendo que los dispositivos legítimos puedan acceder.
2. Ataques de fuerza bruta para tratar de encontrar contraseñas de acceso a la red inalámbrica. Consiste en utilizar todas las contraseñas posibles para encontrar la establecida por el usuario.
3. Suplantar la dirección MAC (identificador) de un dispositivo autorizado para conectarse.
4. Aprovechar la confianza del usuario para que permita la conexión de dispositivos “ilegales”, como puede ser un nuevo electrodoméstico adquirido.
5. Capturar el tráfico de la red inalámbrica a través de una antena para proceder al posterior descifrado mediante el estudio de patrones o el acceso con contraseñas débiles.
6. Posicionarse en el medio (man-in –the-middle), es decir, entre el emisor y el receptor para simular que es la otra parte y capturar la información transmitida.

El objetivo de los ataques sigue siendo el mismo, acceder a los sistemas atacados para robar información, inyectar software malicioso o encriptar la información y solicitar un posterior rescate.

10 consejos para defenderte

1️⃣ Cambia la contraseña que viene instalada por defecto para acceder a tu router inalámbrico y establece una contraseña robusta.

2️⃣ Establece también una política de contraseñas que facilite el cambio periódico y la robustez de las nuevas contraseñas.

3️⃣ Deshabilita la capacidad de administración remota de tu router.

4️⃣ Modifica el nombre de tu red, pues los nombres por defecto pueden dar valiosa información a los atacantes, como el proveedor, tipo de router, o servicios que tienes contratados.

5️⃣ Cambia también la contraseña de acceso a la red Wifi. Aunque la que viene por defecto con el router te parezca robusta, establece una nueva con letras, números y caracteres especiales, y de una longitud mínima de 8 caracteres.

6️⃣ Configura tu red Wifi con cifrado WPA3, ya que tanto WEP como WPA y WPA2 se han mostrado vulnerables.

7️⃣ Además, define la lista de dispositivos que tienen permitido el acceso a la red mediante sus identificadores MAC para que ningún otro dispositivo pueda acceder a la red Wifi.

8️⃣ Segmenta las capacidades de los recursos de la empresa y aquellos a los que pueden acceder agentes externos, de forma que los “invitados” (clientes, proveedores, visitantes) solamente puedan acceder a los recursos públicos de la empresa y nunca a la información corporativa.

9️⃣ Reduce el abanico de direcciones IP que se pueden conectar a tu router. De esta forma evitarás que existan multitud de direcciones libres para ser utilizadas por los atacantes.

1️⃣0️⃣ Por último, apaga tu router cuando no sea necesario tenerlo encendido.

Puedes obtener más información sobre Wifi y ciberseguridad en en:
https://www.incibe.es/
https://www.osi.es/es/

Luis Arrieta

Situación de transitoriedad

Este Real Decreto Ley confirma la postura que viene manteniendo Aplifisa respecto a la provisionalidad en la que se encuentra España para la aplicación del nuevo Reglamento de Protección de Datos de la Unión Europea. En primer lugar, confirma la plena aplicación del RGPD de la Unión europea desde el 25 de mayo de 2018. Además, admite que hasta la completa adecuación a él de nuestro ordenamiento, -que se llevará a cabo a través de una nueva ley orgánica de protección de datos que sustituya a la LO 15/1999– nos encontramos en una situación de transitoriedad con normas contrapuestas.

Establece la exposición de motivos del Real Decreto Ley 5/2018 que “es ineludible la adopción de una disposición con rango de ley que permita la adaptación del Derecho español en varias cuestiones a la normativa de la Unión Europea en materia de protección de datos, para garantizar de forma efectiva el derecho del artículo 18.4 de la Constitución en un marco de seguridad jurídica. En coherencia con ello, la vigencia de este real decreto-ley se limita al período que medie entre el día siguiente de su publicación en el Boletín Oficial del Estado y la entrada en vigor de la nueva ley orgánica que se encuentra en tramitación parlamentaria.”; marcando la situación de transitoriedad en lo que se publica una nueva Ley Orgánica española que trasponga el Reglamento Europeo.

Por lo tanto, este Real Decreto Ley solamente tiene por objeto la adecuación del ordenamiento español al reglamento europeo en aquellos aspectos concretos que no es necesario que sean modificados mediante Ley Orgánica, y que no admiten demora para su trasposición.

Capítulos incluidos en el Real Decreto Ley 5/2018

En concreto, el Real Decreto Ley, incluye tres breves capítulos que regulan:

• I: La Inspección en materia de protección de datos, asignando las competencias a la Agencia Española de Protección de Datos.
• II: El Régimen sancionador en materia de protección de datos, trasponiendo lo establecido en el nuevo Reglamento Europeo.
• III: Los Procedimientos en caso de posible vulneración de la normativa de protección de datos, asignando la competencia a la Agencia Española de Protección de Datos.

Disposición transitoria segunda

Cabe destacar también, lo establecido en la disposición transitoria segunda respecto a los contratos de encargado del tratamiento. “Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el día 25 de mayo de 2022.

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679.”

Disposición derogatoria única

Derogación normativa. Deroga todas las normas de igual o inferior rango que se opongan a lo establecido en el real decreto-ley. En particular, los artículos 40, 43, 44, 45, 47, 48 y 49 de la Ley Orgánica 15/1999.

Por último, indicar que la entrada en vigor del Real Decreto-Ley es el día 31 de julio de 2018.

Luis Arrieta.

También, hemos analizado en profundidad el Derecho de Acceso. Hoy, nos centraremos en el Derecho de Rectificación y Supresión, como otros dos Derechos Personales del nuevo RGPD.

El Derecho de Rectificación y Supresión

El interesado en el derecho de Rectificación y Supresión, tiene derecho a obtener, sin dilación indebida del responsable del tratamiento, la rectificación de los datos personales inexactos que le conciernan, así como a que se completen los datos personales incompletos.

Es decir, el derecho de Rectificación y Supresión, también denominado derecho al olvido, permite al interesado conseguir, sin dilación indebida del responsable del tratamiento, la supresión de los datos personales que le conciernan.

El responsable del tratamiento está obligado a suprimir los datos personales, cuando concurra alguna de las siguientes circunstancias:

• Los datos ya no sean necesarios en relación a los fines con los que fueron recogidos o tratados.
• El interesado retire el consentimiento en que se basa el tratamiento, y este no se base en otro fundamento jurídico.
• El interesado se oponga al tratamiento y no prevalezcan otros motivos legítimos para el tratamiento. O bien, el interesado se oponga al tratamiento con fines de mercadotecnia.
• Que los datos personales hayan sido tratados ilícitamente.
• Los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.
• Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información a un menor.

Sobre el Derecho de Rectificación y Suspensión, tener en cuenta:

Cuando el responsable del tratamiento, haya hecho públicos los datos personales y esté obligado a suprimirlos, adoptará medidas razonables (teniendo en cuenta la tecnología disponible y el coste de su aplicación), con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o a cualquier copia o réplica de los mismos.

Todo lo anterior no se aplicará cuando el tratamiento sea necesario para ejercer el derecho a la libertad de expresión e información.

Para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.

Por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.

Luis Arrieta.

El derecho de acceso

El derecho de acceso se encuentra regulado en el artículo 17 del nuevo Reglamento UE 2016/679, que establece que el interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales, a obtener copia de los datos, y a información relativa a los tratamientos y cesiones.

Conocimientos

El interesado tiene derecho a conocer:

• Los fines del tratamiento y las categorías de datos personales de que se trate.
• Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales.
• El plazo previsto de conservación de los datos personales o los criterios utilizados para determinar este plazo.
• La existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales, del derecho a la limitación del tratamiento de datos personales relativos al interesado, del derecho a oponerse a dicho tratamiento, y del derecho a presentar una reclamación ante una autoridad de control.
• El origen de la información cuando los datos personales no se hayan obtenido del interesado.
• La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y en tales casos, información significativa sobre la lógica aplicada. También, tiene derecho a conocer, la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Cuando se transfieran datos personales a un país ajeno a la UE o a una organización internacional, el interesado tiene derecho a ser informado de las garantías adecuadas que establece el reglamento para esta transferencia.

El responsable del tratamiento tiene obligación de facilitar una copia gratuita de los datos personales objeto de tratamiento al interesado. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

Visto el derecho de acceso, hablaremos en el próximo post del Blog de Aplifisa de los derechos de rectificación y supresión, recogidos también en el Reglamento General de Protección de Datos (RGPD). ¡Estate atento!

Luis Arrieta.

La Ley Orgánica Española 15/1999 de Protección de Datos de Carácter Personal establecía los famosos derechos ARCO (de Acceso, Rectificación, Cancelación y Oposición) como derechos de los ciudadanos ante la recogida y tratamiento de datos de carácter personal. El nuevo Reglamento General de Protección de Datos Europeo (RGPD), además de contemplar estos derechos, establece otros nuevos que a continuación vamos a describir.

Derecho de Acceso

El interesado tiene derecho a obtener, del responsable del tratamiento, confirmación de si están tratando o no sus datos personales. Además, tiene derecho de acceso a los datos personales, a obtener copia de los datos, y a recibir información relativa a los tratamientos y cesiones.

Derecho de Rectificación

El interesado tiene derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. También, tiene derecho a que se completen los datos personales incompletos.

Derechos personales de Supresión y derecho al olvido

El interesado también tiene derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan. El responsable en este caso, estará obligado a suprimir los datos personales cuando concurran determinadas circunstancias.

Derechos personales de Limitación del tratamiento y derecho a la baja comercial

El interesado tiene derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos en determinadas condiciones.

Derechos personales a la Portabilidad

El interesado tiene derecho a recibir del responsable del tratamiento, y en un formato estructurado de uso común y lectura mecánica, los datos personales que le incumban. También, a transmitirlos a otro responsable del tratamiento para la prestación de determinados servicios.

Derechos personales de Oposición

El interesado tiene derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento. Se incluye en este caso la elaboración de perfiles, en determinadas circunstancias.

En los siguientes artículos, veremos de forma más exhaustiva cada uno de estos derechos. ¡No te pierdas ninguna!

Luis Arrieta.

La Ley Orgánica Española 15/1999 de Protección de Datos de Carácter Personal establecía los derechos ARCO (de Acceso, Rectificación, Cancelación y Oposición) como derechos de las personas ante la recogida y tratamiento de datos de carácter personal.

El nuevo Reglamento de la Unión Europea UE 2016/679 sobre protección de datos personales amplia estos derechos. Iremos describiendo cada uno de estos derechos a lo largo de una serie de entradas en el Blog de Aplifisa.

Derecho de Información – Obligación del responsable del tratamiento

Cuando los datos personales no se hayan obtenido del interesado, el responsable del tratamiento informará sobre:

• La identidad y los datos de contacto del responsable y, en su caso, del representante y del Delegado de Protección de Datos si los hubiera.
• Los fines del tratamiento a que se destinarán los datos personales, y la base jurídica para dichos tratamientos.
• Las categorías de datos personales.
• Los destinatarios o categorías de destinatarios de los datos personales.
• La intención de transferir los datos a otros países fuera del ámbito de la UE.

El derecho de información

Además, el responsable del tratamiento facilitará al interesado la siguiente información, con el fin de garantizar un tratamiento leal y transparente respecto del interesado:

• El plazo de conservación de los datos personales.
• Los intereses legítimos del responsable del tratamiento o de terceros.
• La existencia del derecho de información de cada interesado a solicitar al responsable del tratamiento el acceso a sus datos personales, y su rectificación o supresión, la limitación de su tratamiento, a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
• La existencia del derecho a retirar el consentimiento para el tratamiento si este hubiera sido otorgado anteriormente.
• El derecho de información para presentar una reclamación ante la autoridad de control. En el caso de España, sería ante la Agencia Española de Protección de Datos.
• La fuente de la que proceden los datos personales y si es de acceso público.
• La existencia de decisiones automatizadas y elaboración de perfiles.

La información anterior será facilitada por el responsable del tratamiento al interesado. El plazo para esta comunicación será, a más tardar, de un mes desde que se han obtenido los datos personales, o en el momento de la primera comunicación con el interesado. Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que se realice la primera comunicación.

Os recordamos, que seguiremos tratando y analizando los distintos derechos personales que otorga en nuevo Reglamento General de Protección de Datos. ¡No te pierdas nuestra próxima entrada en el Blog de Aplifisa!

Luis Arrieta.

Con la entrada en vigor del nuevo Reglamento UE 2016/679 sobre Protección de Datos de Carácter Personal, cambia considerablemente la forma de obtener la autorización para la recogida y el tratamiento de datos de carácter personal.

Hasta ahora, bastaba con informar al interesado de que sus datos serían recogidos con el propósito de tratarlos. También, se informaba sobre dónde podía ejercer sus derechos de acceso, rectificación, cancelación y oposición.

El nuevo Reglamento sobre Protección de Datos añade garantías a los titulares de los datos. Además, establece la obligación a quienes quieran recoger estos datos, de garantizar, no solamente que el titular ha sido informado, sino que ha prestado su consentimiento fehacientemente para la recogida y tratamiento de sus datos.

Requisitos mínimos del formulario:

A partir de ahora, quien pretenda recoger datos de carácter personal, debe presentar un formulario. En este formulario se deberá explicar, como mínimo:

• La identidad básica del responsable del tratamiento y/o de su representante. Deberá contener la dirección completa y las formas de contactar con este responsable o representante.
• Los datos que se recogerán y la finalidad de estos datos.
• La legitimación para la recogida de datos.
• Si los datos van a ser cedidos a terceros, a quienes se cederán, y para qué.
• Derechos que le asisten al titular y ante quién puede ejercitar estos derechos de acceso, rectificación, supresión, portabilidad y oposición.
• Si se van a utilizar los datos recogidos para realizar perfiles. En este caso, se deberá informar al afectado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que pudieran producir efectos jurídicos sobre él o afectarle significativamente.
• El plazo en que se conservarán los datos recogidos.

Y además de informar al titular, el interesado en la recogida de datos deberá solicitar la conformidad del titular. Esto se llevará a cabo marcando por ejemplo una casilla y pulsando un botón de aceptación de las condiciones de recogida y tratamiento de datos.

Aun quedan unos días para que entre en vigor el Reglamento, pero desde el Blog de Aplifisa, te iremos informando sobre todas las novedades que surjan respecto a este tema. ¡Estate atento a nuestro próximo artículo!

Luis Arrieta.

El ya conocido “WannaCry”, ha sido catalogado como uno de los ciberataques más extendidos de la historia. Lo que hizo este “malware”, fue aprovechar una vulnerabilidad de Microsoft Windows, llegando a infectar a 200.000 equipos de 150 países.

El último ataque mundial de “malware” fue el pasado martes, 27 de junio, mediante una posible variable del virus “Petya” (Kaspersky lo denomina “NotPetya”, por considerarlo diferente). Esta nueva ofensiva, es mucho más potente que la anterior, debido a que actúa en dos fases.

Primero, ataca el sistema cifrando archivos y pidiendo un rescate monetario para recuperarlo. Posteriormente, el propio virus intenta su propagación en los equipos locales con el mismo objetivo.

A diferencia de “WannaCry”, que cifraba uno a uno los ficheros; “Petya”, reinicia el equipo dejando inoperativo el propio disco duro. Según Dave Kennedy, ex analista de la Agencia de Seguridad Nacional de EEUU, ha sido capaz de comprometer 5.000 sistemas en menos de 10 minutos.

Unos días después de los ciberataques, tomó fuerza la hipótesis de que el objetivo fue destruir información, debido a su escasa rentabilidad. De hecho, se creía que se podría catalogar cómo “wiper” y no cómo “ransomware” (diversos tipos de “malware”). Recientemente, se ha conocido que el autor, a través de la red anónima Tor, ha solicitado el pago de 100 bitcoins (250.000 dólares) por entregar la clave maestra de desencriptación.

Los expertos aseguran que estos ciberataques solo son el principio, con lo cual, debemos tomar medidas para proteger nuestros equipos.

A continuación, te mostramos las acciones a evitar en la medida de lo posible y cuales tenemos que llevar a cabo para blindar nuestros dispositivos.

• Lo que no debemos hacer es:
  • Navegar por páginas maliciosas o poco fiables.
  • Abrir documentos y/o archivos recibidos por correo de una dirección desconocida.
  • Evitar compartir los datos personales.
  • Cerciorarnos de que las unidades flash USB que conectamos a nuestro equipo, no estén comprometidas.
• Para evitar cualquier debilidad, tenemos que:
  • Actualizar continuamente el sistema operativo.
  • Activar el “Firewall” nativo o instalar uno externo.
  • Mantener actualizados todos los buscadores y programas.
  • Utilizar contraseñas seguras. Como por ejemplo, mezclando letras mayúsculas y minúsculas con números y otros caracteres.
  • Tener un antivirus totalmente actualizado como Avast, Panda, Norton, BitDefender o Kaspersky; por mencionar algunos. En el caso de poseer de Windows 10, dispone un antivirus gratuito: Windows Defender.
  • Hacer una copia de seguridad de forma periódica en un disco duro externo.
  • Formar a nuestros empleados del conocimiento de estos protocolos de seguridad.
  • Existe software especializado en la lucha contra este tipo de “malware” como Ransom Free, Malwarebytes, Anti Ransom o Zemana; entre otros.

En la actualidad, surgen nuevas amenazas constantemente, por lo que nunca podremos estar seguros al 100%. Pero si seguimos todas y cada una de las recomendaciones anteriormente expuestas, el riesgo de ser afectado por ciberataques se reducirá al mínimo.

Fran Berrocal.

• Básico.
• Medio.
• Alto.

NIVEL DE SEGURIDAD BÁSICO:

En primer lugar, todos los ficheros o tratamientos de datos de carácter personal, deberán adoptar las medidas de seguridad calificadas de nivel básico.

NIVEL DE SEGURIDAD MEDIO:

En este caso, deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:

• Los relativos a la comisión de infracciones administrativas o penales.
• Los relativos a la prestación de servicios de información sobre solvencia patrimonial y crédito.
• Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
• Los que tengan como responsables entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
• Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias.
• Los que tengan como responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
• Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

NIVEL DE SEGURIDAD ALTO:

Además de las medidas de nivel básico y medio, se aplicarán las medidas de nivel alto en los siguientes ficheros o tratamientos de datos de carácter personal:

• Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
• Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
• Aquellos que contengan datos derivados de actos de violencia de género.

A tener en cuenta…

Las medidas incluidas en cada uno de los niveles descritos anteriormente, tienen la condición de mínimos exigibles para el fichero; salvo que disposiciones legales o reglamentarias específicas establezcan peculiaridades.

También, por propia iniciativa del responsable del fichero, se pueden adoptar medidas de seguridad adicionales.

A los efectos de facilitar el establecimiento de las medidas de seguridad, tendremos que tener en cuenta lo siguiente. Cuando en un sistema de información existan ficheros o tratamientos, que en función de su finalidad o uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último; siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente. Siempre y cuando puedan delimitarse los datos afectados y los usuarios con acceso a los mismos. Además, deberá hacerse constar en el documento de seguridad.

REGLAS ESPECÍFICAS DE APLICACIÓN DE NIVELES DE SEGURIDAD EN LOS FICHEROS DE DATOS DE CARÁCTER PERSONAL

Los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto (Registro de accesos) contenida en el artículo 103 del reglamento.

Por otra parte, en caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, bastará la implantación de las medidas de seguridad de nivel básico cuando:

1. Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades. Siendo los afectados asociados o miembros.
2. Se trate de ficheros o tratamientos no automatizados. En los que de forma incidental o accesoria se contengan aquellos datos, sin guardar relación con su finalidad.

También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos (por ejemplo para gestionar la declaración del IRPF).

Luis Arrieta.

Protección de datos.

¿Cómo pueden recogerse datos personales?

Quien recoge datos de carácter personal, que de acuerdo a la normativa es llamado responsable del fichero o tratamiento, debe cumplir con dos obligaciones básicas de:

• Información.
• Consentimiento.

Previamente a la recogida de datos de carácter personal, el afectado debe ser informado de la recogida de sus datos y de los derechos que le asisten respecto a esos datos recogidos.

Además, el interesado debe dar su consentimiento a la recogida y/o tratamiento de esos datos.

Solo en algunos casos muy concretos, la Ley permite que se recojan datos de carácter personal sin la autorización del ciudadano, por ejemplo para cumplir con una obligación legal.

¿Cómo deben tratarse los datos?

Los tres principios para el tratamiento de datos son:

• Calidad.
• Seguridad.
• Secreto.

Calidad en la recogida y proceso de tratamiento de los datos. Solamente se pueden recoger datos que tengan un nivel de calidad adecuado.

Seguridad en el acceso y mantenimiento de la información. Los sistemas de tratamiento de la información deben estar dotados de unas medidas de seguridad que eviten el acceso indebido a los datos y eviten la pérdida o modificación fortuitas.

Secreto en la información recogida. Los datos no pueden ser divulgados, salvo con autorización previa del titular o interesado.

Derechos de los titulares de datos personales

Los cuatro derechos fundamentales que establece la Ley de Protección de Datos respecto a los titulares de los datos se denominan Derechos ARCO, por las iniciales de tales derechos:

• Acceso.
• Rectificación.
• Cancelación.
• Oposición.

A través del derecho de acceso los interesados pueden tener copia de los datos recogidos por el titular del fichero.

El derecho de rectificación permite a los interesados solicitar la rectificación de los datos del titular del fichero.

También podrá utilizar el interesado el derecho de cancelación para solicitar al titular del fichero que elimine la sus datos personales.

Por último, el derecho de oposición es aquel que puede utilizar el interesado para oponerse a tratamientos de datos personales realizados sin su consentimiento.

Obligaciones de los titulares de ficheros con datos personales

Además de las obligaciones establecidas en otras leyes, la Ley de Protección de Datos de Carácter Personal establece las siguientes para los titulares de ficheros:

• Realizar la inscripción de ficheros con datos de carácter personal ante la Agencia Española de Protección de Datos (AEPD).
• Redactar y mantener actualizado un documento de seguridad que contemple las medidas necesarias para protege los datos, de acuerdo con el nivel de seguridad requerido.
• Dotar al sistema informático, a los almacenes físicos y a los datos de las medidas establecidas en el documento de seguridad.
• Gestionar los datos de acuerdo a lo establecido por la LOPD (finalidad, seguridad, privacidad, duración o vida).
• Facilitar el ejercicio de los derechos ARCO a los interesados.
• Colaborar con la Agencia de Protección de Datos en sus tareas de comprobación e investigación.
• Realizar las tareas de registro y auditoría de acceso a los datos de carácter personal acordes al nivel de seguridad de los datos.

Recuerda que…

• Cuando un responsable de un fichero o tratamiento, una empresa, una administración, una página web, solicita y recoge tus datos debe informarte adecuadamente y no aceptar las condiciones sin leerlas y meditarlas previamente.
• Tienes la capacidad de consentir el tratamiento de tus datos. Cuando dicho tratamiento sea obligatorio debes recibir información que precise ese carácter.
• Los responsables de ficheros y tratamientos tienen la obligación de tratar adecuadamente los datos personales, garantizando entre otros principios, que los datos se encuentren actualizados, que se utilicen solo para las finalidades para los que fueron recogidos, su seguridad y el deber de secreto.
• Puedes saber qué organizaciones tienen inscrito sus ficheros y los datos básicos sobre los mismos ante el Registro General de Protección de Datos, aunque por esta vía no podrás saber si en algún fichero concreto se encuentran incluidos tus datos de carácter personal.
• Para controlar los tratamientos sobre tu información, puedes ejercer los derechos de acceso, rectificación, cancelación y oposición al tratamiento. Si estos derechos no son respetados puedes solicitar la tutela de la Agencia Española de Protección de Datos.

Y además…

• La primera garantía para la protección de tu derecho fundamental a la protección de datos depende de tu propia conducta. Si facilitas datos personales sin leer previamente la información sobre privacidad, si no aprendes a configurar tu perfil en las redes sociales, si expones información personal en Internet, te expones a riesgos.
• Debes respetar el derecho fundamental a la protección de datos de los demás y no publicar o tratar su información personal sin su consentimiento.
• Los niños son especialmente vulnerables respecto del tratamiento de sus datos. Es necesario formarles adecuadamente para que aprendan a proteger su privacidad y nunca debe confiarse en quienes no cumplan de modo riguroso con las normas específicas aplicables a los menores.
• En las redes sociales nuestra privacidad se encuentra particularmente expuesta, debemos comprobar las condiciones de uso de cada red, aprender a configurar nuestro perfil y a actuar respetando los derechos de los demás y obligando a los demás a que respeten los nuestros.

Luis Arrieta.