Archivo de la categoría ‘LOPD’

La Agencia Española de Protección de Datos e INTECO han hecho pública una guía sobre seguridad y privacidad de la tecnología RFID.

Las etiquetas RFID (radio frequency identication devices) son cada más utilizadas en la actualidad, se trata de una tecnología que permite identificar de forma automática un objeto gracias a una onda que por radiofrecuencia transmite los datos identificativos del objeto.

En este momento la implantación de esta tecnología se realiza sobre todo por las grandes empresas. El nivel de uso de esta tecnología en las microempresas es 0,8%, en las pequeñas empresas es 3,1% , en las empresas medianas  es 8,9% y en las grandes empresas sube al 20,1%.

Son las empresas de transportes y almacenamiento las que más utilizan la tecnología RFID. Seguidas de las empresas del sector financiero, informática, telecomunicaciones y audiovisuales y el comercio minorista y mayorista.

Las aplicaciones mayoritarias de las etiquetas RFID son el seguimiento y control de la cadena de suministro. Control de inventarios. La identificación de personas. El control de accesos. En las microempresas con los sistemas de pago y la identificación de productos.

En la guía se detalla que esta tecnología ofrece oportunidades y facilidades, pero también puede plantear serios riesgos, dado que pueden llegar a informar de la localización, identidad e historial de un individuo. Se ilustra la problematica que puede plantearse en el caso de una persona que lleve una prenda de un comercio que no haya inutilizado las etiquetas o pegatinas RFID, ya que estas podrán ofrecer información capaz de elaborar un perfil con los gustos o aficiones de esa persona a partir de sus compras.

De seguridad se detallan riesgos como la posibilidad de ataques a los sistemas RFID para acceder a información personal de los usuarios. Son riesgos derivados de una utilización maliciosa que se pueden realizan para deteriorar o aprovecharse del servicio.

Para evitar esos riesgos se realizan varias recomendaciones y se detallan unas buenas prácticas dirigidas  a empresas y a usuarios. Ente ellas la inutilización, desactivación o destrucción de las etiquetas una vez se haya cumplido su misión. no almacenar en los tags información personal, dar a conocer a los usuarios, cuándo, dónde y por qué se va a leer una etiqueta, hacer cifrado y autenticación para evitar el acceso no autorizado a la información.

El Tribunal Supremo confirma la multa de 300.506,05 euros que la Agencia de Protección de Datos impuso a una sociedad tocoginecologica por arrojar a un contenedor de basuras historiales de una clínica.

El fallo del Alto Tribunal confirma  así la resolución que dictó la Audiencia Nacional y que consideró adecuada la sanción entonces impuesta a esta entidad, que ya no trabaja con la citada clínica.

Con esta multa se sancionan unos hechos acontecidos en Septiembre de 2003 cuando se arrojaron a un contenedor de basuras de Sevilla, un total de 158 documentos de historiales clínicos.

La Agencia de Protección de Datos consideró en su día que los hechos que se denunciaron, constituian una falta muy grave, “pues si un documento interno que contiene datos de pacientes ha salido fuera del ambito de la entidad responsable de mantener el secreto, se incumple una medida de seguridad exigida a dicho responsable y, a su vez, se vulnera el deber de secreto” de esa documentación.

Los hechos que fueron reconocidos por la sociedad sancionada revela una infraccion del deber de secreto y la sanción se impuso por la neglicencia apreciada en la misma.

El martes la Unión Europea dio la aprobación final al acuerdo de transferencia de datos bancarios entre la UE y Estados Unidos en el marco de la lucha antiterrorista.

El Parlamenteo Europeo dio el respaldo al acuerdo la semana pasada y han sido los ministros de Economía y Finanzas de la UE los encargados de finalizar los tramites de aprobación.

Para conseguir seguir la pista bancaria de los investigados por terrorismo, tanto Bruselas como Washington podrán solicitar a su socio en el acuerdo,  su apoyo y colaboración.

Este es el segundo acuerdo Swift,  tras el primer pacto, que fue  fruto de la politica antiterrorista promovida después de  los atentados del 11 de septiembre.

La transmisión de datos pasará por más controles, pues todas las solicitudes de información estadounidenses tendrán que aprobarse por Europol.

Se establece en el acuerdo que el uso de los datos en EE UU sera vigilado por un grupo de supervisores independientes, en el que habrá un representante de la UE.

Se garantiza tambien que el volumen de datos que se trasnmita será el más reducido posible y que los ciudadanos europeos tendrán derecho a apelar, en caso de abuso.