El Consejo de Ministros ha aprobado un Real Decreto por el que se aprueba el Reglamento que desarrolla la Ley Orgánica de Protección de Datos de carácter personal y se fija su entrada en vigor tres meses después de su publicación en el Boletín Oficial del Estado.

El Reglamento acrecienta la seguridad jurídica y resolverá determinadas cuestiones o lagunas interpretativas que pudieran existir en la actualidad, con especial atención a todo aquello que pueda suscitar una mayor sensibilidad a los titulares del derecho y los sujetos obligados por la Ley. Recoge, además, la interpretación que de la Ley Orgánica han efectuado los Tribunales a través de la jurisprudencia.

Innovaciones más destacables

La norma incluye expresamente en su ámbito de aplicación a los ficheros y tratamientos de datos no automatizados (en papel) y fija criterios específicos sobre medidas de seguridad de los mismos.

Igualmente, regula todo un procedimiento para garantizar que cualquier persona, antes de consentir que sus datos sean recogidos y tratados, pueda tener un pleno conocimiento de la utilización que estos datos vayan a tener.

Aunque la norma no es de aplicación a personas fallecidas, para evitar situaciones dolorosas a sus allegados se prevé que éstos puedan comunicar al responsable del fichero el fallecimiento y solicitar la cancelación de los datos.

Para  garantizar mejor el derecho de las personas a controlar la exactitud y utilización de sus datos personales, se exige de manera expresa al responsable de esos ficheros de datos que conceda al interesado un medio sencillo y gratuito para permitir a aquéllas ejercitar su derecho de acceso, rectificación, cancelación y oposición.

Incremento de medidas de seguridad

Se incrementa la protección ofrecida a los datos de carácter personal en varios aspectos:

• Pasan de un nivel básico de seguridad al nivel medio los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social que tengan relación con sus competencias y las mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social. También pasan al nivel medio de seguridad los ficheros que contengan datos de carácter personal sobre características o personalidad de los ciudadanos que permitan deducir su comportamiento.
• Igualmente, desde un nivel básico pasan al nivel medio los ficheros de los que son responsables los operadores de servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas sobre datos de tráfico y de localización. Además, se exige a estos operadores establecer un registro de acceso a tales datos para determinar quien ha intentado acceder a esos datos, fecha y hora en que se ha intentado este acceso y si ha sido autorizado o denegado.
• Desde el nivel básico de seguridad pasan a un nivel alto todos los datos derivados de la violencia de género.

Para facilitar a los obligados a cumplir las medidas de seguridad, se exige que los productos de software destinados al tratamiento de datos personales incluyan en su descripción el nivel de seguridad, ya sea básico, medio o alto, que permiten alcanzar de acuerdo con el Reglamento.

Por otra parte, se establecen ciertas especialidades para facilitar la implantación de medidas de seguridad, que incidirán sobre todo en el ámbito de las PYMES.

Medidas de seguridad específicas para ficheros y tratamientos no informatizados (papel)

• Se exigirá la aplicación de unos criterios de archivo que garanticen la correcta conservación de los documentos y el ejercicio del derecho de oposición al tratamiento, rectificación y cancelación de los datos.
• Los armarios, archivadores y demás elementos de almacenamiento, deberán disponer de mecanismos adecuados de cierre (llave) que impidan el acceso a la documentación por personas no autorizadas. Mientras esa documentación no esté archivada, la persona que esté a su cargo deberá custodiarla, impidiendo que acceda a ella quien no esté autorizado.
• Cuando estos ficheros contengan datos incluidos en un nivel de seguridad alto, deberán estar en áreas cerradas con el dispositivo de seguridad pertinente (puertas con llave), pero, si por las características de los locales, no puede cumplirse esta medida, se permite aplicar otra alternativa que impida a las personas que no están autorizadas el acceso a esta documentación.

Régimen transitorio de aplicación

Para el cumplimiento de las nuevas medidas de seguridad se establece un régimen transitorio de implantación de las mismas a los ficheros y tratamientos actualmente existentes. En este caso, para los ficheros en soportes no automatizados se fijan plazos de un año, dieciocho meses y dos años para los niveles básico, medio y alto, respectivamente.

En cuanto a los ficheros automatizados, en un año deberán implantarse las medidas de seguridad de nivel medio para aquellos que en la actualidad están clasificados como de nivel básico; en el plazo de un año para implantar las medidas de seguridad de nivel medio y de dieciocho meses para implantar las medidas de nivel alto los ficheros con datos sobre violencia de género y los datos referentes a tráfico y localización en comunicaciones electrónicas disponibles al público, que actualmente están en el nivel básico.

Tratamiento de datos de menores de edad

• Como regla general, se prohíbe pedir o tratar datos de menores de catorce años sin el consentimiento de sus padres.
• Además, los menores de edad deberán ser informados con un lenguaje claro, que les sea fácilmente comprensible y se tendrá que garantizar que se ha comprobado la edad del menor y la autenticidad del consentimiento prestado.

Se introducen importantes novedades en el tratamiento de ficheros sobre solvencia patrimonial y crédito.

Para la inclusión de estos datos, además de la existencia previa de una deuda cierta, vencida y exigible que haya resultado impagada, es necesario que no se haya entablado una reclamación de tipo judicial, arbitral o administrativa sobre la misma.

• En cuanto que la deuda haya sido pagada, deberán ser cancelados de manera inmediata los datos relativos a ella.
• Se establece la responsabilidad del acreedor, o persona que actúe por su cuenta, si aporta datos inexactos para su inclusión en el fichero.
• Se regula de forma detallada el deber de información al deudor. 

Regulación de actividades de publicidad y prospección comercial

• La entidad que contrate con una empresa la realización de una campaña publicitaria estará obligada a asegurarse de que ésta ha recabado los datos cumpliendo con todo lo establecido en la Ley.
• Será obligatorio el consentimiento del afectado para que los responsables de distintos ficheros puedan cruzar sus datos para promocionar o comercializar productos o servicios.
• Se regulan las denominadas “listas de exclusión” o “listas Robinson” para que cualquier afectado, que obligatoriamente debe ser informado de su existencia, pueda comunicar al responsable de un fichero que no desea recibir publicidad. Estas listas serán de obligada consulta previa por parte de quienes realicen actividades de publicidad o prospección comercial.

Ante la creciente externalización de estos servicios , se regulan de manera detallada las relaciones entre el responsable del tratamiento y el encargado del mismo. Así, el responsable del fichero que encargue esa contratación tendrá que vigilar que el encargado al que va a contratar reúne las garantías para cumplir el régimen de protección de los datos, en especial en cuanto a su conservación y seguridad.

Como regla general, para que el encargado del tratamiento contratado pueda a su vez subcontratar algunos de los servicios, debe estar autorizado por el responsable del fichero o tratamiento. Se exigen determinados requisitos de actuación por parte del subcontratista, a fin de que el responsable del fichero nunca pierda el conocimiento y control acerca de los tratamientos realizados, en última instancia, en su nombre y su cuenta.

Tarjeta sanitaria

Para facilitar la asistencia sanitaria por el Sistema Nacional de Salud y facilitar la utilización de la tarjeta sanitaria individual, expresamente se aclara que no es necesario el consentimiento del interesado para la comunicación de datos sobre la salud, incluso a través de medios electrónicos, entre los distintos centros, cuando se realice para la atención sanitaria de las personas.

Transferencias internacionales de datos

• Se establece un régimen sistemático de las mismas, con la posibilidad de que el Director de la Agencia Española de Protección de Datos declara la existencia de un nivel adecuado de protección en un Estado respecto del que no exista la Decisión adecuada por parte de la Unión Europea.
• También se aclaran los supuestos en se podrán aportar garantías que permitan la autorización de una transferencia por parte del Director, incluyendo en este apartado las denominadas “binding corporate rules”, o códigos internos de los grupos multinacionales de empresas, cuyo incumplimiento pudiera ser denunciado ante la Agencia.
• Se introduce la opción de suspensión o revocación de una determinada transferencia que hubiera sido previamente autorizada por parte del Director de la Agencia Española de Protección de Datos cuando se hubiera dado incumplimiento o falta de garantías.
• Teniendo en cuenta las sensibilidades que se pudieran dar en la transferencia internacional de datos, sobre todo cuando pueda implicar la deslocalización de servicios prestados en territorio español, se incluirá un procedimiento de autorización de un trámite de información pública, donde se podrán aportar alegaciones sobre la legalidad de estas actuaciones.

Más información en La Moncloa.

Compártelo

La LISI ha sido aprobada en el Congreso de Diputados, la enmienda que instaba a la desaparición del canon antes de un año ha caído en el olvido y la libertad de expresión en la Red, en el apartado de quién puede censurar una página web, sigue siendo tan difusa como en los borradores, por más garantías nos den de que solo los jueces decidirán en esos supuestos.

En lo que respecta al canon, la nueva ley supone que tendremos que pagar más por los móviles, los MP3 y las memorias USB a partir de mediados de enero, en virtud de las tarifas aprobadas esta misma semana (y luego subirá el IPC).

Otros de los puntos candentes de la ley es la posibilidad de bloqueo administrativo de contenidos. El abogado y experto Carlos Sánchez Almeida recordó que esta posibilidad existe en la actual LSSI, y que con esta reforma "se ha vuelto a perder la oportunidad de ‘blindar’ Internet como un espacio de libertad frente a posibles censuras administrativas".

El nuevo contenido del artículo 11 de la LSSI posibilita a entidades administrativas el bloqueo de contenidos en la Red, siempre que no vulneren la libertad de expresión. No obstante, lo que no queda claro es quién decide esto último, ya que en ningún momento se especifica que sea un juez quien decide esto.

Según este artículo, "la autorización del secuestro de páginas de Internet o de su restricción cuando ésta afecte a los derechos y libertades de expresión e información y demás amparados en los términos establecidos en el artículo 20 de la Constitución sólo podrá ser decidida por los órganos jurisdiccionales competentes". La pregunta es: ¿quién decide que cuándo la restricción afecta a la libertad de expresión?

El texto de la nueva ley recoge también que los contenidos digitales de titularidad pública serán puestos a disposición del público "sin restricciones tecnológicas para su uso, copia o distribución", siempre que se cite la autoría y se distribuyan en los mismos términos, en un acercamiento a las licencias ‘copyleft’.

Esto se aplicará a los contenidos cuyos derechos pertenezcan a las administraciones o sean de dominio público, siempre que no se perjudique al funcionamiento de la administración y "no afecte al interés general". También reconoce la cesión libre de contenidos por parte de personas físicas o jurídicas. Así, se recoge expresamente el derecho de cesión de derechos de explotación de una obra por sus dueños, siempre que las obras derivadas se distribuyan igual.

Además, insta a la difusión a entidades y ciudadanos en general de "todas aquellas herramientas que sean declaradas de fuentes abiertas (’software’ libre) por las administraciones".

Por otro lado, otro punto importante tiene que ver con la extensión de la banda ancha "con el fin de conseguir, antes del 31 de diciembre de 2008, una cobertura de servicio universal de conexión, independientemente del tipo de tecnología utilizada en cada caso y de su ubicación geográfica".

Compártelo

Leo en el roadmap de PALO que Jedox no publicará una versión 2.1. De esta forma incorporará las mejoras esperadas para esta versión en la futura versión 2.5 que saldrá en Marzo de 2008 (según pasadas experiencias, seguramente será algo mas tarde).

Las mejoras que se esperaban para la versión 2.1 eran:

• Optimized MOLAP engine (speed optimization)
• Local data cache (speed optimization)

Os incluyo a continuación el comunicado integro que aparece en su página:

“Due to the short interval between the previously announced release of Palo 2.1 in December and the release of 2.5, we have decided to skip the December release and directly proceed with 2.5 scheduled to be released in March 2008.“

Enlaces:

PALO

Compártelo

Un informe de la empresa de investigación de mercado Gatner habla de unas pérdidas de 3.200 millones de dólares por culpa del phishing en 2007. El informe pone cifras al phishing "tradicional", contabilizando desde agosto de 2006 a agosto de 2007 y centrado en Estados Unidos.

Son 3.6 millones de usuarios los que han perdido los más de 3.000 millones de dólares. En 2006, según el informe, fueron solo 2.3 millones de personas los que se vieron afectados.

La cantidad media estafada por robo serían unos 866 dólares, bastante menos que los 1.244 del año anterior. Sin embargo esto no significa que los atacantes hayan renunciado a mayores ganancias, pues el número de usuarios afectados ha aumentado. Quizás el robo de una cantidad menor  permite que la estafa pase inadvertida en cierta forma para los bancos (nunca para el usuario) e incluso podría reducir la pena en el hipotético (y lamentablemente improbable) caso de que el estafador sea cazado.

Se desprende también del informe que hasta el 64% de los afectados recuperaron el dinero perdido en 2007. Bastante más que en 2006. Pero sin duda lo alarmante es que el ratio de "éxito" de cada ataque ha subido.

Gatner concluye además que durante 2008 y 2009 este tipo de estafas no parará de crecer. Resulta demasiado sencillo y lucrativo para los atacantes.

Si bien el informe se centra en Estados Unidos, en España la situación puede ser parecida. Hispasec ha detectado un repunte de ataques phishing contra entidades bancarias españolas en los últimos meses.  Incluso, de ataques de  phishing con intento de troyanización del sistema.

Más en Hispasec.

Compártelo

Los datos que tenemos almacenados en PALO no están exentos de posibles fallos (hardware/software/humanos) y como todo sistema necesita un plan de contingencias. Lo primero es establecer una política de copias de seguridad y realizar copias de los datos de forma regular.

Para realizar una copia de seguridad de una base de datos en PALO, desafortunadamente, tendremos que parar el servidor de PALO. Hace tiempo (más de un año) que incluí una sugerencia dentro del foro de Palo para que implementarán la opción de copias de seguridad en caliente, es decir, sin que fuera necesario parar el servicio. No tuvo mucho éxito.

Las bases de datos de PALO se guardan por defecto en la carpeta data del directorio de PALO. Cada carpeta se corresponde con una base de datos y dentro podemos encontrar los ficheros que contienen los datos, hay diferentes tipos de datos: .csv, .log, y .archived

Los ficheros .csv contienen los datos y los ficheros .log los últimos cambios que serán transferidos a los .csv cuando paremos el servidor de PALO. Por otro lado, están los ficheros .archived que contienen todo el histórico de cambios, estos fichero pueden llegar a tener gran tamaño y es recomendable borrarlos de forma periódica, aunque como siempre asegurándonos de tener una copia de respaldo y con el servidor parado. (NOTA: En la versiones anteriores a la 1.5 las cosas eran un poco diferentes, por ejemplo, no existían ficheros .archived para las dimensiones)

Otro de los puntos de mejora de PALO es que NO pueden realizarse copias increméntales de la base de datos. Actualmente en mi empresa realizamos todas las noches una copia de seguridad completa utilizando un script Perl.

Sino realizáis copias de los datos o lo hacéis manualmente, aquí os incluyo un pequeño script MSDOS que os hará la vida mas sencilla. Podéis lanzarlo con una tarea programada de Windows por las noches, de esta forma realizaréis una copia total diaria de la base de datos.

   1: rem ——————————-

   2: rem Autor………: LCFlores

   3: rem Web………..: Xperimentos.com

   4: rem Fecha………: 10/3/2006

   5: rem Descripcion…: Proceso de Backup de la base de datos de PALO

   6: rem Lenguaje……: MSDOS Script

   7:

   8:

   9: rem ——————————-

  10: rem Obtenemos la fecha en la variable de sistema %mifecha%

  11: rem Obtenemos la variable %tmpfecha%, tiene espacios en blanco.

  12: for /f  “usebackq tokens=1,2,3 delims=/” %%i in (`date /t`)   

          do set tmpfecha=%%k%%j%%i

  13: rem Limpiamos los ‘white spaces’

  14: for /f  “usebackq tokens=1,2,3 delims= “ %%i in (`echo %tmpfecha%`)   

          do set mifecha=%%i%%j%%k

  15: rem ——————————-

  16:

  17:

  18: rem ——————————-

  19: rem Creamos el nuevo directorio

  20: md <DirectorioBackUp>\PALO_%mifecha%

  21:

  22:

  23: rem ——————————-

  24: rem Paramos el servidor de PALO

  25: net stop paloserverservice

  26:

  27:

  28:

  29: rem ——————————-

  30: rem Copia de los ficheros que hay en el directorio  

          de la base de datos de PALO.

  31: Copy “<DirectorioPALO>\data\<BaseDatos>\*.*”  

           “<DirectorioBackUp>PALO_%mifecha%”

  32:

  33:

  34: rem ——————————-

  35: rem Lanzamos el servidor de PALO

  36: net start paloserverservice

Compártelo