Es muy habitual enviar emails a varios destinatarios, incluyendo sus direcciones de correo en el apartado “PARA” de nuestro gestor de correo, de manera que todos los destinatarios saben a que personas se les ha enviado dicho correo, lo cual, en principio no tendría por que suponer un problema para los mismos. Sin embargo, pensemos en una empresa que envía un email rechazando las aspiraciones de posibles candidatos a optar a un puesto de trabajo, en este caso, la persona rechazada e incluida en este correo electrónico podría incomodarse por el hecho de que el resto de candidatos conozcan que ha solicitado dicho empleo, su cuenta de correo y además, que ha sido rechazado.

Introduciendo los correos electrónicos en el campo de copia oculta (CCO en español y BCC si se utiliza un programa en inglés) se evita que los destinatarios sepan a quien se ha enviado el mensaje, mientras que las direcciones incluidas en los campos para y CC son visibles para todas las personas que reciban el e-mail.

Para: que es a quien va dirigido el correo
CC: (Con Copia), que es a quien se envía una copia de correo
CCO o BCC: (Con Copia Oculta) que es a quien se envía una copia de correo.

Empresas como la inmobiliaria Sánchez Romero  o la empresa de recursos humanos Human Management ya han sido sancionadas por la APD al entender esta que con esta forma de enviar correos electrónicos se vulnera el "deber de secreto" contemplado en el artículo 10 de la Ley Orgánica.

Se trata de una obligación legal cuyo incumplimiento acarrea graves sanciones económicas que podrían llevar al cierre a muchas empresas en el caso de ser sancionadas. Y es que la sanción no depende del tamaño de la empresa, sino del precepto vulnerado, de manera que es posible que un pequeño laboratorio dental, que puede tratar datos personales de nivel alto de protección, sea sancionado con una multa de hasta 600.000 euros, lo cual, evidentemente, supondría la ruina del negocio.

Sin embargo, no solo es obligatorio cumplir con la normativa, sino  recomendable de cara a captar y fidelizar clientes, ya que vivimos en la sociedad de la información, donde esta, circula libremente y la mayoría de las veces sin control, por lo que se hace necesario establecer unos filtros tanto personales e individuales, a la hora de comunicar nuestros datos personales a terceros, como institucionales y empresariales, para delimitar y vigilar el uso que estos agentes hacen de nuestros datos.

Muchas empresas no se adecuan a la normativa porque o bien desconocen su existencia, lo cual cada vez ocurre menos, o no desean hacerlo por considerar que la inversión a realizar no revierte en un resultado traducido o valorado en términos económicos, lo cual les lleva a correr el riesgo de continuar con su actividad sin aplicar la normativa a los datos personales tratados.

Entre las entidades privadas andaluzas sancionadas (con multas que van desde los 600 a los 420.000 euros) se encuentran agencias de viajes, federaciones y clubes deportivos, empresas de moda y complementos, agencias inmobiliarias, comunidades de propietarios, empresas informáticas, ópticas, hoteles y empresas de telecomunicaciones, ubicadas en Málaga, sancionada con 8 empresas, Sevilla con 4, Jaén con 3, Almería con 2, y Granada y Cádiz con 1.

Desde Abogados Portaley recomendamos a todas las empresas, sea cual fuera su actividad, que se adecuen a la normativa de protección de datos. Nuestro despacho ofrece este servicio a medida, de modo que nuestro presupuesto se adecuan a las características y posibilidades de cada empresa. Pídanos un presupuesto y se lo ofreceremos sin compromiso.

Los hechos se produjeron en el 2002, cuando aparecieron en los alrededores del aeropuerto de El Prat varios documentos de entrega de equipajes extraviados con los datos personales de los pasajeros afectados. Los datos de los pasajeros eran registrados en el sistema de IBERIA y cuando los equipajes eran encontrados, se remitía en formato papel la información a la empresa CACESA, que se encargaba de entregar los equipajes a sus legítimos propietarios. Fue precisamente esta información la que apareció en los alrededores del aeropuerto.

Las sanciones impuestas a IBERIA fueron las siguientes:
1.    Infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha Ley, una multa de 601,01. No contar con el fichero inscrito en el Registro de la Agencia Española de Protección de Datos.
2.    Infracción del artículo 9 de la LOPD en relación con el artículo 8 del RD 994/1999, de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, tipificada como grave en el artículo 44.3.h) una multa de 60.101,21. No contar con el Documento de Seguridad relativo a ese fichero.
3.    Infracción del artículo 11 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de la citada Ley, una multa de 300.506,05. Cesión inconsentida de datos.

Lo que resulta más destacable de esta sentencia es la sanción muy grave por considerar que ha existido una cesión de datos de carácter personal sin consentimiento. Si analizamos detenidamente los hechos, parece claro que la relación existente entre IBERIA y CACESA quedaría encuadrada como una relación de encargado del tratamiento, debido a que quién decide sobre la finalidad del fichero es IBERIA que se limita a entregar a CACESA la información de los pasajeros que extraviaron sus equipajes para hacérselos llegar. Por tanto, CACESA como encargado del tratamiento se debe limitar a cumplir con las instrucciones del responsable del fichero, IBERIA.

Si esta relación está amparada por el artículo 12 de la LOPD “no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento”, entonces ¿por qué la Agencia Española de Protección de Datos sanciona por una infracción tipificada como muy grave?

Es este punto el verdaderamente relevante. El propio artículo 12 establece en los apartados 2 y siguientes, la obligación de contar con un contrato de encargado del tratamiento por escrito en el que se establezcan los extremos indicados en la propia Ley. Es decir, dicho contrato a grandes rasgos debe reflejar: la relación de encargado del tratamiento, las medidas de seguridad aplicables por parte de la empresa encargada del tratamiento, sus obligaciones de confidencialidad y además añade que el encargado del tratamiento deberá destruir o devolver los datos de carácter personal una vez haya finalizado la relación contractual.

En el presente caso, a pesar de que la relación entre CACESA e IBERIA es una relación de encargado del tratamiento, ésta no está reflejada en un contrato específico. El único contrato existente entre ambas empresas es uno de prestación de servicios firmado en 1992, cuyo objeto refleja el reparto domiciliario por parte de CACESA de equipajes extraviados o demorados desde el aeropuerto de Barcelona a los distintos lugares designados por IBERIA.

Difícilmente dicho contrato podría reflejar los extremos exigidos por la Ley Orgánica de Protección de Datos cuando éste se firmó antes de que entrara en vigor la primera Ley de Protección de Datos en España, la LORTAD.

Esta Sentencia demuestra la importancia de contar con los contratos de encargado. El ejemplo más habitual es el de la asesoría de nóminas que para prestar su servicio al responsable del fichero debe tratar los datos personales de los trabajadores de la empresa contratante.

En este caso ¿sucedería lo mismo que en la sentencia comentada si la asesoría extravía una nómina pero existe firmado un contrato específico de encargado del tratamiento?  En este caso el responsable del fichero no habría infringido los preceptos del a LOPD y sería la asesoría de nóminas la que respondería ante la Agencia Española de Protección de Datos por la pérdida de dicha información.

Por la experiencia que tenemos en Abril Abogados, las empresas objeto de auditoría de protección de datos, no le dan gran importancia a dejar fijadas en un contrato este tipo de relaciones. Habitualmente nos encontramos con dificultades para que se firmen este tipo de contratos, o bien porque ya existe un contrato anterior, como es el caso de IBERIA y CACESA, o bien porque existe una relación de confianza entre las empresas que consideran que no es necesario firmar contratos por escrito, o simplemente porque el que debe firmar el contrato es el director general.

Existen multitud de relaciones consideradas de encargado de tratamiento que las empresas  responsables de los ficheros desconocen y por lo tanto no cuentan con este contrato. A título enunciativo y dependiendo de cada caso concreto, se suelen considerar encargados del tratamiento las relaciones contractuales con la asesoría de nóminas, asesoría contable, empresa de mantenimiento informático, alojamiento de sitios web, empresas de back up, gestión documental, empresas de transporte, empresas de seguridad que tratan o acceden a las imágenes emitidas por las cámaras de seguridad o que controlan el acceso a edificios, etc.   

El responsable del fichero, que como hemos visto en el caso de IBERIA es el realmente perjudicado, debe actuar con diligencia y exigir la firma de este tipo de contratos y la actualización de los mismos a sus encargados del tratamiento, que en ocasiones no quieren firmar por el temor de creer que con la firma del contrato se obligan a cumplir con la LOPD cuando en realidad están obligados aunque no firmen dicho contrato.

Para terminar quisiera comentar las otras dos sanciones impuestas que aunque son menos relevantes por su cuantía económica, también nos hacen reflexionar. Ambas sanciones se suceden por un único hecho: IBERIA no se considera responsable del fichero de pasajeros que han extraviado su equipaje y por lo tanto no llegó a declarar el fichero.

A pesar de que IBERIA sí cuenta con un fichero declarado denominado BILLETES, ni la Agencia Española de Protección de Datos, ni la Audiencia Nacional, ni el Tribunal Supremo consideran que ese fichero incluya el de pasajeros que han extraviado su equipaje. Las razones argumentadas son básicamente las siguientes: Por un lado, IBERIA crea un nuevo fichero en el momento en que el pasajero acude a los mostradores y le toman nota de la pérdida de su equipaje, por otro lado, IBERIA, trasforma el fichero a través de un procedimiento manual, remitiendo a CACESA los datos de los pasajeros agraviados por la pérdida de su equipaje.

IBERIA, erróneamente, se considera un encargado del tratamiento respecto de los datos de los pasajeros al utilizar el sistema SITA que es una herramienta de búsqueda y gestión de los equipajes extraviados. Además en las actuaciones de inspección realizadas por la Agencia Española de Protección de Datos, se determinó que según lo establecido en el contrato existente entre SITA e IBERIA éste último es el responsable de los datos introducidos en el sistema.

Al no considerar IBERIA como fichero los datos de estos pasajeros, ni declaró el fichero, sanción leve, ni lo incorporó a su Documento de Seguridad, lo que provocó la sanción grave.

Por tanto, de estas dos sanciones se extrae otra conclusión, se debe tener especial cuidado en el análisis de los datos personales, para determinar cuándo la empresa tiene obligación de declarar un fichero  e incorporarlo a su Documento de Seguridad.
 

Alvaro Ramos Suárez
Departamento de Nuevas tecnologías
ABRIL ABOGADOS

La importancia del Análisis de Riesgos deriva de que es la herramienta que nos va a permitir identificar las amenazas a las que se encuentran expuestos dichos activos, estimar la frecuencia de materialización de tales amenazas y valorar el impacto que supondría en nuestra Organización esa materialización.

En el campo del Análisis de Riesgos, en España tenemos un referente indiscutible cuando nos planteamos la metodología a seguir. Si, ese referente es MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Actualmente por la versión 2.0, goza de una excelente salud y está reconocida por ENISA (European Network and Information Security Agency) junto a otras metodologías europeas e internacionales. Es una metodología de carácter público elaborada por el Consejo Superior de Administración Electrónica (CSAE), órgano del Ministerio de Administraciones Públicas (MAP) encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del Gobierno Español.

Si hasta ahora este reinado de MAGERIT ha sido indiscutible -con la interesante excepción de aquellos profesionales que han decidido elaborar sus “propias” metodologías por considerar que se adaptaban mejor a sus organizaciones- desde hace relativamente poco tiempo disponemos de un competidor de peso. Este nuevo actor en la escena del Análisis de Riesgos es, como ya muchos se habrán imaginado, el estándar internacional ISO/IEC 27005:2008, titulado Information technology – Security techniques – Information security risk management.

ISO 27005 “derogó” las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, y proporciona desde su publicación en Junio del pasado año 2008, un conjunto de directrices para la correcta realización de un Análisis de Riesgos.

Señalar, no obstante, que ISO 27005 no proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:

•    Establecimiento del contexto (Cláusula 7)
•    Evaluación del riesgo (Cláusula 8 )
•    Tratamiento del riesgo (Cláusula 9)
•    Aceptación del riesgo (Cláusula 10)
•    Comunicación del riesgo (Cláusula 11)
•    Monitorización y revisión del riesgo (Cláusula 12)

En pocas palabras, la norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena metodología de Análisis de Riesgos, por lo que, visto desde este punto de vista puede constituirse como una metodología en si misma.

Además, el estándar incluye seis Anexos (A-F) de carácter informativo y no normativo, con orientaciones que van desde la identificación de activos e impactos, ejemplos de vulnerabilidades y sus amenazas asociadas, hasta distintas aproximaciones para el análisis distinguiendo entre análisis de riesgos de alto nivel y análisis detallado.

Pero ¿con que argumentos cuenta ISO 27005 frente a MAGERIT u otras metodologías existentes? Pues la verdad es que existe una división palpable en el sector, incluso a nivel europeo (en este caso, lógicamente, comparando el estándar ISO frente a las metodologías propias de cada país).

Por una parte, están aquellos que han acogido al nuevo estándar con gran entusiasmo, entendiendo que supone la oficialización a nivel internacional de los requisitos que ha de cumplir una metodología de Análisis de Riesgos, y que por tanto aporta claridad a un ámbito que seguramente estaba necesitándola. Esta postura es frecuente entre quienes se dedican a la implantación de Sistemas de Gestión bajo ISO 27001 –la referencia absoluta en gestión de la seguridad–, ya que ISO 27005 ha nacido claramente para apoyar la tarea del análisis y la gestión de riesgos en el marco de un SGSI.

En el lado contrario encontramos a quienes no terminan de ver la aportación de este estándar para los profesionales del análisis de riesgos, habida cuenta las numerosas metodologías existentes. Desde estas posiciones, más puristas de la gestión de riesgos, la crítica se centra en señalar que el nuevo estándar no se adentra realmente en la gestión de los mismos, sino que se queda en un mero marco declarativo de determinados riesgos, y que dicho marco se enlaza con un ciclo PDCA (Plan, Do, Check, Act) con el fin de revisar dichos riesgos.

Los críticos con ISO 27005 añaden otro aspecto que no termina de convencerles, y es precisamente esa subordinación –para ellos sin duda excesiva– del estándar hacia el SGSI. Consideran que no es admisible la declaración que se hace en la subcláusula 7.1 de la norma, que cita como finalidades del Análisis de Riesgos, entre otras, el apoyo a un SGSI. Esta declaración es puesta en entredicho argumentando que en realidad la implementación de un SGSI es consecuencia de un análisis de riesgos previo, y no al revés. No parece desenfocada en absoluto esta última opinión, ya que precisamente el SGSI tiene como finalidad, y valga en este caso la redundancia, gestionar la Seguridad de la Información siempre desde el punto de partida que supone el Análisis de Riesgos.  

Al margen de controversias, que no tienen por qué ser estériles, lo cierto es que desde hace poco más de un año los profesionales que nos dedicamos a la Seguridad de la Información disponemos de un nuevo apoyo para esa difícil y crucial tarea que es el Análisis y la Gestión de Riesgos de los activos de información en las organizaciones. Tarea que, hay que decirlo, necesita de cuantas más aportaciones, mejor.

Entre esas aportaciones cabe destacar por parte española la publicación un mes después de que lo hiciera ISO 27005, de una –en este caso si- metodología de Análisis de Riesgos bajo la forma de norma UNE. Nos referimos, claro está, a la UNE 71504, de la que sin duda será interesante hablar en otra ocasión y compararla con ese referente indiscutible en España que es MAGERIT.

Autor: Manuel Díaz

Áudea Seguridad de la Información
www.audea.com

La red social Tuenti, es una de las mas utilizadas por los adolescentes españoles, cuya característica mas llamativa es la de necesitar ser invitado para pertenecer a ella.

Debido al perfil de los usuarios, menores de edad en su gran mayoría, ha surgido la necesidad de establecer mayores medidas que permitan preservar lo máximo posible la privacidad respecto a los datos personales de dichos menores, y evitar así que los acosadores virtuales y pedófilos se hagan pasar por menores y puedan llegar hasta ellos.

Una de las medidas establecidas por Tuenti es la de establecer un filtro de perfiles de usuarios menores de 14 años, consistente en solicitar una fotocopia del DNI, de manera que si no es aportado, se eliminaría el perfil existente o no se permitiría crearlo.

A pesar de ser una medida bien intencionada, hay quien duda de la eficacia de la misma, debido al gran número de usuarios y al trastorno que pudiera suponer para ellos el proceso de identificación.

A dicha medida, se unen la prohibición de descargar fotos creadas por terceros, aunque sea de un amigo, y la de respetar la propiedad intelectual de los contenidos generados por los usuarios.

La Agencia Española de Protección de Datos ha recibido esta iniciativa con gran optimismo, esperando sea secundada de manera general.

Información de la Agencia de Protección de Datos

Actualmente podemos contemplar con normalidad el uso de los CCTV (circuitos cerrados de televisión) y sistemas de videovigilancia por las empresas, comercios, escuelas o comunidades de vecinos que cada vez más optan por este sistema para blindarse contra los actos vandálicos.

La mayor sensación general de seguridad y el proceso de regularización de muchos de estos dispositivos que se están adecuando a la normativa de protección de datos benefició de manera significativa el incremento del fenómeno de instalar estos dispositivos en los ámbitos privados.

De acuerdo con la información aportada por el director de la Agencia Española de Protección de datos (AEPD) Artemi Rallo en una reciente entrevista se han disparado las inscripciones de los ficheros de videovigilancia especialmente en el entorno privado. En los dos últimos años se ha triplicado el número de ficheros que tenían registrados las comunidades de vecinos en el Registro General de Protección de Datos (RGPD), y ha pasado de 341 ficheros en el año 2007 para alcanzar los 1.108 el año pasado.

En el 2006 apenas eran unas 200 entidades que se declaraban responsables de cámaras de videovigilancia, al año siguiente se le sumaron 5.000 y a fecha de hoy son unas 21.000.

La sensación de seguridad que aportan los sistemas de videovigilancia a los empresarios, comerciantes y comunidades de vecinos ha provocado también el auge de las empresas de seguridad que instalan este tipo de dispositivos y que han visto incrementar sus ventas en el último año de hasta un 40%.  En cuanto a los precios, los modelos de videovigilancia que se pueden encontrar actualmente en el mercado pueden ir desde los mil euros – con un grabador, dos cámaras y un monitor- hasta los más sofisticados a partir de los 6.000 euros.

Los principales motivos por lo que se instalan las cámaras de videovigilancia en las fincas son por vandalismo e intrusismo y por los robos en los parkings dentro de los vehículos.

Además de grabar los actos delictivos, las cámaras cumplen una función disuasoria y con su instalación los incidentes bajan, además de mejorar la convivencia entre los vecinos.

No obstante la instalación de una cámara no puede ser un acto sencillamente arbitrario al gusto del que lo haga sino que debe estar justificado por una razón de seguridad, se tiene que instalar de la forma menos agresiva posible para que sea lo menos instrusiva en la privacidad de las personas.

En particular las entidades que quieran instalar los sistemas de videovigilancia deben cumplir con los siguientes requisitos:

• La creación de un fichero de imágenes de videovigilancia exige su previa notificación a la Agencia Española de Protección de Datos para la inscripción en el registro general
• El uso de instalaciones de cámaras o videocámaras sólo es admisible cuando no exista un medio menos invasivo
• Debe informarse sobre la captación y/o grabación de las imágenes
• Las imágenes tendrán que ser canceladas en un plazo máximo de un mes desde su captación
• Las empresas que realicen la instalación y el mantenimiento de los sistemas de videovigilancia deben estar autorizadas por la Agencia Española de Protección de Datos
• Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos
• Los ciudadanos pueden ejercer su derecho a acceder a las imágenes y a cancelarlas

Áudea Seguridad de la Información

Debido al incremento en los últimos años que están experimentando las instalaciones de cámaras y videocámaras con fines de videovigilancia, se aprobó por parte de la Agencia de Protección de Datos la Instrucción de 1/2006 de 8 de noviembre,  la cual aportó mayor claridad y seguridad jurídica en este sector. Sin embargo y posiblemente debido a una falta de conocimiento preciso de la norma por parte de los ciudadanos, empresas (incluidas las dedicadas a la instalación de los sistemas de videovigilancia, que no actúan con la diligencia debida) , incluso las Administraciones Públicas, provocan que sea el tercer sector en número de inspecciones tras las telecomunicaciones y entidades financieras.

A pesar de que los ficheros de videovigilancia inscritos en el Registro General de la Agencia de Protección de Datos han experimentado un crecimiento vertiginoso,  en cifras, en el año 2003 los ficheros de videovigilancia eran tan solo 67 pasando a ser  en 2007 un total de 5026 ficheros notificados, cifra que ha seguido aumentado a lo largo de este año.  No son pocos los casos que aparecen en los medios de comunicación en los que un Ayuntamiento instala una cámara de seguridad sin tener en cuenta la normativa o un particular instala una cámara para vigilar su coche sin previa consulta. Esto se debe a que los ciudadanos para proteger su patrimonio y los Entes locales para evitar actos vandálicos, olvidan un derecho fundamental como es el derecho a la protección de datos en aras de su seguridad.
Sin embargo, como bien se explica en la exposición de motivos de la Instrucción 1/2006  la seguridad y la vigilancia, no son incompatibles con el derecho fundamental a la protección de la imagen como dato personal.

Tras la publicación del plan sectorial de oficio  sobre llamadas telefónicas y mensajes a telefonía móvil con fines comerciales y publicitarios por parte de la Agencia Española de Protección de Datos, se plantea la duda de  si será  necesario aprobar en un breve periodo de tiempo un plan sectorial por parte de la Agencia en materia de videovigilancia, en la que esta evalúe el funcionamiento de las cámaras de vigilancia tanto en espacios públicos como privados arrojando luz sobre este sector.

María del Águila
Responsable de Proyectos  Áudea Seguridad de la Información

Las infracciones graves tienen aparejadas una multa que va de 60.101,21 a 300.506,05 euros, por lo que se deduce que la sanción impuesta a uno de ellos, que utilizaba el alias tuarxienemigo, de 1.500 euros es el resultado de una “gran graduación”, tal y como recoge el artículo 45.4 LOPD, por lo que José Martín ha decidido recurrir la Resolución.

Román aseguró que la multa es "ridícula y vergonzosa". "Las multas graves pueden oscilar entre 60.000 y 300.000 euros, y en cambio aquí, en este informe que no tiene ni pies ni cabeza, se disminuyen continuamente las culpas de quienes grabaron el video de mi hijo", manifestó.

Una de las iniciativas de dicha campaña es el Plan de Comunicación en Protección de Datos Personales para Escolares, que incluye la impartición de una sesión informativa sobre protección de datos personales en el ámbito de las nuevas tecnologías en todos y cada uno de los Institutos de Enseñanza Secundaria de carácter público de la Comunidad de Madrid.

Se hace mención especial a las Redes Sociales de Internet, tales como Facebook, tuenti, mayspace, ya que a través de ellas los jóvenes ofrecen, sin darse apenas cuenta, una gran cantidad de datos personales relativos a su nombre, edad, dirección, teléfono  móvil, datos familiares, etc. Dichos datos, una vez publicados, son de difícil rastreo, de manera que se pierde el control sobre ellos y es imposible saber el uso que de los mismos se hace, y sobre todo quien y para que los utiliza.

Muchos pedófilos y pederastas utilizan estas redes para captar a sus víctimas, haciéndose pasar por menores para así ganarse su confianza y poder consumar, en el caso de estos últimos sus miserias.

El Páis Vasco ha lanzado su propia propuesta bajo el lema Kontuzdatos… Decides tú, una campaña dirigida a 40.000 jóvenes vascos de entre 15 y 16 años, que llama a un uso responsable de las nuevas tecnologías para proteger la privacidad de los datos colgados en la red.

Así mismo, se ha creado una página web www.kontuzdatos.info en la que se podrán descargar información y seis vídeos con situaciones protagonizadas por jóvenes para «fomentar la reflexión».

Los jóvenes han de tener la información necesaria para asimilar por si mismos la importancia de reservar sus datos personales, han de saber que existe una normativa que obliga a las empresas y a los particulares e incluso a la administración a  proteger y controlar los datos personales, que el derecho a la intimidad y privacidad es un derecho constitucional y que existen organismos tanto nacionales como internacionales que velan porque dichos derechos sean protegidos.

FACUA-Consumidores en Acción ha denunciado a Microsoft, Yahoo y Google ante la Agencia Española de Protección de Datos (AEPD) por un grave problema de seguridad en sus servicios de correo electrónico.

Y es que cualquiera puede acceder a la cuenta de correo de otro usuario con sólo conocer dónde vive y la respuesta a una "pregunta de seguridad" que en muchos casos es tan fácil de averiguar como su número de teléfono, el nombre de su mascota o su cantante favorito.

Así quedan al descubierto los mensajes enviados y recibidos por el afectado, además de poder usurparse su identidad tanto desde el correo como su programa de mensajería instantánea.

Solución por parte de FACUA

Por ello, la asociación cree que la recuperación de una contraseña de correo sólo debe permitirse mediante su envío a una dirección electrónica alternativa facilitada por el usuario cuando dio de alta su cuenta, algo que también hacen los proveedores en paralelo al sistema denunciado, así como mediante otras opciones seguras como un SMS al teléfono del usuario o por correo postal con acuse de recibo.

Reclamación a Microsoft en 2004

FACUA ya había reclamado a Microsoft que eliminase el sistema de la "pregunta de seguridad" en agosto de 2004, pero tras una reunión con la compañía en la que su departamento legal se comprometió a analizar el asunto, no volvió a recibir respuesta alguna.

Recomendación

FACUA recomienda a sus usuarios que eliminen la "pregunta de seguridad" si el sistema se lo permite o modifiquen sus datos de forma que su país o provincia sean falsos o la respuesta no guarde ninguna relación con la pregunta, de forma que no sea posible averiguarla por un tercero.

Denuncia ante la APD

FACUA considera que este problema de seguridad implica una vulneración del artículo 9 de la Ley Orgánica 15/1999, de 15 de diciembre, de Protección de Datos de Carácter Personal y las instrucciones emitidas por la AEPD relativas a los procedimientos para acceder y rectificar los datos de carácter personal.

El citado artículo establece que las empresas "deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural".

Más información: FACUA