La AEPD abre una consulta pública para conocer la opinión y experiencia de prestadores de servicios, usuarios y expertos sobre Computación en Nube

La AEPD abre una consulta pública para conocer la opinión y experiencia de prestadores de servicios,
usuarios y expertos sobre Computación en Nube La AEPD pretende con esta iniciativa tener un conocimiento preciso de experiencias,  opiniones y condicionamientos, desde la perspectiva de protección de datos, de prestadores y usuarios de  los servicios de Computación en Nube.

La AEPD invita a participar a entidades prestadoras y clientes de este tipo de servicios, así como a  usuarios particulares, académicos y expertos,  y todos quienes estén interesados en la materia.

Ante el auge de la Computación en Nube, la aplicación y adecuación de las normas de protección de datos a estos entornos se han convertido en una cuestión esencial.

La consulta consta de 7 bloques en los que se abordan las responsabilidades de los diferentes actores, la legislación y las garantías aplicables,  o el impacto en el régimen de transferencias internacionales de datos.

La Agencia Española de Protección de Datos (AEPD) ha abierto hoy, y hasta el próximo 27 de enero, una consulta pública sobre las implicaciones  en materia de protección de datos de  los  servicios de
Computación en Nube (Cloud Computing)  con el objetivo  de recabar  opiniones, perspectivas y experiencias, principalmente de prestadores y usuarios de servicios de computación en nube,  así como  analizar el grado de conocimiento y la aplicación práctica de estos servicios en España.
 

La consulta pública, a la que están  invitados a participar  entidades prestadoras y usuarias de este tipo de servicios, así como usuarios particulares, académicos, expertos y todos quienes estén interesados en la materia, está disponible en la Página Web de la AEPD. 

En la actualidad la Computación en Nube constituye  un modelo de prestación de servicios de tecnología en auge  y que puede presentar diversas tipologías: empresas que cuenten con sus propios sistemas, empresas que contraten con terceros, cadenas de subcontrataciones. Diversos estudios reflejan que cada vez más entidades públicas y privadas –desde grandes multinacionales hasta pequeñas empresas de ámbito local y Administraciones Públicas- utilizan sistemas de Computación en Nube en alguna de sus modalidades, debido a las ventajas puede proporcionar en términos de ahorro, alta disponibilidad, o adaptabilidad, entre otras.

En este escenario de proliferación de servicios de Computación en Nube, se suscitan en la actualidad interrogantes sobre las garantías aplicables en el marco de estos servicios, y la adecuación de  las normas de protección de datos  a estos entornos  se  ha convertido en una cuestión esencial, que está siendo objeto de análisis y evaluación en distintos ámbitos.Para tener un conocimiento preciso de las experiencias, opiniones  y condicionamientos con los que se encuentran usuarios y prestadores de servicios de Computación en Nube, el cuestionario diseñado por la AEPD para realizar la consulta
pública, se estructura en siete bloques con preguntas simples, multirespuesta y preguntas de respuesta libre. 

En dichos bloques  se  plantea una amplia variedad de cuestiones que cubren  la mayoría de  los elementos relacionados con los servicios de Computación en Nube, desde la óptica de sus implicaciones en materia de protección de datos. Entre ellos, pueden destacarse las preguntas relativas a  legislación aplicable, garantías en el marco de las relaciones de prestación de servicios en nube o su  impacto en el régimen que regula las transferencias internacionales.

La Agencia Española de Protección de Datos (AEPD) ha sancionado con una multa de 50.000 euros a Movistar

La Agencia Española de Protección de Datos (AEPD) ha sancionado con una multa de 50.000 euros a Movistar por incluir los datos personales de un cliente moroso en una base de datos de insolventes sin haberle reclamado antes su deuda.

La resolución de la AEPD, que data del pasado mes de octubre, establece que "ha quedado demostrado" que Movistar incumplió lo dispuesto en el artículo 29.4 de la Ley Orgánica de Protección de Datos al incluir a su cliente en un fichero de insolvencia antes incluso de reclamarle el pago de la deuda, lo que supone una falta grave.

Los hechos comenzaron en enero de 2010, cuando un consumidor se da de alta en Movistar con un contrato de tarifa plana de Iphone. Tras recibir la primera factura, en febrero de 2010, decide cambiar su plan de precios y manifiesta su disconformidad con la factura en la Secretaría de Estado de Telecomunicaciones y en la misma Movistar.

Movistar se lo deniega porque el apoyo económico recibido estaba vinculado a una permanencia de 18 meses no sólo en la misma compañía, sino en el mismo plan de precios. No obstante, la discrepancia se produce porque, según el denunciante, Telefónica le incluyó en un archivo de morosos antes de reclamar el pago.

Y es que efectivamente, desde el 10 de marzo de 2010, el cliente pasa a formar parte del archivo de insolvencia económico-patrimonial de Experian Bureau de Crédito, aunque unos meses más tarde le da de baja "en señal de buena voluntad".

En su resolución, la AEPD no entra a valorar la existencia de la deuda y se limita a destacar que la inclusión de los datos personales de este consumidor en un fichero de morosos antes de reclamar el pago y agotar la vía comercial constituye un hecho grave que lesiona el derecho a la protección de datos de carácter personal de sus clientes y le sanciona con 50.000 euros.

Parados sin secretos

Con el NIF, el número de teléfono de una persona y un poco de paciencia, cualquiera puede saber el nombre completo de esta, lo que cobra de paro y hasta la cuenta del banco donde se lo ingresan. La web del Servicio Público de Empleo Estatal (SEPE) pide una clave de sólo dos dígitos que, además, no se bloquea cuando se introducen combinaciones una y otra vez para entrar en el expediente personal de los 2,8 millones de parados que actualmente cobran la prestación por desempleo. Tanto el Ministerio de Trabajo como la Agencia Española de Protección de Datos (AEPD) consideran, sin embargo, que el sistema es seguro.

Las distintas administraciones ofrecen a los ciudadanos la posibilidad de acceder a la mayoría de sus servicios y gestiones desde internet usando el DNI electrónico o un certificado digital. Así lo hacen la Seguridad Social y la Agencia Tributaria. Pero esta última también tiene habilitada una tercera vía en la que pide el NIF, el primer apellido y un número de referencia que sólo conoce el contribuyente.

Para consultar las prestaciones por desempleo, el SEPE exige también el DNI electrónico o un certificado digital. Pero ofrece una tercera alternativa llamada Datos de Contraste. Estos son el NIF, el número de teléfono y una clave de dos cifras que sólo va del 00 al 99 y se corresponde con el dígito de control (el popular DC) de la cuenta bancaria.

Una vez dentro, se pueden conocer las prestaciones recibidas además de gran número de datos personales, como nombre y apellidos, número de la Seguridad Social o estado civil. También aparece la cuenta bancaria dada para recibir la prestación, nombre del banco incluido.

"No es un fallo de seguridad, es de implementación del acceso, que está basado en datos que son fáciles de conseguir", dice el director de ePrivacidad , Samuel Parra. Sólo el dígito de control es relativamente secreto, pero al ofrecer tan sólo cien combinaciones sólo se necesita paciencia. Este abogado presentó una denuncia ante la AEPD contra el sistema del SEPE por incumplir las exigencias de la Ley de Protección de Datos.

Sin embargo, la Agencia acaba de resolver que el sistema es seguro. Trabajo se agarra a este dictamen. "La denuncia fue archivada y desestimada porque no se hallaron evidencias de que el sistema de control incumpliese los requisitos mínimos que exige la normativa", explica un portavoz del Ministerio.

Para Parra, sin embargo, la AEPD basó su decisión en un informe técnico que "no ha debido de comprobar correctamente el sistema de acceso". En efecto, la resolución explica que el mecanismo de acceso "ha previsto ciertas limitaciones al intento reiterado de accesos no autorizados". Pero, como ha comprobado Parra y este periódico, no hay bloqueo ni al tercer intento ni al centésimo. El SEPE ya fue sancionado en 2008 por otro fallo similar que permitía conocer la vida laboral con sólo saber el DNI de la persona.

Microsoft endurece los requisitos de seguridad de su Office en la 'nube'

Los problemas de seguridad y privacidad han sido la gran barrera para que muchas empresas se apunten a las tecnologías basadas en la nube. Y ello pese a que los proveedores de este tipo de soluciones se han hartado de repetir las ventajas que ofrece el famoso cloud computing, entre ellas el ahorro de costes y tener siempre la última tecnología. Conscientes de ello, Microsoft ha tomado medidas, y ayer anunció que su paquete de aplicaciones de productividad en la nube Office 365 "es el primer servicio que cumple con los principales estándares de privacidad y seguridad de la información de la UE y EE UU".

Concretamente, la multinacional cumplirá a partir de ahora en sus contratos con los requerimientos de las llamadas Cláusulas Modelo de la UE, las cuales certifican el cumplimiento de la rigurosa Directiva europea de Protección de Datos, así como la normativa HIPAA de EE UU. "Queríamos dar confianza a nuestros clientes", explica a CincoDías David Negrete, director de la unidad de negocio de Productividad y Colaboración de Microsoft Ibérica. El directivo señala que el tema "es muy importante" y que no ha sido fácil. "Ha supuesto el trabajo durante meses de abogados y consultores que han estado viendo el tema con las instituciones de cada país".

Las cláusulas contractuales citadas aseguran a las empresas cliente que han dado los pasos necesarios para salvaguardar sus datos personales, incluso si están almacenados en un servicio basado en cloud computing localizado fuera del área económica europea. Negrete destaca, además, que Microsoft ha ido más lejos. "No solo cumplimos con las cláusulas modelo sino que cumplimos con las normativas de los 27 países europeos, porque algunos de ellos tienen requerimientos más exhaustivos que los de la directiva comunitaria".

Ricard Martínez Martínez propone proveer a los niños direcciones de correo cuando se les identifica en la escuela

El presidente de la Asociación Profesional Española de la Protección de Datos, Ricard Martínez Martínez, ha propuesto proveer a los menores de su primera cuenta de correo electrónico nada más ser identificados en la escuela, siempre con supervisión y bajo un dominio público o concertado para así evitar la exposición de los menores a los desconocidos, entre otras cosas.

Martínez, que es un experto de prestigio en los ámbitos nacional e internacional en la materia sobre la protección de datos personales, ha hecho estas afirmaciones en declaraciones a Europa Press durante la visita que ha realizado a Murcia para impartir la conferencia titulada 'Menores, Redes sociales y Privacidad' en el marco de la Jornada de la Sociedad de la Información y la Tecnología (SYTE 12.12).

A su juicio, es "obvio" que ha aumentado el acceso de gente desconocida a menores como consecuencia de las redes sociales, y para evitar la exposición de los pequeños ha propuesto insistir en la educación de los menores y de los padres.

En este sentido, ha puntualizado que "mientras no exista una identificación digital unívoca para todos los usuarios, cosa harto difícil y no sé si conveniente, la autoprotección y el conocimiento son el mejor método". Pero para esta autoprotección, Martínez ha indicado que "existen reglas sencillas, algunas de las cuales aprendemos en el mundo físico".

En su opinión, el problema comienza cuando el niño o niña "abre por sí mismo una cuenta de correo sin supervisión de un adulto". Así cuando un menor llamado, por ejemplo, José Pérez, descubre que su dirección ya existe en muchas ocasiones crea la cuenta 'joseperez2001@proveedor.com'".

En ese momento, el menor "acaba de gritar al mundo aquí hay un menor, varón, al que acosar", así que Martínez insta a preguntarse su "ocurriría esto si la primera cuenta se atribuyese en el contexto escolar con supervisión y bajo un dominio público o concertado".

Por otra parte, recuerda que, en la infancia, a todos "se nos enseña que no hay que dejar puertas y ventanas abiertas cuando estamos solos en casa y no hay que abrir a desconocidos". Martínez afirma que se trata de una regla que, en el mundo digital, se traduce en escoger un perfil privado y sólo aceptar como amigos a quienes se conoce en el mundo físico.


Martínez, quien ha remarcado el compromiso corporativo de los profesionales de la privacidad con la seguridad y privacidad de los menores, ha añadido que los términos redes sociales, menores y privacidad son términos "absolutamente conciliables", y recuerda que, desde un punto de vista sociológico, los menores "son nativos digitales y para ellos Internet es una ámbito más de sociabilidad".

En este sentido, recuerda que la gente actualmente adulta, "seguramente se socializaba cuando era niño en las calles y plazas de su propio barrio jugando al fútbol o a cualquier otra cosa hasta que cerca de la hora de cenar el toque de queda materno, anunciado a voz en grito le hacía regresar a casa".

Hoy en día, este experto explica que los niños "juegan 'online', comparten sus cosas o hacen trabajos en entornos de dialogo privado o público en Internet". Por tanto, añade que las comunidades 'online' que generan las redes sociales "son, desde un punto de vista sociológico, su entorno natural de socialización".

Por ello, considera que corresponde a los gestores de estas redes sociales "el articular políticas de privacidad que no consistan en meros textos legales que nadie entiende o consulta. Y ello se traduce en disponer de mecanismos que eviten el acceso de los menores cuando el proveedor no destina su espacio a este público, y en diseñar e implementar políticas de obtención del consentimiento paterno o materno que respeten el límite de edad, 14 años".

No obstante, puntualiza que "no es una obligación exclusiva de los proveedores" y recuerda que, a día de hoy, el Estado "no dispone de ninguna política de atribución de identidades digitales para los menores, y la firma digital del DNI, por ejemplo, no se les activa, pero ni siquiera se han planteado respuestas más sencillas".

Por ejemplo, afirma que los estudiantes de todas las universidades públicas, una vez se han preinscrito, y por tanto previa identificación, reciben una cuenta de correo electrónico, cuyo usuario y contraseña les sirve para validar su identidad y realizar todos los trámites ante su universidad.

En este sentido, Martínez se pregunta "por qué la primera cuenta de correo de nuestros niños es de 'Gmail' o 'Hotmail', y se plantea si "acaso una vez identificados en su entorno escolar no se les podría proveer de una cuenta y usar esta mediante validaciones LDAP o equivalentes como elemento de verificación".

Al ser preguntado por si es oportuno y beneficioso para las redes sociales establecer un límite de edad mínima para su uso al igual que se hace con el tabaco o las bebidas, Martínez asegura que "no es una cuestión a valorar", sino que es un criterio "normativo".

Así pues, puntualiza que el artículo 13 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal "define una frontera clara: catorce años", y "no es algo discutible".

Pero además, este experto añade que, en casos como el juego, la bebida o la pornografía, las prohibiciones de la legislación vigente "son plenamente aplicables a Internet y, por tanto, deben excluir a los menores".

Martínez ha explicado que los principales retos en la materia de redes sociales y menores son dos. En primer lugar, plantea que en el plano técnico se debería disponer de métodos de atribución de identidades digitales "seguros y que permitan una adecuada verificación de la edad y, por tanto, faciliten regular las condiciones de acceso a entornos online".

El segundo reto, ha añadido puede expresarse "con tres palabras: educación, educación, educación". En su opinión, la educación sobre Internet "debe llegar a los planes de estudios y las actividades extraescolares" del mismo modo que lo han hecho la seguridad vial, la educación para la salud o la educación alimentaria.

Además, puntualiza que esta educación "no puede estar basada en el riesgo y en el temor, sino que tenemos la responsabilidad de no asustar a los padres. A nadie se le ocurre enseñar seguridad vial aterrorizando con todos los males derivados de la conducción, o al menos no exclusivamente".

Y es que., según este experto, Internet "abre a nuestros niños un maravilloso mundo de conocimiento, socialización y participación democrática". La cuestión es "cómo vamos a conseguir que aprendan todas las posibilidades que el entorno les ofrece siendo capaces de evaluar y controlar los riesgos".

A su juicio, aunque esto es 'deformación profesional', aprender a valorar la información personal y la vida privada como un patrimonio propio y valioso "constituye un pilar fundamental".

En último, explica que los padres constituyen otro reto a valorar, ya que es una "soberana estupidez" considerar que el niño o niña, nativo digital "sabe mucho de Internet y su padre no".

Para Martínez, si un padre no sabe usar Internet "tiene una fantástica oportunidad de aprenderlo con su hijo, de navegar con él, porque hay algo que un padre siempre podrá transmitir: valores y criterios. Ello sin perjuicio de aprovechar los magníficos recursos formativos que INTECO, la Agencia Española de Protección de Datos, IQUA o red.es ponen a su disposición.

El 66% de las memorias USB extraviadas contienen malware y no están encriptadas

La compañía de seguridad ha acudido a una subasta pública de objetos perdidos en el metro de Sydney para adquirir un lote de memorias USB extraviadas. De esta forma, en el blog de seguridad de Sophos Naked Security explican que consiguieron 50 USB perdidas de gente que no las había reclamado. Con las memorias, los técnicos de Sophos han realizado un análisis de su contenido para determinar el grado de seguridad de sus documentos y la aparición de malware.

En primer lugar han destacado que en el 66% de las llaves USB analizadas había algún tipo de malware. Se trata de más de la mitad y supone un peligro potencial para todos aquellos que encuentren en la calle este tipo de sistemas de almacenamiento. Al encontrar un USB, los usuarios pueden optar por intentar encontrar a su propietario o quedárselo (si no lo devuelven a objetos perdidos). En cualquiera de los dos casos, lo natural suele ser utilizar la llave en un ordenador, sea para buscar información del propietario o para su uso.

Con los datos de Sophos se ha demostrado que este tipo de prácticas puede comprometer la seguridad de los terminales de los usuarios ya que estarían utilizando un dispositivo desconocido que en el 66% de las veces contiene malware. Los equipos de los usuarios pueden infectarse al usar estos USB, por lo que es recomendable extremar la precaución a la hora de usar un sistema de almacenamiento que no se conoce.

En el estudio de Sophos también destaca que todas las amenazas eran para Windows, ninguna de las detectadas era para Mac OS. Los usuarios del sistema operativo de Microsoft deben disponer de sistemas de control ya que hay más amenazas que pueden afectar a sus equipos.

Desde Sophos también han destacado que ninguna de las memorias USB analizadas contaba con un sistema de encriptación de los datos. Se trata de un error de seguridad muy grave en este tipo de dispositivos ya que deja totalmente expuestos los datos de los usuarios en caso de pérdida. Entre las USB analizadas Sophos no ha encontrado ninguna información confidencial o pública, pero es una prueba de la falta de medidas de seguridad que los usuarios tienen con los dispositivos de almacenamiento portátiles.

Google, Facebook y Apple se comprometen a proteger a los niños en internet

La Comisión Europea se unió a las empresas de tecnología más importantes, incluyendo Apple, Facebook y Google este jueves para mejorar la protección de los niños en línea.

La coalición, que incluye a 28 empresas, desarrollará un sistema basado en la calificación por edades online y tiene como objetivo reforzar la configuración de privacidad. Asimismo, tiene previsto para finales del próximo año incorporar esta medida para que sea más fácil informar sobre contenido inapropiado.

Otras medidas que se incluyen son la mejora de los controles parentales y la mejora de la cooperación entre las fuerzas del orden y las autoridades online para eliminar el material en línea que muestran abusos sexuales.

"Esta nueva coalición debe facilitar a los menores y los padres herramientas de protección transparentes y coherentes para aprovechar al máximo el mundo online", aseguró la comisaria europea que se ocupa de la política de la tecnología digital, Neelie Kroes.

La formación de esta coalición se produce tras el informe de la Comisión Europea del pasado mes de junio, según el cual 14 sitios de redes sociales, como Facebook, no protegían adecuadamente los perfiles y los datos de menores.

Un buen comienzo

La sede en Gran Bretaña del grupo Childnet International, que tiene como objetivo proteger a los niños en línea, dijo que la coalición es un buen comienzo. "Damos la bienvenida a esta iniciativa y tenemos la esperanza de lo que podría lograr", aseguró el consejero delegado de Childnet Internacional, Will Gardner. "Estamos viendo una declaración de intenciones, este es el comienzo".

Muchos niños se vuelven activos online a los siete años y el 38 por ciento entre los 9 y los 12 años tienen sus propios perfiles en redes sociales, según la investigación de la UE. Más de 30 por ciento de los niños acceden a Internet a través de un dispositivo móvil y el 26 por ciento a través de consolas de videojuegos.

Otras empresas incluidas en esta coalición son BSkyB, BT, Deutsche Telekom AG, Nintendo, Nokia y Orange.

El Tribunal Supremo ha ordenado al Opus Dei a cancelar los datos que figuran en su fichero correspondientes a una mujer que decidió darse de baja

El Tribunal Supremo ha ordenado al Opus Dei a cancelar los datos que figuran en su fichero correspondientes a una mujer que decidió darse de baja de la Prelatura Personal y a pagar hasta 3.000 euros en concepto de costas del juicio y abogado.

Así lo ha decretado la Sala de lo Contencioso-Administrativo en una sentencia relativa a un caso de protección de datos en el que la Audiencia Nacional ya se había pronunciado a favor de la demandante. Los hechos se remontan a agosto de 2006, cuando M.I.M., que había abandonado la organización religiosa, solicitó a la Prelatura del Opus Dei que borrara sus datos de todos los archivos.

Días después, la organización le respondió que «los únicos datos que se refieren a su persona son hechos históricos realizados voluntariamente que no pueden anularse», aunque apuntó que «en anotación marginal se hará constar su deseo de que no tengan trascendencia externa».

Ante la negativa, la demandante acudió a la Agencia Española de Protección de Datos (AEPD) que, tras estudiar el caso, dictó una resolución por la que instaba al Opus Dei a que, «en el plazo de diez días», remitiera a la reclamante una certificación en la que hiciera constar que «ha procedido a la cancelación de sus datos que contaban en sus archivos».

En respuesta, el Opus Dei argumentó que el Acuerdo sobre Asuntos Jurídicos entre la Santa Sede y el Estado español de 1979, «protege la inviolabilidad de los archivos, registros y demás documentos de las instituciones y entidades eclesiásticas».

Para el Supremo, dicho acuerdo protege los archivos y registros «de cualquier intromisión procedente del Estado y resultan inviolables frente al mismo», pero esa inviolabilidad «no es predicable frente al ciudadano cuando ejercita su derecho fundamental» sobre sus propios datos personales.

La sentencia también rebate el argumento esgrimido por el Opus Dei de que los datos no están contenidos en un soporte informático, como tampoco lo estaban los relativos a los libros bautismales que el tribunal no obligó a modificar en el caso de apostasías.

La diferencia es -según el Tribunal Supremo- que mientras que el Opus Dei tiene los datos organizados y clasificados hasta el punto de que son fácilmente localizables, los libros bautismales son «una pura acumulación de datos» que no están ordenados «ni alfabéticamente ni por fecha de nacimiento».

Por todo ello, el tribunal ha considerado que no ha lugar al recurso de casación presentado por el Opus Dei, a quien condena a pagar las costas del proceso, informó Efe. Fuentes de la organización religiosa han asegurado que acatan «plenamente» la sentencia y que, de hecho «ya se ha enviado por correo a la demandante la certificación de que se han borrado sus datos».

acens presenta el decálogo de la seguridad en la nube

Con motivo del Día Internacional de la Seguridad de la Información que se celebra hoy, acens (www.acens.com), proveedor líder de servicios de Cloud Hosting, Hosting, Housing y Soluciones de Telecomunicaciones para el mercado empresarial, ha presentado el decálogo de la seguridad en la nube.

Se trata de una serie de recomendaciones básicas orientadas a ayudar a aquellas empresas interesadas en acometer un proyecto en la nube, para ayudarles a conocer mejor las necesidades y criterios de seguridad que deben de tener en cuenta.

1)    No todas las nubes son iguales. Aunque el concepto es similar, no todas las nubes y servicios concebidos para la nube están diseñados y desarrollados de la misma forma. Es muy recomendable analizar todos los detalles de cualquier propuesta de un proveedor.

2)    Conoce dónde está y cómo es tu cloud. La nube no es etérea, sino que está ubicada en un sitio físico. Saber dónde está, poder acceder a ella o conocer a la gente que está detrás de la gestión evita muchos sustos en el futuro y facilita muchas de las operaciones del día a día. Es importante ofrecer a los clientes un entorno de cloud basado en un datacenter que cuenta con las máximas medidas de seguridad lógicas y físicas.

3)    La seguridad es un requisito, no un añadido. En cuestiones tan sensibles como la salvaguardia de documentación crítica de la empresa, resulta obvio que la seguridad no es una funcionalidad extra a añadir y negociar, sino que por defecto, un buen servicio en la nube debe garantizar el control, gestión y acceso a los datos y aplicaciones bajo estrictas normas de seguridad y acorde a los permisos establecidos por el cliente para interferir en su entorno cloud o en los diferentes niveles de opciones que haya configurado.

4)    Una buena seguridad cloud obliga a una buena seguridad in house. No hay que olvidar que en los proyectos de infraestructura y de servicios cloud, el compromiso de seguridad debe de ser doble. No tiene sentido exigir al proveedor entornos seguros de acceso y trabajo y descuidar las políticas internas de seguridad de la empresa.

5)    Las personas siguen siendo un elemento crítico. Las tecnologías hacen el trabajo, pero el diseño y aplicación de las medidas de seguridad las hacen las personas. Las economías de escala permiten a los proveedores de servicios en la nube contar con auténticos expertos de seguridad que aportan mucho valor y experiencia, sobre todo, teniendo en cuenta que históricamente muchos de los fallos de seguridad son por errores humanos.

6)    Recuerda que la seguridad es multiplataforma. El acceso a la nube es ubicuo y multiplataforma. Según las necesidades de cada empleado o departamento accederá a una hora u otra, desde una red fija o una red pública, o desde un dispositivo fijo –PC- o móvil –portátil, smartphone, tablet…-. Una buena política de seguridad no debe de descuidar ninguna de estas vías y proponer siempre la existencia de dos redes separadas, aquella que tiene conexión con el exterior, dotada de direccionamiento IP público, y una red privada con direccionamiento privado que es de uso exclusivamente interno.

7)    Apuesta por estándares de mercado. Siempre es más sencillo trabajar con tecnologías y productos estándares del mercado que acotarse a desarrollos muy específicos o de nicho. La migración e integración de equipos, o incluso la replicación de entornos y sistemas será más rápida y sencilla trabajando con estándares de mercado.

8)    Revisa el cumplimiento legal. Un buen proveedor de cloud no sólo debe ofrecer las máximas garantías de seguridad, sino que debe cumplir con las normativas legales en materia de protección de datos, como puede ser en España la LOPD para salvaguardar la confidencialidad y la seguridad de la información y que datos críticos de la compañía no circulen de un país a otro. Por eso es importante contar con personal cualificado que monitorice cualquier incidencia y que notifique y solucione en tiempo real cualquier infracción de seguridad.

9)    Exige garantías de alta disponibilidad y redundancia. Contar con nubes redundantes –datacenters en diversas localizaciones- no sólo garantiza la disponibilidad permanente del servicio en cuestiones de red, almacenamiento y nodos de computación, sino que añade un grado extra de seguridad a la hora de garantizar la pérdida de datos ante desastres.

10)  En seguridad y en cloud no te la juegues. En realidad las amenazas de seguridad en los entornos en la nube no son diferentes a los que existen en el modelo tradicional. Lo que sí que resulta crítico es la confianza y credibilidad que puede aportar una empresa un proveedor de este tipo de soluciones. Hay que tener en cuenta que la empresa está exponiendo información sensible a un tercero por lo que hay que tener absoluta garantía de que tanto en entornos de cloud pública, como privada o mixta se garantiza la gestión y administración de permisos y accesos; la seguridad física, lógica y monitorización 24 horas;  el cumplimiento con la LOPD para salvaguardar la confidencialidad y la seguridad de la información; y la garantía de disponibilidad de servicio.

La AEPD propone que en los colegios se enseñe a los menores a controlar su privacidad

La Agencia Española de Protección de Datos hace un llamamiento "especial" a los poderes públicos, responsables de redes sociales, educadores y padres para que colaboren en la seguridad de la privacidad de los menores en el uso de Internet y propone que se incorpore a los planes de estudio el aprendizaje sobre el control de los datos personales de los niños en la Red.

   Con motivo del Día Internacional de la Seguridad de la Información, que se celebra este miércoles, la AEDP señala que estos riesgos "nacen del desconocimiento por parte de los menores de cómo ejercer un control efectivo sobre sus datos y los de terceras personas".

   Aunque reconoce que en los últimos años se han producido "algunos avances", también advierte de que "aún" existen "importantes carencias" en el desarrollo e implantación de sistemas efectivos para identificar la edad de los usuarios y limitar la presencia incontrolada de menores en Internet.

   Por ello, reclama un "mayor compromiso" de las compañías con el desarrollo de las herramientas tecnológicas de verificación de la edad, que permitan comprobar que cuando los menores se registran en un servicio de Internet tienen la edad legalmente establecida (14 años) para ceder datos sin la autorización de sus padres.

   Esta entidad reclama también a la industria y a las empresas que prestan sus servicios a través de Internet y, especialmente, a los prestadores de servicios de redes sociales, que establezcan por defecto los parámetros de configuración "más respetuosos" con la privacidad de sus usuarios.

   Con todo, y ante los "nuevos riesgos" que pueden derivarse de las nuevas tecnologías de la información para sus usuarios, en el Día Internacional de la Seguridad de la Información, la AEPD incide en la necesidad de que los ciudadanos "sean diligentes" y adopten todas las medidas a su alcance para proteger su información personal y la de terceras personas en la Red.

   Ante casos recientes tramitados por esta agencia sobre difusión no consentida de datos personales en redes sociales o la distribución inadvertida de datos personales a través de redes intercambio de archivos o 'Peer to Peer' (P2P), la AEPD destaca la necesidad de que los usuarios de Internet "extremen las medidas" en el uso de redes de intercambio de archivos para evitar la difusión inadvertida de datos.

Otro fallo de seguridad de Facebook

En la red social se permite enviar mensajes en nombre de otro usuario.

Consumidores en Acción ha solicitado a la Agencia Española de Protección de Datos -AEPD- que abra una investigación a Facebook por un fallo de seguridad que permite el envío de mensajes privados en nombre de otra persona.

Según informa Facua, basta con conocer la dirección de correo electrónico asociada a la cuenta de la persona que va a ser suplantada, al que se puede acceder fácilmente desde su perfil en muchos casos, y el nombre de usuario del remitente fraudulento, disponible en la barra de direcciones -http://facebook.com/nombredeusuario-. De esta manera, y por medio de un sencillo formulario disponible en la red, es posible enviar en nombre de otra persona mensajes privados a cualquier destinatario a la dirección tipo nombredeusuario@facebook.com.

FACUA recomienda a los usuarios de la red social que mantengan oculto en su perfil el correo electrónico con el que se registraron hasta que se solucione esta vulnerabilidad.

Este organismo ha solicitado a  la AEPD que determine si Facebook está vulnerando el "principio de seguridad de los datos", regulado en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por no contar con las suficientes medidas de seguridad en su red. Esta norma establece en el citado artículo que "el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos".

Europa desafiará a Facebook con más exigencias de privacidad

La Comisión Europea está preparando una directriz paa evitar que Facebook comparta información personal de los usuarios (postura política, ubicación, religión, etc) con empresas publicitarias, a menos que los usuarios lo permitan explícitamente.

La directriz será parte de una actualización a las actuales leyes de protección de datos, y será publicada en enero próximo. Si Facebook no ajusta sus políticas de privacidad a las nuevas normas, podrían verse enfrentados a acciones judiciales y posibles multas.

“Llamo a los proveedores de servicios – especialmente los sitios de redes sociales – a ser más transparentes sobre cómo operan. Los usuarios deben saber qué datos son recolectados y procesados, y para qué propósitos”, dijo la vicepresidenta de la Comisión Europea, Viviane Reding, a The Telegraph.

Facebook dice que los datos que comparte son anónimos y se entregan de forma agregada a los avisadores (es decir, como estadísticas), y que los detalles personales no están en riesgos. Eso no parece convencer a los reguladores europeos, sin embargo.

No es la primera vez que Facebook es inspeccionado por la Unión Europea, donde también se está investigando el sistema de reconocimiento facial.

Google debate sobre el futuro de Internet y la privacidad en el Big Tent de Berlín

El primer encuentro Big Tent se realizó el pasado mes de mayo en Londres. Google convocó a políticos, académicos y organizaciones con el objetivo de debatir sobre “algunos de los temas más candentes relacionados con Internet y la sociedad”. El evento fue un éxito y la compañía decidió realizar un nuevo encuentro, esta vez en Berlín. 

En su blog oficial, Google ha explicado que Big Tent es un marco para el entendimiento y el debate sobre el futuro de Internet y todos los aspectos derivados de ello. En esta ocasión, el evento se centró en la privacidad online y en el futuro normativo de Internet. La compañía ha explicado que con estos temas, la elección de Alemania ha sido la más adecuada ya que se trata de un país “preocupado por la privacidad y la protección de los datos personales". 

En el evento, que se celebró en la ciudad de Berlín, participaron figuras relacionadas con Internet como la secretaria de Estados alemán de Interior, Cornelia Rogall-Grothe, el Comisionado Federal de Protección de Datos, Peter Schaar o blogueros internacionales como Cory Doctorrow. 

Los asistentes se limitaron a debatir sobre una serie de preguntas claves relacionadas con Internet y la privacidad. La necesidad de una nueva regulación para la gestión de Internet y los datos generados, la necesidad de nuevos sistemas de formación para usuarios y la obligación de la industria tecnológica a la hora de asegurar controles de privacidad en los productos y servicios fueron los ejes principales del Big Tent de Berlín. 

Según Google, el debate se desarrolló en un ambiente distendido y se vieron diversidad de posturas por parte de los asistentes. Por ejemplo, entre los blogueros se solicitó a los gobiernos que no desarrollaran normas que regulen la red y puedan afectar a su libre circulación. Además, se trató el tema del almacenamiento de datos, su complejidad y la necesidad de que haya fuertes medidas de seguridad para protegerlos. En este sentido, Cory Doctorrow llegó las grandes bases de datos con los residuos nucleares y su peligrosidad en caso de no estar bien protegidos. 

Para aquellos que quieran ver los momentos más destacados del Big Tent de Berlín, Google ha creado un canal en YouTube donde están las intervenciones más importantes. Además, la compañía ha confirmado que próximamente realizará más eventos Big Tent, con nuevos temas relacionados en otros países de todo el mundo.

Comienzan las actividades de la Semana de la Seguridad organizada por INTECO

Bajo el lema «Tu Sentido Común» se pretende crear conciencia de que la navegación en la Red debe estar marcada por el sentido común del internauta.

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), a través de su Oficina de Seguridad del Internauta (OSI) y su Centro de Respuesta a Incidentes de Seguridad (INTECO-CERT), comienza sus actividades de la Semana de la Seguridad con motivo del Día Internacional de la Seguridad de la Información, que tendrá lugar el próximo miércoles 30 de noviembre.

La Semana de la Seguridad, que se desarrolla entre el 28 de noviembre y el 4 de diciembre, reúne varias acciones dirigidas a concienciar a los usuarios de Internet sobre la importancia de la Seguridad de la Información.

Bajo el lema «Tu Sentido Común» (http://www.tusentidocomun.com) se pretende crear conciencia de que la navegación en la Red debe estar marcada por el sentido común del internauta, con un decálogo del sentido común:

1. Fraude online: Aprende a detectar y combatir el fraude online, la técnica que intenta suplantar la identidad de tu banco, red social o tienda online; y así capturar tus contraseñas y datos privados para usarlos en tu lugar. Tienes herramientas para ello en http://www.osi.es.
2. Redes sociales: Antes de publicar nada en Internet, hazte las siguientes preguntas: “¿Quién va a acceder a esto que publico?, ¿me interesa que estas personas lo vean?”. Protege tu privacidad, piensa antes de publicar.
3. Programas de seguridad: Si no proteges correctamente tu ordenador, puedes ser víctima de virus y usuarios maliciosos al navegar por Internet. Los programas de seguridad te ayudarán a prevenir estos problemas.
4. Descargas: Para evitar virus, descarga los ficheros solo de fuentes confiables y los programas desde las páginas oficiales. Y además, no olvides analizar con un antivirus todo lo que descargues antes de ejecutarlo.
5. Dispositivo móvil: Tu móvil contiene gran cantidad de datos personales que debes proteger con contraseñas seguras. Empieza activando el pin cuando no lo estés usando.
6. Actualizar: Es de vital importancia que actualices regularmente tanto el sistema operativo como el resto de aplicaciones de tu ordenador para reparar posibles fallos de seguridad y añadir nuevas mejoras.
7. Compras seguras: A la hora de comprar en internet comprueba que las primeras letras de la dirección de la página son "https" de modo que la información viaje cifrada y así evitar que un atacante pueda capturar los datos.
8. Informaciones falsas: Contrasta siempre la información antes de creértela. Sospecha de las páginas con mensajes llamativos o muy alarmantes, en ocasiones, intentan captar tu atención para redirigirte a páginas maliciosas.
9. Copias de seguridad: ¿Has pensado lo útiles que son? Sé previsor y aprende a hacer copias de seguridad (o backup en inglés). No cuesta mucho y puede ahorrarte disgustos y malos ratos.
10. Contraseña: La mayoría de las veces una contraseña es la única barrera entre nuestros datos confidenciales y los ciberdelincuentes, por lo que merece la pena invertir un poco de tiempo para gestionarlas eficazmente.

Protección de Datos autoriza a conservar los datos personales con fines históricos

La Agencia Española de Protección de Datos (AEPD) ha autorizado por primera vez la conservación de datos personales con fines históricos.

Así lo ha establecido la AEPD en una resolución que ha dictado en respuesta a la solicitud de una organización sindical para conservar los datos, con fines históricos, tanto de sus afiliados como de sus representantes sindicales, contenidos en sus ficheros.

 

Con carácter general, según informa la AEPD, la Ley Orgánica de Protección de Datos (LOPD) establece -en su artículo 4.5- que los datos personales deben ser cancelados cuando dejen de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

 

No obstante, la normativa de protección de datos prevé de forma excepcional que la AEPD pueda acordar mantener determinados datos si se justifica la existencia de valores históricos, estadísticos o científicos de acuerdo con la legislación específica.

 

El procedimiento de autorización para la conservación de datos con fines históricos, científicos o estadísticos está regulado en el artículo 157 del Reglamento de desarrollo de la LOPD.

 

Y exige, además de motivar la petición, identificar los datos que se pretenden conservar y detallar las medidas para garantizar los derechos de los titulares de los mismos.

 

Con esta primera resolución de autorización dictada por la AEPD, se determina la concurrencia de valores históricos que justifican la conservación fundados en las motivaciones aportadas por la organización sindical.

 

El sindicato ampara su solicitud en artículo 49 de la Ley del Patrimonio Histórico Español, así como en el hecho de que se trata de una organización sindical fundada en el año 1888 "cuyas actuaciones han formado parte de la historia de España en mayor o menor medida, involucrando en ocasiones a personas que ya forman parte de la historia del país".

6 consejos de seguridad para las redes sociales

1 -Comprobar la configuración de la protección de datos: es necesario priorizar y tener en cuenta qué información pueden ver tus amigos, qué información es totalmente pública y qué derechos se reserva Facebook.

2 – Tener siempre en cuenta que Facebook no olvida y siempre queda rastro de lo que vamos colgando en nuestro muro. Y no solo eso, lo que se cuelga en el muro de nuestros amigos también permanece.

3 – Los gestores de las redes sociales no suelen verificar que el titular de una cuenta de usuario particular sea quien dice ser. Por ese motivo, deberíamos comprobar nuestras solicitudes de amistad con cautela para asegurarnos que ese usuario es auténtico.

4 – Proteger nuestra propia identidad: ya se han dado casos de usurpación de identidad en los que los criminales han utilizado perfiles de usuarios para chantajear a sus víctimas, que se ven obligadas a pagar dinero para evitar ver arruinada su reputación on-line, por ejemplo con la publicación de fotos comprometedoras.

5 – Poner especial atención en evitar posibles ataques de malware que cada vez se propagan más a través de estas redes.

6 – Disponer de una solución de seguridad adecuada que permanezca siempre actualizada con los últimos parches; utiliza un buen antivirus.

Multa de 40.000 euros por consultar un fichero de morosos sin interés legítimo

Un banco fue multado con 40.000 euros por la Agencia Española de Protección de Datos (“AEPD”) por consultar hasta cuatro veces datos personales de una persona con quien no tenía relación contractual alguna, en un fichero solvencia patrimonial y de crédito (los comúnmente conocidos como ficheros de morosos).

Protección de Datos multa a UGT Enseñanza por publicar las retribuciones de los empleados

El pasado 16 de junio la Agencia Española de Protección de Datos resolvió sancionando con 3.000 euros a la Federación Española de Trabajadores de la Enseñanza de UGT (FETE-UGT). La agencia consideró la publicidad de las retribuciones de los empleados como una sanción grave según lo establecido en el artículo 6.1 de la LOPD.

Los hechos fueron los siguientes: el 3 de marzo de 2010 a las 12:55 FETE UGT envía un correo electrónico a sus afiliados con el siguiente asunto: FETE informa al PAS. En dicho correo se adjuntaba un documento en el que se detallaban las gratificaciones acordadas por la Universidad Complutense de Madrid en el marco del programa Gratificaciones del Aula a Distancia y Abierta de la Comunidad de Madrid. En dicho documento se criticaba que las gratificaciones conllevaran la no renovación de contratos de personal y la reducción de plantilla. Se informaba de la cuantía general y se desglosaba persona a persona en seis casos. Exactamente los seis casos que se denunciaron ante la Agencia de Protección de Datos.

La Agencia abre expediente sancionador y reclama a las partes sus alegaciones. FETE UGT explica que la citada información forma parte de su actividad sindical, que la información fue destinada exclusivamente a sus afiliados y que en todo caso, se trataba de información accesible a todo trabajador de la UCM. Alega además que las gratificaciones forman parte de acuerdos del consejo de gobierno de la UCM, de naturaleza públicos. FETE-UGT también considera que aunque las gratificaciones publicadas eran de empleados, deben de asimilarse a la de funcionarios públicos.

La Agencia considera sin embargo que esa asimilación no se ajusta a la normativa y recuerda que en ningún caso hubo consentimiento de los denunciantes por lo que considera que la publicidad de sus retribuciones vulnera la Ley de Protección de Datos de manera grave y es sancionable con 3.000 euros. Esta es la propuesta de resolución del pasado 5 de abril ratificada posteriormente el 16 de junio.

Disney paga 3 millones de dólares por no proteger los datos privados de miles de niños

Disney pagará 3 millones de dólares (2,1 millones de euros) para cerrar un caso en el que se acusaba a la compañía de no respetar la privacidad de miles de niños. La Comisión Federal de Comercio de Estados Unidos había interpuesto una demanda contra una de las compañías propiedad de Disney, Playdom, acusándola de no proteger los datos de los usuarios en varias redes sociales destinadas a menores.

La Comisión Federal de Estados Unidos acudió a los tribunales para denunciar a Playdom. La demanda indicaba que la compañía había vulnerado las leyes de protección de privacidad que afectan a menores de edad. El organismo estadounidense aseguraba que varios servicios online de la empresa Playdom recopilaban datos de menores de 13 años y permitían su consulta en la red, contraviniendo la legislación en el país en esta materia.

Una web desvela las identidades a través de los números de teléfono

Con sólo introducir el número de teléfono fijo en una página web se puede saber el nombre del titular de la línea, su dirección y hasta su cuenta en Facebook. Es como las viejas páginas blancas pero al revés. La empresa, llamada ABC Teléfonos, ofrece incluso la posibilidad de enviar mensajes al localizado o editar su información.

Esta práctica, denominada búsqueda inversa, está prohibida por la ley española. Sin embargo, otros servicios, como los buscadores de multas, no violan la normativa en vigor ya que hacen lo mismo que Google, rastrear la información disponible en fuentes públicas.

La CE y EEUU alcanzan un acuerdo para la transferencia de datos de pasajeros aéreos

La CE y EEUU han cerrado un nuevo acuerdo de datos de pasajeros aéreos en la lucha antiterrorista que sustituirá al actual y que mejorará la protección de la privacidad de los ciudadanos.

La información que las aerolíneas europeas remiten a EEUU va desde el número de asiento, hasta el itinerario, el modo de pago del billete o información sobre el equipaje.

El acuerdo marco de protección de datos adoptado por los Veintisiete en 2010 prohíbe que se pueda incluir información "sensible", como la orientación sexual o la religión (a través, por ejemplo, de la opción de menú a bordo).

Además, de la información transferida deben borrarse seis meses después los nombres de los pasajeros, de forma que los datos retenidos permanezcan anónimos salvo que haya una petición judicial.

Se perseguirá la revelación de esos datos cuando se haya hecho sin autorización y los europeos tendrán derecho a denunciar abusos o correctivos a la justicia estadounidense, detalló el portavoz.

La industria musical no podrá espiar a los internautas

Promusicae, entidad que engloba a las principales discográficas en España, no podrá usar un programa espía para grabar las direcciones de los usuarios de redes P2P. La Audiencia Nacional ha sentenciado que esta información es un dato personal a proteger y rechaza que para proteger el derecho a la propiedad intelectual haya que vulnerar el derecho a la privacidad.

La patronal musical había ideado un sistema para reunir las direcciones IP (número que dan las operadoras a cada usuario cuando se conecta a internet) de aquellos internautas que se descargaran archivos musicales desde las redes P2P, como eMule o BitTorrent.Un programa llamado Dtec Net P2P Agent se infiltraba en estas redes y podía registrar quiénes estaban compartiendo archivos de una lista confeccionada por Promusicae. Una vez obtenidas las IP, pretendían presentar demandas contra las operadoras para que los jueces las obligaran a cortar la conexión a los que descargaran de forma masiva.

Pero, al recopilar esa información, estarían haciendo un tratamiento de datos personales, protegidos por la Ley Orgánica de Protección de Datos (LOPD). En España, es la Agencia Española de Protección de Datos la que supervisa el cumplimiento de esta ley. Por eso, a comienzos de 2009, Promusicae pidió que se le aplicara una excepción a la norma. Esta establece que aquel que quiera hacer un tratamiento de datos personales debe informar previamente a esa persona de que se recaban los datos, de quién es el responsable de esa recogida y para qué los va a utilizar.

"También tendría que pedir el consentimiento de cada usuario P2P, algo inviable, evidentemente", dice el director de la firma ePrivacidad, entidad dedicada a la protección de la privacidad en internet, Samuel Parra. Sólo en determinados supuestos puede soslayarse esta obligación. Las discográficas querían que la AEPD las eximiera de este requisito, pero la agencia falló en su contra el 2 de julio de 2009.

Promusicae presentó entonces un recurso contencioso administrativo ante la Audiencia Nacional buscando la misma dispensa. Sin embargo, el tribunal ha vuelto a decir que no. La sentencia, fallada en septiembre, recuerda que sólo se pueden recopilar datos personales sin conocimiento de los afectados en una serie de supuestos concretos y, "obviamente, ninguna de las circunstancias que prevé el artículo 5.5 de la LOPD concurre en el caso presente...", dice el escrito.

Promusicae lo intentó de varias formas. Negó que las direcciones IP sean un dato personal. Intentó que los jueces aceptaran que había un consentimiento tácito, que consideraran que procedían de fuentes accesibles al público...Ninguno de sus razonamientos ha sido aceptado por la Audiencia Nacional.

Aunque sólo se trata de un número, las operadoras pueden, a partir de él, identificar al titular de la línea telefónica a la que fue asignado. La ley las obliga a conservar esta información para la ulterior investigación de delitos. Pero "sólo pueden revelar esa conexión a los jueces, previa autorización judicial, y sólo para delitos graves", recuerda el abogado especializado en propiedad intelectual, David Maeztu. El plan de Promusicae era presentar demandas civiles contra las operadoras, un procedimiento que, para Maeztu, escapa de la tipificación penal.

Tanto la AEPD como la Audiencia Nacional reiteraron que las direcciones IP son un dato personal, puesto que permiten la identificación y, por tanto, sometido a las mismas garantías que cualquier otro dato personal. Esa era también la opinión de las operadoras personadas también en el caso: Telefónica de España, France Telecom España (Orange) y Cableeuropa (ONO). Sostenían además que, aunque quisieran, no podrían revelar quién está detrás de una dirección IP a Promusicae sin cometer un delito. "No se entiende que hayan intentado esta vía cuando todos están de acuerdo en que las IP son datos personales que hay que proteger", opina Maeztu. "No se quién les habrá dicho que podían tener alguna posibilidad de ganar", añade.

Quizá el golpe más duro a la posición de Promusicae es cuando la Audiencia Nacional sostiene: "La protección de los derechos de propiedad intelectual, que está en la base de lo pretendido por la entidad recurrente, merece todo el respeto de esta Sala, pero no puede hacerse sobre la base de violar derechos, que también merecen protección, como son los derivados de la protección de datos".

Como opina Parra al respecto: " Cuando hay dos derechos en juego, hay que ponderar. Uno debe prevalecer y, aquí, tanto la AEPD como la Audiencia Nacional han considerado que prima el derecho a la protección de datos y el acceso a internet sobre el de propiedad intelectual".

Para Antonio Guisasola, presidente de Promusicae, la noticia no es buena. "Es una decisión desfavorable y creemos que desproporcionada y por eso ya se ha recurrido", dice. "Lo que la sentencia dice es que, debiendo protegerse la propiedad intelectual, esto no puede ir en demérito de la protección de datos. Pero esa decisión lo que hace en la práctica es primar la protección de unos supuestos datos de carácter personal frente a la protección de quienes ven sus derechos de propiedad expoliados por aquellos que la AEPD prefiere que sigan siendo anónimos para que su actividad ilegal quede impune", añade. En su opinión, las direcciones IP no son datos personales: "Una dirección IP, normalmente dinámica, sin otro vinculo de ningún tipo, es evidente que no sirve para identificar a nadie por sí misma, y eso lo olvida el tribunal".

Segundo revés

Este revés es el segundo que recibe la posición de Promusicae. En 2005, intentó que Telefónica le revelara la identidad de algunos usuarios de redes P2P ante el juzgado. El caso, que acabó en el Tribunal de Justicia de la Unión Europea, se resolvió en 2008, negando aquella instancia la obligación de los operadores de identificar quién está detrás de una IP. Pero también dijo, como recuerda Guisasola, que tiene que haber un equilibrio entre la protección de la privacidad y de la propiedad intelectual frente a quienes la vulneran. "La interpretación de la AEPD, que ahora confirma el tribunal, desde luego supone romper completamente este equilibrio", afirma.

Cerrada la opción de ir tanto directamente como indirectamente contra los que descargan material sujetos a derechos de autor, Guisasola no se rinde. "A lo que no podemos renunciar es a que en internet se respeten las mismas leyes que en el mundo físico, y coger un contenido protegido y ponerlo a disposición de miles de usuarios a través de una red de P2P es ilegal en España y en toda la UE", defiende.

Tampoco confía del todo en la llamada ley Sinde. Todo indica que no llegará en esta legislatura. Además, las páginas de enlaces que serán objeto de la norma contienen fundamentalmente películas y series. La música, el negociado de Guisasola, está más en las redes P2P y "la ley olvida una parte muy importante del problema, como es la piratería a través de estas redes. Las soluciones parciales sólo pueden aspirar a resolver parcialmente los problemas, cosa que, en el mejor de los casos, es lo que pasará con esta ley", mantiene.