Acerca de Audea

En Áudea ofrecemos a nuestros clientes, desde hace 9 años, única y exclusivamente servicios de consultoría, auditoría, formación, integración y Professional Services en el ámbito del Gobierno y la Gestión de la Seguridad de la Información y las Tecnologías. Visítanos en www.audea.com

Cinetube no comete ningún delito

La actividad de Cinetube no constituye un delito contra la propiedad intelectual. Los jueces citan a sentencias previas y aseguran que al tratarse de una web de enlaces no comente ningún delito, por lo que en la Audiencia Provincial de Álava  se ha desestimado la demanda interpuesta por varias productoras de Hollywood.

La web Cinetube se encontraba en el punto de mira de las productoras de cine, sobre todo en EE.UU. Tras el cierre de Megaupload, Cinetube era una de las páginas que se encontraban en el punto de mira del FBI debido a que aseguraban que ofrecían contenido audiovisual que violaba las leyes de propiedad intelectual. Sin embargo, la Audiencia Provincial de Álava no está de acuerdo con esta interpretación.

La justicia declara a Cinetube como una página web legal que no constituye ningún delito contra la propiedad intelectual, asegurando que “no existen indicios en las presentes actuaciones de la concurrencia de los elementos objetivos del tipo penal objeto de imputación y dando lugar al sobreseimiento interesado por la defensa”, según se recoge la sentencia publicada por el bufete de abogados Almeida en su página web.

Sentencia (http://www.bufetalmeida.com/635/archivo-cinetube.html).

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: Portaltic.es 

En Áudea celebramos nuestro 10º Aniversario

El 15 de febrero en Áudea cumplimos 10 años, con la satisfacción de haber cumplido uno de nuestros objetivos: ser una de las compañías referentes en el ámbito de la seguridad de la información en España.

Desde sus comienzos, los socios fundadores de la firma tuvieron claro un concepto que poco a poco se dejaba oír más entre los expertos del sector, la “seguridad de la información”. Por ello la apuesta desde el principio fue crear una compañía que ofreciese a sus clientes servicios profesionales relacionados con la gestión de la seguridad de la información. Precisamente esta especialización es la que se convirtió en el verdadero valor de nuestra compañía, permitiéndonos alcanzar con éxito los proyectos de seguridad y que los clientes tuvieran un único proveedor.

Hoy en día contamos con tres delegaciones y seguiremos en este 2012 apostando por el crecimiento y expansión de nuestra firma para estar más cerca de nuestros clientes, entre los que destacan entidades nacionales e internacionales de todos los sectores (financiero, comunicación, telecomunicaciones, sanitario, seguros, marketing y entes públicos, etc.) que dan muestra de nuestra profesionalidad y buen hacer, siendo parte de nuestro mejor aval.

En la actualidad el equipo de Áudea está formado por 20 profesionales altamente cualificados que aportan conocimiento y experiencia de gran valor. Contamos con  abogados especialistas en nuevas tecnologías, consultores con certificaciones CISA, CISM Y CISSP e ingenieros informáticos. ,Gracias a ellos hemos conseguido un nicho en el mercado de este sector donde se encuentran grandes empresas.

Es probable que el trabajo en equipo, la honestidad, eficacia y eficiencia, cercanía hacia nuestros clientes y la personalización de cada  de uno de los proyectos con la misma profesionalidad y experiencia lograda a lo largo de estos años, sean los valores diferenciadores determinantes de nuestra empresa frente a las grandes consultoras.

De cara al futuro, nuestro objetivo es afianzar el importante crecimiento que hemos vivido en los últimos años. Para ello  contamos con el mejor equipo de profesionales que hacen, día a día, que el proyecto de Áudea sea posible. La Dirección quiere agradecer todo ese esfuerzo, perseverancia y entrega a los Responsables de los Departamentos y a todos los que formamos esta empresa.

Todo el equipo de Áudea queremos agradecer a clientes, partners y colaboradores su fidelidad y confianza, porque sin ellos no hubiéramos podido llegar hasta donde nos encontramos en la actualidad, y con la misma dedicación y esfuerzo, esperamos cumplir muchos años más.

Muchas gracias a todos.

Áudea Seguridad de la Información

www.audea.com

Seguridad – Ataques Informáticos en Cliente

Desde hace años la seguridad informática viene tomando cada vez más protagonismo en todos los ámbitos: empresarial, personal o doméstico y, por supuesto, gubernamental. Esta creciente importancia ha proporcionado grandes avances en la seguridad perimetral fundamentalmente a través de sofisticados firewalls, sistemas de detección y de prevención de intrusiones, monitorización constante de la red, servidores mejor asegurados, etc.

En los últimos tiempos, y debido a las mencionadas mejoras en el ámbito de la seguridad perimetral, la ciberdelincuencia se ha orientado hacia la parte más débil: el usuario del sistema. ¿Y cómo llegan estos atacantes hasta el usuario? Las vías más comunes, entre otras, son las siguientes:

  • Correo electrónico: muchos de nosotros hemos recibido algún correo, digamos, “sospechoso”, en el que nos adjuntaban un archivo todavía más sospechoso y nos “invitaban” amablemente a abrirlo. O en otros casos, nos incluían un link que en el que debíamos hacer click para obtener fabulosos descuentos o acceder a áreas premium de los servicios más variopintos.
  • Páginas web (phishing): igualmente conocidos son los websites que imitan a otro real (por ejemplo, una imitación de la página de nuestro banco). En muchos casos, salvo que nos fijemos en ciertos detalles de la página que nos pueden dar pistas de que se trata de una “mala copia”, podremos caer en la trampa y pensar que se trata de la página auténtica, por lo que el atacante se habrá hecho con nuestras credenciales de usuario.
  • Vulnerabilidades o exploits del navegador web: ningún navegador parece estar libre de debilidades de seguridad que se van descubriendo cada mes por todo el planeta. El problema en este caso es que la solución es casi siempre reactiva, es decir, el fabricante del navegador nos ofrece un patch o actualización del mismo cuando la vulnerabilidad ya es conocida por un número notable de personas. En el tiempo que transcurra entre que la vulnerabilidad se ha hecho pública y el usuario instala el parche que la corrige, el sistema estará en serio peligro de ser comprometido por un atacante.
  • Controles ActiveX: en ciertas ocasiones, cuando navegamos por Internet, nos aparece un mensaje que solicita nuestra autorización para ejecutar pequeños programas en nuestro propio equipo, como requisito imprescindible para poder continuar con nuestra actividad en la página web en la que nos encontramos. Estos programas provienen del servidor web al que hemos accedido, pero se ejecutan directamente en el ordenador del usuario, por lo que el peligro está claro.
  • Descarga y ejecución de archivos .exe: puede conseguirse a través de técnicas de ingeniería social, es decir, a través del engaño del usuario o del abuso de su confianza, simpatía, etc.
  • Mensajería instantánea: actualmente los programas tipo Messenger están muy extendidos entre los usuarios, que incluso pueden llegar a aceptar como contactos a personas que no conocen, o que no conocen lo suficiente. En estos casos el atacante intentará que la víctima acepte un archivo y lo ejecute en su equipo.
  • Explotación de vulnerabilidades de terceros a través del navegador: no podemos dejar sin comentar otra de las vías por las que un atacante puede llegar a controlar el equipo de un usuario, y esa vía es la de aprovechar a través del navegador de Internet las vulnerabilidades o exploits que se dan en aplicaciones de terceros (distintos al fabricante del navegador en la mayoría de los casos). Especial atención se debe prestar a los numerosos exploits que afectan a conocidos reproductores de vídeo que la mayoría de nosotros utilizamos con notable frecuencia.

Y hasta aquí la primera aproximación a los ataques más comunes que pueden lanzarse para hacerse con el control de un equipo de usuario, que podrá servir al atacante como plataforma de ataque a una red entera o a servidores de la organización a la que pertenezca el usuario.

Queda, pues, patente la necesidad de educar y concienciar a los usuarios, pues es la forma más eficaz de proteger en última instancia toda nuestra red.

Áudea Seguridad de la Información

Manuel Díaz Sampedro

Departamento Gestión de la Seguridad

www.audea.com

Hackerspace Global Grid

Podría ser el título de una nueva película, o incluso de una serie de televisión, pero no se trata de ninguna de las dos cosas. Se trata, por increíble que pueda sonar, de un proyecto que de llegar a hacerse realidad podría cambiar el panorama de Internet de forma radical.

Desde hace tiempo diferentes grupos de la sociedad civil se vienen quejando de que Internet ya no es lo que era, de que la censura ha conseguido acabar con aquél paraíso del aprendizaje que fue en sus comienzos la World Wide Web. Quizás se ha tratado de un cambio tan gradual y medido a lo largo de los años, que una gran parte de usuarios de la Red lo acepta sin más, porque no le resulta del todo perceptible o, simplemente, no afecta a sus hábitos de navegación ni a sus intereses o hobbies personales.

Pero lo cierto es que para muchos la censura en Internet avanza y avanza, y la Red corre el peligro de convertirse en un mercado más al servicio de los mercados. Evidentemente, eso a mucha gente no le parece un futuro muy prometedor. Entre esa gente, están los miembros del proyecto Hackerspace Global Grid, que tiene como objetivo poner en órbita un satélite inicialmente para poder poco a poco ir desplegando una red que permita, por decirlo en términos fáciles, disponer de una Internet alternativa que no esté cercada por los intereses económicos y políticos de siempre.

La idea ha nacido en el pasado Chaos Communication Congress, celebrado en Berlín, y en principio podría comenzar a tomar forma durante el año 2012. Los usuarios se conectarían a la nueva Red a través de pequeñas estaciones de bajo coste que se venderían sin ánimo de lucro (se ha fijado un precio máximo de 100 euros) o que incluso podrían ser construidas por los propios usuarios. Según uno de los integrantes del proyecto, pretenden tener preparados 3 prototipos en este año 2012 para poder presentarlos en el próximo Chaos Communication Congress.

De nuevo estamos ante un escenario que ya conocíamos, el de la lucha entre quienes pretenden implantar mayores cotas de control social y aquellos individuos que consideran que superar ciertas cotas de control es, simplemente, inaceptable.

Áudea Seguridad de la Información

Manuel Diaz Sampedro

Departamento de Gestión

www.audea.com

Tarjetas de crédito Israelíes al descubierto por atacantes Saudíes

De nuevo la seguridad de los datos de tarjetas de crédito salta a la actualidad, en este caso en Israel, ya que un grupo de piratas informáticos de Arabia Saudí, denominado Group-XP, se ha hecho con los datos de unos 14.000 titulares israelíes y posteriormente los ha publicado en la Red.

Según las últimas informaciones provenientes de Maglan Internet Defense Technologies los atacantes podrían ser ciudadanos de Kuwait, Arabia Saudí y Croacia. Según esta misma fuente, el grupo de piratas ya había atacado con anterioridad otras webs, incluyendo webs de países árabes, por lo que no parece que el ataque vaya especialmente dirigido contra la economía israelí.

Por su parte, las compañías de tarjetas de crédito israelíes han aclarado que la lista publicada por Group-XP es repetitiva y “sólo” contiene datos de 14.000 israelíes, por lo que no se trata de tantos titulares como se creyó en un principio, cuando se hablaba de datos de 400.000 ciudadanos israelíes. Asimismo, estas compañías habrían asegurado que ya han procedido a bloquear las tarjetas de todos los titulares incluidos en la lista publicada y que les reembolsarían cualquier cargo fraudulento que se haga con sus tarjetas.

Desde Israel, y con gran sentido común, se ha insistido en la necesidad de utilizar estándares reconocidos en seguridad, y en este caso particular el estándar de protección de medios de pago PCI-DSS, que permite a las empresas adoptar medidas de seguridad de probada eficacia contra ataques a los datos de tarjetas que alojan en sus sistemas.

Áudea Seguridad de la Información

Departamento de Gestión

www.audea.com

Áudea participa el taller de “Marco legal de las Infraestructuras Críticas”, 5ENISE

El jueves 27 tuvimos el placer de poder asistir al evento organizado por INTECO, 5ENISE.

Fue en el taller “Marco legal de las Infraestructuras Críticas”, en el Parador de San Marcos, en la sala Antiguo Auditorio, donde nuestra empresa, (como especialista en materia de seguridad de la información, tuvo la oportunidad de hacer su aportación a los temas tratados en el Quinto Encuentro Internacional de Seguridad de la Información (ENISE).

Manuel Díaz Sampedro, consultor senior de seguridad de la información de Áudea, hizo una gran contribución con su ponencia dedicada a cómo se ha llegado a la Ley 8-2011 desde sus primeras iniciativas europeas.

Queremos hacer llegar nuestro agradecimiento a los organizadores del evento, así como a todos los espectadores presenciales y a los que nos siguieron vía web a través de Inteco. Esperamos que el año que viene nos volvamos a encontrar en el que, sin duda, es uno de los mayores eventos nacionales en materia de seguridad.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Nuevo Virus – Infección de la red de aviones no tripulados de EEUU

El mundo del malware no deja de sorprendernos. En este ocasión, nos hemos encontrado con un virus informático que controla los drones (aviones no tripulados). Se trata de un virus que registra las pulsaciones de teclado, y que infectó la red de ordenadores que controla estos aviones, cuya principal misión es la de sobrevolar áreas de conflicto, con el objetivo de obtener información.

Las comunicados hechos hasta el momento, han revelado que no ha habido difusión de información confidencial del os datos recogidos por los aviones, los que han seguido realizando sus tareas con total normalidad. Por otro lado, aún no se sabe con certeza, si el virus forma parte de un ataque organizado o la infección se produjo de forma accidental. Aunque parece que el virus no ha generado grandes repercusiones, se ha introducido en las Bases de Datos, y está resultando complicado llevar a cabo su eliminación.

En las últimas noticias publicadas sobre el tema, se denomina al virus de los drones como “una molestia”, ya que no causó problema alguno en las misiones de control remoto de estos aparatos.

El mecanismo de infección fue a través de los discos utilizados para la actualización de mapas topográficos, y ya se está trabajando en las medidas de seguridad oportunas para evitar que vuelva a ocurrir un problema similar.

Fuente: www.elmundo.es

Departamento de Seguridad TIC.

Áudea Seguridad de la Información S.L.

Novedades en ITIL 2011

El pasado 29 de Julio veía la luz la –por muchos- esperada actualización de ITIL v3. La denominación de la “nueva” versión es “ITIL2011”, es decir, no estamos ante ITIL v3.1 ni v4 ni nada parecido, aunque en nuestra opinión si se hubiera seguido versionando como hasta ahora, estaríamos ante una versión 3.1 ya que los cambios introducidos no nos parecen de suficiente entidad como para plantearse hablar de una versión 4.

Si que es cierto que la actualización 2011 pasa por todas las fases del ciclo de vida y que ha supuesto algunas modificaciones interesantes.

Entre las modificaciones generales, y aunque algunas puedan parecer anecdóticas, debemos destacar:

  • La supresión de las mayúsculas para los nombres de los términos de ITIL. Por ejemplo, lo que hasta ahora veíamos escrito como “Service Level Agreement”, ahora lo leeremos como “service level agreement”. Puede parecer un detalle menor pero nosotros creemos que era más clara la nomenclatura anterior.
  • Si antes se hablaba siempre de “buenas prácticas”, ahora se habla directamente de “mejor” práctica, es decir, la mejor entre las prácticas existentes. Sobre este punto seguro que más de uno pensará que se ha pecado de falta de modestia.
  • Respecto a los roles y responsabilidades que encontramos a lo largo del ciclo de vida, podemos decir que se ven mejor explicados y resultan más claros. Es curioso que ya no existirá más la denominación de “Service Manager”.
  • Se ha actualizado también el glosario de ITIL, que será traducido a numerosos idiomas incluso de forma aislada en aquellos países que no traducen los libros de ITIL de inglés a su idioma propio, sino que se limitan a traducir el glosario.
  • Y por último, entre los cambios generales a destacar, todos los procesos tienen ahora su flujograma detallado, y se incluyen los inputs y outputs de cada uno de ellos.

Entrando ya en cada una de los cinco libros de los que constaba ITIL v3, y que se mantienen ahora en esta versión 2011, vamos a ver si realmente la actualización es interesante o no:

  • Service Strategy: Con dos procesos nuevos, es el centro de la actualización, buscando mayor claridad y concisión, pero ha crecido considerablemente en extensión, doblando a su antecesor.

 Ahora se diferencia entre estrategia de negocio y estrategia de TI y se tiene en cuenta el impacto del cloud computing. En cualquier caso, se sigue hablando de clientes, valor y servicios como ejes fundamentales.

  • Service Design: Mejor alineación con Service Strategy, tanto en los inputs como en los outputs.

Se ha introducido un nuevo proceso, denominado Coordinación del Diseño.

  • Service Transition: Cuenta con más información sobre Gestión de Activos, especialmente en los relativo al desecho de activos para evitar, entre otros, problemas de seguridad de la información.

El anterior proceso de Evaluación pasa a denominarse Evaluación de Cambios buscando una mayor claridad sobre el objeto del proceso.

Otra novedad es que puede haber CIs (elementos de configuración, es decir, activos) fuera de la CMDB o Base de Datos de la Configuración (podrán estar en el SKMS o Sistema de Gestión del Conocimiento del Servicio).

  • Service Operation: Se han clarificado los conceptos de “solicitud de servicio” y de “modelos de solicitud”.

En el proceso de Gestión de Operaciones de TI se han ampliado las recomendaciones para la gestión de instalaciones físicas.

  • Continual Service Improvement: La mejora continua queda en siete pasos, con una mayor claridad en su relación con el ciclo PDCA (Plan, Do, Check, Act) o ciclo de Deming.

 Se ha introducido un Registro de Mejora Continua del Servicio.

La medición y los informes de servicios ya no son procesos, sino que a partir de ahora se consideran elementos de cada proceso. Estas son, a grandes rasgos, las principales novedades que nos trae ITIL 2011. Sin duda habrá que profundizar con más detalle en los nuevos libros y que cada uno saque sus propias conclusiones. Para los que puedan estar preocupados por su certificación Foundation o superiores, la nueva versión no supone la anulación de las mismas, si bien siempre se valorará más estar certificado en una versión más reciente.

Áudea, Seguridad de la Información

Manuel Díaz Sampedro

Departamento de Gestión de la Seguridad

www.audea.com

Nuevo Ataque del grupo Anonymous

A día de hoy todo el mundo ha oído hablar del grupo de hacker “Anonymous”. Este grupo, autor de varios ciberataques a gran escala, se ha convertido en uno de los principales objetivos de la policía.

Desde que en Julio se anunciara la supuesta desarticulación de la cúpula de Anonymous, al realizarse la detención de tres de sus principales miembros, el grupo Nacional de Policía está siendo víctima de varios ciberataques que se detallan a continuación.

El primer ciberataque consistió en el robo de datos de los escoltas de la Presidencia del Gobierno y de algunos de los miembros del Grupo de Operaciones Especiales. Dichos datos aparecieron colgados en Internet.

El nuevo ataque lo ha sufrido un foro dedicado al Centro Nacional de Policía (CNP).

Con la información de la que se dispone en este momento, el ataque parece ser obra de Anonymous. Además, se ha encontrado un comunicado en la web de cabecera del grupo pastehtml.com, en el que se publica el hash del Administrador del foro del CNP. Al parecer, esta no ha sido la única información obtenida, ya que se ha encontrado un javascript que revela información sobre un posible ataque del grupo contra la página web del futuro candidato socialista Alfredo Pérez Rubalcaba.

En las últimas semanas, las fuerzas de seguridad del Estado han sufrido importantes filtraciones de datos, y el grupo Anonymous a amenazado con realizar nuevos ataques hasta las próximas elecciones generales, por lo que habrá más filtraciones.

A la lista de ataques hay que añadir el hecho de que, hace un par de semanas, la web de la Polícia Nacional española quedó fuera de servicio, además de publicarse un archivo en Internet firmado por anonymous que confirmaba el robo de información sensible de la Base de Datos del organismo, y que contenía los nombres de los escoltas de la Presidencia del Gobierno.

El colectivo desmintió estar detrás de esta acción, por lo que no se descarta la existencia de un segundo grupo que opere dejando la firma del conocido colectivo. El grupo activista Anonymous amenazó a la Policía después de que ésta anunciara el pasado junio la supuesta desarticulación de la cúpula del grupo, afirmación que finalmente ha sido negada por el grupo.

Áudea Seguridad de la Información S.L

Departamento de Seguridad TIC

Fuente: www.elmundo.es

www.audea.com

Los Hacker Chinos de guante blanco

Wei Gong y Tao Wan son dos hackers chinos que, arrepentidos de su pasado, acaban de publicar un libro donde intentan crear adeptos para que se desarrollen soluciones más seguras. El libro lo han llamado “Convenio de autodisciplina para los hackers” en el que tratan de reeducar a delincuentes cibernéticos para que utilicen sus conocimientos con fines más “éticos”.

La decisión de escribir este libro se fraguó después de la decisión del Tribunal Supremo Chino en el que sentenció que los piratas informáticos pueden ser sancionados bajo leyes vigentes. No obstante, hay quien tiene el convencimiento de que se trata de una artimaña que cuenta con el apoyo del Gobierno Chino, y que no tiene otra finalidad que la de lavar la imagen de China, que tiene un largo historial de piratas informáticos.

No obstante, a pesar de los recelos que pudiera suscitar alabamos la intención, y declaraciones en las que esgrimen que a los hackers no deberían obtener dinero robando al público.

También destacamos un fragmento del documento que reza “La privacidad de la comunidad, el público en general, especialmente los niños y menores de edad, debe estar protegida. Para el la venta de actividades sociales con el fin de obtener información privada no es piratería.”

Lo que nos complace, es que la “Comunidad Hacker”, está comenzando a encontrar estas voces disonantes, y más constructivas.

Áudea Seguridad de la Información

Departamento de Gestión

www.audea.com

Y ahora… Siria

Según hemos podido leer en la web de Aljazeera, la cadena de noticias del mundo árabe, activistas informáticos han lanzado una operación contra varias páginas web gubernamentales como signo de protesta y de recuerdo a las numerosas víctimas que se ha cobrado la revolución en el país islámico.

En la operación se han visto involucradas las páginas web de grandes ciudades del país y de diferentes departamentos del gobierno sirio. Las webs de dichas ciudades fueron reemplazadas por un mapa interactivo de Siria que muestra los nombres, edades y fechas de la muerte de aquellos que han perdido la vida en Siria desde que se inició el levantamiento en marzo.

En cuanto a las webs del gobierno sirio, éstas se han visto sustituidas por caricaturas del presidente de aquél país, Bashar al-Assad, y un mensaje de protesta: “No dejes que Bashar te monitorice online”.

La acción de protesta ha sido reivindicada por los grupos activistas Anonymous y RevoluSec, que dejaron sus sellos en páginas como la web del Ministerio de Transporte y del Ministerio de Cultura sirios. Además, junto al mencionado mensaje de protesta se han incluido consejos para evitar ser detectados por el servicio de inteligencia online de Siria, de cara a ayudar a la población a navegar sin restricciones y sin miedo.

De nuevo vemos como la actividad en Internet sigue siendo frenética y cómo cada día nos despertamos con noticias de intrusiones en sistemas informáticos cuya protección no parece ser obstáculo para personas con un cierto nivel de conocimiento.

Áudea, Seguridad de la Información

Manuel Díaz Sampedro

Departamento de Gestión de la Seguridad

www.audea.com


El tratamiento de Datos por parte de las comunidades de Propietarios

Este es el primero de una serie de artículos sobre el tratamiento de datos personales en las comunidades de propietarios. Las obligaciones que impone la LOPD y sus normas de desarrollo plantean la necesidad de que las comunidades de propietarios se adapten y cumplan escrupulosamente con la normativa de protección de datos. La organización y gestión de la comunidad de propietarios supone la existencia de al menos un fichero o tratamiento de datos personales: la de los propios integrantes de la comunidad. Existen hechos habituales de la vida de una comunidad de propietarios que conllevan la existencia y obligatoriedad de adaptar estas comunidades a lo dispuesto por la LOPD, así podríamos hablar de contratación con terceros de servicios prestados a la comunidad como el contrato con administradores externos a los propietarios de las viviendas de la comunidad, seguridad, reparaciones, limpieza…; cobro de cuotas de comunidad y como consecuencia gestión de impagados.

Según el art. 3 de la LOPD es Responsable del fichero o tratamiento la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Poniendo en relación esta definición con las de la Ley de Propiedad Horizontal el responsable del Fichero sería la propia Comunidad de Propietarios como persona jurídica y compuesta por tanto por la Junta de Propietarios. Esta distinción es importante puesto que nos indica que cualquier tratamiento de datos debe ser consensuado por la totalidad de los propietarios conforme a las reglas de la formación de la voluntad de los órganos de la Comunidad. En consecuencia el responsable del fichero, será el que sufra de las consecuencias de un incumplimiento de lo dispuesto en la legislación de protección de datos. Esta afirmación se corrobora por la AEPD en su informe 2000 de fecha 23-04-2.010.

Por tanto y en aplicación del art. 25 y 26 de la LOPD toda comunidad de propietarios que tenga almacenados datos de los comuneros, es decir, todas ellas, tienen obligación de crear un fichero y comunicar este a la AEPD. Esta notificación la podrá hacer el órgano de representación de la misma o bien un administrador externo a la comunidad que ejerza las funciones de administración en nombre de ésta, pero en este supuesto el responsable del fichero seguirá siendo la propia comunidad de propietarios.

La denominación del fichero dependerá de los distintos usos que se le vaya a dar al mismo. Por lo general se le denominará “Comunidad de propietarios”, para identificarlo claramente de cualquier otro fichero.

En cuanto a la finalidad del mismo sería las obligaciones propias de la llevanza de la propia comunidad así por ejemplo gestión de los datos de la comunidad de propietarios, o envío de información y documentación, asistencia a juntas y en general todo lo necesario para asegurar el correcto desenvolvimiento de la comunidad, y tendría datos como D.N.I./N.I.F., nombre y apellidos, teléfono, datos económicos, financieros, seguros, transacciones.

Puede darse la circunstancia que la comunidad tenga contratados a diversos agentes para la llevanza de tareas en la comunidad. Sería el caso de porteros, limpieza, o cualquier otro que se nos pueda ocurrir, en estos casos en mi opinión deberíamos crear un fichero diferente puesto que la finalidad del mismo sería diferente a las propias de la llevanza de la comunidad. Estaríamos en un supuesto en el que el fichero se podría denominar “Personal contratado” o “personal”, cuya finalidad sería la gestión del personal que trabaja en la comunidad o “Gestión de nóminas”.

Áudea Seguridad de la Información

Aurelio J. Martínez

Departamento Derecho NNTT

www.audea.com

El 95% de las PyMEs imcumplen la ley de protección de datos, Según un estudio

El 95 por ciento de las pymes incumplen la Ley de Protección de Datos, según un reciente estudio realizado por la Asociación Profesional de la Privacidad de Castilla-la Mancha entre las doscientas empresas ubicadas en el polígono Campollano (Albacete).

Este porcentaje ha sido el resultado de un estudio llevado a cabo por la Asociación Profesional de la Privacidad de Castilla-la Mancha, tras examinar a  doscientas empresas ubicadas en el polígono Campollano (Albacete) – España. Añade el citado estudio que “el 70 por ciento de esas infracciones están catalogadas en la ley como graves o muy graves”, lo que llevaría aparejadas sanciones entre los 40.001  a los 600.000 euros.

La experta en Protección de Datos de IMAdvisory, Paola Redecilla, ha manifestado que estos datos indican que no existe en España una cultura de protección de datos, y que el resultado de este estudio “es perfectamente extrapolable al conjunto del tejido empresarial español”, lo que a su juicio supone un grave riesgo  para las empresas, que “pueden llevarlas incluso a la quiebra”. En este punto es necesario advertir que merced a la modificación del procedimiento sancionador de la LOPD operada por la Ley de Economía Sostenible, la Agencia Española de Protección de Datos ha flexibilizado las sanciones, incluyendo la figura del apercibimiento, y contemplando la posibilidad de graduar las penas en función del poder económicos de las empresas.

Se hace constar en el estudio que los errores más comunes tienen que ver con la documentación que requiere el Documento de Seguridad, debido a la falta de actualización de los mismos, que lo convierte en papel mojado: “No ha habido una auditoría permanente y se aplica una regulación ya derogada”, por lo que “recomendamos siempre a nuestros clientes que hagan auditorías periódicas que les aseguren estar al día en una regulación cambiante”

También se observan déficits en los compromisos de confidencialidad de los trabajadores, que “en el 85 % de las empresas no se encuentran firmados y debidamente guardados”, así como en los contratos con prestadores de servicios con acceso a datos, que en el 70 % de las empresas examinadas no se han firmado. Peor es la situación relacionada con los sitios web de estas empresas, donde el 90 % de las mismas carecen de aviso legal y/o política de privacidad.

Áudea Seguridad de la Información

Departamento Legal

www.audea.com

Fuente: Diario Qué