Categoría: Protección de datos

bookmark_borderThe Host (1ª Parte)

Posted on by Félix J. Haro

HostCualquier empresa que quiera tener presencia en Internet necesita contratar alojamiento para su página web. Siempre tendemos a fijarnos en las características técnicas: el espacio lógico, la transferencia mensual que nos va a permitir, tipos de bases de datos… Pero pocas veces exigimos que la empresa cumpla con la LOPD.

Los servidores donde tengamos alojada una tienda on-line, por poner un ejemplo, se convierten en un alojamiento de un fichero que contiene datos de carácter personal. El proveedor de servicios ha de ser considerado como encargado de ese tratamiento en el sentido del artículo 12 LOPD, puesto que realiza diversos tratamientos (alojamiento, copias de seguridad, etc.) sobre los datos que se recogen a través de esa web. El ejemplo puesto es extensivo a otro tipo de páginas web, como blogs, foros, wikis, etc., siempre que traten de algún modo datos de carácter personal.

Pasar de largo sobre este pequeño detalle coloca a nuestra empresa en un riesgo bastante alto e innecesario. Antes que nada, si no tenemos firmado el contrato del art. 12, la AEPD considerará ese alojamiento como una cesión no consentida. Ahora pensemos en que el proveedor no implante las medidas de seguridad necesarias, y que nuestra base de datos SQL que contiene los datos de los pedidos de la última semana se hace accesible en Internet.

He realizado un pequeño experimento enviando la siguiente petición a cinco proveedores de alojamiento de páginas web que prestan sus servicios en España:

Estimados Sres.:

Estoy interesado en contratar un plan de alojamiento para una página web.

Les ruego que me informen si firman el contrato que prevé el artículo 12 de la Ley Orgánica 15/1.999, de 13 de diciembre, de protección de datos (LOPD) con cualquier cliente que contrate un plan y aloje una página web que trate datos de carácter personal.

La mayoría de las webs (tiendas on-line, foros, blogs, etc.) recogen datos de este tipo (la dirección de email lo es), y es fundamental la firma de este contrato

Saludos,

¿Cuál pensáis que ha sido el resultado? ¿Creéis que han respondido todos que sí, que no hay problema alguno? Lo veremos mañana.

bookmark_borderFacebook denunciado en Canadá

Posted on by Félix J. Haro

facebookEl Canadian Internet Policy and Public Interest Clinic (CIPPIC) ha denunciado a Facebook ante el Privacy Commisioner, la autoridad de protección de datos de Canadá. Se trata de un grupo de estudiantes de la Universidad de Ottawa que, tras analizar las políticas de privacidad de la red social, han detectado diez violaciones de la Personal Information Protection and Electronic Documents Act (PIPEDA).

En un documento de 36 páginas explican una por una a la autoridad de protección de datos las infracciones que Facebook comete:

1.- No identifica las finalidades para las que recoge los datos del usuario;

2.- No obtiene el consentimiento informado para las diferentes finalidades y cesiones que luego efectivamente realiza;

3.- No permite al usuario utilizar el servicio a no ser que proporcione ciertos datos;

4.- No obtiene el consentimiento informado para ceder datos “sensibles”;

5.- No permite a los usuarios que abandonan el servicio retirar de un modo fácil su consentimiento para que se cedan sus datos;

6.- No limita la recogida de información a la que es necesaria para prestar el servicio;

7.- No permite controlar al usuario a qué anunciantes va a proporcionar su información;

8.- No destruye la información de los usuarios cuando éstos se dan de baja del servicio;

9.- Las medidas de seguridad no son las adecuadas;

10.- No explica su política de privacidad ni sus procedimientos de cesión a los anunciantes y a terceros desarrolladores de aplicaciones;

No olvidemos que según el informe de 2007 de Privacy Internacional Canadá es el país que mejor protege la privacidad de las personas, y según Forrester Research, sus empresas son las que tienen unas políticas de privacidad más fuertes y consistentes.