Browsing Tag

Protección de datos

Roban 9 millones de datos de clientes a EasyJet en un ciberataque

Author: \ 30 mayo, 2020 \ Actualidad \ 0 Comentarios

A finales de enero de este año la aerolínea low cost, EasyJet, sufrió un robo masivo tras un ciberataque que se saldó con 9 millones de datos sustraídos. Pero, ¿qué se encontraba exactamente entre esta información que se extrajo? Pues, tal y como ha comunicado la compañía, entre esa información se encontraban detalles de los viajes de sus clientes, direcciones de correo electrónico e incluso números de tarjetas de crédito, esto último más concretamente de 2.208 clientes. Más de dos mil números de tarjetas de crédito que quedan a disposición de los ladrones para hacer con ellas cualquier tipo de operación.

 

Sin duda, noticias como esta nos hacen plantearnos hasta qué punto están a salvo nuestros datos cuando hacemos cualquier compra por internet, incluso en páginas web que, a priori, pueden parecer seguras. Desde la aerolínea señalaron que se trató de un ataque muy sofisticado y que ya están trabajando en las soluciones. Pero, ¿qué solución puede haber ante un problema de seguridad como este? A veces hay situaciones que son irreversibles, pero lo importante es actuar de la mejor manera posible. En este caso, desde EasyJet se comunicó que se pondrían en contacto con cada uno de los usuarios afectados por este ciberataque, para informarles sobre los datos que habían sido sustraídos y poder poner una rápida solución.

 

A pesar del riesgo de este tipo de robos en el que después se puede usar la información para estafar a las personas (delito conocido como phishing), la aerolínea en su comunicado señalaba que «no hay evidencia de que ninguna información personal de ninguna naturaleza haya sido mal utilizada».

 

¿Qué es y en qué consiste el phising?

 

Para entender mejor qué es exactamente lo que le ha ocurrido a la aerolínea low cost tenemos que conocer el concepto phising. Este término se usa para hablar de los métodos que usan los delincuentes a través de internet para hacerse con información confidencial de forma fraudulenta.

 

El ladrón o estafador se hace pasar por un ente de confianza (suplanta una identidad falsa), se pone en contacto con una gran cantidad de usuarios a través de vías como un correo electrónico y tan solo le queda esperar a que quienes lo reciban caigan en su trampa y de esa forma consiga todos sus datos.

 

Una vez se hacen con los datos las consecuencias suelen ser siempre las mismas:

  • Uso de la tarjeta de crédito o cuenta bancaria para hacerse con dinero.
  • Venta de datos personales.
  • Suplantación de identidad.

Las aerolíneas como foco de los ciberataques

 

Aunque el caso de EasyJet sea el más reciente no es, ni de lejos, el único en el que una aerolínea sufre un robo de datos.

 

Hace dos años, entre los meses de agosto y septiembre, British Airways fue víctima del robo de todas las reservas que se hicieron en ese periodo de tiempo y sus correspondientes datos, más de 300.000. Esto dejó como resultado la sustracción de miles de nombres, apellidos, correos electrónicos, tarjetas de crédito y sus correspondientes códigos de seguridad, etc. En este caso, la compañía tuvo que asumir una multa de 183 millones de libras impuesta por La Oficina del Comisionado de Información de Reino Unido (ICO).

 

Otros ataques hacia compañías de vuelos fueron el de Transavia, afectando a más de 80.000 clientes, y el de Cathay Pacific, quien en su caso vio quebrantado su sistema afectando a más de 9 millones de usuarios.

 

La conclusión que extraemos de todo esto es que cuanto más digitalizada está nuestra vida más riesgos corremos con nuestros datos personales. Como decían nuestras abuelas, toda precaución es poca. Y con esto no queremos decir que tengamos que volvernos paranoicos y dejar de hacer uso de estos servicios, sino que tenemos que andar con ojo y fijándonos siempre en toda situación que pueda resultar anómala y plausible de ser poco fiable.

La Agencia Española de Protección de Datos multa con 10.000€ a un particular por difundir fotos en WhatsApp

Author: \ 28 febrero, 2020 \ Actualidad, Publicaciones AEPD, Redes Sociales, Reglamento europeo, Tecnología \ 0 Comentarios

Con fecha 18 de diciembre de 2019, la Agencia Española de Protección de Datos (en adelante, AEPD) hacía uso de su potestad sancionadora y multaba con 10.000€ a un particular que, a través de los ‘’estados de WhatsApp’’ publicó fotos personales de dos compañeros de su trabajo y que, previamente, obtuvo de un dispositivo USB que había sustraído. Aunque no es el primer caso en el que la AEPD sanciona a un particular como veremos más adelante, si es un caso especial por la polémica generada por la aplicación del RGPD (Reglamento Europeo de Protección de Datos 2016/679, de 27 de abril) y de la LOPDGDD (Ley Orgánica de Protección de Datos y garantía de los derechos digitales 3/2018, de 5 de diciembre) a una actividad personal o doméstica, como se deduce de la resolución y que, por lo tanto, queda excluida su aplicación al caso que nos ocupa, debiendo haber actuado la jurisdicción penal.

¿Puede la AEPD multar a particulares?

La polémica que ha generado este caso deriva de lo establecido en el artículo 2.2.c) del RGPD, así como en su considerando 18 y el 2.2.a) de la LOPDGDD. Ambos artículos establecen que ninguna de las dos normas será de aplicación ‘’al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas’’. Sin embargo, estos preceptos chocarían con el objeto principal del propio Reglamento que en su artículo 1.2 establece el objeto principal: proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de datos. A esta protección hay que añadir el derecho fundamental de las personas físicas en los que respecta al tratamiento de sus datos personales, amparado por el artículo 18.4 de la Constitución Española.

La opinión generalizada es que la AEPD no puede sancionar a particulares puesto que el RGPD fue concebido para proteger a los ciudadanos del tratamiento de datos que realizan las empresas, ya sea en el marco de una relación contractual o no. Sin embargo, la AEPD ya dejó claro en varias ocasiones que si era competente para conocer y resolver estos casos.

Precedentes

Hay que remontarse al año 2017 para encontrar un caso similar. En este caso, una mujer grabó con su teléfono móvil a un agente de la policía local que, supuestamente, estaba realizando un acto de violencia de género durante la prestación de los servicios policiales. La mujer alegó que grabó el vídeo con la única pretensión de que la agredida pudiera utilizar el vídeo como prueba en un proceso judicial, hecho que no ocurrió. La mujer autora del vídeo envió el mismo a varios de sus contactos vía WhatsApp, con lo que infringió el deber de solicitar el consentimiento del afectado y siendo sancionada por ello con multa de 2.000 euros. Estando todavía vigente la LOPD 15/1999 para este caso concreto, recordemos que en su artículo 2.2.a) establecía que la LOPD no sería de aplicación a los, tan famosos, ficheros mantenidos por personas en el ejercicio de actividades meramente personales o domésticas. Pese a ello, en este procedimiento sancionador PS/00576/2017 la AEPD se consideró plenamente competente para resolver el caso, al amparo del artículo 37 de la antigua LOPD en el que se establecen las funciones de la AEPD que, entre otras, recoge la atención de las reclamaciones y peticiones formuladas por las personas afectadas.

Nuevo Reglamento, pero pocos cambios

En la actualidad hemos sufrido un cambio normativo muy grande en materia de protección de datos, sin embargo, los preceptos antes mencionados se mantienen prácticamente iguales. El caso que nos ocupa, sobre la sanción de 10.000 euros impuesta al hombre que difundió por WhatsApp mensajes íntimos de dos compañeros de trabajo, la AEPD ha hecho uso de los mismos fundamentos ya mencionados. La Directora de la AEPD se considera competente al amparo de los artículos 58.2 del RGPD y 47 y 48 de la actual LOPDGDD. En este sentido, termina por sancionar con 10.000 euros por infringir el artículo 6.1 del RGPD conforme a los establecido en el 83.5.b) del mismo reglamento y difundir los mensajes sin el consentimiento de los afectados.

¿Sanción administrativa o delito?

Otro debate que genera este caso es la vulneración del artículo 197.1 del Código Penal, relativo al descubrimiento de secretos o violación de la intimidad. Aunque no es nuestra materia, este es un delito privado y que se persigue a instancia de parte, por lo que es necesaria la interposición de querella por parte del agraviado, salvo lo dispuesto en el artículo 201 del Código Penal que podrá actuar el Ministerio Fiscal: cuando se trate de menores de edad o se vean afectados los intereses generales o una pluralidad de personas.

Canales de denuncia

La Agencia dispone, además de un canal ordinario, de un canal urgente de denuncia, cuya finalidad es que personas que vean perjudicados sus derechos a la intimidad o al honor, por publicaciones en Internet o redes sociales cuyo contenido tenga carácter violento o sexual, puedan solicitar la eliminación del mismo de forma ‘’inmediata’’.

En relación con este canal urgente de denuncia, junto al ordinario, comprenden herramientas eficaces para que los ciudadanos puedan protegerse ellos mismos por violaciones de sus derechos en materia de protección de datos. Pero hay que recordar que la AEPD puede iniciar de oficio procedimientos sancionadores y viendo que las sanciones a particulares prosperan, es razón de peso ahora más que nunca cuidar todo aquello que compartimos en la red, WhatsApp o cualquier red social. Las sanciones de la AEPD no tienen bonificación como otras que muchos conocemos, además de que el impago de la posible multa impuesta será causa de embargo de la cantidad requerida.

Ejercicio de derechos de carácter personal sobre personas con enfermedades degenerativas.

Author: \ 25 abril, 2019 \ Actualidad, Reglamento europeo \ 0 Comentarios

Tanto el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679), como la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPD 3/2019, de 5 de diciembre), otorgan a las personas físicas una serie de derechos (derecho de acceso, rectificación, supresión –olvido-, limitación del tratamiento, portabilidad y oposición). Hoy nos centraremos en el ejercicio de derechos, pero concretamente, en el ejercicio de derechos sobre los datos de carácter personal de las personas que padecen algún tipo de enfermedad degenerativa.