Saltear al contenido principal

 

Ha sido un honor participar como coautor en la redacción de este estudio multidisciplinar elaborado por el Centro de Estudios de Movilidad de la Asociación española para el fomento de la seguridad de la información, ISMS Forum Spain que puede ser consultado aquí.

Tal y como recoge el comunicado de ISMS Forum Spain, en el estudio se muestran cuatro grandes bloques temáticos en los que se analiza el Estado del Arte del fenómeno IoT, se estudian las implicaciones en privacidad, se definen los vectores de ataque y vulnerabilidades más comunes. Asimismo, se revisa el desarrollo normativo y se propone una guía de buenas prácticas y una marca de garantía de confianza en ciberseguridad para entornos IoT.

ISMS Forum Spain en su resumen ejecutivo destaca las áreas desarrolladas en el presente estudio:

Estado del Arte del Internet de las Cosas.

 A lo largo de este apartado, se muestra la evolución y las tendencias de la integración de tecnologías asociadas a Internet de las Cosas, de sus elementos, campos de aplicación, así como de su nivel de adopción, desde el punto de vista de la seguridad de la información. El estudio destaca como limitaciones para la adopción de medidas de seguridad en dispositivos conectados, los costes asociados y el “Time to Market”, la necesidad de concienciar al usuario final y la falta de estándares de calidad o sellos de confianza.

Análisis de los vectores de ataque del Internet de las Cosas

 Este segundo bloque de contenidos pretende identificar y analizar los mecanismos de seguridad y las debilidades en el diseño e implementación de tecnologías enmarcadas en el concepto Internet de las Cosas. Para ello, se desarrollan un conjunto de áreas de análisis de los vectores de ataque que se dividen en varias subcategorías en las que se diferencian vectores de ataque físico, sobre las comunicaciones, sobre las capacidades de gestión y sobre servicios y datos.

 Aspectos legales

 En este bloque se analiza el impacto de las tecnologías IoT en la vida de los individuos a través de casos de uso, proponiendo medidas correctoras desde el ámbito legal, contractual y regulatorio. Recomienda la adopción de medidas bajo la premisa Privacy by Design y Privacy by Default, que permitan clarificar las cláusulas de privacidad y las políticas de protección de datos, evitando así que no se generen situaciones de desprotección para el usuario.

 Buenas prácticas y sello de confianza.

 En este apartado se explican las medidas de seguridad y confianza en dispositivos del llamado ámbito de Internet de las Cosas. Este bloque pretende dotar a los fabricantes e incluso al consumidor final de una guía de buenas prácticas basadas en seguridad y privacidad para entornos IoT, así como de una marca de garantía de confianza en ciberseguridad en ecosistemas IoT que permitan al usuario final valorar las medidas de seguridad con las que cuentan estos productos.

 

El periodista Luisja Sánchez me entrevista junto con Rafael García del Poyo, Socio de Digital Business de Osborne Clarke.

El 6 de septiembre la Agencia Española de Protección de Datos presentó una herramienta para ayudar a las PYMES a cumplir con el RGPD, denominada “FACILITA”. El periodista de Confilegal Luisja Sánchez nos pregunta sobre la opinión que tenemos de la misma.

Acceder a la entrevista

 

El periodista Carlos Navarro de Radio Exterior y Radio 5 me entrevista sobre la Sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos Caso Barbulescu vs Rumania

La Sentencia de la Gran Sala de 5 de septiembre de 2017 rectifica la Sentencia de enero de 2016 sobre este caso. El Sr Barbulescu incumplió el Código Interno de su empresa que prohibía el uso de los medios profesionales con fines personales al detectarse en la aplicación Yahoo Messenger mensajes dirigidos a su novia y a sus hermanos, motivo por el que fue despedido.

Aunque las sentencias de Rumanía y la de primera instancia del TEDH dieron la razón a la empresa al entender que no existia ante tal prohibición una expectativa de privacidad, la Gran Sala entiende que la información no fue suficiente ya que se debe informar sobre el alcance de la monitorización y el grado de intrusión que lleva a cabo la misma

Acceder a la entrevista

Acceder a la nota de prensa del TEDH en inglés

Código de buenas prácticas en protección de datos para proyectos de Big Data


Ha sido un honor participar en la redacción de esta obra elaborada conjuntamente por la Agencia Española de Protección de Datos y la Asociación española para el fomento de la seguridad de la información, ISMS Forum Spain. Entre los participantes en su elaboración cabe destacar a Abertis Autopistas, CaixaBank, FCC, Huawei, Mapfre, Orange, Telefónica y UPM.

El Código, que puede ser consultado aqui, está orientado a asesorar a todas aquellas organizaciones que estén pensando en llevar a cabo un proyecto de Big Data y tomando como referencia el nuevo Reglamento Europeo de Protección de Datos.

Como refleja la nota de prensa de la Agencia Española de Protección de Datos que puede ser consultada aquí:

“El Código de buenas prácticas en protección de datos para proyectos de Big Data de la AEPD e ISMS Forum Spain constituye un punto de partida de referencia práctica para las empresas, con un primer bloque que incluye el régimen jurídico aplicable y cuestiones clave como la definición del responsable del tratamiento de los datos y el encargado. También se analizan las principales implicaciones derivadas de los tratamientos basados estas técnicas, como el origen, calidad y conservación de los datos; la procedencia de los mismos; la trasparencia que se debe ofrecer en la información previa facilitada a los afectados; la obtención del consentimiento de estos o, en su caso, el interés legítimo para tratar esos datos; los usos no previstos en el momento inicial, y el ejercicio de derechos por parte de los ciudadanos cuya información se está tratando.

El segundo bloque examina los aspectos que deben tener en cuenta las entidades que van a utilizar Big Data para garantizar la protección de datos y la privacidad de los ciudadanos, destacando principios como la privacidad desde el diseño o la responsabilidad de las entidades a la hora de establecer mecanismos de garantía y cumplimiento de las obligaciones de protección de datos (accountability). Igualmente, el documento detalla, entre otros aspectos, la necesidad de realizar evaluaciones de impacto en proyectos de este tipo para minimizar los riesgos o la posibilidad de optar por la anonimización irreversible de los datos. El Código finaliza con una revisión de las medidas tecnológicas imprescindibles en materia de privacidad y seguridad para crear un entorno adecuado de confianza para el desarrollo de tecnologías Big Data”

Noticias relacionadas:

Entrevista en Confilegal:La AEPD e ISMS Forum Spain crean un “Código de buenas prácticas en protección de datos para proyectos de Big Data

Blog de Prodat: PRODAT y el “Código de buenas prácticas en protección de datos para proyectos de Big Data”

Publicada por la Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires,

Esta obra que recoge las diferentes Declaraciones del Observatorio Iberoamericano de Protección de Datos, en la que he tenido el honor de participar en las labores de coordinación y elaboración , iniciativa cuya principal finalidad es generar cultura de privacidad y protección de datos en los distintos países, procediendo a la difusión del conocimiento de la legislación y jurisprudencia local existente al respecto, los derechos y las acciones que les asisten a sus ciudadanos, en aras de promover un clima de seguridad jurídica en el tratamiento de los datos de carácter personal que contribuya al desarrollo de las ciencias jurídicas en Iberoamérica.

El resultado del trabajo realizado desde la iniciativa del Observatorio Iberoamericano de Protección de datos, es una Obra de constante actualidad, en cuya elaboración han intervenido 77 profesionales de reconocido prestigio, de diferentes nacionalidades (Argentina, Bolivia, Chile, Colombia, Costa Rica, Cuba, Ecuador, España, Guatemala, México, Panamá, Perú, Portugal, República Dominicana  y Uruguay), y que en sí misma es una evidencia de la cooperación internacional y la relevancia de los temas abordados en la misma, en un momento en que internet y el impacto de las nuevas tecnologías han cambiado la forma en que nos relacionamos, desarrollamos nuestra actividad profesional en una sociedad cada vez más global.

Comunicado de prensa de la Defensoría del Pueblo y descarga del documento

Comunicado del Consejo General de la Abogacía Española

Blog de Prodat

Noticia en Law&Trends

Fuente Pixsbsy CCO

En este post comentamos la reciente Sentencia Juzgado Penal de Barcelona de 30 junio 2016 que juzga un delito continuado de descubrimiento y revelación de secretos (art 197 CP).

Los hechos parten del reenvío de un correo electrónico con datos laborales y salariales (nombre, DNI, salario, categoría e indemnización que recibiría en caso de posible ERE y sueldo recortado) de la plantilla de Corporació Catalana de Mitjans Audiovisuals (CCMA), a 80 buzones de correo corporativos.

El acusado trabajaba como informático. Al basarse la acusación en prueba indiciaria, usarse redes y tecnología anónima como TOR y Web Proxy anónimas para acceder a los buzones de correo y reenviar el mismo y quedar probado las deficientes medidas de seguridad implantadas en ese momento, se absuelve al acusado.

Acceder a la publicación

Red Iberoamericana ElDerechoInformático.com: “Los destacados del año”.

Un año más y en esta ocasión en el número 25 de la Revista ElDerechoInformático.com se han publicado los premios “Los destacados del año” que concede la Red. En esta ocasión he sido galardonado en la categoría “Abogados” junto con otros ilustres colegas de España, Colombia, Chile y Argentina. Por ello agradezco públicamente a la Red y a su Director Guillermo Zamora el reconocimiento.

El 2017 se presenta intenso, con el Grupo de Trabajo del Art 29 y la Agencia Española de Protección de Datos emitiendo directrices sobre la interpretación del Reglamento General de Protección de Datos (en línea con las últimas publicadas a final de este año) y el Proyecto de Ley de reforma de la LOPD previsto para el primer trimestre del 2017, sobre los que desde este Blog, seguiremos informando.

Acceder a la publicación

Volver arriba