El Tribunal Supremo anula el art. 10.2 del Reglamento de la LOPD

El Tribunal Supremo ha dictado sentencia por la que se anula el artículo 10.2.b del Real Decreto 1720/2007  que desarrolla la Ley Orgánica de Protección de datos de Carácter Personal.
El citado artículo establecía lo siguiente:
"Artículo 10. Supuestos que legitiman el tratamiento o cesión de los datos.
2. No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:
b. Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado."

No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.

Aparentemente el problema que plantea el fallo del Supremo, es que al anular el artículo abre la puerta a la realización de tratamientos sin consentimiento de los afectados y además que la fuente de la que se obtengan los datos pueda no ser pública.

¿Supone lo anterior una apertura al tratamiento de los datos para un uso comercial sin consentimiento de los afectados?, entendemos que la respuesta sería no.

Primero porque no podrá invocarse de manera arbitraria el interés legítimo, se deberá  delimitar la aplicación del término, para lo que la propia sentencia nos da una pista al establecer:

[…]realizar en cada caso concreto una ponderación entre el interés legítimo de quien va  a tratar los datos y los derechos fundamentales de los ciudadanos afectados, con el fin  de determinar cuál prevalece atendiendo a las circunstancias concurrentes.
Segundo porque no se excluye en absoluto la aplicación de los principios generales de la LOPD y en concreto lo establecido en el Art 5.4:
"Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e)del apartado 1 del presente artículo."
El apartado 1 indica:
Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Por tanto la recomendación sería extremar  al máximo el deber de información con nuestros clientes.
La sentencia completa podemos encontrarla en el siguiente enlace

Referencias

http://www.madrid.org


Autor: María del Carmen Areces
Departamento Comercial

Cinco razones para implantar la ISO20000, ponencia en las jornadas JEVi del itSMF

El itSMF (Information Technology Service Management Forum) creado en 1991, es una comunidad de conocimiento a nivel mundial. Compuesta por más de 10.000 profesionales y con presencia en  aproximadamente 50 países, entre los cuales se encuentra España.

Los miembros de esta comunidad aúnan esfuerzos para compartir sus conocimientos sobre el Gobierno y la gestión del servicio de las Tecnologías de la Información (TI) y su  actividad en España gira entorno a la creación y difusión de las buenas prácticas así como las experiencias relativas a la gestión de los servicios y el gobierno de las TI. Centrándose  sus actividades en el intercambio de puntos de vista y experiencias, así como en la colaboración para el desarrollo continuo de mejores prácticas y estándares.

El itSMF celebra Jornadas Virtuales, mediante  tecnología webinars permitiendo una recreación  como si de un congreso presencial, se tratara.

Estas jornadas, realizadas de forma mensual,  se reparten en dos días, el primero de los cuales  abarcan las ponencias en lengua hispana y el segundo reservado para ponencias en otro idioma generalmente en inglés. En ambos casos su acceso es libre, para todos los que quieran y estén interesados en  asistir.

El próximo 12 de Marzo de 2013, Sara Blanco consultora de Internet Security Auditors, participará como ponente en dichas jornadas, en su presentación tratara  las 5 Razones  fundamentales para convencer a la Dirección más dura y escéptica de los beneficios que la implantación de una Certificación ISO 20000 tiene para una organización, como pueden ser: mejorar la Estrategia Empresarial, mejora de los Servicios de TI, mejorar los procesos de negocio y operacionales, mejorar la Optimización de Recursos de TI y la posibilidad de conseguir otras Certificaciones de una manera más sencilla.

Nueva guía de PCI Council sobre la seguridad del comercio electrónico (E-commerce)

El estándar PCI DSS fue desarrollado por las compañías más importantes de crédito y débito (American Express, MasterCard, Visa, JCB y Discover) y sirve como guía para empresas y organizaciones que procesan, almacenan y transmiten datos del titular de tarjeta para así prevenir el fraude.

El pasado 7 de febrero, el  PCI SSC publicaba el “PCI DSS Cloud Computing Guidelines” un nuevo documento para ayudar a empresas de comercio electrónico a entender y cumplir con los requisitos de la Norma de Seguridad de Datos PCI con especial referencia a las infraestructuras híbridas, incluidos software de terceros.

Ya en 2011, en el PCI Security Standards Council se votó con especial interés el tema del  "E-commerce". "La comunidad quería más orientación y aclaraciones sobre cuestiones de seguridad específicamente en el comercio electrónico", dijo Jeremy King director europeo del PCI SSC.
Gracias a ello se ha publicado esta guía en la cual hemos tenido el placer de poder participar aportando nuestros conocimientos y experiencia en el ámbito de PCI.

Descárgate el pdf: PCI DSS v.2.0 Cloud Guidelines

Los piratas de PCI DSS

Los Piratas de PCI DSSComo en todos los mares, en las aguas de las normas PCI también hay piratas.

Según la RAE un "pirata es aquella persona que, junto con otras de igual condición, se dedica al abordaje de barcos en el mar para robar."

Aunque en cuanto a las normas PCI se refiere es difícil encontrar la relación entre los piratas, que asociamos a noticias sobre el cuerno de África, los piratas de PCI son aquellos que aprovechan lo bueno (la posibilidad de negocio), sin asumir lo malo (las responsabilidades formales de las homologaciones y sus costes).

Si algo han demostrado las normas PCI es que su cumplimiento no es trivial, casi podríamos decir que puede ser complejo sin tener voluntad de asustar al afectado, y contar con expertos en su evaluación es clave si quiere llevarse a cabo correctamente un proceso de adecuación. Buscando siempre objetividad y experiencia junto con una actualización directa con las marcas de tarjetas, los cambios en marcha en los estándares, las circulares del PCI SSC a los auditores, etc. como fuente de actualización.

Hace ya más de 5 años, en octubre del año 2007 se creó el PCI SSC (PCI Security Standards Council). Este organismo se fijó dos responsabilidades primordiales iniciales: la primera, gestionar la publicación del estándar PCI DSS (consensuando sus requerimientos entre las cinco marcas de tarjetas del Consejo: VISA, Mastercard, AMEX, JCB y Discover); la segunda, definir unos estrictos requerimientos para las empresas Auditoras que llevaran a cabo evaluaciones on-site del cumplimiento de la norma, los denominados QSA, Qualified Security Assessor.

Desde entonces, cuando Internet Security Auditors consiguió la certificación QSA, junto con la de ASV y dos años después, la de PA-QSA, es algo mucho más que ser una empresa con un sello. Implica un conjunto de amplias responsabilidades, profesionales y legales, tanto hacia el PCI SSC como, y más importante, hacia los clientes. Un QSA debe demostrar las capacidades de su equipo humano y debe demostrar que cumple con unos requerimientos a nivel de empresa. Estos requerimientos implicarán desde la forma en que trata la información de los clientes hasta aspectos más administrativos como que se ha dotado de unos seguros muy concretos, muy particulares y con unas coberturas especiales. Podemos dar fe de ello porqué Internet Security Auditors fue la primera empresa en España en demandar alguno de los seguros que el PCI SSC exigía, y podemos garantizar que no fue sencillo obtenerlos dado que se debieron buscar fuera de España.

Para un QSA, serlo, es símbolo de responsabilidad, de poder presentarse ante un cliente como experto en una norma, en poder dar respuesta a interpretaciones en base a la experiencia en la superación de complejos procesos de adecuación finalizados en auditorías de certificación exitosas y en que las respuestas y propuestas planteadas garanticen que esa respuesta sea "PCI Compliance" ante los ojos evaluadores (de nuestro trabajo de adecuación y auditoría final) de las marcas de tarjetas (en el caso de PCI DSS) o del equipo de Quality Assurance del PCI SSC(en el caso de PCI PA-DSS).

Ser QSA es algo mucho más que ser capaz de leerse un documento público y accesible para todo el mundo y poder decidir que se supone que lo que dice es lo que se ha entendido. Es haber analizado con las marcas de tarjetas durante años los matices de un documento abierto a la interpretación, pero que sólo alguien que ha leído y releído ese documento, lo ha comentado, analizado, disgregado y discutido con otros expertos QSA, es capaz de interpretar correctamente, de la misma forma que un experto en la época medieval analizaría el Códice Calixtino (salvando las distancias).

Como QSA, siempre recomendaremos que cuando se trate de PCI DSS se trabaje con un QSA, porque un QSA habrá hecho el esfuerzo de serlo, cosa que otro no. Y además, se habrá comprometido para serlo, cosa que otro no. Y habrá podido serlo, cosa que otro no.

Claro está, ser QSA tiene un coste, debido en gran parte a los fees y costes asociados a la propia certificación (que se ha de renovar anualmente frente al PCI SSC) de la empresa y los profesionales QSA. Un coste tanto para el QSA como para la empresa que confía en él.

Llega un punto en el que hay que hacer una valoración riesgo/beneficio: de todo aquel que realiza su trabajo se espera que lo haga lo mejor posible, pero en algunos casos, la buena voluntad no es suficiente. Formación continua en las normas, evaluaciones anuales de conocimientos, actualización de cambios y directrices del PCI SSC sobre requerimientos de las normas, cambios en reporte al Council y a las marcas, colaboración en Grupos de Interés (SIGs) de nuevas buenas prácticas en nuevas tecnologías, requerimientos de responsabilidad corporativa, etc. Es lo que aporta Internet Security Auditors como QSA, PA-QSA y ASV.

Entonces, pongamos nuestros negocios (en los que se trate, transmite o almacenen datos de tarjeta, no lo olvidemos) en manos de una empresa homologada y certificada. Porqué mientras no pasa nada, nada pasa, pero si ha de pasar algo, mejor es que sepamos que el trabajo se ha hecho como dictan los organismos reguladores.


Autor: Daniel Fernández - CISM, CISA, CISSP, ISO27001 Lead Auditor, CHFI, CEI, OPST/A
Departamento Comercial