El SCAM, tal y como recoge la wikipedia, no es más que el término anglosajón de lo que comunmente conocemos por estas tierras como estafa. Normalmente este tipo de estafa está relacionado con el envío de correos electrónicos a fin de conseguir de la vícitma una transferencia de dinero para conseguir, supuestamente, algo mucho mejor, como un premio de lotería, una donación, etc. Sin embargo en otras ocasiones la estafa, no es tan descarada como en el caso de las cartas nigerianas, de hecho puede venir  relacionada a través de una venta que se haya podido realizar a través de cualquier plataforma utilizada para ello. Por ello, cualquier persona podemos, en un momento u otro, ser víctimas si no estamos pendientes de algunas pistas que nos pueden llevar a caer en el engaño, con la consabida y dolorosa pérdida patrimonial que conlleva (dejando de lado, el susto y disgusto personal, seguramente, de grandes proporciones).

Desde Iurismática sólo podemos establecer algunos consejos para no caer en esta estafa:

1º Duda, no te confíes, no te dejes llevar por la ilusión de una venta, posibilidad de una transferencia dineraria no esperada, etc.

2º Investiga un poco sobre el presunto comprador/vendedor y si la dirección es extraña o es de un lugar muy lejano o exótico (por no decir de Nigeria), desiste de la compraventa, transferencia, etc.

3º Comprueba las direcciones de correo desde las cuáles te solicitan la transferencia o te informan del negocio. Una simple búsqueda por internet de la misma te puede dar mucha información.

4º Desconfía de quienes soliciten dinero para concluir alguna transacción y más si el vendedor eres tú. Y, por supuesto, no realices ninguna transferencia.

5º No pinches en los propios enlaces establecidos en los correos electrónicos y comprueba toda la información aparecida en las comunciaciones (direcciones de la empresa, si la empresa que dice ser utiliza ese correo electrónico, etc.)

Y si, aún y todo has sido objeto de una estafa, denúncialo, recoge toda la información de las transferencias realizadas, correos electrónicos intercambiados y con todo ello denuncia la situación en la comisaría o juzgado más cercano.

• Actualizada la sección del blog "Prensa y Medios" http://www.iurismatica.com/blog/iurismatica-en-los-medios/ #
• Entrevista a @davidfmena sobre Política y Redes Sociales en el periódico on-line mexicano “La CH.com" http://tinyurl.com/yepqns5 #
• RT @MiquelP En el blog: El Supremo alemán condena a un foro por fotografías colgadas por usuarios sin permiso del autor http://bit.ly/9HmEVB #

Powered by Twitter Tools

Siempre hemos criticado las graves sanciones que conllevan el incumplimiento de la normativa de protección de datos de carácter personal. No creo que haga falta recordar, tras 10 años de aplicación de la LOPD, que las sanciones por infracciones de la normativa van desde los 600 Euros hasta los 600.000 Euros dependiendo de la gravedad del asunto. Calificándose las infracciones en leves, graves y muy graves. Ante esta espada de Damocles que cuelga sobre nuestras cabezas por la facilidad existente para cometer un error en el cumplimiento de la normativa, así como la, también, fácil forma de denunciar los hechos ante la Agencia Española de Protección de Datos son muchos los denunciados que se acogen, en último término, al art. 45.5 de la LOPD. Artículo que establece la posibilidad de la graduación de la sanción:

Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediantamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.

La AGPD, personalmente creo, que conocedora de la situación de la economía actual, de la inestabilidad actual de las empresas, del tamaño de las mismas, o del daño que puede hacer la imposición de sanciones tan graves en su propia imagen, gradúa las sanciones a veces de una forma un tanto curiosa. Si cogemos diferentes resoluciones de la Agencia veremos a que nos estamos refiriendo (ojo, con ello, no quiero criticar a la AGPD, aunque a veces se lo merezca, sino que creo que entiende que en algún caso la gravedad de los asuntos no merecen tal castigo pecuniario), veamos:

• Infracción del artículo 6.1 de la LOPD, tipificada como GRAVE: Multa de 3000 Euros. En este caso, los hechos que se sancionaron fueron por la publicación en Internet sin el consentimiento de los afectados de los resultados de unos campeonatos. La Agencia aplica el art. 45.5 al entender que queda acreditada la ausencia de intencionalidad de la misma.

• Infracción del artículo 9 de la LOPD, tipificada como GRAVE: Multa de 6.000 € Típico caso de documentos incorrectamente tirados a la basura por una entidad financiera. La Agencia, con buen criterio, rebaja la sanción por: Valorando las circunstancias del presente caso, donde se ha establecido en los hechos probados que se trató de un hecho puntual; que la entidad ha reconocido su responsabilidad y que la documentación procedió de dicha sucursal, que dispone de documento de seguridad, que ha realizado dos auditorías para adecuar el Banco a la normativa de protección de datos, se imparte a los trabajadores instrucciones sobre la destrucción de documentación, disponiendo la entidad de medidas de seguridad. Debe entenderse que operan dichas circunstancias atenuantes de la responsabilidad; aplicadas ya por esta Agencia, en otros procedimientos similares relativos a la localización en la vía pública de documentación con datos de carácter personal. Es decir, si has hecho todo lo posible por cumplir con la normativa, se verá, en cierta forma, recompensado. Aunque ya sabemos que el cumplimiento de las medidas de seguridad es una obligación de resultado.
  

• Infracción del artículo 11.1 de la LOPD, tipificada como MUY GRAVE: Multa de 60.101,21 €. Este caso se produjo, en medio de un divorcio, un centro médico facilitó datos del historial clínico sin la autorización del paciente en este caso a la expareja. La Agencia rebaja la sanción puesto que: A este respecto cabe apreciar una cualificada disminución de la culpabilidad, por cuanto “la única intención que presidió el comportamiento del personal del centro fue prestar un buen servicio y de este modo, no provocar un perjuicio mayor ni para la paciente ni para el centro hospitalario.” Es decir, hubo una vulneración flagrante del deber de secreto, pero atenúa la sanción porque la intención ¿fue dar un buen servicio?.

Está claro que, en el caso de que nos vayan a sancionar, tendremos que hacer todo lo posible por intentar que se nos aplique la graduación de la sanción establecida en el artículo 45.5 de la LOPD.

Las decisiones tomadas por parte de los expertos de la WIPO/OMPI para los procedimientos extrajudiciales en materia de nombres de dominio bajo el código correspondiente a España “.es” durante el primer mes de 2010:

edrerams.es  –> Cesión al demandante
edrean.es –> Cesión al demandante
edreasm.es –> Cesión al demandante
edrens.es –> Cesión al demandante
edrins.es –> Cesión al demandante
eadreams.es –> Cesión al demandante
edreamns.es –> Cesión al demandante
forochevrolet.es –> Cesión al demandante

Claramente los procedimientos abiertos por Edreams a finales del año pasado han terminado o bien han sido archivados o con la cesión al demandante por ser considerados dominios TYPOs de la marca en cuestión.

Asimismo, el año 2010 ha comenzado abriéndose los siguientes procedimientos para los nombres de dominio:

philadelphia.es
partycasino.es
viajeselcorteingle.es
madeira.es
nokia.com.es
ayuntamientodelalaguna.es
westerndigital.es

Observamos la tónica general de ciberocupación de marcas notorias, como el caso de El Corte Inglés y Nokia, con lo que podemos adelantar prácticamente el desenlace de los mismos. Por lo demás alguno de ellos resultará interesante leer la resolución que se dicte. Estaremos al tanto.

• Nos informan sobre la celebración en Cátedra UPM Applus+ CAPSDESI de un Seminario sobre la LES http://tinyurl.com/yk2gl32 #
• #leyendo Asignación de dirección electrónica para la práctica de notificaciones por Administración Tributaria http://tinyurl.com/y9hbezr #
• AEPD pone en marcha Evalúa, programa permite analizar grado de cumplimiento de LOPD http://ow.ly/11jI1 (via @iHerreros) (via @jcampanillas) #
• La Comisaria Reding propondrá revisión de Directiva sobre protección de datos 2005 y sobre comunicaciones electrónicas 2002 (via @marttta) #
• Publicados en BOE los RD que regulan esquemas nacionales de seguridad e interoperabilidad http://tinyurl.com/yenp4hd #adminelectronica #

Powered by Twitter Tools

Como cada 28 de Enero, como siempre recordamos, se celebra en conmemoración de la firma del Convenio 108 del Consejo de Europa, el Día Europeo de la Protección de Datos. Para esta celebración las Agencias suelen preparar campañas divulgativas, vídeos, y demás información para concienciar a la ciudadanía de la protección de este Derecho Fundamental.

Como muestra el siguiente vídeo realizado por la Agencia de Protección de Datos de la Comunidad de Madrid:

En el presente vídeo, titulado ¿por qué hacerlo en Internet?, la Agencia pretende concienciar a los ciudadanos a no contar toda su vida en las redes sociales… Juzgen ustedes mismos…

Debe vez en cuando es interesante pasarse por la página web de la Agencia Española de Protección de Datos de carácter personal y observar, dentro del apartado de “Resoluciones de Procedimientos Sancionadores“, cuántos procedimientos han sido tramitados por un incumplimiento de las medidas de seguridad en materia de protección de datos de carácter personal, los agujeros de seguridad que han sido los desencadenantes de dichos procedimientos y la sanción que impone la AEPD. Como ejemplo de procedimiento sancionador en materia de seguridad nos haremos eco de la siguiente resolución: PS/00705/2008

En la misma, algo tan sencillo como haber dejado abierto en el servidor un fichero denominado “prueba.php” con el listado de correos electrónicos de los participantes en un concurso on-line se cierra con una sanción de la AEPD de 6.000 €, por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma. Sanción que ha sido en su caso disminuída puesto que una infracción grave, según la LOPD, conllevaría una sanción mínima de 60.000 Euros.

Tal y como hemos comentado, los hechos acaecidos son:

En el caso que nos ocupa, ha quedado acreditado que, se accedía libremente a través de Internet a los datos de usuario, contraseña y dirección de correo electrónico (email) de los participantes en el juego de promoción de la película de 7 Mesas de Billar Francés, desde http://www….X…./…../links/.

Asímismo es interesante, tal y como establece la propia resolución, recordar que la dirección de correo electrónico puede ser considerado como un dato de carácter personal.

A la vista de lo anterior, se deduce que la dirección de correo electrónico, considerando que contiene información acerca de su titular, o en la medida en que permita proceder a la identificación del mismo, ha de ser considerada como dato de carácter personal y su tratamiento sometido a la citada Ley Orgánica, por lo que, con carácter general, no será posible su utilización o cesión si el interesado no ha dado su consentimiento para ello.
La dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos, generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en sí misma o carecer del mismo, atendiendo al grado de identificación del titular de la cuenta de correo que proporcione la dirección de que se trate. Así, existirán supuestos en los que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular que lo identifique, en los cuales no existe duda de que dicha dirección ha de ser considerada como dato de carácter personal, o supuestos en los que la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta, de modo que no nos encontramos ante un dato de carácter personal, a no ser que otros datos (dominio, domicilio, etc.), conjunta o separadamente, permitan, como en el presente supuesto, la identificación del sujeto sin un esfuerzo desproporcionado por parte de quien procede a la identificación, en cuyo caso, la dirección de correo electrónico quedará amparada por el régimen establecido en la LOPD.

Y también nos sirve para recordar que de nada sirve aprobar de manera formal las medidas de seguridad (es decir, contar con la documentación y los procedimientos descritos en la propia legislación de protección de datos), sino que deben ser observadas dichas medidas, es decir deben ser adoptadas e implantadas. Es una obligación de resultado.

No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas Instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales, si luego no se exige a los empleados del banco la observancia de aquellas instrucciones.
Se impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva y como manifiesta el Abogado del Estado en la contestación, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios o cualesquiera otros datos de carácter personal puedan llegar a manos de terceras personas.

Nada nuevo en la resolución, pero nos viene bien cada cierto tiempo no bajar la guardia en la implantación de las medidas de seguridad y actualizar lo que sea preceptivo en cada momento, tanto en el ámbito formal (documentación, procedimientos, etc.) como en el tecnológico (actualizando sistemas, revisando las medidas implantadas, etc.)

• Actualizada la sección del blog Prensa y Medios con grabaciones de nuestra participación en diferentes programas http://tinyurl.com/yepqns5 #
• RT @redpuntoes Por fin un Registro Civil único, accesible y electrónico: de personas en lugar de hechos. http://ow.ly/Y64D #
• El próximo 28 de Enero se celebra, como todos los años, el Día Europeo de la Protección de Datos ¡promuévelo! http://tinyurl.com/yjq2yo5 #
• RT @jcampanillas Informe de La Comisión Nacional de la Competencia pide la reforma de la LPI http://tinyurl.com/y8lbxc9 #

Powered by Twitter Tools

La Entidad Pública Empresarial Red.es que la entidad encargada de la gestión del cTLD “.es” ha publicado la Instrucción de 2 de enero de 2010 del Director General de la entidad pública empresarial Red.es, por la que se desarrollan los procedimientos aplicables a la asignación y a las demás operaciones asociadas al registro de nombres de dominio bajo el “.es”. Esta instrucción, que si bien, tal y como se recoge no se encuentra vigente en la actualidad modifica algunos procedimientos en la gestión del “.es” y establece algunas novedades que hacía tiempo venían reivindicándole tanto Agentes Registradores como algunos domainers. Entre las novedades establecidas en la nueva instrucción podemos encontrar:

• Ampliación del periodo de asignación y renovación de los nombres de dominio hasta un máximo de 10 años. Es decir, a partir de ahora se podrá solicitar el registro o la renovación de un “.es” por un plazo máximo de 10 años, pudiéndose elegir entre diferentes plazos: 1, 2,3,4,5 y 10 años.
• Posibilidad de solicitar la baja voluntaria del nombre de dominio. En la actualidad sólo se producía la baja de un nombre de dominio por el transcurso del tiempo si no se realizaba la renovación. Con el nuevo procedimiento, el titular de un nombre de dominio podrá solicitar la baja voluntaria del mismo.
• Se establece un procedimiento de desacreditación de los Agentes Registradores.
• Asimismo, ante el abuso del procedimiento de cancelación, utilizado en muchas ocasiones como sistema para bordear los procedimientos extrajudiciales o judiciales, Red.es ha establecido que la parte que solicite la apertura de un procedimiento de cancelación de un nombre de dominio deberá acreditar un interés legítimo sobre el mismo.

A estos cambios introducidos por la Instrucción se les suma además lo comentado anteriormente sobre los cambios en el whois del “.es”. 2010 ha traído muchos e interesantes cambios que veremos si tienen los efectos que desea la Entidad Pública Empresarial Red.es.

La penúltima ocurrencia legislativa de nuestro Gobierno en forma de sorpresiva y repentina Disposición Final en la L.E.S. -presuntamente protectora de la propiedad intelectual- ha levantado una considerable polvareda mediático-jurídica. Al toque de arrebato emitido por la internaútica patria han respondido numerosas manifestaciones públicas individuales o colectivas, con mayor o menor autoridad, con mejor o peor criterio, pero la mayoría de ellas poniendo el acento en las modificaciones legislativas de trazo grueso que contiene la dichosa deposición, digo…Disposición Final.

La declarada voluntad de sus promotores legislativos, asumida al dictado por el mismo Gobierno, es la de acabar con las páginas que recopilan enlaces, por ser éstas las que según su criterio se lucran “parasitariamente” de ese trasiego ilícito de contenidos al que parece que está abonado el internauta patrio con especial afección y que nos hace figurar en no se cuantas listas negras de malhechores internacionales manejadas por el Pentágono, la Trilateral y hasta el mismísimo Ramoncín™.

En un forzado ejercicio de buenrrollismo para con el usuario final, la coalición de la cosa ha venido a perdonarnos la conexión del ADSL  -sin recurrir de momento al modelo francés- señalando  como causantes de todos sus males a unos centenares o así -la ministra es de letras y no le vamos a pedir más concreción- de páginas díscolas sobre las que expiar nuestros pecados pedosperos. Claro que, si te fijas bien, la piel de cordero le tira bastante de la sisa al texto de la norma y asoma un rabo largo y peludo en forma de reforma de la LSSICE.

A lo que íbamos. Los más sesudos y completos análisis que se han hecho de la norma desde el punto de vista jurídico parecen haber partido de la premisa inicial -sutilmente difundida por la coalición de la cosa- de que las páginas que recopilan enlaces, es decir, esas páginas a las que el usuario se dirige, bien directamente porque las conoce o indirectamente porque Google le envía allí, vulneran la ley civil y la penal y, a partir de ahora, la administrativa también.

Una presunción “iuris tantum”, si se me permite la expresión, que se ha colado en los análisis sin la más mínima discusión cuando los pronunciamientos judiciales que ha habido hasta el momento sobre esa presunción han venido mayoritariamente a desmontarla. Es más, atizando el fuego de la polémica me pregunto yo si no estarán estas diabólicas páginas protegidas por el derecho “sui generis” sobre las bases de datos además de ser inocuas desde el punto de vista legal.

Aisladas opiniones contrarias a asumir por defecto que el enlace es contenido no parecen haber sido suficiente contrapeso y el debate se ha centrado más sobre cuestiones procesales y de legitimación -importantes sin duda- que sobre la justificación misma de la norma acríticamente asumida. Sin embargo, sobre la naturaleza y función de los enlaces de internet poco o nada se ha mencionado públicamente desde el sector jurídico.

No quiere lo anterior decir que no sea una barbaridad -que lo es- que la Administración asuma la defensa de intereses particulares concretos por muy legítimos que estos sean quebrando de un golpe varios artículos de la Constitución. Compartimos la alarma que esto supone para el estado de derecho y las libertades públicas, pero la piedra angular de todo el debate es la consideración jurídica del enlace como tal y sobre eso no se ha pasado de puntillas en el mejor de los casos.

La interesada asimilación de enlace y contenido -de indice y  obra- puede servir como justificación para que algunos pretendan poner al Parlamento a su servicio pero no es premisa aceptable sin discusión en un análisis jurídico imparcial. Desde estas líneas animamos ese necesario debate.

Saludos.

]]> http://www.iurismatica.com/blog/de-galgos-podencos-y-una-coalicion-cinegetica/feed/ 5