archivo

Privacy/Protección de Datos

Protección de Datos Personales en los Sectores Público y Privado

20 enero, 2014
Privacy/Protección de Datos
Deja un comentario

Nota Reforma 19-01-14Una nota publicada el día de ayer en la primera plana de la sección «Nacional» del diario «REFORMA» intitulada «Usa el IFE Datos sin Autorización», en la que se refiere que el Instituto Federal Electoral habría hecho uso de los datos de Mabel Ivonne Castañaers Leyva en la presentación a los medios en diciembre pasado del nuevo diseño de la credencial para votar con fotografía elaborada por Giesecke y Devrient, superponiendo la fotografía de quien sería empleada de ésta última a la credencial emitida por dicho Instituto a favor de la antedicha ciudadana da oportunidad para comentar sobre la dicotomía que existe en la regulación de la protección de datos personales en posesión de las entidades del sector público y las del sector privado.

En tanto que la nota de referencia cita los artículos 9 y 12 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la «LFPDPPP»),

  1. Debería haber citado la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental (la «LFTAIPG»), y
  2. Tratándose del Principio del Consentimiento en aquélla debería haber citado el artículo 8, que contiene las reglas generales del consentimiento para el Tratamiento de Datos Personales, toda vez que la credencial para votar no contiene datos personales que la LFPDPPP considere sensibles.

Esto último debido a que de acuerdo con su artículo 3, fracción VI, son considerados como sensibles «aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual». Si esa mica contuviera datos como grupo y RH sanguíne que, por ejemplo, son visibles en las licencias de conducir de los EE.UU.A., para el caso de una emergencia por un siniestro de tránsito, la referencia al artículo 9 de la LFPDPPP hubiera sido correcta, pero no es el caso; la referencia tendría que haber sido a su artículo 8, que contiene las reglas generales del consentimiento para los datos personales que no son considerados como sensibles.

Pero el aspecto más fundamental respecto de la materia de la nota deriva de la referencia a la LFPDPPP, cuando debería haber sido hecha a la LFTAIPG. Ello debido a que de acuerdo con el artículo 2 de la primera Ley referida, son sujetos regulados por aquélla Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, en tanto que de acuerdo con la fracción V del artículo 41 de la Constitución Política de los Estados Unidos Mexicanos, «la organización de las elecciones federales es una función estatal que se realiza a través de un organismo público autónomo denominado Instituto Federal Electoral, dotado de personaldiad jurídica y patrimonio propios», y que el artículo 106(1) del Código Federal de Instituciones y Procedimientos Electorales, «el Instituto Federal Electoral es un organismo público autónomo, de carácter permanente, independiente en sus decisiones y funcionamiento, con personalidad jurídica y patrimonio propios».
De un simple silogismo formado con lo anterior podemos concluir que la LFPDPPP no es aplicable al IFE:
  1. PREMISA MAYOR: La LFPDPPP es aplicable a los particulares o personas de carácter privado.
  2. PREMISA MENOR: El IFE no es un particular ni de carácter privado.
  3. CONCLUSIÓN:        La LFPDPPP no le resulta aplicable al IFE.
El estatuto que debió haber sido consultado al respecto es la LFTAIPG, toda vez que de acuerdo con su artículo 1, ésta «…tiene como finalidad proveer lo necesario para garantizar el acceso de toda persona a la información en posesión de los Poderes de la Unión, los órganos constitucionales autónomos o con autonomía legal, y cualquier otra entidad federal», incluyéndose entre los objetivos de dicha Ley dispuestos en su artículo 4, fracción III, «garantizar la protección de los datos personales en posesión de los sujetos obligados», estos últimos definidos como en la fracción XIV de su artículo 3 de manera tal que incluye a los «órganos constitucionales autónomos».
Para tales efectos y otros como los que son materia de la nota a que se ha hecho referencia, el Capítulo IV de la LFTAIPG versa sobre «La Protección de Datos Personales», y la disposición citada con relación al caso planteado debería haber sido su artículo 21, de acuerdo con el cual «los sujetos obligados no podrán difundir, distribuir o comercializar los datos personales contenidos en los sistemas de información, desarrollados en el ejercicio de sus funciones, salvo que haya mediado el consentimiento expreso, por escrito o por un medio de autenticación similar, de los individuos a que haga referencia la información».
Además es importante señalar que el Aviso de Privacidad previsto en la LFPDPPP no resulta aplicable para el Tratamiento de Datos Personales en posesión de instituciones del sector público; en ese caso lo que el Sujeto Obligado debe poner a disposición de los individuos un documento en que establezca los propósitos del Tratamiento de sus Datos Personales a partir del momento en el cual los recabe, de acuerdo con los Lineamientos establecidos por su propio Comité de Información. El Reglamento del IFE en materia de Transparencia y Acceso a la Información Pública Gubernamental puede ser consultado en el siguiente enlace: http://bit.ly/1dH0lRh.
Finalmente, conviene mencionar que, de acuerdo con el artículo 18, fracción II, de la LFTAIPG, se considerará como información confidencial a «los datos personales que requieran el  consentimiento de los individuos para su difusión, distribución o comercialización» en los términos de esa Ley, salvo que «…se halle en los registros públicos o en fuentes de acceso público», excepción que no se surte en el caso reportado por REFORMA, toda vez que conforme al artículo 171(3) del Código Federal Instituciones y Procedimientos Electorales, «los documentos, datos e informes que los ciudadanos proporcionen al Registro Federal de Electores, en cumplimiento de las obligaciones que les impone la Constitución y este Código, serán estrictamente confidenciales y no podrán comunicarse o darse a conocer, salvo cuando se trate de juicios, recursos o procedimientos en que el Instituto Federal Electoral fuese parte, para cumplir con las obligaciones previstas por este Código en materia electoral y por la Ley General de Población en lo referente al Registro Nacional Ciudadano o por mandato de juez competente».
Nota Reforma 20-01-14photo-3

Cookies! …en el Aviso de Privacidad…

16 diciembre, 2013
Privacy/Protección de Datos
Deja un comentario

Cookie MonsterEl escalonamiento con el que la regulación mexicana en materia de protección de datos personales ha sido emitida ha supuesto para los Responsables del Tratamiento de Datos Personales la necesidad de hacer trabajo adicional para implementar su cumplimiento normativo  correctamente.

Desde el 5 de julio de 2010, fecha en que fue promulgada la Ley Federal de Protección de Datos Personales, y hasta el 21 de diciembre del 2011, mucho después de transcurrido el plazo de un año previsto en el Artículo Tercero Transitorio de esa Ley para que dichos Responsables expidieran sus Avisos de Privaciad, hasta que tras un largo periodo de comentarios públicos en la Comisión Federal de Mejora Regulatoria, fue expedido el Reglamento correspondiente, todos los requisitos para esos Avisos de Privacidad que posteriormente fueron denominados como Integral y Simplificado estaban contenidos en los artículos 8, 15, 16, 36 y 37 de la Ley.

Esos requisitos se limitaban a:

  1. Identidad y domicilio del Responsable;
  2. Información que se recaba de los Titulares de los Datos Personales tratados;
  3. Finalidades del tratamiento de datos;
  4. Ppciones y medios para que los Titulares limiten el uso o divulgación de sus Datos Personales;
  5. Medios para ejercer los Derechos ARCO;
  6. Las Transferencias de datos que se efectúen;
  7. El procedimiento y medio por el cual el Responsable comunicará a los Titulares los cambios al Aviso de Privacidad, y
  8. Consentimiento, ya sea tácito o expreso.

…y fueron incrementados por el citado Reglamento, por ejemplo con la obligación prevista en su Artículo 112, por virtud del cual aquellos Responsables que lleven a cabo el Tratamiento de Datos Personales en procesos de toma de decisiones sin que intervenga la valoración de una persona física deben hacerlo explícito entre la Finalidades de dicho Tratamiento, al igual que el requisito derivado del último párrafo del Artículo 14 del citado Reglamento, de acuerdo con el cual cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar..

Lo anterior fue clarificado a través de los Lineamientos para el contenido y alcances de los Avisos de Privacidad, emitidos por la Secretaría de Economía con fundamento en el artículo 43, fracción III, de la Ley, el cual la facultó para coadyuvar con el IFAI en la emisión de los mismos, cuyo Lineamiento Trigésimo Primero requiere que cuando el Responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos personales, así como la forma en que se podrán deshabilitar, salvo que dichas tecnologías sean necesarias por motivos técnicos, obligando asimismo a incluir en el Aviso de Privacidad la información requerida por el Reglamento de la Ley y la de los propios Lineamientos, entre ella, los datos personales que se recaban y las finalidades del tratamiento.

Una de las maneras más obvias para darse cuenta de que un Responsable ha mantenido en uso un Aviso de Privacidad Integral en medios remotos, como una página de Internet, desde la promulgación de la LFPDPPP o el vencimiento del plazo para implementar ese medio de cumplimiento con el Principio de Información es la omisión de la referencia al uso de cookies, web beacons y otros recursos similares en el referido Aviso.

¿Por qué la necesidad de incluir la mención del uso de mecanismos como las «Cookies» en el Aviso de Privacidad? La entrada en Wikipedia para Cookies explica que estos archivos fueron concebidos originalmente para identificar a los usuarios y diferenciar el comportamiento de los sitios de comercio electrónico al realizar compras en sitios de comercio electrónico; por ejemplo pueden ser usadas para «…control de usuario: cuando se introduce el nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica solo a una persona, sino a una combinación de computador-navegador-usuario», pero que además de pueden ser usadas para rastrear el movimiento del usuario a lo largo de las páginas web visitadas, búsquedas realizadas, etc.

Desde que Internet se volvió un medio financiado fundamentalmente a través de la venta de publicidad el perfilamiento de usuarios se ha vuelto una necesidad para compañías como Google, Yahoo! y Microsoft. Sin embargo puede tener implicaciones importantes para los usuarios en cuanto a privacidad y acceso a oportunidades. El perfilamiento de usuarios podría

Una nota del Wall Street Journal el año pasado explica, por ejemplo, cómo Orbitz distingue entre usuarios de PC y de Mac para ofrecer antes a estos últimos servicios con precios más altos que a los primeros, asumiendo que quien invierte en una Mac es más proclive a optar por servicios «high-end» y, por lo tanto, más caros. Se han hecho también estudios que apuntan al incremento en el riesgo de que el perfilamiento de usuarios a través de diversos medios, incluyendo Internet, podrían resultar en discriminación. La posibilidad de combinar información de fuentes como registros públicos, reportes de crédito, historial de consumos y ubicación podría prestarse a limitar el acceso a bienes y servicios buscados en Internet si sus oferentes optaran por segmentar ese acceso en función del género, edad, nivel socio-económico y consumo de los usuarios.

De ahí que para lograr una verdadera autodeterminación informativa la autoridad de protección de datos personales haya requerido a los Responsables revelar el uso de tecnologías para obtener datos personales a través de Internet y la manera para deshabilitarlas.

El siguiente video de YouTube ilustra, por ejemplo, cómo Google utiliza y almacena las cookies e información obtenida de ellas en su motor de búsqueda. Por otra parte, el Washington Post publicó hace unos días una nota sobre cómo la Agencia de Seguridad Nacional de los EE.UU.A. se vale de esas mismas cookies para identificar y ubicar blancos de hackeo y vigilancia. De particular relevancia es lo indicado en los siguientes párrafos de la nota, que daría tranquilidad a la inmensa mayoría de los usuarios de Internet:

«The intelligence agencies have found particular use for a part of a Google-specific tracking mechanism known as the “PREF” cookie. These cookies typically don’t contain personal information, such as someone’s name or e-mail address, but they do contain numeric codes that enable Web sites to uniquely identify a person’s browser…

The NSA’s use of cookies isn’t a technique for sifting through vast amounts of information to find suspicious behavior; rather, it lets NSA home in on someone already under suspicion«

What makes a good privacy professional?

11 diciembre, 2013
Privacy/Protección de Datos
Deja un comentario

Emma Butler, , published an entry in the blog of the International Association of Privacy Professionals discussing the characteristics that are to be sought in a privacy professional. The key questions she poses to select the right person for such a role are:

«…do you want a lawyer who just advises on the interpretation on the law and leaves decision making on privacy and subsequent implementation to the business? Or do you want a practitioner who can drive the privacy programme from the ground up, making key decisions and delivering privacy effectively across the business

Following she outlines the :

  • Someone who can make decisions.
  • Understand business priorities and limitations.
  • Deliver training.
  • Assist with risk assessment and project manage.
  • Develop and run the privacy programme.
  • Take a strategic view as well as firefight daily.
  • Plan for the medium and long-term but also react quickly to changing demands and deadlines.
  • Unlikely to also be experts in employment law, coding, firewalls or liability caps so they need to be able to successfully co-operate with, and use the expertise of, all facets of the business. And speak their language—whether marketing, IT, legal, audit, risk management or business development.
  • Be leaders.
  • Be able to explain to and influence the senior management to get buy-in for projects, resources and changes to process, policy or even culture.
  • Champion privacy and compliance among the business, often globally, and both lead and support other compliance staff or business champions.
  • Be visible, personable and available to all staff: a source of advice and expertise, and a business enabler.
  • Public speaking skills, presentation skills, diplomacy and the ability to think on your feet.

The mention of the privacy professional as a «business enabler» is key in my line of thinking and practice. I believe it doesn’t take a «highly-pedigreed» lawyer with lots of credentials to say something cannot be done; anyone, whether ignorant or not, can simply say no to something and kill an entire project.

However one such professional should at least be willing to sit and take a long hard look at things in an attempt to find a way for his clients’ projects to work and suggest how to go about it, unless they were definetly contrary to the law.

So when choosing a privacy professional for your organization and/or projects, you may care to consider whether or not that person meets with these characteristics outlined by Ms. Butler, and whether that professional’s attitude is of qualified enablement or incompetent obstruction.

 

Eventos de Tecnologías de la Información en Distrito Federal

9 diciembre, 2013
IP/Propiedad Intelectual, Privacy/Protección de Datos
Deja un comentario

FIDP13_00217La semana pasada tuve oportunidad de asistir a 2 importantes eventos en materia de tecnologías de la información realizados en la Ciudad de México:

  1. El «Encuentro Legislativo con la Sociedad sobre Tecnologías de la Información y Comunicación de la Cámara de Diputados«, organizado por la Comisión Especial de Tecnologías de la Información y Comunicación de dicha Cámara y la Asociación Nacional de Abogados de Empresa (ANADE), y
  2. El Foro Internacional del IFAI sobre Seguridad de Datos Personales, organizado por dicha agencia de protección de datos.

El primer evento fue, en palabras del Dr. Alfredo Reyes Krafft, como «speed dating» en materia de conocimiento de regulación de tecnologías de la información; se organizaron 10 mesas para abordar temas como nombres de dominio, protección de datos personales, protección de la propiedad intelectual, prueba electrónica en juicio e impacto de las TI’s en materia laboral, etc., de manera rotativa con especialistas como la Dra. Isabel Davara, Kiyoshi Tsuru, Joel Gómez y varios más que fueron moviéndose entre las mesas en compañía de un(a) Diputado(a), a fin de comentar los aspectos más relevantes.

Para los asistentes menos versados en esos temas fue, sin duda, una experiencia enriquecedora, al igual que para varios de los legisladores que estuvieron presentes, no obstante que se realizaba una sesión del pleno, quienes demostraron gran interés por empaparse de los temas y entender su impacto en la Agenda Digital de nuestro país, así como el estado de la legislación en esas materias.

El segundo evento, organizado por el IFAI, tuvo como ponentes tanto a funcionarios de la Agencia Española de Protección de Datos, de la Delegatura para la Protección de Datos Personales de Colombia, del Institute of Audit & IT -Governance España y de SM4RT Security, empresa mexicana que estuvo muy cercana al IFAI en el desarrollo de sus Recomendaciones en Materia de Seguridad de Datos Personales.

Uno de los aspectos más relevantes de ese evento fue la explicación de la Metodología de Análisis de Riesgo BAA, siglas para:

  • Beneficio, para el atacante, en cuanto al valor económico, reputacional o estratégico de los datos personales blanco del ataque;
  • Accesibilidad de los datos personales, en cuanto a lo cual se plantea la disyuntiva entre su confidencialidad y la posibilidad de tenerlos a la mano, y
  • Anonimidad del atacante.

La aplicación de esa metodología se orienta a reducir la rentabilidad del atacante, al elevar el riesgo que el ataque le representaría respecto del retorno que podría obtener a través del mismo.

La materia de seguridad de la información es sumamente técnica, y en organizaciones más sofisticadas requiere de la intervención de uno o más especialistas en diversas materias, tales como informática, mitigación de riesgos, seguridad física y perimetral, entre otras, además de requerir de la toma de decisiones muy íntimas para la organización.

En este aspecto la mayor aportación del abogado especialista en protección de datos personales es identificar aquellos aspectos operativos que pudieran significar un incremento del riesgo legal inherente al tratamiento de datos personales, así como tomar las aportaciones de los otros especialistas involucrados y vertirlos en un documento que cumpla con los requisitos determinados por la autoridad de protección de datos personales.

Multa el IFAI a Afore XXI Banorte con $1’246,000.00

2 diciembre, 2013
Privacy/Protección de Datos
Deja un comentario

La sanción más recientemente publicada por el IFAI correspondió a la Afore de Grupo Financiero Banorte, por el tratamiento de datos personales financieros y patrimoniales que dicha Responsable llevó a cabo en contravención a los Principios de Licitud y Consentimiento que informan a la LFPDPPP y violando los artículos 6, 7, párrafo primero y 8, párrafos primero, segundo y cuarto, del citado ordenamiento. Lo anterior no obstante que de acuerdo con un comunicado del propio Instituto fechado en marzo de este año, se llevó a cabo un taller para capacitar a representantes de la Asociación Mexicana de Administradoras de Fondos para el Retiro (AMAFORE) en materia de cumplimiento normativo de la LFPDPPP.

El caso se originó con el traspaso de un cuentahabiente de Afore Metlife a la Afore Bancomer en noviembre del 2012, operación que fue negada por el Titular denunciante, quien solicitó la intervención del referido Instituto para dilucidar quién habría estampado sus huellas dactilares y puesto su fotografía en la hoja de firmas correspondiente. Un caso más de traspaso no autorizado, situación que desafortunadamente ha sido común en el medio del ahorro para el retiro. Ahora bien, el que la Responsable sancionada haya sido una Afore distinta de la nombrada en la denuncia se debe a que Afore Bancomer fue fusionada por Afore XXI Banorte, quien dio contestación como Responsable al requerimiento del Director de Verificación del IFAI.

En suma, dicho Instituto resolvió que la Responsable había dado Tratamiento a los Datos Personales del denunciante violando los Principios de Licitud y Consentimiento previstos en la LFPDPPP, por haber utilizado los Datos Personales financieros y patrimoniales de dicho Titular sin contar con su consentimiento expreso, respecto de lo cual el inciso C) del Considerando Cuarto refiere el oficio No. D00/200/0148/2011, fechado el 22 de diciembre de 2011, por el cual se dio a conocer a PROCESAR, S.A. de C.V., empresa operadora de la base de datos nacional del SAR, el «Modelo de Medios Electrónicos de Traspasos por Internet», mismo que prevé como requisito indispensable el consentimiento expreso del trabajado para el traspaso de su cuenta individual.

Del asunto mismo conviene destacar una mención en el párrafo segundo del inciso B) del Considerando Cuarto, en que se menciona la confesión expresa de la Responsable en el sentido que «…el promotor de nombre ___________ (mismo que fue dado de baja el pasado 26 de febrero de 2013), haciendo alusión que dentro de sus funciones está la recabación (sic) de información personal y confidencial y utilizar la misma para promover el traspaso de los recursos de su cuenta individual […] que sin consentimiento del C. ________ y sin conocimiento de esta administradora utilizó dichos datos para solicitar el traspaso de sus recursos […]».

El IFAI resolvió que la conducta infractora había sido realizada de manera intencional, y consultando la página de internet de Afore Banorte constató que sus estados financieros al 30 de junio de 2013 indicaban un capital contable del orden de $23,178’000,000.00, lo que motivó una multa por la cantidad de $1’246,000.00.

El caso es úitl para enfatizar la importancia de la debida capacitación del personal de las empresas en materia de protección de Datos Personales, puesto que atento al Principio de Responsabilidad  el Responsable del Tratamiento de Datos Personales lo es ante el Titular y la autoridad de protección de datos, independientemente de que lleve a cabo el Tratamiento por medio de su staff, Encargados o Terceros.

Un punto interesante a considerar al respecto es el de las vías que el patrón tiene como Responsable por el Tratamiento de Datos Personales que realizan sus empleados. El art. 48 del Reglamento de la LFPDPPP prevé en sus fracciones I, III y IV que entre las medidas para la observancia del Principio de Responsabilidad se encuentra el diseño, implementación y aplicación de una Política de Privacidad al interior de la empresa. Dicha Política debería ser una especie de Reglamento Interior en materia de protección de Datos Personales, de forma tal que su transgresión pudiera dar pie a sanciones o incluso a la rescisión de la relación laboral sin responsabilidad para el patrón, con base en diversas fracciones del art. 47 de la Ley Federal del Trabajo.

Adicionalmente existe una disposición en el Código Civil Federal que prevé que en caso de que el patrón enfrentara el pago de daños y perjuicios causados por algún Trabajador a una tercera persona, dicho patrón podría requerir a tal trabajador las cantidades que hubiere pagado al afectado. Si bien esa disposición choca contra las normas protectoras del salario en la Ley Federal del Trabajo, su aplicación podría ser un disuasor efectivo para evitar mayores riesgos al patrón por los actos u omisiones de sus trabajadores.

Java Plug-In en el micrositio del SAT para Informes de Actividades Vulnerables

1 diciembre, 2013
Privacy/Protección de Datos, Regulación Bancaria/Financiera
Deja un comentario

En una entrada anterior de este blog abordé algunas incongruencias que un servidor ha encontrado entre las disposiciones de la Ley Federal de Protección de Datos Personales y la Ley para Prevenir e Identificar Operaciones con Recursos de Procedencia Ilícita.

Dicho lo anterior, si bien es destacable que, contrario a lo que suele suceder con las plataformas de diversas autoridads en Internet (como el Registro de Contratos de Adhesión en Línea de la PROFECO -léase al calce «Esta página no funciona con navegadores como: Firefox, Mozilla, Safari, etc.»-), que el Micrositio del SAT para la captura y envío de los Avisos que quienes realicen Actividades Vulnerables deben presentar ante dicha autoridad haya sido diseñado para operar con los 3 de los navegadores de uso más ampliamente utilizados (Internet Explorer, Mozilla Firefox y Google Chrome, y nótese que se olvidaron del Safari), y sin pretender ser un experto en informática (soy abogado y profesional en protección de datos personales), llama la atención haber recurrido a «plug-ins» de Java, lo cual podría parecer no haber sido la decisión más atinada.

Al pulsar sobre el ícono de Acceso al Sistema del Portal en Internet, además de , Firefox despliega una advertencia en la esquina superior izquierda advirtiendo la existencia de vulnerabilidades del plug-in de Java Deployment Toolkit para ese sitio. Al consultar información del navegador sobre el potencial riesgo, el mismo despliega los siguientes textos:

Java Prevention BlockMozilla Java Toolkit PlugIn WarningBuscando información al respecto, encontré en la página del US-CERT (United States Computer Emergency Readiness Team), que explica lo siguiente: http://www.us-cert.gov/ncas/alerts/TA13-010A

Overview

A vulnerability in the way Java 7 restricts the permissions of Java applets could allow an attacker to execute arbitrary commands on a vulnerable system.

Description

A vulnerability in the Java Security Manager allows a Java applet to grant itself permission to execute arbitrary code. An attacker could use social engineering techniques to entice a user to visit a link to a website hosting a malicious Java applet. An attacker could also compromise a legitimate web site and upload a malicious Java applet (a «drive-by download» attack).
(énfasis añadido)

Any web browser using the Java 7 plug-in is affected. The Java Deployment Toolkit plug-in and Java Web Start can also be used as attack vectors.

Reports indicate this vulnerability is being actively exploited, and exploit code is publicly available.

Further technical details are available in Vulnerability Note VU#625617.

Impact

By convincing a user to load a malicious Java applet or Java Network Launching Protocol (JNLP) file, an attacker could execute arbitrary code on a vulnerable system with the privileges of the Java plug-in process.

Solution

Update Java

De lo anterior habrían tres cosas que destacar:

  1. El SAT debería haber considerado el desarrollo del micrositio para Safari, no sólo para navegadores que corren sobre sistemas operativos de MicroSoft. Sin embargo habiendo hecho la prueba de acceder a través de iOS utilizando Safari el micrositio no presentó dificultad.
  2. También debería haberse considerado utilizar un lenguaje de programación que presentara menos vulnerabilidades, y
  3. La seguridad informática y de información no es sólo tarea de quien desarrolla un sitio o plataforma, sino también de quien accede a ellos; es necesario que el usuario aplique las elementales precauciones de mantener su software actualizado, contar con anti-malware (no sólo anti-virus) y ejerza el mínimo y elemental cuidado de evitar descargar contenidos riesgosos o de dudosa procedencia, así como evitar acceder a URLs desconocidos.

Las opiniones al respecto de expertos en seguridad informática serán bienvenidas.

PDP Profesional Certificado en Protección de Datos Personales Nivel Senior

29 noviembre, 2013
Privacy/Protección de Datos
Deja un comentario

Certificación NYCE ROS PDPMe complace participarles que Normalización y Certificación Electrónica, S.C., a través de su área de capacitación, extendió al suscrito la constancia ET-PDP PROFESIONAL CERTIFICADO EN PROTECCIÓN DE DATOS PERSONALES, EN SU NIVEL SENIOR. Ésta es la primera certificación de su clase en México respecto del cumplimiento normativo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

El trabajo para el estudio de la materia, haber tomado el curso, resuelto el caso práctico y sustentado el examen para obtener dicha certificación me permite dar a mis clientes mayor certeza y confianza respecto del trabajo que un servidor realiza para Uds., así como de la inversión que hacen en mis servicios.

Gracias a todos por su confianza.

SONY DSC

Establece IFAI Sistema Electrónico para presentar Solicitudes de Protección de Derechos y Denuncias, así como para Sustanciar Procedimientos

29 noviembre, 2013
Privacy/Protección de Datos
Deja un comentario

El día de ayer fue publicado en el Diario Oficial de la Federación el Acuerdo por el cual el IFAI estableció un sistema electrónico para la presentación de solicitudes de protección de derechos, denuncias por presuntos incumplimientos a la LFPDPPP, así como para sustanciar los procedimientos previstos en dicho ordenamiento, a saber de protección de derechos, verificación e imposición de sanciones, valiéndose para ello del uso de la Firma Electrónica Avanzada (FIEL).

A ese último respecto es convieniente recordar que si bien en un principio y de acuerdo con el Capítulo II del Título I del Código Fiscal de la Federación los Certificados de Firma Electrónica emitidos por el Servicio de Administración Tributaria sólo eran válidos para su uso en promociones hechas ante la autoridad exactora, a pesar de que la figura había sido regulada también en el Capítulo I del Título II del Código de Comercio, y posteriormente su uso fue ampliado a las funciones propias de la Secretaría de la Función Pública, la utilización de ese medio de autenticación fue ampliada exponencialmente por virtud de la Ley de Firma Electrónica Avanzada promulgada el 11 de enero del 2012.

La medida será sin duda un medio fundamental para expandir la capacidad de actuación del IFAI, misma que era restringida por el hecho de no tener delegaciones regionales en el interior de la República, lo que motivaba la necesidad de recurrir a su Centro de Atención a la Sociedad para la presentación de solicitudes de protección de derechos, denuncias y sustanciación de procedimientos.

Con la implementación de este Sistema Electrónico, y sumado a su Generador de Avisos de Privacidad, el IFAI ha dado un paso más para ponerse a la vanguardia entre las Agencias de Protección de Datos del Mundo, ejemplo de las cuales son la Canadiense y Británica, cuyas páginas Web contienen además materiales y medios para que los sujetos obligados al cumplimiento en la materia puedan capacitarse y desarrollar medios de cumplimiento propios.

Lo dicho: datos publicados por Internet podrían haber salido del padrón electoral

9 noviembre, 2013
Privacy/Protección de Datos
Deja un comentario

En alcance a las 2 entradas inmediatas anteriores en este blog corresponde actualizar que en palabras del Srio. de Protección de Datos del IFAI, el Dr. Alfonso Oñate Laborde, citado por Reforma, «La responsabilidad pudiera recaer en diversas personas, pero pensamos que en un primer momento puede ser en el IFE porque todo apunta a que sea el padrón electoral la base de datos madre, sin embargo, es preciso que tengamos en mente que el padrón electoral, por disposiciones de la propia regulación electoral, se pone a disposición de los partidos políticos«.

Lo anterior reforzaría el punto hecho por un servidor en la entrada intitulada ¿Y la Protección de Datos, apá?, (jugando con el meme del comercial de la Chevrolet Cheyenne): las fallas de otros no justifican las propias, de manera que el sector privado debe cumplir con la Ley Federal de Protección de Datos Personales no obstante las filtraciones que pudieran provenir del sector público. Más aun, la debida implementación de medidas de trazabilidad que requiere la fracción X del artículo 48 de su Reglamento para la observancia del Principio de Responsabilidad permitirían deslindar responsabilidades y esclarecer casos como este.

Además el caso podría ser una ocasión propicia para que se revise la cantidad de datos personales contenida en esa identificación que se ha hecho indispensable en cualquier trámite en México. Ya antes se ha postulado la eliminación del dato del domicilio indicado en esas credenciales, pero posteriormente se abrió la posibilidad a que se indicara en ellas, a petición del ciudadano, su tipo sanguineo (útil ante una emergencia) y si es o no donador de órganos.

¿En cuántas recepciones de edificios o ventanillas bancarias se pueden ver exhibidas cotidianamente credenciales de elector de personas que las han dejado olvidadas, quedando sus datos personales expuestos?

 

 

Actualización a ¿y la Protección de Datos, apá?

7 noviembre, 2013
Privacy/Protección de Datos
Deja un comentario

En alcance a la nota inmediata anterior, debe mencionarse que el IFAI no sólo está actuandocomo autoridad de protección de datos personales a petición de parte, sancionando a los Responsables infractores de la Ley Federal de Protección de Datos en Posesión de los Particulares y su Reglamento, sino que también lo ha hecho y hace de oficio, confor.

Desde el caso reportado en el mes de junio por el diario Reforma (ver nota del 4 de junio del 2013) dicho Instituto ha ejercido de oficio las facultades que le confieren las fracciones I, VI y VII del artículo 39 de dicho ordenamiento, así como el 39 del mismo, y en el que figuró en primera plana de dicho rotativo el día de hoy ya ha iniciado un expediente de verificación y formulado una denuncia ante la Procuraduría General de la República, lo cual también fue dado a conocer al público mediante un comunicado en su página de Internet. Ahora bien, no debería dejar de considerarse la actuación del propio Instituto también podría llevarse a cabo con fundamento en artículo 37, fracción V, de la Ley Federal para la Transparencia y Acceso a la Información Pública Gubernamental, si la información presuntamente difundida de manera ilegal por el sitio buscardatos.com hubiera provenido de instituciones del sector público, en cuyo caso además debería tener intervención la Secretaría de la Función Pública.

Compliance Report

Xavier Ribas

Derecho de las TIC y Compliance

Marcus Kazmierczak

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site

Investigating Internet Crimes

An Introduction to Solving Crimes in Cyberspace

Cedric's Privacy Blog

Blog de la Asociación Mexicana de Restaurantes