El 67% de las aplicaciones infantiles recopila datos de los menores

El debate sobre la conveniencia de comprar un dispositivo móvil a nuestros hijos, o la edad a la que deben tener uno, no es nuevo. La sociedad parece haber aceptado que los menores lleven un smartphone en el bolsillo y las apps diseñadas para los más pequeños de la casa se han convertido en un aliado de los padres a la hora de entretenerlos. Sin embargo, no es oro todo lo que reluce en el mercado de las aplicaciones y páginas infantiles. Casi la mitad suscitan serios interrogantes sobre el tratamiento de los datos personales del menor, los datos que recogen y cómo los comparten con terceros.

A este respecto, las agencias de protección de datos de 29 países y organizaciones supranacionales de todo el mundo (Estados Unidos e Unión Europea incluidos) han realizado una investigación en el marco de la Global Privacy Enforcement Network (GPEN), cuya misión es velar por la privacidad de los ciudadanos a nivel internacional, analizando las leyes que la protegen y los aspectos en los que se puede ver comprometida, informa Panda Security.

El 41% de las apps y páginas web analizadas (casi 1.500 en total) presenta algún aspecto preocupante a ojos de los reguladores. Un porcentaje aún mayor, el 67%, recopila datos personales de sus usuarios (nombres y direcciones de correo electrónico, sobre todo), y la mitad comparte dichos datos con terceros (por ejemplo, empresas del sector publicitario).

Algunas van más allá y ofrecen al menor la posibilidad de introducir su número de teléfono (22%) o compartir fotos o vídeos (23%). Adam Stevens, miembro del regulador británico en materia de privacidad, describe estos resultados como “preocupantes” y afirma que “la actitud que muestra una parte de estas webs y aplicaciones sugiere escaso interés por cómo se debe manejar la información personal de cualquiera, especialmente de los niños”.

Según la investigación, el 31% de estas plataformas carece de controles que limiten la recolección de datos de los menores, siendo especialmente alarmante que “muchas organizaciones cuyas webs o apps claramente populares entre los niños simplemente afirman en sus políticas de privacidad que no están dirigidas a menores”, lo cual es manifiestamente falso.

Al otro lado de la balanza, los investigadores han encontrado algunas herramientas que sí ofrecen controles efectivos o implementan buenas prácticas como paneles de control parental, usuarios y avatares predefinidos (que eliminan la tentación de introducir imágenes o nombres reconocibles), avisos que aparecen cuando el menor intenta introducir información personal o salas de chat que controlan el vocabulario que se emplea.

No es la primera vez que surge una polémica a este respecto. Las aplicaciones vinculadas con juguetes están en tela de juicio y la Comisión Federal de Comercio, regulador estadounidense y uno de los miembros de GPEN, ya advirtió en 2012 de que las aplicaciones infantiles recogían datos de menores y los compartían con terceros.

Más recientemente, Apple y Google, tuvieron que abonar cantidades multimillonarias a este organismo por haber permitido durante años que los niños realizasen compras en sus tiendas virtuales, sin permiso de sus padres. Así las cosas, resulta cada vez más importante controlar qué aplicaciones descargan nuestros hijos y seguir algunas recomendaciones de seguridad que nos permitirán superar la vuelta al cole y otros trances similares sin sobresaltos.

http://www.siliconnews.es/

¿Se pueden solicitar indemnizaciones al denunciar ante la AEPD?

En caso de que se crea haberse producido alguna irregularidad en tratamiento de los datos propios o de otra persona, siempre se puede denunciar ante la Agencia Española de Protección de Datos (AEPD). Pero ¿se pueden solicitar indemnizaciones al denunciar ante la AEPD, a favor del denunciante o afectado?

Hay que aclarar que cuando se denuncia ante la AEPD, en caso de que ésta observe que ha habido incumplimiento, se fijará una sanción económica en función de la gravedad de los hechos al responsable de dicho incumplimiento, sin embargo, el afectado nunca percibirá indemnización o cantidad alguna.

Esto es debido a que, como consecuencia de cualquier procedimiento sancionador, la AEPD no tiene ninguna competencia para fijar la indemnización de los posibles daños y perjuicios, debiéndose plantear su reclamación ante la jurisdicción ordinaria, tal y como se establece en el artículo 19.3 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

El citado artículo 19 establece lo siguiente:

  • 1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.
  • 2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas.
  • 3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.

En conclusión, solo podrán solicitarse indemnizaciones cuando la denuncia se realice ante los tribunales civiles competentes, ya que la Agencia solamente tiene competencias sancionadoras a los responsables del incumplimiento, pero no competencias para fijar indemnizaciones a los afectados.

¿Es La dirección IP un dato de carácter personal?

El informe 327/03 de la Agencia Española de Protección de Datos (AEPD) llega a la conclusión de que las direcciones IP, tanto fijas como dinámicas, son datos de carácter personal a los que hay que aplicar medidas de seguridad de nivel básico. Los razonamientos de la AEPD son los siguientes:

  • 1. Los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios a los que han asignado direcciones IP.
  • 2. Con la asistencia de terceras partes responsables de la asignación de la dirección IP se puede identificar a un usuario de Internet por medios razonables.
  • 3. Existe la posibilidad de relacionar la dirección IP del usuario con otros datos de carácter personal, de acceso público o no, que permitan identificarlo, especialmente si se utilizan medios invisibles de tratamiento para recoger información adicional sobre el usuario, tales como cookies con un identificador único o sistemas modernos de minería de datos.

Sin embargo, existen muchas actividades en las que se trabaja con direcciones IP completamente disociadas y en las que no es posible identificar a un usuario concreto de Internet por medios razonables. Exigir el tratamiento de dichas direcciones IP como datos personales, con la consiguiente aplicación de medidas de seguridad de nivel básico, sería altamente costoso para muchas empresas.

No son direcciones IP que puedan ser asociadas a una persona física por medios razonables, por ejemplo, los de todos aquellos usuarios que acceden a Internet a través del servidor proxy de su proveedor de acceso o de la empresa en la que trabajan. En estos casos, la dirección IP pública del usuario no coincide con su dirección IP privada y su identificación sólo puede conseguirse mediante un mandamiento judicial o en los casos expresamente previstos por la Ley. Entiendo que ninguno de esos supuestos representa un medio razonable de identificación.

Tampoco debe considerarse un medio razonable el uso de técnicas ilegales de identificación de usuarios a los que se refieren los antes mencionados puntos 2 y 3 de los razonamientos de la AEPD. Respecto al punto 2, los datos personales de identificación de un usuario no pueden ser cedidos por los responsables de la asignación de la dirección IP si no existe un consentimiento previo del afectado, concurren los requisitos establecidos por la Ley o son solicitados a través del oportuno mandamiento judicial. Respecto al punto 3, la mayoría de las actividades descritas pueden representar una invasión de la intimidad del usuario, ya que los datos de identificación son obtenidos y tratados sin su consentimiento y utilizando técnicas que pueden tener cabida en el artículo 197 del Código Penal. Según mi modo de ver, la comisión de un delito no es un medio razonable de identificación, y el hecho de que haya unos pocos que puedan hacerlo no debe penalizar a todos los demás, que actuan legalmente.

Por otra parte muchos procesos de tratamiento de direcciones IP se realizan sin intervención humana, y forman parte de la gestión cotidiana del tráfico de paquetes IP que permite el funcionamiento de Internet. Las actividades de routing y de caching, por ejemplo, no deberían entenderse en ningún caso como tratamiento de datos personales.

Pero los argumentos que más apoyan la tesis de que las direcciones IP disociadas no tienen que ser consideradas datos personales los da la propia AEPD al tratar otros números asociables a personas físicas como los números de teléfono y las matrículas de los automóviles.

Las características de los teléfonos y de las matrículas concurren en las direcciones IP de forma acumulativa:

  • 1. Son datos que participan en un proceso de comunicación o transacción electrónica como los números de teléfono.
  • 2. Son datos que no pueden asociarse a una persona física sin su previo consentimiento o mediante un procedimiento legal que no puede ser considerado como un medio razonable de identificación.
  • 3. Son datos que, a causa de su enorme volumen, y de su tratamiento automatizado sin intervención humana no pueden ser asociados a una persona física a través de medios razonables.

Por todo ello consideramos que es un error tratar todas las direcciones IP como un dato personal, ya que, en muchos casos la disociación es permanente, y sólo puede eliminarse con un esfuerzo económico o de tiempo, que no puede considerarse razonable.

El Tribunal de la UE invalida el acuerdo que permite transferir datos de Europa a EEUU

El Tribunal de Justicia de la Unión Europea ha anunciado esta mañana la anulación del acuerdo de la CE con Washington que autorizaba la transmisión de datos entre ambos continentes.

Google, Facebook o Apple tendrán que cambiar su estrategia de negocio en Europa. La aprobación del nuevo Reglamento Europeo sobre Protección de Datos no permitirá que las empresas con sede en Estados Unidos procesen la información de sus usuarios europeos en el extranjero, por lo que tendrán que contar con servidores dentro de la Unión Europea si quieren almacenar o transferir esos datos.

La protección de los datos de los usuarios de Europa y la salvaguarda de la privacidad de los mismos serían los principales motivos por lo que el Tribunal de Justicia Europeo haya tomado esta decisión.

La sentencia de Tribunal Europeo se sustenta en la idea de que EEUU no respeta la privacidad de los usuarios de servicios como Facebook o Twitter.

La semana pasada, el abogado general del Tribunal de Justicia Europeo, Yves Bot, insistía en la necesidad de que Europa pusiera fin a esta transferencia de datos cuando hubiese indicios de que la empresa receptora de los datos estaba haciendo un mal uso de ellos y pudiera atentar contra la privacidad.

Esta resolución parte de una causa iniciada ante el Tribunal Europeo por un usuario austriaco de Facebook que denunció que la red social seguía recopilando sus datos a pesar de haber borrado su perfil.

Facua denuncia ante Protección de Datos al Ayuntamiento y la empresa que gestiona la web municipal

La organización de consumidores Facua Sevilla ha remitido una denuncia ante la Agencia Española de Protección de Datos contra el Ayuntamiento de la capital y la empresa que gestiona la web de la Agencia Tributaria local por "haber vulnerado la Ley Orgánica de Protección de Datos dejando al descubierto datos privados de los ciudadanos".

Así lo ha anunciado este viernes la organización en una nota un día después de que el grupo municipal Ciudadanos alertase en una rueda de prensa de la existencia de un "grave agujero de seguridad" en el apartado de la página web del Consistorio correspondiente a la Agencia Tributaria.

En concreto, según subraya Facua, "en el enlace a la Oficina Virtual de la Agencia Tributaria de la ciudad, con tan sólo introducir el DNI de cualquier ciudadano, se han podido consultar sin ningún otro tipo de comprobación de seguridad --como un certificado digital--, datos como domicilio, número de cuenta bancaria, multas pendientes, si tiene deuda o embargos, matrícula del coche y si paga o no los impuestos municipales".

Facua Sevilla considera que "es muy grave que se produzca una vulneración de la privacidad de los ciudadanos desde una herramienta del Ayuntamiento", por lo que espera que "el actual equipo de gobierno investigue el origen de las irregularidades, depure responsabilidades y las haga públicas".

www.facua.es

El debate sobre la conveniencia de comprar un dispositivo móvil a nuestros hijos, o la edad a la que deben tener uno, no es nuevo. La sociedad parece haber aceptado que los menores lleven un smartphone en el bolsillo y las apps diseñadas para los más pequeños de la casa se han convertido en un aliado de los padres a la hora de entretenerlos
(Noticia completa)
En caso de que se crea haberse producido alguna irregularidad en tratamiento de los datos propios o de otra persona, siempre se puede denunciar ante la Agencia Española de Protección de Datos (AEPD). Pero ¿se pueden solicitar indemnizaciones al denunciar ante la AEPD, a favor del denunciante o afectado?
(Noticia completa)
El informe 327/03 de la Agencia Española de Protección de Datos (AEPD) llega a la conclusión de que las direcciones IP, tanto fijas como dinámicas, son datos de carácter personal a los que hay que aplicar medidas de seguridad de nivel básico.
(Noticia completa)
El Tribunal de Justicia de la Unión Europea ha anunciado esta mañana la anulación del acuerdo de la CE con Washington que autorizaba la transmisión de datos entre ambos continentes.
(Noticia completa)
La organización de consumidores Facua Sevilla ha remitido una denuncia ante la Agencia Española de Protección de Datos contra el Ayuntamiento de la capital y la empresa que gestiona la web de la Agencia Tributaria local por "haber vulnerado la Ley Orgánica de Protección de Datos dejando al descubierto datos privados de los ciudadanos".
(Noticia completa)
Volver a noticias generales
Newsletter
Con el envio de este formulario se entiende que acepta nuestra Política de Privacidad.
Seguridad y Privacidad de datos S.L