AuditoriaSistemas.com   contacto

Aumentamos su seguridad

Ronda General Mitre 154 1. 1. - 08006 Barcelona - Tel. 93.532.20.20 - - Formulario de Contacto
AtrásaAdelanteaCerraraImprimir
Auditoría Informática
 » Control Interno
 » Seguridad Informática
 » Políticas de Seguridad
Auditoría de Sistemas
 » Facturación Electrónica
 » Legislación en Internet
 » Seguridad en las Redes
Casos Reales
Clientes representativos
Contacta con nosotros



Legislación en Internet  
 


Aplicamos la legislación actual en el uso de las nuevas tecnologías.

Adaptamos su web a la ley LSSI.
Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), que ha sido elaborada por la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Ciencia y Tecnología, en cumplimiento de lo dispuesto en el artículo 33 de la citada Ley.

Auditoría LOPD
La presente propuesta de servicios jurídicos, se concreta en la siguiente metodología de trabajo:
    a) Análisis de las notificaciones de los ficheros de su empresa realizadas, a día de hoy, ante la Agencia Española de Protección de Datos (en adelante, “AEPD”) y propuestas de modificación si procede.
    b) Informe de Recomendaciones: incluye textos y documentos para adecuar la actividad de su empresa a la normativa en vigor en materia de protección de datos de carácter personal.
    c) Documento de Seguridad: análisis del documento de seguridad actualmente en vigor en su empresa y propuestas de modificación, si procedieran.

Aplicamos las leyes de LOPD, y el R.D.
La normativa de aplicación obliga a los titulares de ficheros registrados en la agencia a efectuar periódicamente una auditoría sobre los sistemas de información e instalaciones de tratamiento de datos que verifique el cumplimiento de las prescripciones legales, de los procedimientos e instrucciones vigentes en materia de seguridad de datos.

Auditoría LSSICE
Atendiendo a la actividad prestada por su empresa desde su página web y observando lo establecido en la LSSICE y las demás normas aplicables sobre la materia, los servicios de auditoría LSSICE consisten en:
    a) Revisión de la página web a efectos de comprobar que contiene la Información General legalmente exigida.
    b) Inscripción del nombre de dominio suempresa.com al registro público procedente.
    c) Redacción de las Condiciones Generales de Contratación necesarias para proceder a la venta on-line de los productos de la Fundación.


El servicio de adaptación a la LOPD incluye:

  • un diagnostico de los tipos de datos,
  • el asesoramiento,
  • y establecimiento del plan de actuación.
Servicio de mantenimiento
Con carácter optativo, su empresa podrá optar por la contratación de un servicio de mantenimiento anual que tendrá por objetivo mantener la evolución de sus actividades tanto dentro de la LOPD como de la LSSICE, así como de cualquier modificación legislativa que pudiera producirse en estas dos normas o en cualquier otra que le sea de aplicación en este ámbito.
Este servicio se concreta en:
    1. Valorar la necesidad de realizar nuevas notificaciones ante la AEPD: creación de nuevos ficheros o eliminación o modificación de los ya notificados.
    2. Identificar nuevos casos de tratamiento de datos por cuenta de terceros o cesiones de datos que no se producían en el momento de la implantación, y ajustarlos a la legislación en vigor.
    3. Actualización anual del Documento de Seguridad.
    4. Consultas telefónicas puntuales siempre que no exijan un estudio posterior atendiendo a la complejidad de la consulta, en cuyo caso los servicios se presupuestarán a parte.
    5. Aplicación de cualquier modificación legislativa en la actividad de su empresa, que pudiera producirse en cualquiera de las leyes citadas
Hemos seleccionado los siguientes articulos para usted:

España. Sanción por Spam. Caso real.
Inicio
Reacción del destinatario
Breve análisis de la cuestión
Sanción impuesta
Conclusión
Fuente: negocios.com

Ley de Servicios de la Sociedad de la Información y el Comercio Eletrónico
Obligaciones legales de la LSSI
Servicios prestados en asesoría de la LSSI
Infracciones
Sanciones
Prescripción
Fuente: www.delitosinformaticos.com

¿Cómo cumplir la LOPD?
Fuente: Auditoriasistemas

España. Sanción por Spam. Caso real

En este artículo vamos a comentar un caso de recientísima resolución, español, relacionado con la LSSICE, en concreto con la sanción por envío de spam.

Inicio

La empresa A, y con fecha 19.9.3, remite un e-mail, entre otras, a la empresa B. El contenido del e-mail versaba sobre publicidad de equipos informáticos, para su venta o alquiler, indicándose en el mismo la dirección del website de dicha empresa, junto con su e-mail, añadiendo al final de dicho correo el siguiente texto : "Su e-mail proviene de una base de datos de acceso público. Si no desea recibir más información de nosotros, basta con reenviar este e-mail con la palabra "eliminar de su base de contactos" en el asunto.".

Reacción del destinatario

La empresa receptora y destinataria de dicho correo electrónico, ni corta ni perezosa, interpuso denuncia ante el Ministerio de Ciencia y Tecnología. El contenido de dicha denuncia, de forma sintética, fue el siguiente : Aportación de la cabecera del e-mail de la empresa emisora de la publicidad ( por encabezado nos referimos a su código fuente ), y la siguiente manifestación ( la expresamos literalmente ) : "No he tenido ninguna relación con esta empresa. No he solicitado nunca que esta empresa me envíe e-mails y en el propio el autor reconoce que mi dirección de e-mail proviene de una base de datos pública".

Breve análisis de la cuestión

El Ministerio de Ciencia y Tecnología - MCyT en adelante - entendió que el hecho ilícito que se daba era el recogido en el artículo 21º de la LSSICE, el cual pasamos a transcribir literalmente : "Queda prohibido el envío de comunicaciones comerciales o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas."

El precepto mencionado, aunque era el que estaba en vigor en la época de los hechos, ha sido modificado en la actualidad, pues la Ley General de Telecomunicaciones le ha dado nueva redacción - con el fin de adaptarlo a la Directiva comunitaria también en vigor -, consistiendo dicha modificación, en síntesis, en que dicha publicidad será lícita si la dirección electrónica se obtuvo porque el titular de la misma fue cliente del remitente, y el contenido de ésta está relacionado con la actividad que permitió su obtención cuando inicialmente se conocieron. A ello se añade que ha de ofrecerse al destinatario un medio gratuito y sencillo para oponerse a seguir recibiendo más publicidad.

Aunque el remitente, en sus alegaciones ante el MCyT esgrime y alega que con la modificación de la LSSICE sería ya legal su conducta, lo cierto es que no es así, pues dicho destinatario ha había sido cliente anterior, con lo cual no se da el supuesto que hubiese convertido en legal dicha actuación.

Por otro lado, alega igualmente el denunciado que la dirección se obtuvo de bases de datos de acceso público, pero lo cierto es que la LSSICE no contempla dicho supuesto, y lo más parecido que tenemos en nuestra legislación es lo previsto en la LOPD ( Ley Orgánica de Protección de Datos ) cuando habla de las llamadas fuentes de acceso público, pero cuando indica cuáles son no incluye a Internet, y además, por si hubiese duda, ya la misma Agencia de Protección de Datos, en su Memoria anual del año 1.991 afirmó lo que hemos acabado de decir : Internet no se considera fuente de acceso público, pero además, aunque lo fuese, ello sólo convertiría en legal el tratamiento informático de dichos e-mails, pero no su uso para envío de publicidad.

Sanción impuesta

En el procedimiento que comentamos, cabe interponer - si así se optase por ello, pues no es obligatorio, sino una mera posibilidad que otorga la ley - un último recurso ante el Ministerio, para después de él, si se volviese a perder, acudir a la vía judicial.

De cualquier forma, la sanción por la que se ha decantado el MCyT ha sido de 3.000 euros, la cual, si consideramos que el hecho considerado probado, el envío de spam conforme al artículo comentado, está previsto en relación al mismo el imponer una multa que podría llegar hasta los 30.000 euros, se podría decir, en principio y con matices, que no ha sido algo desproporcionado, aunque sería algo opinable y más matizable, y se saldría del objeto de este artículo por lo extenso.

No obstante, no está de más comentar o exponer los criterios que contempla la LSSICE en orden a la graduación o aquilatamiento del importe de las multas que en su caso se impongan, y dichos criterios son : existencia o no de intencionalidad; tiempo durante el cual se ha estado cometiendo la infracción; reincidencia o no existente; naturaleza y cuantía de los perjuicios causados; beneficios obtenidos por la infracción, y volumen de facturación a que afecte la infracción cometida.

Conclusión

Exceptuando el supuesto actual contenido en la modificación de la LSSICE y expuesto más arriba ( que hayan sido clientes nuestros con anterioridad y la publicidad esté relacionada con lo que dio pie a la contratación inicial, o bien - esto no ha cambiado - poseamos su consentimiento expreso o autorización previa ), está claro que, por lo menos en España, hay que meditar más que mucho el envío de publicidad vía e-mail, so pena de que podamos incurrir en infracciones de enorme cuantía. La comentada fue pequeña ( 3.000 euros ) pero otras podrían llegar a los 30.000 ( sin entrar a analizar otras circunstancias que, también ilegales, podrían unirse al envío de dicho spam, las cuales podrían incrementar hasta en 60 veces el importe máximo indicado ). Conclusión : ¿ A quién prefiere pagarle ?, ¿ al MCyT o a un buen asesor legal que le informe de todo ello y de los riesgos ?. Yo sí sabría a quién ;)

Ley de Servicios de la Sociedad de la Información y el Comercio Eletrónico

Con motivo de la entrada en vigor de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico 34/2002, de11 de julio, (en adelante LSSI) surgen una serie de obligaciones para aquellas empresas que presten servicios por las redes de telecomunicaciones.

Esta Ley entrará en vigor el 11 de octubre , en virtud de lo establecido en la Disposición Final Novena de la Ley.

Obligaciones legales de la LSSI


Los prestadores de servicios de la sociedad de la información establecidos en España deberán cumplir las siguientes obligaciones:

1. Deberán hacer constancia registral del nombre de dominio o dirección de Internet.

2. Ofrecer de forma permanente, fácil y gratuita información general sobre su empresa.

3. Tienen el deber de colaboración con las autoridades

4. Deberán retener los datos tráfico relativo a las comunicaciones electrónicas.

Servicios prestados en asesoría de la LSSI


Incluye, entre otras, las siguientes prestaciones:

1. Análisis del estado en el que se encuentra su empresa, examinar si se adapta a las exigencias de la LSSI.

2. Asesoramiento jurídico para la empresas se adapten a la LSSI.

3. Asesoramiento jurídico en torno a Responsabilidad de los Proveedores de servicios de Internet.

4. Redacción de un informe relativo a los derechos de los usuarios que acceden a dichos prestadores de servicios.

5. Asesoramiento jurídico en materia de Contratación por vía electrónica.

6. Asesoramiento jurídico en materia de Comunicaciones Comerciales por vía electrónica.

7. Asesoramiento jurídico en relación a la elaboración, desarrollo e implantación de un documento de seguridad acorde con las características y necesidades de su empresa.

8. Llevar a cabo una labor de mantenimiento y puesta al día de todas aquellas cuestiones jurídicas surgidas como consecuencia de la normativa de protección de datos de carácter personal.

Infracciones

Infracciones muy graves

  • Incumplimiento de las órdenes dictadas por los órganos competentes cuando un determinado servicio de la sociedad de la información atente o pueda atentar a los principios recogidos en el art.8
  • El incumplimiento de la obligación de suspender la transmisión, alojamiento de datos acceso a la red...cuando un órgano competente lo ordene, art.11.
  • El incumplimiento de la obligación de retener los datos de tráfico generados en las comunicaciones electrónicas, art.12.
  • La utilización de datos retenidos, (art.12), para fines distintos de los señalados.

Infracciones graves

  • Incumplimiento del deber de información general (nombre, denominación social, residencia o domicilio, dirección de correo electrónico, el precio del producto los servicios, impuestos, gastos de envío).
  • Envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica, que los destinatarios no hayan autorizado.
  • No poner a disposición del destinatario las condiciones generales a las que se sujete el contrato.
  • Incumplimiento habitual de la obligación de confirmar la recepción de una aceptación.Ø La resistencia o negativa a la actuación inspectora por parte de los órganos facultados.

Infracciones leves

  • No comunicar al registro público el nombre o nombres de dominio o direcciones de Internet.
  • No informar de forma permanente, fácil, directa y gratuita sobre: los datos de su inscripción en el registro, los datos relativos a la autorización en el caso de estar sujeto, los datos en caso de estar colegiado, el número de identificación fiscal, los códigos de conducta.
  • Incumplimiento de la obligación de que las comunicaciones comerciales sean claramente identificables y de que se indiquen la persona física o jurídica en nombre del cual se realizan, (contener el comienzo del mensaje la palabra "publicidad")
  • El envío de comunicaciones comerciales no autorizadas o solicitadas, cuando no constituya falta grave.
  • No facilitar la información a que se refiere el artículo 27.1 en contratación por vía electrónica.
  • El incumplimiento de la obligación de confirmar la recepción en la contratación por vía electrónica, cuando no constituya una infracción grave.

Sanciones

 

 

SANCIONES

LEVES

Multa de hasta 30.000 euros

GRAVES

Multa de 30.001 hasta 150.000 euros

MUY GRAVES

Multa de 150.001 hasta 600.000 euros.Si hay reiteración dos o más infracciones de cª muy grave (Plazo 3 años), Prohibición de actuación en España.


Las Sanciones Graves y muy Graves: Publicación a costa del sancionado en el BOE, en dos periódicos.

Infracciones cometidas por prestadores de servicios de Estados no miembros de la UE. : medidas necesarias para impedir acceso desde España máximo dos años.

Prescripción

Infracciones

  • Muy Graves: a los tres años.
  • Graves: a los dos años.
  • Leves a los seis meses
Sanciones
  • Por faltas muy Graves: a los tres años.
  • Por faltas Graves: a los dos años.
  • Por faltas Leves: al año.

Medidas de carácter provisional

Supuestos Infracciones Graves o Muy Graves

Finalidad Asegurar la eficacia de la resolución

Medidas

  • Suspensión temporal de la actividad, (o cierre provisional)
  • Precinto, depósito o incautación de registros, soporte y archivos informáticos, aparatos y equiposinformáticos.
  • Advertir al público de la incoación del expediente sancionador.

Adopción

  • En casos de urgencia se pueden acordar antes de la iniciación del expediente sancionador.

Multa coercitiva

  • El órgano administrativo podrá imponer multas coercitivas que no excedan de 6.000 euros por cada día que no se cumplan las medidas provisionales.

¿Cómo cumplir la LOPD?

Para adaptarse a las exigencias legales se deben realizar varios pasos:

  • Identificar los ficheros de datos que se manejan y determinar el nivel de seguridad aplicable.
  • Redactar el Documento de Seguridad en el que se recojan las medidas adoptadas en función del nivel correspondiente (el documento de seguridad ha de estar a disposición de la Agencia de Protección de Datos).
  • Redactar y aplicar las cláusulas y contratos que sean necesarios en caso de tener que recabar el consentimiento de los afectados o que exista tratamiento de datos por terceros.
  • Notificar a la Agencia de Protección de Datos la existencia del fichero.

La finalidad de la auditoria es facilitarle este proceso indicándole las medidas que debe adoptar y proporcionándole los modelos de la documentación legalmente exigida. De esta manera Ud. podrá poner en marcha su adaptación a las exigencias legales sobre la base del material preparado por un equipo de abogados y expertos informáticos que han realizado numerosos trabajos de implantación en empresas de la mayor complejidad.
   
© 2004 Auditoría Sistemas
 
Creación y diseño de la página web Einnova.com