Proveedores de correo electrónico y conservación de datos


Después del debate sobre la política de retención de datos de Google y sobre la consideración de las direcciones IP como dato de carácter personal, y visto el avance que ya nos había dado la AEPD, parece que ya está próxima la publicación de la Opinión del Grupo del Art. 29 sobre tratamiento de datos de carácter personal por los buscadores de Internet.



Como aperitivo, ayer nos llegaba la versión final no oficial de la Opinión, que como podéis comprobar fue publicada en la página web de la autoridad de protección de datos de carácter personal de Holanda. A este documento rápidamente Google daba réplica y la AEPD nos facilitaba un resumen.

Pues bien, este documento va a ser de vital interés no sólo para los buscadores de Internet, sino también para todo propietario de servidores web que generen cookies y logs de visitas para tratarlos para finalidades como mejorar los servicios de la Sociedad de la Información o los procesos de contratación electrónica ofrecidos, optimizar los buscadores sobre el dominio propio, disponer de estadísitcas de visitas, implantar soluciones de seguridad o prevención del fraude, generar perfiles de usuarios y clientes,... y aquellos que incluso estén facilitando el uso de cookies por terceros como por ejemplo sucede con las cookies de las empresas de publicidad on-line.

La Opinión trae consigo algunos temas que se están tratando como novedosos, pero no hay que perder de vista que otros documentos del Grupo del Art. 29 que son citados en la Opinión y que son la fuente de estos temas pretendidamente novedosos como el ámbito de aplicación de la Directiva 95/46/CE, la consideración de las direcciones IP como dato de carácter personal y las particularidades en el tratamiento de las cookies.

Algo que puede tener especial trascendencia en lo que a la aplicación de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, es que el Grupo del Art. 29 manifiesta que, si bien al servicio de búsquedas de Google no le aplica la Directiva conservación de datos, ésta sí que es de aplicación al servicio de correo electrónico disponible al público de GMail.

Google seguramente opera en el mercado como proveedor de correo electrónico haciendo uso del servicio de acceso a Internet provisto por algún ISP. Éste es precisamente uno de los casos que más dudas está trayendo consigo en lo referente al ámbito subjetivo de la ley de conservación de datos. En mi opinión, la ley aplica a este tipo de proveedores si bien es cierto que por manifiesta imposibilidad técnica en ningún caso podrán atender al requerimiento de conservación:
Con respecto a los datos necesarios para rastrear e identificar el origen de una comunicación
El número de teléfono asignado a toda comunicación que acceda a la red pública de telefonía (art. 1.a.2.ii)
Con respecto a los datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:
El número de teléfono de origen en caso de acceso mediante marcado de números (art. 1.e.3.i) ; o
La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación (art. 1.e.3.ii).
Estos datos deberán ser conservados por los proveedores de acceso a Internet contratados por los proveedores de correo electrónicos disponibles al público.

Por otra parte, es importante tener claro a este respecto que las empresas que se dotan de servidores de correo electrónico para autoconsumo no son consideradas operadores de comunicaciones electrónicas y por lo tanto no son sujeto pasivo de la legislación de telecomunicaciones ni de la ley de conservación de datos.

Un caso bastante similar al de este tipo de proveedores de correo electrónico es el de los revendedores y los operadores móviles virtuales, con la diferencia de que en estos casos los operadores de telefonía fija o móvil o los proveedores de acceso a Internet se configuran como encargados del tratamiento. De ahí la vital importancia de contar con contratos que dén cumplimiento a lo dispuesto en el artículo 12 LOPD y en el RLOPD, sin olvidar incluir provisiones específicas para la transición a otro operador de acceso en los casos de terminación del contrato que une a revendedor u operador móvil virtual con aquél.

En los próximos días publicaré algunos posts sobre algunas de las cuestiones más relevantes de la Opinión que ha dado pie a este correo.

Fuente:
Álvaro Del Hoyo
Departamento de Consultoría
http://blog.s21sec.com



Otras noticias de interés:

NSS Lab: firewalls comunes vulnerables
Algunos de los firewalls más comunes son vulnerables a un mismo exploit. El exploit permite a los atacantes engañarles para entrar en las redes internas de las empresas como si se tratara de conexiones IP de confianza....
Acerca de la Historia del Famoso Pinguino o TUX (de Linux)
Tux es el nombre de la mascota oficial del kernel de Linux. Creado por Larry Ewing en 1996, es un pequeño pingüino de aspecto risueño y cómico. La idea de que la mascota de Linux fuera un pingüino provino del mismo Linus Torvalds, creador de Lin...
Salto de restricciones a través de error_log en PHP
Se ha descubierto un problema en PHP que puede ser aprovechado por atacantes locales para saltarse restricciones de seguridad. ...
Vulnerabilidad en cliente IRC de Opera Web Browser 9
Se ha reportado que el cliente de IRC (Internet Relay Chat) de Opera Web Browser, es propenso a una vulnerabilidad del tipo denegación de servicio (DoS)....
Más usuarios, menos protección
Los ordenadores son muchas veces compartidos y cada usuario navega según su criterio. ¿Podría estar la seguridad del equipo y de las demás personas en peligro? ...
Ley de Tecnología de Información en Venezuela
Aprobada la primera discusión de la Ley de Tecnología de Información en Venezuela...
Apple Remote Desktop no cifraba el tráfico
Se ha confirmado la existencia de una vulnerabilidad en Apple Remote Desktop. Podría permitir a usuarios maliciosos acceder a información sensible....
Estudio sobre el adware Virtumonde
ESET ha realizado un nuevo análisis técnico; esta vez acerca del Virtumonde, un adware con capacidades de spyware que este año tuvo altísimos niveles de propagación, ocupando las primeras posiciones del ranking de detecciones generado por Threat...
Microsoft soluciona el primer fallo de Internet Explorer 8 en sólo 12 horas
La vulnerabilidad se descubrió en el concurso Pwn2Own, que celebraba su tercera edición, y fue resulta por Microsoft en un tiempo récord. ...
INTECO: Estudio sobre la seguridad de las redes inalámbricas (wifi)
Las redes inalámbricas permiten a los usuarios acceder desde cualquier dispositivo a Internet en tiempo real y sin necesidad de cables, por lo que son las aliadas perfectas de las tecnologías móviles. ...

Brindanos
un o una


Redes Sociales

Publicidad

Virtualización de Servicios y Redes

Categorías


Planeta Vaslibre

Blog Roll


Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • conservacion
  • correo
  • datos
  • debian
  • electronico
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • proveedores
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra