Los drones y las empresas: legislación

Múltiples son las áreas en la legislación con las que se debe lidiar en el entorno de las empresas en todo lo que tiene que ver con el entorno digital de las mismas, y los sistemas de aeronave no tripuladas operadas por control remoto (más comúnmente conocidos como drones) no resultan ninguna excepción.

multicopter-1873532_1280

Este tipo de dispositivos cada vez están más presentes entre nosotros y ya forman parte de una realidad diaria para muchas empresas, en algunos casos para labores de inspección o de seguridad en el ámbito industrial o en cualquier otro, en otros casos para labores técnicas (como por ejemplo en el entorno agrícola) o en otros casos para usos creativos.

Sea como fuere estos aparatos ya son necesarios para la actividad diaria de muchas empresas, cada día serán más indispensables y están destinados a convertirse en una nueva realidad extendida globalmente al conjunto de la sociedad en general y de las empresas en particular en pocos años.

Por todo lo anterior una legislación acorde a los usos de estos aparatos resulta indispensable y cierto es que el legislador ha ido incorporando importantes novedades legislativas al respecto (por ejemplo en nuestro entorno más cercano merece una especial atención la ley 18/2014, de 15 de octubre), pero cierto resulta también que aún queda mucho camino por recorrer.

Al tenor de lo establecido legalmente por la ley sobre la necesidad de que el uso de muchos de estos dispositivos requiera de un piloto remoto debidamente capacitado, mencionar que algunos de los requisitos indispensables que se exigen en la actualidad son los siguientes:

El piloto remoto debe ser mayor de edad, debe disponer de un certificado médico que habilite que se encuentra en condiciones físicas y psíquicas adecuadas para pilotar, y requiere de un certificado de conocimientos teóricos y otro de prácticos sobre pilotaje.

Y sobre esta necesidad de certificarse en un curso de pilotos de los denominados RPAS, debe especificarse que tal certificación deberá obtenerse -entre otras consideraciones que podrían realizarse- en alguna organización conforme al ANEXO VII del Reglamento UE nº 1178 /2011, de 3 de noviembre.

Anuncios
Publicado en Sin categoría | Etiquetado , ,

La validez de las comunicaciones de las administraciones públicas en el marco del RGPD

La definitiva obligatoriedad del cumplimiento de lo establecido en el RGPD ha despertado muchas dudas que afectan a todas las personas físicas y jurídicas, y también a las administraciones públicas en su relación con estas.

hamburg-85434_1280

En este caso nos ocupa determinar la validez o no de las comunicaciones (en el marco de lo establecido por el RGPD) de los ayuntamientos mediante datos personales (por ejemplo correos electrónicos o teléfonos a los que enviar información municipal) de los cuales dispongan en sus bases de datos.

La ley es clara al respecto: el tratamiento de los datos personales que lleven a cabo las administraciones públicas debe de ser lícito, y para que resulte lícito se debe cumplir con lo establecido en el artículo 6.1 del Reglamento Europeo de Protección de Datos.

Pero, ¿qué es un uso lícito de los datos personales por parte de las administraciones públicas, entre estas los ayuntamientos?  Veamos.

En el caso de las administraciones públicas debe de tenerse presente que las mismas podrán comunicarse con nosotros cuando deban dar cumplimiento a una obligación legal o cuando den cumplimiento a un asunto de interés público o que forme parte de los poderes públicos que como ente se le confieren, pero más allá de esto nada.

Y ese “nada” es muy importante de señalar, pues que las administraciones públicas puedan tener algunas facultades conferidas no les habilita para contactarnos ni disponer de nuestros datos para ninguna otra situación.

Para tales casos, para los casos en los cuales un ayuntamiento desee comunicarse con nosotros para otros fines deberá contar con nuestro consentimiento expreso y el mismo deberá de ser dado de forma libre, inequívoca, podemos revocarlo en cualquier momento y, muy importante, debe de ser especifico para la finalidad en concreto de la que se trate.

Cuando lo anterior no se produzca y en aquellos casos en los que se haya “forzado” la obtención de los datos sin el consentimiento mediante nuestra acción directa y parametrizada según lo indicado anteriormente, nos podremos encontrar ante un uso indebido de nuestros datos por parte del poder público.

Publicado en Sin categoría | Etiquetado , ,

Desarrollo de software: ¿Es mejor para una empresa escoger España o los EEUU?

Cuando una empresa tiene que encargar el desarrollo de un software cualquiera una de las dudas que pueden entrarle es el mejor país para encargar el desarrollo del mismo. Aquí vamos a hacer una breve comparativa entre hacerlo en España o hacerlo en EEUU.

Para tomar la decisión muchas son las variables y consideraciones a tener presentes, de buen seguro que en algunos aspectos será mejor un lugar y en otros aspectos será mejor otro, pero en lo que aquí concierne nos vamos a referir exclusivamente a lo que afecta a la propiedad intelectual del mismo.

software-417880_1280

Objetivamente hablando puede decirse que escoger los EEUU para desarrollar el software será una mejor elección para la empresa, una opción más segura en lo que concierne a la propiedad intelectual y ello le blindará de una mejor manera de posibles problemas posteriores.

España, del mismo modo que el conjunto de la Unión Europea, tiende en muchos aspectos a tener un perfil mucho más proteccionista y eso se ve reflejado en lo aquí expresado.

Así, mientras al tenor de lo establecido en el artículo 97.1 de la Ley de Propiedad Intelectual se considera autor de la creación a la persona física o grupo de personas físicas que lo hayan creado y simplemente deja abierta la puerta a establecer la titularidad de los derechos a personas jurídicas en los supuestos concretos que la misma ley prevé, en los EEUU el creador mismo puede ser la empresa, puede ser el empresario.

El matiz entre ser el autor o creador de la obra y ser el titular de los derechos sobre la misma es muy importante y de naturaleza conceptual. Así, mientras en el marco español, el creador de la obra siempre será considerado -a efectos prácticos- el autor o creador de la misma, a pesar de que los derechos de explotación le correspondan a la empresa que ha encargado el software, en los EEUU conceptualmente es diferente.

En los EEUU, la misma legislación otorga naturaleza de creación a aquel empresario o quien fuere que encarga la elaboración de una obra, además de disponer de los derechos de explotación de la misma. Todo ello en base a lo establecido en el apartado B de la sección 201 de la norma relacionada con el Copyright del país norteamericano.

Dicho de otro modo lo anterior, mientras en un supuesto el padre o madre de la obra siempre será su creador (en la práctica), es decir, quien lo ha desarrollado, en el otro caso puede decirse que adquiere la naturaleza de padre o madre de la obra quien la ha encargado.

Para la empresa puede -de entrada- no tener una gran relevancia, pues de no existir pacto en contrario (según lo establecido en el artículo 97.4 de la Ley de Propiedad Intelectual española) la empresa dispondrá de los derechos de explotación y el empleado o prestador de servicios no podrá reclamar, pero normativamente tiene más fuerza en favor de la empresa o contratante del que se trate la normativa estadounidense.

Sin duda, todo un buen y controvertido debate conceptual, en el cual se puede discutir mucho sobre los derechos inherentes al creador de una obra y que daría mucho de sí, pero hasta aquí los detalles concernientes al mero enfoque desde el cual este tema aquí se ha tratado.

Publicado en Sin categoría | Etiquetado , , , ,

Directiva UE para garantizar la seguridad de las redes y sistemas de información en la Unión

De un tiempo a esta parte parece que tan sólo se escucha hablar del Reglamento General de Protección de Datos y si bien resulta cierto que el mismo tiene un gran impacto y una gran relevancia para las empresas y profesionales de todo tipo y tamaño, también resulta cierto que el mismo tan sólo es una pieza más de todo el rompecabezas que supone el conjunto de la legislación en materia del ámbito tecnológico.

gdpr-3357873_1280

El Reglamento General de Protección de Datos ya resulta de obligatoria aplicación, pero como muchos más. Quedarnos en tan sólo un reglamento (por importante que este sea) es algo más mediático que otra cosa.

Las empresas se han tenido ya que adaptar (aunque todos sabemos que la gran mayoría aún no lo han hecho o lo han hecho mal) a este reglamento, pero la realidad es que las empresas nunca deberán dejar de adaptarse a las nuevas reglamentaciones, normas, leyes y todo lo que irá apareciendo siempre continuamente.

Vivimos en un entorno cambiante y de profunda transformación tecnológica constante y a ello debemos adaptarnos. Saber actuar siempre ante ello en todos los frentes que nos atañen y que nos van e irán aplicando resulta y resultará imprescindible para el desarrollo de cualquier negocio.

Seguridad de las redes y de los sistemas de información

La seguridad de las redes y de los sistemas de información se ha convertido en una pieza fundamental para la seguridad de cualquier lugar, de cualquier estado y de cualquier conjunto supranacional.

Así las cosas el Parlamento Europeo y el Consejo de Europa ya en el pasado año 2016 aprobaron la Directiva (UE) 2016/1148 con el fin de crear unas medidas que garanticen en el conjunto de la Unión un nivel parejo determinado de seguridad en las redes y en los sistemas de información.

De todo lo establecido en dicha directiva, en este artículo vamos a focalizarnos en lo que dicta su artículo quinto, concretamente lo que establece en su punto primero.

A tenor de lo dictado corresponde decir que todos los estados miembros de la Unión (a más tardar el 9 de noviembre del 2018) deberán tener identificados a todos aquellos operadores de servicios considerados esenciales. Los estados deberán tener identificados a todos los operadores que formen parte de los sectores y subsectores que la directiva establece.

Los sectores y subsectores son los que la misma directiva fija en su anexo segundo, los mismos de modo genérico -y sin entrar en detalle- son aquellas empresas que tengan que ver con el ámbito de la energía, el transporte, la banca y otras empresas financieras, el sector sanitario, las empresas de suministro y distribución de agua potable y las empresas que proveen de infraestructura digital (proveedores de servicios del DNS, registros de nombre de dominio de primer nivel, entre otros).

Publicado en Sin categoría | Etiquetado , , , ,

Legislación sobre firma electrónica en los EEUU

Para toda aquella empresa que quiera operar en los EEUU le resulta de vital importancia conocer aquello que la legislación establece en el ámbito de la firma electrónica. Ello afecta tanto a las relaciones mercantiles entre empresas, como a las relaciones de los entes privados con las administraciones públicas o, también, a los servicios de desarrollo de apps u otros que requieran de firma electrónica con el consumidor final, entre otros.

finger-2081169_1280

A partir de la Ley de Modernización de la Seguridad de la Información (Act of 2014, 44 U.S.C. § 3551 y siguientes) se han establecido nuevos elementos al respecto, resultando especialmente reseñable lo establecido en la SP-800-175A (NIST).

En resumidas cuentas podemos decir que en lo que concierne a la firma digital se establece que:

1- Se permitirá la relación, y transacción, con la administración por vía electrónica -con carácter general- de todas las personas físicas y jurídicas

2- Se establece plena equivalencia entre los contratos celebrados en papel y los contratos celebrados electrónicamente, así como se establece plena equivalencia entre aquellos documentos firmados a mano con tinta y aquellos firmados electrónicamente

Como podemos ver existe una importante fuerza de la firma digital a todos los efectos, lo que potencia enormemente las relaciones administrativas y contractuales –de todo tipo- por vía electrónica.

En Castillón Consulting Abogados ofrecemos todo tipo de servicios legales en los Estados Unidos de América.

Publicado en Sin categoría | Etiquetado , , ,

Leyes de datos personales y seguridad cibernética en los EEUU

Actualmente ya se puede decir que los 50 estados de la nación estadounidense cuentan con algún tipo de regulación que tiene que ver con el tratamiento de la protección de datos relacionado con el ámbito de la seguridad cibernética.

Lo anterior es muy importante de conocer por las empresas pues aquellas empresas que operan en el país, y que lo hacen en más de un estado, lo hacen en un entorno que no resulta homogéneo en el aspecto que aquí nos ocupa y aquello que establece la ley en un estado determinado puede ser ostensiblemente diferente en otro. Del mismo modo puede decirse que la ley no establece exactamente lo mismo en un lugar que en otro.

clause-1462968_1280.png

Así, las responsabilidades en las cuales puede incurrir una empresa o negocio cualquiera en el caso de que sus datos se vean expuestos por un acceso indebido a los mismos pueden ser muy diferentes y de calado muy diverso. Todo ello afecta tanto a los datos que la susodicha empresa pueda disponer de sus clientes, de sus empleados o de cualquier tercero.

Aunque, tal y como se está mencionando, la legislación es diferente según cada estado cierto resulta que existe un común denominador que se puede considerar que aplica de forma transversal con independencia del estado: la necesidad de notificar de la brecha en los datos a la persona afectada (y en el caso de los datos afectos derivados de una relación mercantil entre empresas sobre el cliente de una empresa que mantenga la otra para el envío de comunicaciones comerciales, entonces la comunicación la deberá realizar la empresa afectada a la empresa que es titular primaria de los datos de su cliente afectado).

La necesidad de notificación es algo común a los distintos estados, pero no lo es el momento en el cual nace la obligación de realizar esa comunicación. Una buena norma general al respecto sería la de decir que nace comúnmente cuando se ha producido una exfiltración o se han visto comprometidos en cualquier grado datos relacionados con los supuestos que se expondrán a continuación:

Si se ha producido una exfiltración del nombre y apellido de la persona en cuestión normalmente requerirá de notificación, lo mismo sucederá si el dato comprometido tiene que ver con datos financieros (numeración de tarjetas de crédito, cuentas bancarias, etc.).

En el mismo supuesto que en los casos anteriores nos encontramos ante una situación donde los datos comprometidos tienen que ver con una dirección de correo electrónico o con los números de la seguridad social o de la licencia de conducir, así como con datos relacionados con el perfil médico utilizado por las aseguradoras.

Por supuesto lo anterior no resulta para nada una lista exhaustiva y no detalla cada uno de los supuestos, sea cual sea el caso resulta de interés el recordar que aplicará la jurisdicción del estado de la persona afectada y no la del estado en el cual se encuentre la empresa.

Existen una serie de recomendaciones generales a seguir por las empresas para evitar ser pasto de estos sucesos, así como existen algunas promulgaciones de obligado cumplimiento al respecto, siempre aplicando la realidad estatal que resulte de menester. Cabe destacar que cada vez más se habla de un entorno federal que vendrá a marcar, en mayor medida, una línea común que no ponga fin a la disparidad pero que sí que haga un poco más homogéneo más el dispar marco regulatorio “ciberlegal” actual.

Desde Castillón Consulting Abogados ofrecemos todo tipo de servicios legales en los Estados Unidos de América y, personalmente, ofrezco todo tipo de servicios y formación relacionada con el ámbito de la ciberseguridad.

Publicado en Sin categoría

Actualizaciones de seguridad de Microsoft (marzo 2018)

Recientemente Microsoft ha publicado las actualizaciones de seguridad para este mes de marzo 2018, las mismas están disponibles desde el día 13 de marzo.

office-1356793

Concretamente las aplicaciones alcanzan al siguiente software:

Internet Explorer

Microsoft Edge

Microsoft Windows

Microsoft Office, Microsoft Office Services y Web Apps

Microsoft Exchange Server

ASP.NET Core

.NET Core

PowerShell Core

ChakraCore

Adobe Flash

Con relación a todas las actualizaciones se deben tomar en consideración las siguientes cuestiones particulares:

Las actualizaciones de Windows 10 resultan acumulables. Los lanzamientos de seguridad mensuales incluyen tanto las soluciones de seguridad para vulnerabilidades que afectan a dicho S.O así como a todas aquellas actualizaciones que no tienen relación directa con la seguridad. Todas las actualizaciones se encuentran disponibles en el catálogo oficial de actualizaciones de Microsoft.

Las actualizaciones de Windows RT 8.1 y el software de Microsoft Office RT únicamente están disponibles a través de Windows Update.

A partir del 9 de mayo del 2018 aquellos usuarios que ejecuten la versión 1507 de Windows 10 ya no recibirán actualizaciones de seguridad y calidad, todo ello con la excepción de los usuarios que utilicen las versiones Windows 10 2015 LTSB y Windows 10 IoT Enterprise 2015 LTSB.

Publicado en Sin categoría | Etiquetado , , ,

Actualización de seguridad para Magento

Magento es una de las principales plataformas de código abierto destinadas al comercio electrónico y la misma es utilizada por una gran cantidad de usuarios, por ello cuando se presenta alguna vulnerabilidad en la misma es tan importante ponerle solución.

e-commerce-1606962

 

Al respecto recientemente se acaba de anunciar una actualización que soluciona vulnerabilidades detectadas en la plataforma. Concretamente se han detectado vulnerabilidades Cross-Site Scripting, riesgo de ejecuciones remotas con permisos de administrador, etc.

Dichas vulnerabilidades han sido catalogadas como de riesgo algo y por ello se recomienda a los usuarios de Magento aplicar la actualización a la mayor brevedad posible.

Concretamente los usuarios que deben aplicar dicha actualización son los usuarios de las versiones afectadas que son las siguientes: Magento Commerce (2.2.3, 2.1.12 y 2.0.18) y Magento Open Source (2.0.18, 2.1.12 y 2.2.3)

Publicado en Sin categoría | Etiquetado , , ,

Alerta sobre vulnerabilidades en Drupal

En los últimos años Drupal se ha convertido en uno de los CMS más famosos del mercado, si se tiene instalada una de las versiones vulnerables afectadas de Drupal conviene actualizar rápidamente pues se han publicado recientemente las actualizaciones ante vulnerabilidades que se habían detectado.

drupal-2317836_1280

Las versiones afectadas por las vulnerabilidades detectadas y clasificadas como vulnerabilidades de riesgo alto son las versiones 8.4.X y 7.X, si se dispone de cualquiera de estas versiones resulta urgente proceder a su actualización.

Para encontrar solución a estas vulnerabilidades se deberán aplicar las actualizaciones 8.4.5 en el caso de aquellos usuarios que tengan una versión de Drupal 8 afectada y en el caso de los usuarios cuya versión afectada provenga de un sistema de Drupal 7 la actualización que resultará aplicable será la 7.57.

Del mismo modo que se recomienda siempre en todos estos casos resultará muy importante realizar copia de seguridad de todos los datos del aplicativo antes de proceder a su actualización.

Publicado en Sin categoría | Etiquetado , ,

Vulnerabilidad definitiva en la versión clásica de Skype

Recientemente se acaba de hacer pública una vulnerabilidad muy importante en la versión de escritorio clásica de Skype.

Este popular servicio de llamadas, videollamadas y mensajería es utilizado por millones de personas y empresas de todo el mundo y se recomienda encarecidamente a los usuarios de dicha versión que la desinstalen de sus sistemas Windows (7 y 8.1 principalmente) pues el riesgo de sucumbir a un ataque es importante.

social-1852360_1280

Cabe destacar que no se debe esperar ningún parche de seguridad que solucione la vulnerabilidad pues Microsoft ya ha anunciado que no se realizará dada la complejidad de solucionar dicho problema y que desaparecerá dicha versión de la aplicación, así que desde estos mismos momentos es mejor ya no utilizarla.

Decir que el sistema de Skype en su conjunto sigue siendo igual de seguro que siempre para todos los clientes y que los usuarios de cualquier otra versión de Skype (todos los usuarios de un Windows 10, todos los usuarios que utilicen las apps móviles para iOS, Android y cualquier otra versión) no deben de preocuparse por nada.

Publicado en Sin categoría | Etiquetado , , , ,