sábado, 9 de marzo de 2019

Servicio de Delegado de Protección de Datos (DPO/DPD)

Somos consultores en protección de datos según la RGPD y la LOPDGDD. Además ofrecemos el servicio de Delegado de Protección de Datos (DPO/DPD) a empresas que nos lo solicitan.

Según la LOPDGDD, en su artículo 34 se establece la designación obligatoria de DPD en los siguientes supuestos (además de los contemplados en el RGPD), sin importar el tamaño, número de empleados o volumen de datos tratados.

1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles
establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones
electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y re-aseguradoras.h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
Actividades más habituales comprendidas en el apartado j):
- Entidades de crédito, compañías de seguros y empresas de servicios de inversión
- Notarios y registradores
- Entidades de pago, dinero electrónico, cambio de moneda, servicios postales de giro o transferencia.
- Abogados, procuradores u otros profesionales cuando actúen por cuenta de sus clientes en operaciones financieras, inmobiliarias, o cuando presten los servicios de constituir sociedades, ejercer la secretaría u otros servicios afines
- Promotores inmobiliarios, APIs y agencias inmobiliarias.
- Auditores de cuentas, contables externos y asesores fiscales
- Casinos de juego.
- Joyeros, galerías de arte y anticuarios
- Loterías y otros juegos de azar
- Fundaciones y asociaciones
- etc..

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad.
    Si su empresa esta en algunos de los casos anteriores, consúltenos al 93 181 62 43 o al e-mail: info@enginer.eu

    viernes, 1 de marzo de 2019

    ASESORÍA MEDIOAMBIENTAL Y DE RESIDUOS.

    Hasta el 31 de marzo hay plazo para presentar el DARI (Declaración Anual de Residuos Industriales). Llámenos y se la presentaremos .


    Ofrecemos servicios de asesoría e ingeniería para trámites medioambientales y de residuos. 

    Gestión de documentación medioambiental: 
    • Alta como productor de residuos. 
    • Alta como gestor de residuos. 
    • Asesoramiento a gestores y productores de residuos. 
    • Informe IPS (contaminación del suelo). 
    • Informe del Estudio de Minimización de Residuos. 
    • Alta en la Agencia Catalana del Agua (ACA). 
    • Trámite de la DUCA. 
    • Análisis de la calidad del agua. 
    • Diseño de depuradoras para vertidos de aguas. 
    • Controles de emisiones a la atmósfera. 
    • Trámite del DARI: Declaración Anual de Residuos Industriales. 
    • Trámite del DARIG: Declaración Anual de Residuos Industriales de los Gestores. 
    Consúltenos 93 181 62 43 - info@enginer.eu 
     https://es.enginer.eu/p/declaracion-anual-de-residuos.html

    jueves, 3 de enero de 2019

    Potente software para la auto-implantación de la protección de datos

    Software totalmente en la nube para cumplir la LOPDGG.

    Les presentamos nuestra herramienta de software online para empresas que con nuestra asistencia remota (online y por teléfono) deseen inplantar ellos mismos y con nuestro soporte y asesoramiento la protección de datos. Es muy fácil y cómodo.

    Se trata de una muy potente herramienta jurídica especialmente diseñada para ayudar a las empresas  a implantar una cultura de privacidad que comprenda a toda la organización.

     

    Efectiva y segura

    • Una plataforma online completa, intuitiva y fácil de usar.
      Multi-idioma y multi-usuario.
    • Control rápido de todos los Encargados del Tratamiento.
    • Control efectivo de todos los empleados.
    • Implantación en todos los departamentos de la empresa.
    • Generación de los documentos para la web (opcional su integración)
      Certificado de seguridad SSL y backup diario.
    Pídamos presupuesto sin compromiso: 93 181 62 43 - info@enginer.eu

    miércoles, 2 de enero de 2019

    ISO standards management software

    We wish to provide to your company a powerful ISO management software. 

    It is adaptable to almost any ISO norm (9001, 14001, 27001, 50001...).

    We guarantee three major virtues:
    1. Easy to use
    2. Fair price per value
    3. Plus services than other software
    Help, support and assistance it is also provided by online support (chat), e-mail, Skype and phone.
    • We offer free help for software assistance
    • We offer also assistance for ISO self implementation and management (request quote).
    List of benefits: 

    1. Cloud Technology
    2. Unlimited documents
    3. Unlimited users
    4. There are 17 available languages
    5. ISO Standards Solutions
    6. Risk Management
    7. Design adapted to any device
    8. Massive customer surveys
    9. Mass shipment providers surveys
    10. Personalization of the menu
    11. User tracking
    12. Includes ERP tools

    Consult us: 93 181 62 43 - info@enginer.eu

    Inspecciones Técnicas de Estanterías

    Las empresas que dispongan de estanterías para el almacenaje de productos, han de realizar el mantenimiento y sus inspecciones periodicas.

     

    El RD 1215/1997 por el que se establecen las disposiciones mínimas de seguridad y salud para la utilización por los trabajadores de los equipos de trabajo, considera como equipo de trabajo a las estanterías. 

     La norma UNE-EN 15635 “Almacenaje en estanterías metálicas. Aplicación y mantenimiento del equipo de almacenamiento”, establece como se deben de realizar las inspecciones, prevee un programa de inspecciones periódicas de las estanterías, indicando una revisión semanal (que se puede realizar por personal de la misma empresa) y otra revisión anual que debe llevarse a cabo por un experto.

    La NTP 852 “Almacenamiento en estanterías metálicas” publicada por el Instituto Nacional de Seguridad e Higiene en el Trabajo, es una referencia imprescindible a seguir para las correctas inspecciones de estanterías metálicas.

    Otras normas UNE, Reales Decretos y guias que tienen relación:
    • RD 486 / 1997 “Disposiciones mínimas de seguridad y salud en el trabajo”
    • Guía Técnica para la evaluación y prevención de los riesgos relativos a la utilización de los Equipos de Trabajo (RD 1215/1997) del Instituto Nacional de Seguridad de Higiene en el Trabajo.
    • UNE EN 58011 “Almacenaje en estanterías metálicas. Clasificación y definiciones”.
    • UNE EN 58013 “Almacenaje en estanterías metálicas. Requisitos para el tratamiento de elementos dañados”.
    • UNE EN 58014. “Almacenaje en estanterías metálicas. Validación de los equipos de almacenaje”.

    domingo, 30 de diciembre de 2018

    Tarjetas bancarias Contactless: Seguridad y Privacidad

    Supongo que por mi deformación profesional a buscar fallos de seguridad, defectos o mejoras en todo, les quiero comentar algo que me deja perplejo.
    A finales de la semana pasada recibí una tarjeta de crédito nueva de mi banco. Ésta tarjeta sustituía a otra que tengo igual con el mismo banco, con fecha de caducidad a finales de año 2019. Me sorprendió ver que se anticipaba la renovación de la tarjeta sin haberla solicitado.
    Leyendo la carta con la que venía adjunta, me explican que se trata de una nueva tarjeta con la nueva tecnología "Contactless", o sea que solo la acerco al TPV sin tocarlo y ya pago. Me explican que para que no tenga que esperar a la renovación de mi actual "vieja" tarjeta, me adelantan la renovación sin coste (todo un detalle...). 
    A mi personalmente me resulta irrelevante que pueda pagar sin tocar el TPV, creo que mi "vieja" tarjeta ha funcionado muy así muchos años y no me ha causado ninguna molestia.
    Si he de decir la verdad, no puedo evitar pensar que esto resulta casi raro, ¿tantas ganas tienen de que tenga esta tarjeta "Contactless"?.
    Vamos por partes en un breve análisis:
    a) que sea "Contactless" me parece inquietante que por error mío pague la cuenta a otro de delante mío muy próximo... 
    b) por lo mismo anterior, aunque se diga que los terminales TPV estan muy bien controlados y no los puede tener cualquier, ya es posible programar un Arduino para leer tarjetas de éste tipo (Ref.: https://www.luisllamas.es/arduino-rfid-mifare-rc522/) y no quiero pensar, que entre otros usos menos formativos, alguien menor preocupado por lo ajeno, desee robar nada de nada, ¿verdad? ;-) (Ojo, lo dijo en voz baja, pues me falta el enlace que lo sustente, pero ya es posible crear una app maliciosa para el móvil con el propósito de robar...).
    https://blogs.deia.eus/cavernacibernetica/2016/04/04/tarjetas-contactless-es-seguro-este-sistema/

    c) control de presencia... ¿que he dicho?... pues si eso he dicho, CONTROL DE PRESENCIA. Lo he escrito en mayúsculas por que creo que merece su realce absolutamente. Verán, nuestras tarjetas de crédito tienen una antena que ocupa toda la superfície de ella, es MUY grande. ¿Saben que las etiquetas de la ropa o calzado llevan un "chip", bueno, pues es eso mismo.  Les ilustro un ejemplo de antena (hay enlace a la página que lo explica).
    http://www.contaval.es/sistemas-identificacion-radiofrecuencia-rfid/
    Permítanme que explique como funciona el RFID de forma breve: nuestras tarjetas "Contactless" como las etiquetas de la ropa, son una antena conectada a un chip que dispone de una información guardada, y ese chip no funciona nunca, esta siempre apagado por que no tiene energía. Ahora bien, cuando ese chip se acerca a un TPV o en el caso de la prenda de ropa a un detector, estos emiten una cantidad de energía que es captada por la antena conectada al chip y en ese momento emite los datos que contiene por la misma antena, o sea, los datos que han sido grabados por el banco con nuestro nombre, número de tarjeta, etc., a la antena que tiene el TPV. 
    Les ilustro con éste otro enlace como funciona ésta tecnología: http://www.contaval.es/sistemas-identificacion-radiofrecuencia-rfid/
    Veamos un momento, mi banco me dice "la tarjeta solo se puede leer a 20 cm de distancia como máximo del TPV"... Vamos por partes, si mi tele-peaje (Tele-Tag o el nombre que tenga en otro lugar) tiene una antena pasiva más pequeña en mi coche y paso a varios metros de la antena receptora del peaje, entonces si mi tarjeta tiene una antena mayor...? efectivamente, nuestras tarjetas solo se leen a 20 cm por que el TPV tiene una potencia de emisión MUY pequeña, la del peaje es mucho más potente. Así, si "alguien" quisiera controlar nuestra presencia, por donde estamos, a donde vamos o donde hemos estado (recuerden otro post que nuestros móviles ya guardan desde el 2013 donde hemos ido, como hemos viajado, la velocidad, etc, gracias por cortesía de Google), lo podrían hacer con antenas más potentes fijas en calles, plazas o incluso móviles portables por los cuerpos de seguridad, según su necesidad. 
    Creo que si proporcionalmente vemos que el tamaño de un etiqueta de tele-peaje es de una tercera parte a la de una tarjeta de crédito, estamos hablando de un alcance de decenas de metros.
    Es decir, a varias decenas de metros nos podrían localizar o robar, según se tercie.
    Hago una aclaración: solo nos podrían robar 20€, que es la cantidad máxima por debajo la cuál el banco no pide el PIN (¿cómo?! y por qué NO?!). Da la sensación de que el dinero ha de "volar" más rápido... demasiado rápido.
    ¿Qué podemos hacer con lo que sabemos?
    a) En primer lugar exigir al banco una tarjeta "normal" sin "Contactless"
    b) En segundo lugar, (si se niegan a cambiarla, que efectivamente muchos bancos se niegan), pedir que se active el PIN por debajo de los 20€ también (parece que también es imposible de modificar)
    c) Llevar la menor cantidad posible de estas tarjetas en la cartera, ya que si nos la roban, podrán robarnos hasta 20€ sin ningún problema.
    d) Comprar estas fundas anti-RFID (ejemplo donde encontrarlas: https://www.amazon.es/antirrobo-tarjetas-seguridad)
    e) Llevar o tener memorizado el teléfono de nuestro banco para avisar de la pérdida.
    Otro tema igual sin desperdicio: si su móvil tiene NFC, sepa que es lo mismo de lo mismo... pues eso, buena suerte para usted... no mire, le daré también unos consejos:
    https://en.wikipedia.org/wiki/Digitalcouragea) No activa jamás el NFC
    b) No instale jamás el app "wallet" de su banco para pagar vía NFC como si fuera una tarjeta "Contactless". 
    c) Recuerde que si tuviera el "wallet" y el NFC en marcha y le roban el teléfono, no solo le han robado el teléfono, sino bien pudiera ser 20€ y el acceso a su cuenta bancaria (el móvil puede ser un grandísimo chivato, pues San Google le puede "recordar" sus claves de acceso y luego.... ya solo
    tiene que hacer una transferencia de varios cientos y miles y confirmarla... con una clave enviada... SI a SU mismo móvil que le han robado... ya saben, ojo con los móviles. (si desea otra funda anti-RFOD para su móvil: https://www.amazon.es/funda)
    Por su seguridad y por su privacidad, tenga presente este artículo y actúe con previsión.

    jueves, 27 de diciembre de 2018

    Consultoría y software de gestión de normas ISO

    Ponemos a disposición de nuestros clientes nuestros servicios en implantación y mantenimiento de normas ISO (9001, 14001, OHSAS 18001..).

    Junto a nuestros servicios incluimos el software de gestión de normas ISO, GARANTE

    Ventajas de GARANTE:
    1. Tecnología Cloud
    2. Documentos ilimitados
    3. Usuarios ilimitados
    4. Hay 17 idiomas disponibles
    5. Soluciones Normas ISO
    6. Gestión de Riesgo
    7. Diseño adaptado a cualquier dispositivo
    8. Envío masivo encuestas clientes
    9. Envío masivo encuestas proveedores
    10. Personalización del menú
    11. Tracking usuario
    12. Incluye herramientas de ERP

     

    Consúltenos sin compromiso y le asesoramos. 93 181 62 43 - info@enginer.eu

    miércoles, 26 de diciembre de 2018

    Matices en el envío de e-mails a clientes

    Con la llegada de la nueva Ley de Protección de Datos Personales y Garantía de los Derechos Digitales (LEY ORGÁNICA 3/2018, DE 5 DE DICIEMBRE), nos han preguntado algunas veces si cambia el poder enviar e-mails comerciales.

    Como norma general no cambia nada, es decir, no se pueden enviar e-mails comerciales sin tener el consentimiento del interesado.

    Aparecen algunos matices:

    La web de http://www.lssi.gob.es/ literalmente dice:
    ¿En qué condiciones está permitido el envío de comunicaciones comerciales por medios electrónicos?
    La Ley permite la realización de comunicaciones comerciales mediante el uso de Internet u otros medios electrónicos, siempre que puedan identificarse como tales y a la persona o empresa en nombre del cual se realizan o anunciante.
    Se permite el envío de mensajes publicitarios o comerciales por correo electrónico a aquellos usuarios que previamente lo hubieran solicitado o autorizado de forma expresa. No obstante, se permite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso el proveedor podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.
    En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
    La Ley obliga, además, a los prestadores de servicios a habilitar procedimientos sencillos y gratuitos para que los destinatarios puedan revocar el consentimiento que hubieran prestado, así como a facilitar información accesible por vía telemática sobre dichos procedimientos.

    Estas reglas son también aplicables al envío de mensajes publicitarios por otros medios de comunicación electrónica individual equivalente, como el servicio de mensajería de la telefonía móvil.
    Además en una nota publicada por la AEPD titulada "NOVEDADES PARA EL SECTOR PRIVADO", en el apartado 8 cita textualmente:

    Datos de contacto profesionales: legitimación de su tratamiento.
    La Ley permite utilizar los datos personales de contacto de las personas que prestan
    servicios en una entidad, así como de los profesionales (abogados, médicos, etc.) y
    de los empresarios individuales, siempre que se traten con la finalidad de mantener
    contacto con la entidad en la que prestan sus servicios o de establecer contacto con
    fines profesionales o empresariales.


    Es decir, si se va a contactar por otras razones que no se han comerciales, se permite el contacto. Pero no dice que permita el contacto para ofrecimiento de servicios ni productos.

    Como resumen: Si puede disponer del consentimiento para los envíos de carácter comercial, muy bien, y sino, pues recuerde ser prudente y enviar solo correo promocional y sus clientes actuales (no a nuevos clientes o prospectos) y solo para ofrecer el mismo o parecido producto o servicios que su empresa ya le haya ofrecido anteriormente.

    Seguramente en el futuro aparecerá alguna modificación al respecto, por lo cuál, siempre consúltenos o esté al día en el seguimiento de la normativa de Protección de Datos.