La Policía Nacional alerta de que, en los últimos días, se han detectado varios ciberataques a estudios de arquitectura.
Resultado del ciberpatrullaje activo que realiza la Brigada Central de Seguridad Informática de la Unidad Central de Ciberdelincuencia y a la colaboración ciudadana, a través del apartado Colabora de la web www.policia.es, se tiene conocimiento del auge de una campaña de distribución del ransomware denominado Lockbit Locker dirigidas contra estudios de arquitectura, mediante la suplantación de la empresa Fotoprix, en un primer momento, y haciéndose pasar por dueños de panaderías u otros negocios.
Según informa la Policía Nacional, en este caso, los atacantes envían un correo electrónico a ciertas compañías de arquitectura desde un dominio del tipo “fotoprix.eu” (no existiendo dicho dominio), o de otro tipo (panadería, ferretería, etc.), solicitándoles presupuesto para realizar una reforma en la sede de la empresa.
Tras varios emails, los atacantes proponen concretar una fecha para una reunión inicial y así poder concretar el presupuesto, pero, como requisito previo a la misma, envían vía “WeTransfer” unos documentos con las especificaciones de la reforma para que la empresa de arquitectura pueda ajustar lo máximo posible el presupuesto a las necesidades.
Cuando la víctima descarga el fichero y lo ejecuta en su ordenador, este queda automáticamente encriptado y los cibercriminales solicitan un rescate para recuperar los ficheros, cuyas instrucciones quedan reflejadas dentro de un archivo .txt que se copia en el equipo afectado.
Se alerta de que la campaña ha alcanzado un nivel de sofisticación muy alto, dado que las comunicaciones de los ciberdelincuentes resultan totalmente concordantes y congruentes, por lo que las víctimas no sospechan nada hasta que sufren la encriptación de los equipos.
Recomendaciones para evitar ser víctima de campañas de ransomware:
No abrir correos procedentes de remitentes desconocidos o a los que no se hayan solicitado información previa.
Contactar telefónicamente con el cliente para verificar la información.
No descargar archivos adjuntos de correos procedentes de remitentes desconocidos
Tener siempre actualizado el sistema operativo y el antivirus.
Realización periódica de copias de seguridad independientes.
me dirijo a ustedes, con el ánimo de hacerles llegar una serie de Consejos Básicos en materia de Protección de Datos, elaborados por nuestro Delegado de Protección de Datos, Ricardo Martín Suárez.
Esperamos que estos consejos te ayuden en esta materia en el día a día de tu despacho de arquitectura.
El próximo mes de octubre impartiremos una Jornada Formativa en nuestra Sede Colegial que esperamos sea de tu interés, en la que nuestro Delegado de Protección de Datos resolverá tus dudas al respecto y cuyo objetivo es acercar el mundo de la Protección de Datos a nuestra actividad profesional.
Te recordamos que tenemos una dirección de correo electrónico a la que puedes acudir si tienes cualquier duda en materia de Protección de Datos, es la siguiente:
Esperamos que estos consejos sean de tu ayuda,
Atentamente,
Juan Torres Alemán
Decano
11 Consejos básicos en materia de Protección de Datos
Orientaciones y consejos básicos para la adecuación de la actividad de un profesional autónomo o despacho de arquitectura al Reglamento General de Protección de Datos (en adelante RGP) y el cumplimiento de éste.
1
Analiza qué datos de carácter personal tratas en el ejercicio profesional y con qué finalidades concretas. Un profesional autónomo o despacho de arquitectura puede tratar datos como responsable, entre otras actividades, para la:
Gestión profesional de los servicios prestados a los clientes.
Gestión de recursos humanos y laborales.
Gestión económica y fiscal.
Gestión de un blog y una página web.
Gestión de las obligaciones del propio Reglamento General de Protección de Datos (ejercicio de derechos, notificación de brechas de seguridad), etc.
Identifica también en qué relaciones tratas datos como encargado del tratamiento, en las que otros son los responsables. Un profesional autónomo o despacho de arquitectura puede tratar datos como encargado del tratamiento, entre otras actividades, para la:
Colaboración con otros profesionales autónomos o despachos de arquitectura, o empresas.
Prestación de servicios de asesoría en proyectos, etc.
2
Analiza los riesgos que pueden afectar al tratamiento de datos. En especial los riesgos que pueden afectar a:
La integridad de los datos (modificación o alteración).
La disponibilidad de los datos personales (pérdida o borrado).
La confidencialidad de los datos (acceso no autorizado).
El ejercicio de los derechos (ausencia de procedimientos).
Los principios relativos al tratamiento (ausencia de legitimidad para el tratamiento; tratamiento ilícito), etc. Determina las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados.
La Agencia Española de Protección de Datos tiene disponible una Guía Práctica de Análisis de Riesgos y de medidas básicas de seguridad:
Los riesgos identificados y las medidas de control definidas deben documentarse.
3
Una vez identificadas las actividades para las que tratas datos de carácter personal y las medidas de seguridad apropiadas para los riesgos identificados, elabora el Registro Actividades del Tratamiento como responsable del tratamiento (y, en su caso, como encargado del tratamiento). Debe contener la siguiente información:
Identidad del responsable (o del encargado).
Nombre de la actividad.
Base jurídica o legitimación para el tratamiento
Fines del tratamiento.
Colectivo de interesados de los que se tratan datos.
Categorías de datos que se tratan.
Categoría destinatarios, a los que se ceden o comunican datos.
Transferencias internacionales que, en su caso, se realicen.
Plazo de conservación o supresión de los datos.
Medidas de seguridad.
4
Guarda y actualiza periódicamente este registro de actividades. Este registro de actividades no se comunica a la Agencia Española de Protección de Datos (AEPD), quedando en todo caso a su disposición por si los solicitara. Con el RGPD desaparece la obligación de inscribir los ficheros ante la AEPD.
Identifica qué empresas te prestan servicios y tienen acceso a datos de carácter personal de los que eres responsable. A un profesional autónomo o despacho de arquitectura le pueden prestar servicios y tener acceso a datos como encargados del tratamiento:
Otros autónomos o despachos colaboradores.
Prestadores de servicios informáticos.
Proveedores de correo electrónico, página web, o de servicios en la nube.
Gestorías fiscales o laborales, etc.
Formaliza un contrato con los encargados del tratamiento. La Agencia Española de Protección de Datos ha elaborado unas Directrices para la elaboración de estos contratos:
5
Analiza por qué vía te llegan los datos de carácter personal. Tendrás que informar al interesado de que tratas sus datos. La Agencia Española de Protección de Datos ha elaborado una Guía para cumplir con el deber de informar:
Es aconsejable que, en la formalización de la relación con el cliente, en la hoja de encargo o contrato le informes del tratamiento de sus datos y de sus derechos. La relación contractual legitima el tratamiento de los datos del cliente. Si además de para el encargo profesional, tratas los datos del cliente para otras finalidades recaba en la hoja de encargo o contrato el consentimiento expreso para ello.
Si recabas datos a través de una web, en formularios de primera consulta o contacto, tendrás que informar debidamente al interesado y obtener su consentimiento. Te corresponderá, en su caso, probar como responsable que has informado al interesado. Es aconsejable que la información se proporcione por escrito y a ser posible recabando prueba de haber informado o de la voluntad o consentimiento del interesado.
6
Recuerda que si no hay otra habilitación para tratar los datos (contrato, cumplimiento de obligación legal, etc.) necesitarás el consentimiento inequívoco del interesado para tratar sus datos.
Salvo en categorías de datos de categorías especiales, donde ha de ser explícito, el consentimiento puede otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación). Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o
acción afirmativa. El RGPD no admite formas de consentimiento tácito o por omisión, que se basan en la inacción.
7
Recuerda que la normativa de protección de datos personales no puede analizarse en un contexto aislado sino que deben tenerse en cuenta, entre otras cuestiones, los deberes propios de la función profesional, en especial, el secreto profesional. Por ejemplo, los datos de clientes que sean empresas o sociedades no están sujetos a la normativa RGPD, pero el secreto profesional sigue prevaleciendo. Para tratar los datos de los proveedores, no es necesario recabar su consentimiento, ya que la relación contractual es suficiente.
8
Como norma general, los profesionales autónomos o despachos de arquitectura no tienen necesidad de nombrar un Delegado de Protección de Datos, al no estar dentro de las circunstancias enumeradas dentro de la normativa.
9
En el caso de tener personal laboral, es obligatoria la forma de acuerdos de confidencialidad, así como transmitirles los tratamientos de datos que les afecten. Los más habituales tienen que ver con el tratamiento con fines laborales, aunque en el caso del fichaje por huella o biométrico, también es necesario comunicarlo al personal.
10
Como regla general, cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la Agencia Española de Protección de Datos. La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella. Deben documentarse todas las violaciones de seguridad. En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, hay que notificar también a éstos.
11
Cuando tomes imágenes o vídeos, en los que se capten imágenes de personas, será necesario recabar su consentimiento explícito, de manera que quede demostrado que la persona recibió la información necesaria al ceder sus datos y autorizó a la empresa el uso de los mismos.
Finalmente, recuerda que la Agencia Española de Protección de Datos ha elaborado y recopilado una serie de documentos y guías útiles para la adecuación al RGPD y su cumplimiento. Están disponibles en la web de la Agencia.
En caso de duda puedes consultar al Colegio y nuestro Delegado de Protección de Datos le podrá ayudar con las cuestiones y dudas que le surjan.
Atentamente,
Juan Torres Alemán
Decano
Descargas:
Circular oficial (749 kb)
Nota (*): Enlaces a descargas directas desde la web de la Agencia Española de Protección de Datos, AEDP. Estos documentos no están alojados en los servidores del COAGC.
Por medio de la presente te recordamos la recomendación de nuestro asesor fiscal sobre la conveniencia de que coincida el domicilio profesional con el domicilio fiscal especialmente en lo concerniente a la deducción de gastos en el ámbito tributario.
Cualquier rectificación (domicilio profesional, teléfono móvil, teléfono fijo, email, cuenta bancaria) puedes remitirla a través de la siguiente dirección de correo electrónico:
Dada la importancia que la protección de datos tiene para los profesionales y siendo conscientes de la responsabilidad que tenemos en relación a los datos de nuestros clientes, hemos creado una dirección de correo electrónico para intentar resolver todas las dudas que formulen nuestros colegiados al respecto.
La cuenta de correo a la que puedes enviar tus consultas es:
Además, próximamente habilitaremos una sección en nuestra página web donde se incluirán las preguntas y respuestas más habituales para facilitar esta información a todos.
Intentaremos resolver tus dudas y consultas sobre el particular a la mayor brevedad posible.
Desde el Colegio Oficial de Arquitectos de Gran Canaria queremos seguir en contacto con nuestros colegiados y seguir enviando la información que necesitas en tu profesión: Nuevas convocatorias, ofertas de empleos, concursos, normativas que afectan a nuestra actividad (entre otras).
Si no nos remites este mail, no podremos volver a enviarte toda esa información.
Recibe un cordial saludo,
Junta de Gobierno del COAGC
Más información:
Colegio Oficial de Arquitectos de Gran Canaria
C/ Luis Doreste Silva 3, Planta 1ª
35004 Las Palmas de Gran Canaria
T. (+34) 928 24 88 44
F. (+34) 928 24 52 46
E. secretaria@arquitectosgrancanaria.es
Utilizamos cookies propias y de terceros para analizar y personalizar su navegación. Aquellas que son analíticas o de personalización puede aceptarlas o configurarlas aquí. Aceptar cookiesPolítica de cookiesConfigurar cookies
Ajustes de cookies
Cookies
Utilizamos cookies propias y de terceros para analizar y personalizar su navegación. Aquellas que son analíticas o de personalización puede aceptarlas o configurarlas aquí.
Las cookies necesarias son imprescindibles para que la página web funcione correctamente. Esta categoría sólo incluye cookies que garantizan funcionalidades básicas y características de seguridad del sitio web. Estas cookies no almacenan ninguna información personal.
Nombre cookie
Entidad que la gestiona
Plazo de permanencia
Finalidad
PHPSESSID
Colegio Oficial de Arquitectos de Gran Canaria
De sesión (al cerrar el navegador)
Se utiliza para identificar la sesión del usuario visitante.
viewed_cookie_policy
Colegio Oficial de Arquitectos de Gran Canaria
1 año
Se utiliza para guardar si el usuario ha leido el mensaje de aviso de las cookies.
cookielawinfo-checkbox-necessary
Colegio Oficial de Arquitectos de Gran Canaria
1 hora
Se utiliza para guardar si el usuario ha aceptado las cookies NECESARIAS en la web.
cookielawinfo-checkbox-non-necessary
Colegio Oficial de Arquitectos de Gran Canaria
1 año
Se utiliza para guardar si el usuario ha aceptado las cookies NO NECESARIAS en la web.
NID
Google reCaptcha
Expira inmediatamente
Se utiliza para el correcto funcionamiento de la funcionalidad antispam (reCaptcha) de Google.
Se denominan cookies no necesarias a cualquier cookie que no sea necesaria para que funcione el sitio web y se suelen utilizar para recopilar datos personales del usuario a través de análisis, anuncios y otros contenidos integrados. Es necesario que el usuario de su consentimiento antes de ejecutar estas cookies en la página web.
Nombre cookie
Entidad que la gestiona
Plazo de permanencia
Finalidad
_gid
Google Analytics
24 horas
Se utiliza analizar los hábitos, el flujo, origen de la navegación del visitante.
_ga
Google Analytics
2 años
Se utiliza analizar los hábitos, el flujo, origen de la navegación del visitante.
_gat_gtag_[property_id]
Google Analytics
Expira inmediatamente
Se utiliza analizar los hábitos, el flujo, origen de la navegación del visitante.