La #evaluaciónderiesgo está vinculado a la #prevención de eventos a corto y largo plazo, mientras que el análisis de impacto del negocio está enfocada en el cumplimiento de las necesidades #regulatorias pero también existe un análisis más enfocado a largo plazo. En esta capsula de conocimiento, os hacemos un breve resumen, también os indicamos dos puntos de la Norma ISO22301.
A inicios de este año se publicó la nueva versión de la ISO27002 Directrices de Seguridad de la Información, que supone la antesala de la ISO27001 de Sistema de Gestión de Seguridad de la Información (SGSI). Este mes de octubre por fin ha llegado su versión final, ésta presenta varias novedades respecto a su antecesora.
Han pasado 9 años desde la versión 2013, la segunda que ya incorporaba la estructura de alto nivel que se ha hecho común en las ISO de sistemas de Gestión. En estos años los cambios no han sido pocos, desde tecnológicos hasta los últimos derivados de escenarios de crisis mundiales.
Como siempre dar respuesta a las necesidades de regulación nunca es fácil, ya que la transformación de la sociedad y sus hábitos, de igual forma que los escenarios y amenazas, cambian de forma más rápida que los controles que podamos establecer.
Las principales novedades se basan en:
Nueva estructura de clausulas
Derivado de la actualización de la ISO27002 los controles quedan de la siguiente manera.
Anexo A
Como podemos ver hemos pasado de 114 controles en 14 grupos a 93 controles en 4 grupos, se han revisado 58 controles antiguos y hay 24 que surgen de la fusión de controles anteriores.
Nuevos controles
La nueva estructura trae consigo 11 controles nuevos, la mayoría vinculados al entorno tecnológico, ya que obviamente la tecnología es lo que más ha cambiado en estos años.
La lista de controles es:
Cambios vinculados a puntos de norma
A parte de esta reordenación de controles, también encontramos una serie de cambios menores en los puntos de la norma.
Los principales son:
Calendario de implantación de la versión 2022
¿Y ahora qué? Lo primero que hemos de tener presente son los plazos establecidos para la gestión del cambio:
Actuaciones
Para el éxito de un proceso de cambio de versión, hay que contemplar varios elementos. Teniendo en cuenta el calendario anterior, lo primero es ver cómo nos encaja en nuestro proceso de auditoría con nuestra entidad de certificación. Siempre es recomendable hacer coincidir los cambios de versión con procesos de recertificación.
Luego nos podemos encontrar en dos escenarios opuestos: aquellos que consideren que ser de los primeros en cambiar de versión supone una ventaja competitiva y un caso de ejemplaridad, y los que prefieren esperar al último suspiro.
Para los primeros, es aconsejable dejar pasar un plazo de unos 6 meses para que las entidades de certificación hayan tenido tiempo de formar bien al personal y se hayan podido corregir interpretaciones iniciales que puedan suponer cargas de trabajo innecesario.
Para los segundos, se ha de tener en cuenta los posibles cuellos de botella que puedan suceder durante el 2025. Ya que la cantidad de auditores acreditados en ISO27001 es mucho más limitado que en otros estándares, en los cuales ya observamos esta problemática en 2018 con las normas ISO9001 y ISO14001.
Sea cual sea el caso, la lectura de la norma y/o la formación previa son factores clave para el proceso de actualización del SGSI.
Finalmente, sólo queremos recordar al lector que todo proceso de cambio requiere de un análisis de capacidad por parte de la organización, y cómo siempre TOTALRISK está aquí para ayudarles en este proceso.
La relación entre #activos y #seguridad ha sido siempre muy estrecha ya que la preservación de los #activos supone un objetivo clave de la #seguridad. Dentro del universo de #normas han proliferado en los últimos años normas que nos permiten abordar los #activos de forma más específica.
TISAX Seguridad de la información en el sector de la automoción.
Es habitual en estos últimos tiempos contemplar como la seguridad se va adquiriendo peso en nuestras vidas. La preocupación por conservar nuestros activos, sea en la vida privada o profesional, alcanza una mayor dimensión año tras año.
En el mundo empresarial, la seguridad puede suponer un elemento de notoriedad como argumento de venta y en muchos casos un requisito que el cliente nos exige. La aparición de las normas más genéricas a principios de siglo como la ISO27001 o el Esquema Nacional de Seguridad se alimento de la guerra contra el terrorismo en respuesta al 11-S. También es cierto que la mayor digitalización ha generado nuevos escenarios con vulnerabilidades y amenazas que no podíamos imaginar. Antivirus, encriptación, doble autenticación, entre otros, son conceptos cada vez más comunes en el desarrollo cotidiano de nuestras tareas.
El sector de la Automoción no podía quedar al margen de esta tendencia y tenía que exponerse en este mundo con voz propia. En las postrimerías del 2016 los fabricantes de coches germanos (Voslkwagen, Daimler-Benz, BMW,…) acordaron a desarrollar una serie de requisitos de seguridad de la información.
A través de ENX Association se estableció la iniciativa TISAX (Trusted Information Security Assessment eXchange) para el desarrollo de un mecanismo de evaluación e intercambio de la seguridad de la información de las empresas, que permitiera el reconocimiento y los resultados de la evaluación entre los integrantes.
Este sistema de evaluación se concibió mediante la VDA (Verband der Automobilindustrie) asociación germana de la industria del automóvil que dispone de un amplio abanico de normas. Así cogió forma, la norma VDA-ISA (Information Security Assessment), actualmente en su versión 5.0.4, como listado de requisitos y su método de evaluación.
Característica del sistema de gestión VDA-ISA
La norma VDA-ISA no es un sistema de gestión al uso tipo ISO, en la que se definen una serie de puntos y la organización establece una documentación descriptiva y genera registros derivados de su aplicación. En este caso la norma establece una serie de controles que establece unos requisitos concretos a cumplir. Por así decir se asemeja más al Anexo A de la norma ISO27001.
Existen tres grandes grupos de controles, organizados en 3 módulos:
Módulo de Seguridad de la Información
En este primer módulo se establecen los controles generales de seguridad que toda organización debe cumplir. Desde los aspectos más generales que establecen los pilares de gestión de la seguridad se tratan 6 grandes grupos. Cuatro de ellos tienen implicaciones generales a nivel de gestión de recursos (Instalaciones, Recursos humanos, proveedores y cumplimiento), si bien en todos ellos se siente el impacto de la seguridad digital es en los dos restantes donde los sistemas de información cogen enjundia.
Módulo Protección de prototipos
8.1 Seguridad Física y entorno
8.2 Requisitos de la organización
8.3 Manipulación de vehículos, componentes y partes
8.4 Requisitos de pruebas de vehículo
8.5 Requisitos de eventos y filmaciones
Este módulo soló es de aplicación para aquellas organizaciones que disponen de la actividad de diseño y desarrollo de prototipos. Los dos primeros grupos ahondan en las necesidades ya expuestas en el módulo de seguridad de la información, enfocado a seguridad de prototipos. En los siguientes 3 grupos están centrados en la manipulación de los prototipos en sus ámbitos de revisión, transporte, pruebas o actuaciones de marketing
Módulo de Protección de datos
9.1 Implementación
9.2 Conformidad con la legislación
9.3 Revisiones periódicas
9.4 Proceso documental
Finalmente disponemos del módulo de protección de datos, este aspecto ya está referenciado dentro del grupo 7 de cumplimiento del primer módulo y aquí se despliega en profundidad para dar cumplimiento la protección de datos de carácter personal
Estos tres módulos suponen un total de 67 controles (41 de seguridad de la información, 22 de prototipos y 4 de protección de datos), número inferior a los 114 controles del Anexo A de ISO27001, pero que entraña una sorpresa al contemplar el número de requerimientos de cada control suponiendo en el alcance más amplio una suma total de 406 requisitos.
Este número de requisitos variará en función de la necesidad o no del módulo de prototipos y del nivel de seguridad exigido. Este nivel de seguridad presenta tres niveles que van del normal, alto al muy alto, y supondrán en los dos últimos niveles requisitos adicionales hasta contemplar los mencionados 406 en el caso de muy alto y que se incluya prototipos.
Existen 6 niveles de madurez para cada control:
0-incompleto
1-en desarrollo
2-gestionado
3-establecido
4-predictible
5-optimizado
Esto permitirá el cálculo y la cuantificación de los requisitos dando una imagen general del estado de la organización.
Para la gestión y cumplimiento de la norma ENX nos facilita un documento, el Self-Assessment, en su versión actual 5.0.4. Este documento dispone de una estructura de pestañas con los niveles de madurez, definiciones, tres pestañas de controles, dos pestañas de resultados, ejemplos de indicadores KPI (Key Perfomance Indicator),…
Últimos cambios de la norma VDA-ISA
La verdad es que en la última versión 5.0.4 los cambios son irrelevantes desde la versión 5.0.0 solamente se han producido modificaciones respecto a glosario, la numeración del modulo de protección de datos y alguna referencia.
Hemos de contemplar el salto de la versión 4.1.0 a la 5.0.0 para encontrar una integración y cambio sustancial de controles, así como la remuneración de los mismos. En la actualidad es normal encontrar organizaciones que estructuran su sistema de seguridad de la información con la estructura antigua (4.1.0).
Luces y sombras del sistema de evaluación TISAX
Desde el punto de vista del valor añadido que puede suponer es evidente que supone un nivel superior respecto a otras certificaciones que no disponen de tantos requisitos. Además, el hecho que sea un sistema de evaluación puntuado le confiere un plus de interpretación.
Toda la información, documentos y formatos se encuentran disponibles en su portal https://www.enx.com/en-US/enxassociation/ de forma totalmente gratuita. Esto también supone un ejercicio de transparencia y funcionalidad respecto a otros sistemas de evaluación.
Las principales dificultades radican en ser capaces de acercar la norma VDA-ISA a la realidad de las empresas, ya que muchas veces se corre el riesgo de centrarse en el cumplimiento de requisitos y nos desviamos del objetivo que es el dispone de una herramienta de valor añadido que nos aporte mayor seguridad.
Anteriormente ya nos acercamos a la gestión de riesgos en la norma EN50518 para Centrales Receptoras de Alarmas. El presente artículo quiere tocar un punto clave de la gestión, la evaluación de riesgos. El mercado actual ofrece varias y diferentes opciones y, como casi siempre, ninguna específica para este cometido concreto.
Norma EN 50518
Aunque esta norma pueda parecer a simple vista de alto contenido técnico para infraestructuras, se menciona el concepto riesgo en varios apartados. Ello confiere a la norma no solamente un conjunto de directrices técnicas que debe cumplir una Centrales Receptoras de Alarmas, sino que además incide en los procesos y operaciones. De ahí que la gestión de riesgos tenga varios matices y su evaluación no resulte lineal ni de fácil aproximación.
Esta norma, articulada en 10 puntos que se centran en las instalaciones y en los servicios derivados de la gestión de Centrales Receptoras de Alarma (CRA), nos redirigirá a la norma ISO31000 para dar respuesta a la gestión de riesgos mencionada a lo largo de ella. A su vez, la norma ISO31000 nos hablaba en sus 5 fases de un paso concreto que era la evaluación de riesgos, pero en ningún caso establecía un requisito claro sobre la metodología a usar.
En este punto nos vemos ante la disyuntiva de tener que escoger entre crear un sistema de evaluación de riesgos, con el peligro de disponer de una herramienta genérica que no nos aporte valor añadido o usar herramientas muy específicas en las que su implantación y uso nos suponga una pérdida de eficiencia.
No es motivo del presente artículo tratar el diseño de una metodología de evaluación de riesgos específica para CRAs, por lo que vamos hacer un breve recorrido por las principales metodologías existentes en la actualidad.
Metodologías de evaluación de riesgos
Vamos a hacer una breve aproximación a las metodologías más frecuentes y sus principales características.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT)
Método Mosler
Método AARR
Método HAZOP
Método BOW-TIE
Evaluación de riesgos en la Norma 50518
Derivado del punto anterior, cabe decir que ninguna presenta una alineación completa con los requisitos de la norma EN50518 y las necesidades propias de las Centrales Receptoras de Alarma.
Al no poder concretar una apuesta clara vamos a subrayar los aspectos que nos aportan cada una de ellas.
Es difícil no tener en cuenta MAGERIT, ya que los elementos de Tecnologías de la información están presentes en todas las organizaciones. Además, es obvio el impacto que tienen estas en las operaciones de las CRAs. Por ello, aunque pueda parecer que no encaja en la totalidad de las necesidades de la norma 50518, no es una solución desdeñable.
El método MOSLER es una solución sencilla y con la suficiente profundidad para permitir una aproximación global. El tratamiento de activos en base a su capacidad de sustitución, el impacto según la profundidad y la extensión y el desglose de la probabilidad en amenazas y vulnerabilidades permite disponer de una herramienta completa.
La metodología AARR permite relacionar los activos con los procesos, este enfoque requiere de un trabajo de precisión en esta fase inicial que puede condicionar el resultado de la evaluación. Es una herramienta genérica apta para todo tipo de organizaciones. Su sencillez puede ser un arma de doble filo y no acabar aportando el adecuado valor añadido.
Aunque muy implantada dentro del sector químico debido a su origen, la metodología Hazard o HAZOP supone una herramienta muy apta para instalaciones, elemento puesto de relieve en la norma 50518. Este método permite baja a parámetros específicos de las instalaciones como pueden ser los UPS, CPD, sistemas de extinción,… lo que también permite abordar riesgos en la fase de diseño de instalaciones. Por el contrario, este enfoque a veces puede suponer la pérdida de visión transversal de los riesgos.
Por último, el modelo BOW-TIE, es probablemente el caso más complejo y a la vez el que hace un aporte de mayor valor añadido. Sitúa en el centro de la metodología el evento, sea vinculado a Tecnologías de la información, a procesos, a instalaciones o la combinatoria de ellos y traza un árbol de causas y efectos entre los inductores del riesgo y las consecuencias y tratamientos de los mismos.
Conclusión
Derivado de todo ello, como ya les avanzábamos, no podemos concluir con una apuesta clara por una metodología concreta. Lo que sí esperamos es que puedan decidir entre ellas con unos criterios más sólidos.
La evaluación de los riesgos es la fase clave en la que procedemos a la cuantificación del riesgo, por ello sí que recomendamos, que o bien se pongan en manos de profesionales o bien mediten la toma de decisión para escoger entre una metodología u otra, y sobre todo para una correcta aplicación de la misma.
Como ya comentamos con anterioridad una correcta gestión del riesgo no implica más o menos carga de trabajo, ya que no se trata de correr más o menos riesgos si no de correr riesgos inteligentes.
Artículo de Juanjo Alemany (TOTALRISK) www.totalrisk.org
El Reglamento Europeo de Protección de Datos 679/2016, introdujo una nueva figura en las organizaciones: el Delegado de Protección de Datos (DPD o DPO en inglés).
Esta figura puede ser interna en las organizaciones o bien, se puede contratar como un servicio.
¿Qué funciones y responsabilidades tiene?
Las competencias que se le suponen son imparcialidad, objetividad, confidencialidad.
El Delegado de Protección de Datos será el encargado de controlar diariamente que todas las actividades del sistema de información sean realizadas cumpliendo los procedimientos, estándares y normas fijadas en base a los requerimientos legales que, los asesores jurídicos en la materia indiquen como vigentes.
Debe rendir cuentas al más alto nivel jerárquico de las organizaciones.
Es la persona que debe informar y asesorar al responsable/encargado del tratamiento y a los empleados que realicen tratamiento de datos de las obligaciones y la normativa aplicable en este ámbito. Por esta razón, debe mantener actualizada toda la normativa vigente relacionada con las medidas aplicables, debe concienciar y formar al personal y, realizar auditorías si fuera el caso.
Está obligado a mantener el secreto o la confidencialidad en el desempeño de sus funciones. Y a documentar y comunicar cualquier vulneración relevante en materia de protección de datos a los órganos de administración, el responsable y/o encargado del tratamiento.
Es el nexo de comunicación entre los interesados y la Agencia de Protección de Datos, y viceversa. Y será el encargado de gestionar el ejercicio de los derechos de los interesados.
Y antes de un tratamiento, ya sea por utilizar nuevas tecnologías, por su naturaleza, alcance, contexto o fines…, si éste entraña un alto riesgo para los derechos y libertades de las personas físicas, el Delegado de Protección de Datos deberá realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales, según el art. 35 del RGPD.
Derechos de un DPD
Las organizaciones deben garantizar que el Delegado de Protección de Datos no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones y que participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
Las organizaciones deben respaldar al Delegado de Protección de Datos para sus funciones, facilitando los recursos necesarios, el acceso a datos personales y a los diferentes tratamientos, así como manteniendo sus conocimientos especializados.
Otro derecho que se le reconoce en la legislación vigente es a no ser destituido ni sancionado por su organización por desempeñar sus funciones. Así se asegura la imparcialidad de esta figura.
El Delegado de Protección de Datos tiene derecho a desempeñar otras funciones en la organización o fuera, pero se debe garantizar que estas funciones no den lugar a conflicto de intereses.
¿Quién necesita tener esta figura en su organización?
Según el Reglamento Europeo, el responsable y el encargado del tratamiento tienen obligación de designar un DPD cuando:
Más concretamente, la Ley orgánica 3/2018, expone que tienen obligación de designar un DPD:
Según la Ley Orgánica 2/2006, de 3 de mayo, de Educación, en su art. 3 Las enseñanzas:
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
Pero, voluntariamente, cualquier organización, puede nombrar un DPD.
Conocimientos que debe tener un DPD
Ya sea una persona física o jurídica, debe poder “demostrar conocimientos especializados en el derecho y la práctica en materia de protección de datos”.
Existen cursos formativos. De hecho, la Agencia Española de Protección de Datos, ha publicado un Esquema de Certificación de DPD para ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado.
“Este Esquema es un sistema de certificación que permite certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos para ejercer la profesión. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC.”
Pero la AEPD aclara que esta certificación no es obligatoria para poder ejercer como DPD y se puede ejercer la profesión sin estar certificado bajo éste o cualquier otro esquema.
Obligaciones cuando nombras un DPD
Las organizaciones deben informar del nombramiento del Delegado de Protección de Datos a la Agencia Española de Protección de Datos o ante las autoridades autonómicas de protección de datos correspondiente en el plazo de 10 días de su nombramiento. También están obligadas a informar sobre el cese. Esta obligación es tanto para las organizaciones que están obligadas a tener uno DPD como las que lo designan de forma voluntaria.
Según el Art. 3 de la Llei 32/2010, el DPD se tendrá que registrar en la Autoritat Catalana de Protecció de Dades si se trata de:
Conclusión
Disponer de un DPD mejora el control sobre el cumplimiento legal y ayuda a mantener una alerta constante y una sensibilidad hacia la protección de datos personales. Ahora bien, si es una persona de plantilla propia, es muy importante dotarle de los recursos y el tiempo necesario para poder hacer bien su trabajo.
Más información en https://www.aepd.es/es y https://apdcat.gencat.cat/
El Reglamento Europeo de Protección de Datos (976/2016), en adelante, RGPD, especifica como Principio general de las transferencias en su art. 44 que: “sólo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado”.
Pero, ¿qué es una transferencia internacional? Su definición, la encontramos en el Real Decreto 1720 del 2007: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.
Siempre que se realice una transferencia internacional de datos y dependiendo del país donde se encuentren, nos deberán proporcionar garantías jurídicas adecuadas de la protección de datos personales.
Ejemplos de transferencias internacionales: Cuando nos planteamos contratar un freelance que trabaja fuera de la Unión Europea o tenemos una sucursal en otro país o contratamos un servicio Cloud que almacena datos fuera de la Unión Europea. Todos estos casos, nos provocarán realizar transferencias internacionales de Datos Personales. Pero, ¿qué debemos tener en cuenta para poder cumplir con el RGPD y la Ley Orgánica 3/2018?
Los países declarados con un nivel adecuado se pueden consultar en la página web de la Agencia Española de Protección de Datos (AEPD). Y para consultar las entidades certificadas con el Escudo de Privacidad, se puede acceder a la página web del Escudo de Privacidad, o bien, también a través de la página web de la AEPD.
A falta de decisión de adecuación
Se podrán realizar transferencias internacionales, pero con las siguientes garantías:
La autoridad de control aprobará normas corporativas vinculantes de conformidad con el mecanismo de coherencia establecido en el art. 63 del RGPD.
A falta de decisión de adecuación y de garantías
Únicamente se podrán realizar si se cumple alguna de las condiciones siguientes:
Cuando tampoco sea aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales.
En este supuesto el responsable del tratamiento informará a la Agencia Española de Protección de Datos de la transferencia. Además de la información a que hacen referencia los art. 13 y 14 del RGPD, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.
¿Cuándo se necesita una autorización expresa?
Se necesitará autorización expresa de la Agencia Española de Protección de datos cuando las garantías adecuadas se aporten mediante:
Otro aspecto a tener en cuenta, es que las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas.
Cosas a tener en cuenta
Más información en https://www.aepd.es/es y https://apdcat.gencat.cat/
De conformidad con la normativa española que regula el uso de cookies en relación a la prestación de servicios de comunicaciones electrónicas, recogida en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, le informamos sobre las cookies utilizadas en el sitio web de totalrisk.org propiedad de KLUG CONSULTING S.L. (el prestador) y el motivo de su uso.
Según la directiva de la UE, las cookies que requieren el consentimiento informado por parte del usuario son las cookies de analítica y las de publicidad y afiliación, quedando exceptuadas las de carácter técnico y las necesarias para el funcionamiento del sitio web o la prestación de servicios expresamente demandados por el usuario.
Quedan exceptuadas del cumplimiento de las obligaciones establecidas en la LSSI las cookies utilizadas para alguna de las siguientes finalidades:
Permitir únicamente la comunicación entre el equipo del usuario y la red.
Estrictamente prestar un servicio expresamente solicitado por el usuario.
En este sentido el Grupo de Trabajo del Artículo 29 en su Dictamen 4/20123 ha interpretado que entre las cookies exceptuadas estarían aquellas que tienen por finalidad:
Cookies de «entrada del usuario»
Cookies de autenticación o identificación de usuario (únicamente de sesión)
Cookies de seguridad del usuario
Cookies de sesión de reproductor multimedia
Cookies de sesión para equilibrar la carga
Cookies de personalización de la interfaz de usuario
Cookies de complemento (plug-in) para intercambiar contenidos sociales.
¿QUÉ SON LAS COOKIES?
Las cookies son unos pequeños códigos de programación que se instalan en los navegadores de los usuarios con la finalidad de almacenar información de uso y de navegación. Dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario. Las cookies se asocian únicamente a un usuario anónimo y su ordenador o dispositivo y no proporcionan referencias que permitan conocer sus datos personales.
TIPOS DE COOKIES que existen
Tipos de cookies según la entidad que las gestione
Según quien sea la entidad que gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos distinguir:
Cookies propias: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.
Cookies de tercero: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.
En el caso de que las cookies sean instaladas desde un equipo o dominio gestionado por el propio editor pero la información que se recoja mediante éstas sea gestionada por un tercero, no pueden ser consideradas como cookies propias.
Tipos de cookies según el plazo de tiempo que permanecen activadas
Cookies de sesión: Son un tipo de cookies diseñadas para recabar y almacenar datos mientras el usuario accede a una página web.
Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (p.e. una lista de productos adquiridos). –
Cookies persistentes: Son un tipo de cookies en el que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.
Tipos de cookies según su finalidad
Según la finalidad para la que se traten los datos obtenidos a través de las cookies, podemos distinguir entre:
Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.
Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.
Cookies de análisis: Son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.
Respecto al tratamiento de datos recabados a través de las cookies de análisis, el grupo de trabajo del articulo 29 ha manifestado que, a pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus uso y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.
Cookies publicitarias: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios.
Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
TIPOS DE COOKIES UTILIZADAS POR ESTE SITIO WEB
Las cookies utilizadas en nuestro sitio web son de sesión y de terceros, y nos permiten almacenar y acceder a información relativa al idioma, el tipo de navegador utilizado, y otras características generales predefinidas por el usuario, así como seguir y analizar la actividad que lleva a cabo para mejorar y prestar nuestros servicios de una manera más eficiente y personalizada. Las cookies usadas tienen, en todo caso, carácter temporal, con la única finalidad de hacer más eficaz la navegación. En ningún caso estas cookies proporcionan por sí mismas datos de carácter personal y no se usan para la recogida de los mismos.
La utilización de las cookies ofrece ventajas, como, por ejemplo:
– facilita al usuario la navegación y el acceso a los diferentes servicios que ofrece este sitio web;
– evita al usuario tener que configurar las características generales predefinidas cada vez que accede al sitio web; y
– favorece la mejora del funcionamiento y de los servicios prestados a través de este sitio web, tras el correspondiente análisis de la información obtenida a través de las cookies instaladas.
Al acceder a nuestra web se le informa que si sigue navegando se le instalarán diversas cookies de terceros consintiendo así la instalación de determinadas cookies que tendrán como única finalidad la de registrar el acceso a nuestro sitio web para la realización de estadísticas anónimas sobre las visitas, recopilando información siempre de forma anónima. No es necesario que acepte la instalación de estas cookies, podrá navegar igualmente por toda nuestra web.
En diversas secciones de nuestra web se podrán instalar cookies de redes sociales, en concreto las siguientes:
Twitter, según lo dispuesto en su política de privacidad y uso de cookies.
Facebook, según lo dispuesto en su política de cookies.
Linkedin, según lo dispuesto en su página sobre el uso de las cookies.
Google+ y Google Maps, según lo dispuesto en su página sobre qué tipo de cookies utilizan.
A continuación, se detallan las cookies analíticas que se utilizan en el Sitio Web:
DESACTIVACIÓN/ACTIVACIÓN Y ELIMINACIÓN DE COOKIES
Para restringir o bloquear las cookies, se hace a través de la configuración del navegador.
Si no desea que los sitios web pongan ninguna cookie en su equipo, puede adaptar la configuración del navegador de modo que se le notifique antes de que se coloque ninguna cookie. De igual modo, puede adaptar la configuración de forma que el navegador rechace todas las cookies, o únicamente las cookies de terceros. También puede eliminar cualquiera de las cookies que ya se encuentren en el equipo. Tenga en cuenta que tendrá que adaptar por separado la configuración de cada navegador y equipo que utilice.
Tenga en cuenta que, si no desea recibir cookies, ya no podremos garantizar que nuestro sitio web funcione debidamente. Puede que algunas funciones del sitio se pierdan y es posible que ya no pueda ver ciertos sitios web. Además, rechazar las cookies no significa que ya no vaya a ver anuncios publicitarios. Simplemente los anuncios no se ajustarán a sus intereses y se repetirán con más frecuencia.
Cada navegador posee un método distinto para adaptar la configuración. Si fuera necesario, consulte la función de ayuda del navegador para establecer la configuración correcta.
Para desactivar las cookies en el teléfono móvil, consulte el manual del dispositivo para obtener más información.
Puede obtener más información sobre las cookies en Internet, http://www.aboutcookies.org/.
Teniendo en cuenta la forma en la que funciona Internet y los sitios web, no siempre contamos con información de las cookies que colocan terceras partes a través de nuestro sitio web. Esto se aplica especialmente a casos en los que nuestra página web contiene lo que se denominan elementos integrados: textos, documentos, imágenes o breves películas que se almacenan en otra parte, pero se muestran en nuestro sitio web o a través del mismo.
Por consiguiente, en caso de que se encuentre con este tipo de cookies en este sitio web y no estén enumeradas en la lista anterior, le rogamos que nos lo comunique. O bien póngase en contacto directamente con el tercero para pedirle información sobre las cookies que coloca, la finalidad y la duración de la cookie, y cómo ha garantizado su privacidad.
¿Cómo deshabilitar las cookies?
En todo momento podrá acceder a la configuración de su navegador aceptando o rechazando todas las cookies, o bien seleccionar aquéllas cuya instalación admite y cuáles no, siguiendo uno de los siguientes procedimientos, que depende del navegador que utilice:
Internet Explorer (https://goo.gl/iU2wh2)
En el menú de herramientas, selecciones “Opciones de Internet”.
Haga clic en la pestaña de privacidad.· Podrá configurar la privacidad con un cursor con seis posiciones que le permite controlar la cantidad de cookies que se instalarán: Bloquear todas las cookies, Alta, Media Alto, Media (nivel por defecto), Baja y Aceptar todas las cookies.
Mozilla Firefox (http://goo.gl/QXWYmv)
En la parte superior de la venta de Firefox hacer clic en el menú Herramientas.·Seleccionar Opciones.
Seleccionar el panel Privacidad.
En la opción Firefox podrá elegir usar una configuración personalizada de su historial, así como otras cuestiones relacionadas con su Privacidad.
Google Chrome (http://goo.gl/fQnkSB)
Hacer clic en el menú situado en la barra de herramientas.
Seleccionar Configuración.
Hacer clic en Mostar opciones avanzadas.
En la selección “Privacidad” hacer clic en el botón Configuración de contenido.
En la selección de Cookies, se pueden configurar las opciones.
Safari (https://support.apple.com/es-es/HT201265)
En el menú de configuración seleccione la opción de “Preferencias”.
Abra la pestaña de privacidad.
Seleccione la opción que quiera de la sección de “bloquear cookies”.
Recuerde que ciertas funciones y la plena funcionalidad del Sitio Web pueden no estar disponibles después de deshabilitar las cookies.
Si no desea ser rastreado por las cookies, Google ha desarrollado un complemento para instalar en su navegador al que puede acceder en el siguiente enlace: http://goo.gl/up4ND Estos navegadores están sometidos a actualizaciones o modificaciones, por lo que no podemos garantizar que se ajusten completamente a la versión de su navegador. También puede ser que utilice otro navegador no contemplado en estos enlaces como Konqueror, Arora, Flock, etc. Para evitar estos desajustes, puede acceder directamente desde las opciones de su navegador, generalmente en el menú de “Opciones” en la sección de “Privacidad”. (Por favor, consulte la ayuda de su navegador para más información).
De conformidad con la normativa española que regula el uso de cookies en relación a la prestación de servicios de comunicaciones electrónicas, recogida en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, le informamos sobre las cookies utilizadas en el sitio web de totalrisk.org propiedad de KLUG CONSULTING S.L. (el prestador) y el motivo de su uso.
Según la directiva de la UE, las cookies que requieren el consentimiento informado por parte del usuario son las cookies de analítica y las de publicidad y afiliación, quedando exceptuadas las de carácter técnico y las necesarias para el funcionamiento del sitio web o la prestación de servicios expresamente demandados por el usuario.
Quedan exceptuadas del cumplimiento de las obligaciones establecidas en la LSSI las cookies utilizadas para alguna de las siguientes finalidades:
Permitir únicamente la comunicación entre el equipo del usuario y la red.
Estrictamente prestar un servicio expresamente solicitado por el usuario.
En este sentido el Grupo de Trabajo del Artículo 29 en su Dictamen 4/20123 ha interpretado que entre las cookies exceptuadas estarían aquellas que tienen por finalidad:
Cookies de «entrada del usuario»
Cookies de autenticación o identificación de usuario (únicamente de sesión)
Cookies de seguridad del usuario
Cookies de sesión de reproductor multimedia
Cookies de sesión para equilibrar la carga
Cookies de personalización de la interfaz de usuario
Cookies de complemento (plug-in) para intercambiar contenidos sociales.
¿QUÉ SON LAS COOKIES?
Las cookies son unos pequeños códigos de programación que se instalan en los navegadores de los usuarios con la finalidad de almacenar información de uso y de navegación. Dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario. Las cookies se asocian únicamente a un usuario anónimo y su ordenador o dispositivo y no proporcionan referencias que permitan conocer sus datos personales.
TIPOS DE COOKIES que existen
Tipos de cookies según la entidad que las gestione
Según quien sea la entidad que gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos distinguir:
Cookies propias: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.
Cookies de tercero: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.
En el caso de que las cookies sean instaladas desde un equipo o dominio gestionado por el propio editor pero la información que se recoja mediante éstas sea gestionada por un tercero, no pueden ser consideradas como cookies propias.
Tipos de cookies según el plazo de tiempo que permanecen activadas
Cookies de sesión: Son un tipo de cookies diseñadas para recabar y almacenar datos mientras el usuario accede a una página web.
Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (p.e. una lista de productos adquiridos). –
Cookies persistentes: Son un tipo de cookies en el que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.
Tipos de cookies según su finalidad
Según la finalidad para la que se traten los datos obtenidos a través de las cookies, podemos distinguir entre:
Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.
Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.
Cookies de análisis: Son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.
Respecto al tratamiento de datos recabados a través de las cookies de análisis, el grupo de trabajo del articulo 29 ha manifestado que, a pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus uso y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.
Cookies publicitarias: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios.
Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
TIPOS DE COOKIES UTILIZADAS POR ESTE SITIO WEB
Las cookies utilizadas en nuestro sitio web son de sesión y de terceros, y nos permiten almacenar y acceder a información relativa al idioma, el tipo de navegador utilizado, y otras características generales predefinidas por el usuario, así como seguir y analizar la actividad que lleva a cabo para mejorar y prestar nuestros servicios de una manera más eficiente y personalizada. Las cookies usadas tienen, en todo caso, carácter temporal, con la única finalidad de hacer más eficaz la navegación. En ningún caso estas cookies proporcionan por sí mismas datos de carácter personal y no se usan para la recogida de los mismos.
La utilización de las cookies ofrece ventajas, como, por ejemplo:
– facilita al usuario la navegación y el acceso a los diferentes servicios que ofrece este sitio web;
– evita al usuario tener que configurar las características generales predefinidas cada vez que accede al sitio web; y
– favorece la mejora del funcionamiento y de los servicios prestados a través de este sitio web, tras el correspondiente análisis de la información obtenida a través de las cookies instaladas.
Al acceder a nuestra web se le informa que si sigue navegando se le instalarán diversas cookies de terceros consintiendo así la instalación de determinadas cookies que tendrán como única finalidad la de registrar el acceso a nuestro sitio web para la realización de estadísticas anónimas sobre las visitas, recopilando información siempre de forma anónima. No es necesario que acepte la instalación de estas cookies, podrá navegar igualmente por toda nuestra web.
En diversas secciones de nuestra web se podrán instalar cookies de redes sociales, en concreto las siguientes:
Twitter, según lo dispuesto en su política de privacidad y uso de cookies.
Facebook, según lo dispuesto en su política de cookies.
Linkedin, según lo dispuesto en su página sobre el uso de las cookies.
Google+ y Google Maps, según lo dispuesto en su página sobre qué tipo de cookies utilizan.
A continuación, se detallan las cookies analíticas que se utilizan en el Sitio Web:
DESACTIVACIÓN/ACTIVACIÓN Y ELIMINACIÓN DE COOKIES
Para restringir o bloquear las cookies, se hace a través de la configuración del navegador.
Si no desea que los sitios web pongan ninguna cookie en su equipo, puede adaptar la configuración del navegador de modo que se le notifique antes de que se coloque ninguna cookie. De igual modo, puede adaptar la configuración de forma que el navegador rechace todas las cookies, o únicamente las cookies de terceros. También puede eliminar cualquiera de las cookies que ya se encuentren en el equipo. Tenga en cuenta que tendrá que adaptar por separado la configuración de cada navegador y equipo que utilice.
Tenga en cuenta que, si no desea recibir cookies, ya no podremos garantizar que nuestro sitio web funcione debidamente. Puede que algunas funciones del sitio se pierdan y es posible que ya no pueda ver ciertos sitios web. Además, rechazar las cookies no significa que ya no vaya a ver anuncios publicitarios. Simplemente los anuncios no se ajustarán a sus intereses y se repetirán con más frecuencia.
Cada navegador posee un método distinto para adaptar la configuración. Si fuera necesario, consulte la función de ayuda del navegador para establecer la configuración correcta.
Para desactivar las cookies en el teléfono móvil, consulte el manual del dispositivo para obtener más información.
Puede obtener más información sobre las cookies en Internet, http://www.aboutcookies.org/.
Teniendo en cuenta la forma en la que funciona Internet y los sitios web, no siempre contamos con información de las cookies que colocan terceras partes a través de nuestro sitio web. Esto se aplica especialmente a casos en los que nuestra página web contiene lo que se denominan elementos integrados: textos, documentos, imágenes o breves películas que se almacenan en otra parte, pero se muestran en nuestro sitio web o a través del mismo.
Por consiguiente, en caso de que se encuentre con este tipo de cookies en este sitio web y no estén enumeradas en la lista anterior, le rogamos que nos lo comunique. O bien póngase en contacto directamente con el tercero para pedirle información sobre las cookies que coloca, la finalidad y la duración de la cookie, y cómo ha garantizado su privacidad.
¿Cómo deshabilitar las cookies?
En todo momento podrá acceder a la configuración de su navegador aceptando o rechazando todas las cookies, o bien seleccionar aquéllas cuya instalación admite y cuáles no, siguiendo uno de los siguientes procedimientos, que depende del navegador que utilice:
Internet Explorer (https://goo.gl/iU2wh2)
En el menú de herramientas, selecciones “Opciones de Internet”.
Haga clic en la pestaña de privacidad.· Podrá configurar la privacidad con un cursor con seis posiciones que le permite controlar la cantidad de cookies que se instalarán: Bloquear todas las cookies, Alta, Media Alto, Media (nivel por defecto), Baja y Aceptar todas las cookies.
Mozilla Firefox (http://goo.gl/QXWYmv)
En la parte superior de la venta de Firefox hacer clic en el menú Herramientas.·Seleccionar Opciones.
Seleccionar el panel Privacidad.
En la opción Firefox podrá elegir usar una configuración personalizada de su historial, así como otras cuestiones relacionadas con su Privacidad.
Google Chrome (http://goo.gl/fQnkSB)
Hacer clic en el menú situado en la barra de herramientas.
Seleccionar Configuración.
Hacer clic en Mostar opciones avanzadas.
En la selección “Privacidad” hacer clic en el botón Configuración de contenido.
En la selección de Cookies, se pueden configurar las opciones.
Safari (https://support.apple.com/es-es/HT201265)
En el menú de configuración seleccione la opción de “Preferencias”.
Abra la pestaña de privacidad.
Seleccione la opción que quiera de la sección de “bloquear cookies”.
Recuerde que ciertas funciones y la plena funcionalidad del Sitio Web pueden no estar disponibles después de deshabilitar las cookies.
Si no desea ser rastreado por las cookies, Google ha desarrollado un complemento para instalar en su navegador al que puede acceder en el siguiente enlace: http://goo.gl/up4ND Estos navegadores están sometidos a actualizaciones o modificaciones, por lo que no podemos garantizar que se ajusten completamente a la versión de su navegador. También puede ser que utilice otro navegador no contemplado en estos enlaces como Konqueror, Arora, Flock, etc. Para evitar estos desajustes, puede acceder directamente desde las opciones de su navegador, generalmente en el menú de “Opciones” en la sección de “Privacidad”. (Por favor, consulte la ayuda de su navegador para más información).
Las cookies estrictamente necesarias deben estar habilitada en todo momento para que podamos guardar sus preferencias para la configuración de cookies.
If you disable this cookie, we will not be able to save your preferences. This means that every time you visit this website you will need to enable or disable cookies again.
Este sitio web utiliza Google Analytics para recopilar información anónima, como la cantidad de visitantes al sitio y las páginas más populares.
Mantener esta cookie habilitada nos ayuda a mejorar nuestro sitio web.
Please enable Strictly Necessary Cookies first so that we can save your preferences!
