Nuevos retos en privacidad: IoT

Al hablar de IoT nos referimos a la llamada “Internet of Things –  Internet de las Cosas”. Esencialmente se trata de la interconexión de objetos en red, mediante la asignación a cada uno de ellos de un “identificador único”, constituyendo así un dominio en el que pueden interactuar e intercambiar información de forma identificada, lo que supone una comunicación máquina a máquina. Estos tratamientos requieren de la designación obligatoria de Delegado de Protección de Datos- DPO-, quien deberá asesorar al responsable o encargado de tratamiento sobre los retos que plantean estos tratamientos para la privacidad.

Los principales riesgos para la privacidad de estos tratamientos son:

Rastreo. Consiste en el seguimiento en tiempo real de los movimientos de una persona, a partir de objetos que tiene asignados. Permite conocer la completa trazabilidad de los mismos. Ello puede provocar que esa información sobre hábitos de conducta en manos de cibercriminales pueda ser utilizada por ejemplo para efectuar un robo cuando estamos fuera de casa (trabajando o de vacaciones).

Elaboración de perfiles. A partir de los datos almacenados del seguimiento de una persona, mediante técnicas analíticas, permite inferir unos patrones de conducta y llegar a conocer sus hábitos y preferencias, posibilitando elaborar su perfil. Por ello se deberá estar a lo previsto en el RGPD para la elaboración de perfiles y, en su caso, decisiones individuales automatizadas.

Seguridad. Los ataques de DoS (Denegación de Servicio) / DDoS (Distributed Denial of Service) que ya están actualmente presentes en Internet. La IoT también es susceptible a este tipo de ataques por lo que se deben establecer mecanismos de resistencia a este tipo de ataques.

Por otro lado, al tratarse de dispositivos conectados son susceptibles de recibir malware (virus o programas que cifran la información – ransomware) por lo que deben ser protegidos de la misma manera que otros dispositivos conectados como ordenadores o smartphones.

Estos tratamientos en la mayoría de los casos requerirán una Evaluación de Impacto en Protección de Datos a tenor del artículo 35.3. a) del RGPD:

“Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar”.

En la elaboración de la EIPD se deberán tener muy presentes las causas de legitimación del tratamiento, la información facilitada a los interesados, en su caso, el modo de obtención del consentimiento, así como las medidas técnicas y organizativas que reduzcan el alto riesgo para los derechos y libertades de los interesados. El Delegado de Protección de Datos DPO, tendrá un papel relevante en la elaboración de la misma debiendo liderarla y tomar parte activa en todas las fases de la misma.

Finalizaremos nuestra exposición haciendo referencia a la “Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas)” que entre otras cuestiones pretende regular la IoT.

En relación con las comunicaciones máquina a máquina realizadas por la IoT, la Propuesta de Reglamento indica que estará prohibido recopilar la información emitida por un equipo terminal para poder conectarse a otro dispositivo o a un equipo de red, salvo cuando se cumpla alguna de las siguientes excepciones:

1. a) cuando se lleve a cabo con el fin exclusivo de establecer una conexión y solamente durante el tiempo necesario para ello, o
2. b) cuando se muestre una advertencia clara y destacada que informe, como mínimo, de las modalidades de recopilación, su finalidad, las personas responsables de ella y la información restante requerida de conformidad con el artículo 13 del Reglamento (UE) 2016/679 en caso de que se recojan datos personales, así como de cualquier medida que pueda adoptar el usuario final del equipo terminal para interrumpir o reducir al mínimo la recopilación. La información podrá proporcionarse en combinación con el uso de iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto.

La recopilación de esta información quedará supeditada a la aplicación de medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado en relación con los riesgos, según lo establecido en el artículo 32 del Reglamento (UE) 2016/679.

El equipo de profesionales de Govertis

Protección de datos de menores de edad en el marco europeo

El legislador europeo, por primera vez, a través del Reglamento General de Protección de Datos (UE) 2016/679, ha articulado una regulación específica sobre el tratamiento de datos personales de los menores; si bien en España tenemos disposición al respecto. En síntesis, esta es la forma en que se ha regulado a nivel europeo:

a) Ámbito de protección.- Según el citado Reglamento, “los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño.”

A pesar de que la norma europea se haya centrado más en los servicios de la Sociedad de la Información, esto no ha de significar que el tratamiento de datos de menores fuera de este ámbito esté desprotegido por la norma. Las prescripciones en él contenidas pueden ser extrapoladas a los tratamientos de datos fuera de Internet. En todo caso, el tratamiento de los datos personales de un menor a efectos contractuales, se regirán por las disposiciones del Estado miembro, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.

b) Parámetro de la edad.- Ante la disparidad de criterios que encontramos al respecto en los Estados miembros, la norma europea ha optado por fijar una horquilla, entre los 13 y 16 años de edad; entendiéndose que, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. No obstante, los Estados miembros podrán establecer por ley una edad inferior a los 16 años, pero que, en ningún caso, será inferior a 13 años.

c) Modo de informar.- La información será concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, sobre todo, por estar dirigida específicamente a un niño.

d) Verificación de la edad.- En la recogida de datos del menor, el Responsable del Tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.

El equipo de profesionales de Govertis

Nuevos retos en Protección de Datos: Cloud Computing

Las tecnologías evolucionan y con ello generan retos jurídicos que hace tiempo ni siquiera imaginábamos. El Derecho siempre va detrás de los hechos; y cuando hablamos de hechos tan cambiantes como los que las TIC propician, la necesidad de reacción se vuelve más crítica. Entre los diferentes retos jurídicos que se plantean, vamos a poner el zoom sólo en uno de ellos: la protección de datos de carácter personal.

Los retos tecnológicos que la protección de datos debe de afrontar son múltiples. El esquema de certificación de DPD incluye algunos como Cloud computing, Smartphones y APPs, RFID, Internet de las cosas, Big Data y profiling, etc…. Pero hay muchos otros que no ha incluido, como por ejemplo el reconocimiento facial, procesamiento de lenguajes naturales, robots, vehículos autónomos o drones que se mencionaron en la 38ª Conferencia internacional de protección de datos y comisionarios de Privacidad que se celebró en octubre de 2016 bajo el título “INTELIGENCIA ARTIFICIAL, ROBÓTICA, PRIVACIDAD Y PROTECCIÓN DE DATOS”.

En algunos casos las autoridades de protección de datos han publicado guías o existen Directrices; En otros casos (habida cuenta de su novedad) no existen pronunciamientos de las  autoridades o son muy parcos por lo que intentaremos encajarlas en la regulación del RGPD.

En este primer artículo nos centraremos en uno de ellos (el cloud computing) y posteriormente en futuros artículos iremos desgranando otros.

Como destaca la AEPD en su Guía en la contratación de estos servicios existen riesgos de falta de transparencia y falta de control:

“Falta de transparencia

Es el prestador el que conoce todos los detalles del servicio que ofrece. Por ello, nos enfrentamos a la necesidad de conocer el qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor para la prestación del servicio. Si este último no da una información clara, precisa y completa sobre todos los elementos inherentes a la prestación, la decisión adoptada por el responsable no podrá tener en consideración de forma adecuada requisitos básicos como la ubicación de los datos, la existencia de subencargados, los controles de acceso a la información o las medidas de seguridad. De esta forma, se dificulta al responsable la posibilidad de evaluar los riesgos y establecer los controles adecuados”.

“Falta de control

Como consecuencia de las peculiaridades del modelo de tratamiento en la nube y en parte también de la ausencia de transparencia en la información, la falta de control del responsable se manifiesta, por ejemplo, ante las dificultades para conocer en todo momento la ubicación de los datos, las dificultades a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido e interoperable, los obstáculos a una gestión efectiva del tratamiento o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos sustantivos del tratamiento en lo tocante a salvaguardas técnicas y organizativas”.

Ello obliga a la empresa que desee contratar estos servicios a recabar información previa al prestador sobre determinados aspectos del servicio. Todo ello en virtud del artículo 28.1 del RGPD que obliga a los responsables de tratamiento a elegir prestadores que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas para garantizar que el tratamiento es conforme con el RGPD y respeta la protección de los derechos del interesado.

Aquí nos gustaría añadir una nota importante, la AEPD dispone de dos guías sobre cloud computing cuya lectura es recomendada. Por ello, la AEPD en su Guía de Cloud Computing recomienda establecer una serie de verificaciones de control previas e incluso cotejar las respuestas facilitadas por varios prestadores: “las condiciones ofrecidas por los proveedores se deben contrastar con una lista de control que incluya, entre otros, elementos relativos a la información proporcionada, ubicación del tratamiento, existencia de sub-encargados, políticas de seguridad, derechos del usuario y obligaciones legales del prestador del servicio”.

Por su parte el actual Instituto Nacional de Ciberseguridad INCIBE en un Informe de 2011 (Instituto Nacional de Ciberseguridad, “Riesgos y amenazas del cloud computing”  Madrid 2011), destacaba en relación con los problemas de seguridad e incertidumbre sobre el marco jurídico y la legislación competente, los siguientes aspectos: 

• Accesos de usuarios con privilegios: al ubicarse la información fuera de las instalaciones existe una pérdida de control de los accesos, por lo que se debe evitar implantando controles y medidas que usuarios sin privilegios o terceros puedan acceder a esa información.
• Cumplimento normativo: en última instancia los clientes son los responsables de garantizar la confidencialidad, seguridad e integridad de la información, aunque no esté ubicada en sus instalaciones y servidores.
• Localización de los datos: en entornos cloud no siempre se conoce de forma exacta en qué país está alojada la información y las diferentes copias de seguridad.
• Aislamiento de datos: los datos en los entornos cloud comparten infraestructura con datos de otros clientes. El proveedor debe garantizar el aislamiento de los datos de los respectivos clientes. El cifrado de los datos es una buena práctica, pero el problema es cómo aislar los datos cuando se encuentran en reposo ya que el cifrado, cuando no se hace uso de los datos, puede resultar una operación costosa.
• Recuperación: los proveedores de servicio deben tener una política de restauración de la información ante eventos de seguridad. Si se replican copias en otras infraestructuras se garantiza igualmente la disponibilidad de la información.
• Soporte investigativo: la investigación de actividades ilegales en entornos cloud puede ser una actividad casi imposible, porque los datos y logs (registros de actividad) de múltiples clientes pueden estar juntos e incluso desperdigados por una gran cantidad de equipos y centros de datos.
•  Viabilidad a largo plazo: en un entorno ideal un proveedor de servicios

El equipo de profesionales de Govertis

Las causas de legitimación del tratamiento en el RGPD

Con motivo de la entrada en vigor del nuevo Reglamento Europeo 2016/679 General de Protección de datos Personales (RGPD), se introducen diferentes novedades a abordar con respecto a las obligaciones ya establecidas por la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD). Entre dichas novedades debemos tomar en consideración cuál es la base legitimadora que nos habilita para realizar el tratamiento de los datos personales de nuestros clientes/usuarios.

Ciñéndonos a lo establecido en el RGPD, podemos visualizar los aspectos esenciales exigidos para que el tratamiento de datos de carácter personal sea lícito; en el art. 6, centrándose el art. 7 del citado Reglamento en las condiciones para que dicho consentimiento sea válido y, por último, el art. 8 hace referencia a las condiciones necesarias para la validez del consentimiento del niño en relación a los servicios prestados a través de medios telemáticos.

En primer lugar, haciendo hincapié en los requisitos exigidos para que el tratamiento sea lícito, el art. 6 establece lo siguiente:

“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

1. a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
2. b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
3. c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
4. d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física. El considerando 46 establece como ejemplos de intereses vitales y de interés público, aquellos relativos al tratamiento necesario para fines humanitarios (incluido el control de epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
5. e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
6. f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.”

Respecto a las condiciones indicadas en dicho artículo, nos centraremos en el consentimiento del interesado e interés legítimo del responsable del tratamiento puesto que pueden ser más conflictivas o generar mayores controversias en cuanto a aplicación se refiere.

Por otro lado, uno de los mayores cambios que introduce el RGPD con respecto a nuestra normativa de protección de datos es la no contemplación del consentimiento tácito, siendo por consiguiente la satisfacción del interés legítimo, un elemento clave para considerar la existencia de un tratamiento de datos sin consentimiento del interesado (considerandos 47 a 49).

Otra de las apreciaciones que debemos traer a colación es, el tratamiento de datos de categoría especial entre los que se entienden: datos personales que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, biométricos, etc (Vid. Art. 9.1 RGPD).

Como regla general se prohíbe dicho tratamiento salvo que exista un consentimiento explícito por parte del interesado o, concurran una serie de circunstancias:

• Cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social.
• Protección de Intereses vitales del interesado
• Tratamiento efectuado en el ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical.
• Tratamiento de datos manifiestamente públicos.
• Tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial.
• Por razón de interés público en el ámbito de la salud pública.
• Es necesario con fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos.

Por último, en lo concerniente al tratamiento de datos personales procedentes de niños o menores, se considerará válido dicho tratamiento si existe un consentimiento por parte del menor, cuando éste tenga mínimo 16 años y, los servicios recibidos hayan sido catalogados como “servicios procedentes de la sociedad de la información”. No obstante, lo anterior, se estable por el art. 8.1 que los Estados Miembros podrán establecer por ley una edad inferior que en todo caso no podrá sobrepasar el límite de los 13 años, el art. 7 del Proyecto de LOPD establece que “el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de trece años” en contraposición a lo establecido en el AR. 13 del RD 1720/2007 el cual determinaba la edad mínima de 14 años para poder recabar datos de menores con su consentimiento.

En relación a todo lo anteriormente destacado, podemos concluir que el RGPD puntualiza con mayor precisión los requisitos exigibles para considerar que un tratamiento de datos de carácter personal es legítimo; motivo por el cual todo responsable de tratamiento deberá analizar si es posible continuar con el tratamiento de dichos datos o, si por el contrario es necesario informar y recabar el consentimiento para ajustarnos a las estipulaciones marcadas por el nuevo Reglamento.

El equipo de profesionales de Govertis

Privacy by design

El Reglamento General de Protección de Datos de la Unión Europea tiene como objetivo establecer unas nuevas reglas del juego en el desarrollo de productos y servicios del siglo XXI en donde la privacidad cobra una importancia trascendental desde el inicio. Por este motivo, se ha contemplado tanto la adecuación de los sistemas y productos existentes como la protección de los entornos futuros.

¿Cómo se concibe el consentimiento para tratar datos personales, según el Reglamento Europeo?

En España, el consentimiento en la legislación en protección de datos de carácter personal se ha concebido como la premisa básica para legitimar un tratamiento o cesión de datos.

Sin embargo, a partir de ahora, con el Reglamento General de Protección de Datos de la Unión Europea, el consentimiento se ha concebido como una causa o fundamento más para legitimar un tratamiento de datos personales y está estrechamente ligado al principio de finalidad, puesto que la norma pone énfasis en que el consentimiento esté asociado para los fines específicos del tratamiento. Esto es, se ha recoger de forma clara, sencilla y concisa las finalidades de los datos, para que el interesado pueda manifestar el consentimiento respecto de cada una de éstas.

Ya tenemos la autorización provisional para certificar Delegados de Protección de Datos

La AEC ha obtenido la autorización provisional para certificar a Delegados de Protección de Datos (DPD), según el esquema de certificación elaborado por la Agencia Española de Protección de Datos, en colaboración con la Entidad Nacional de Acreditación (ENAC).

Códigos de conducta y certificación en el RGPD

Entre las cuestiones que regula el Reglamento Europeo de Protección de datos (RGPD), encontramos en los arts. 40 a 44 los códigos de conducta y certificación, sin embargo, no nos encontramos ante figuras novedosas puesto que los códigos de conducta ya estaban regulados en el RD 1720/2007 bajo la denominación de códigos tipo.

Transparencia en la información y deber de información

El nuevo Reglamento Europeo de Protección de Datos (RGPD) recoge el Principio de Transparencia como un deber para la satisfacción de los derechos del interesado (Considerando 58 y artículo 12 RGPD), y el derecho a la información del interesado (Considerandos 60 a 62 y artículos 13 y 14 RGPD) con unas obligaciones concretas relacionadas con el deber de informar.

Medidas de protección de datos en las Administraciones Públicas: Convergencia con Esquema Nacional de Seguridad

El nuevo Reglamento Europeo de Protección de Datos (RGPD) recoge el Principio de Transparencia como un deber para la satisfacción de los derechos del interesado (Considerando 58 y artículo 12 RGPD), y el derecho a la información del interesado (Considerandos 60 a 62 y artículos 13 y 14 RGPD) con unas obligaciones concretas relacionadas con el deber de informar.