Necesidad de formación en protección de datos

La idea de este artículo es encuadrar una de las medidas estrella para mitigar riesgos en los Análisis de Riesgos y en las Evaluaciones de Impacto de Protección de Datos dentro de las exigencias normativas del RGPD y la LOPDGD

Todos solemos recomendar la formación como medida transversal para mitigar riesgos y solemos recomendar a nuestros clientes que realicen formación y concienciación en materia de protección de datos y  seguridad de la información, pero ¿por qué, si no lo exige directamente el RGPD? ¿Cuál es su fundamento entonces?

Son varias las razones y se exponen a continuación:

1.- Medidas organizativas y técnicas

La necesidad de formación en materia de protección de datos se deduce de las medidas organizativas y técnicas que deben aplicar los Responsables y Encargados de Tratamiento.

El concepto de aplicación de medidas organizativas y técnicas está presente en varios artículos (Art. 24, art. 25 y art. 32 del RGPD)

Recordemos que ya no tenemos una enumeración de medidas de seguridad a implantar, sino que las mismas, se escogerán en función de un análisis de riesgos.

Tal como establece la Guía de Evaluación de Impacto de Protección de Datos de la Agencia Española de protección de Datos, en su anexo VI, se recomienda constantemente la formación como control para mitigar riesgos y, no solo formación en protección de datos, sino también en la seguridad y uso adecuado de las TIC.

2.- Principio de Responsabilidad Proactiva

El propio principio de Responsabilidad proactiva implica que el Responsable del Tratamiento será responsable del cumplimiento de lo dispuesto en RGPD y capaz de demostrarlo. El cumplimiento del RGPD no es algo exclusivo de la Alta Dirección, o de los departamentos de sistemas o jurídicos; sino que requiere una implicación de todo el personal con acceso a datos personales. Por ello, todo ese personal debe saber cuáles son sus obligaciones y, es aquí, donde la formación se convierte en un elemento vertebrador del cumplimiento de la normativa de protección de datos por parte de todo el personal.

3.- Políticas de Protección de Datos

El art. 24.2 del RGPD establece que “Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos”.

La adopción de políticas y normas internas dirigidas a los empleados, tanto con carácter general como focalizadas con relación a las funciones que desempeñen dentro de la empresa, jugará un papel decisivo en este objetivo.

Para ello será necesario comenzar con una correcta formación de todo el personal con acceso a datos

4.- Funciones del Delegado de protección de Datos (DPD)

El art. 39.2 del RGPD establece entre las funciones del DPD:

“Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”

Es decir, si entre las funciones del DPD está la concienciación y la formación del personal, esto implica que dicha obligación existe para los Responsables de Tratamiento, que en caso de tener designado un DPD, será asumida por éste.

5.- Derecho a la desconexión digital

Adicionalmente, hay que añadir que la LOPDGDD en su artículo 88.3 (Derecho a la desconexión digital en el ámbito laboral) establece una formación específica, en este caso, en desconexión digital:

3. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.

Venos otra vez, como dentro de las políticas dirigidas a los trabajadores, la formación es una parte esencial de la misma.

En conclusión, la formación es un elemento fundamental para el cumplimiento real del RGPD y se convierte en el eje vertebrador de su cumplimiento efectivo por parte de las organizaciones.

Elías Vallejo

Equipo Govertis

Los reyes de los “dark patterns” en términos de privacidad: los banners de las cookies

Como se puede observar casi en cada sitio web que visitamos, los banners de las cookies están diseñados para que no te molestes en llegar más allá del “Acepto todas” o el botón de “OK”. En consecuencia, el proceso de prestación del consentimiento está concebido para que sea opaco, impráctico y que consuma tanto tu tiempo como para que tomes la decisión de hacer clic en “Aceptar”.

En el caso de que te importe mínimamente tu privacidad, desafortunadamente vas a tener que pasar por un largo y tedioso proceso, saltando de un enlace a otro y al menú de configuración, siempre acompañado por un botón verde gigante de “acepto todas” por si desistes en el intento. Si quieres poner a prueba tu paciencia y habilidad para configurar tu privacidad, accede al “juego frustrante sobre los banners RGPD”, un irónico reto creado por el diseñador de servicios alemán Fred Wordie que cronometra cuánto tardas en rechazar todas las cookies[1].

Resulta muy interesante la clasificación de las prácticas de diseño potencialmente engañosas que la CNIL desarrolla en su informe[2]. Las más utilizadas para la aceptación del uso de rastreadores son las siguientes:

• “Improving the experience”: Usar el argumento de la personalización y la mejora de la experiencia de usuario para alentar a los usuarios a compartir más datos personales.
• “Default sharing”: Pre-marcar las casillas y opciones que suponen compartir más datos personales.
• “Blaming the individual”: Hacer que el usuario se sienta culpable por sus elecciones. Esto se usa muy a menudo por los proveedores de servicios cuyo modelo de negocio se basa esencialmente en la publicidad, cuando un usuario rechaza ser rastreado por cookies o usa un bloqueador de anuncios.
• “Impenetrable wall”: Bloquear el acceso a un servicio usando una “cookie wall” o la creación de una cuenta cuando no es necesario para la funcionalidad del servicio (también llamado “take it or leave it” -o lo tomas o lo dejas-).
• “Making it fastidious to adjust confidential settings”: Facilitar el consentimiento mediante una simple acción y hacer que la elección de una opción más respetuosa con nuestra protección de datos sea más larga y complicada. Por ejemplo, permitiendo continuar aceptando todas las opciones con un botón de “continuar” o “aceptar todas” mientras que las opciones y ajustes avanzados implican un tortuoso camino “scrolleando” y saltando de menú en menú.

De acuerdo con el estudio “Do cookie banners respect my choice?” que analizó los diseños de los banners de cookies de 560 sitios webs, el 47% empujan a los usuarios hacia la aceptación de opciones pre-seleccionadas, mientras que el 38% de las webs no proporciona ningún medio para rechazar el consentimiento. También concluyó que el formato de prestación del consentimiento utiliza una semántica poco clara, lo que dificulta su interpretación[3].  Además, otro estudio llevado a cabo por investigadores de la Universidad de Aarhus (Dinamarca), el MIT (EE.UU) y el University College de Londres (Reino Unido), si la web no incluye un botón de rechazar las cookies en la primera ventana, sube un 23% el número de usuario que dan su consentimiento y si existe dicho botón, baja entre un 8 y un 20% el número de usuarios que acepta los archivos de seguimiento[4].

Con toda esta información sobre la mesa, toca plantearse la pregunta que da sentido a este artículo:

¿Disponemos de los mecanismos suficientes para acabar con el uso extendido de los “dark patterns”?

Solamente tenemos que mirar hacia nuestro querido RGPD.

Los “dark patterns” suponen una amenaza para el concepto mismo de consentimiento dado por el RGPD: “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. El Considerando 32 también establece que el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

La prestación de un consentimiento libre es un arma que tenemos los usuarios para proteger nuestros derechos, por lo que el abuso de técnicas de manipulación que nos empujan a la toma de decisiones contrarias a nuestros intereses no puede considerarse una prestación de consentimiento libre ni mucho menos informada en aquellos casos en los que se oculta, confunde o proporciona información sesgada.

Además, para el tratamiento de los datos personales se requiere cumplir con ciertos principios de protección de datos, como el de limitación de la finalidad y el de minimización de datos, sin olvidarnos de los principios de protección de datos desde el diseño y por defecto.

La observancia de la protección de datos desde el diseño supone que tanto la arquitectura de las aplicaciones y plataformas, como la UX (experiencia de usuario) habrían de diseñarse alineadas con la privacidad de los usuarios y de acuerdo con unos principios éticos desde el inicio y en todos los procesos donde existan flujos de datos personales. Por otro lado, la protección de datos por defecto requiere un alto nivel en la salvaguarda de la información personal de los consumidores, incluso si no renuncian activamente al tratamiento y procesamiento de sus datos personales[5].

Los “dark patterns” ante la justicia

Recientemente el Tribunal del Distrito de Rostock (Alemania) decidió en su sentencia ref. 3 O 762/19, que los banners de las cookies deben ser diseñados de tal manera que tanto la declinación como la aceptación del consentimiento sean presentadas de forma equivalente una al lado de la otra.

Por el momento, EPIC (The Electronic Privacy Information Center), interpuso una reclamación[6] el pasado 23 de febrero de 2021 ante el Fiscal General de Washington D.C., alegando que Amazon utiliza ilícitamente “dark patterns” en la cancelación de su servicio de suscripción de Amazon Prime, obstaculizando deliberadamente esta decisión y continuando con el tratamiento y retención de los datos personales de sus usuarios.

Y es que abandonar una plataforma o servicio premium puede ser una auténtica carrera de obstáculos.

Precisamente en enero de este mismo año, el Consejo Noruego de Consumidores (Forbrukerrådet) publicó el informe “You can log out but you can never leave”[7] (ya citado con anterioridad) sobre cómo Amazon manipula a los consumidores para mantenerlos suscritos a Amazon Prime. Incluso elaboraron un breve vídeo[8] en el que se explica el proceso.

Esta misma organización, junto con otras plataformas como noyb (capitaneada por Max Schrems), han presentado a comienzos de este mismo año una reclamación ante la Autoridad Noruega de Protección de Datos (Datatilsynet) contra Grindr, debido al uso de una serie de “dark patterns” (consentimiento forzado o take it or leave it) que implican la cesión indiscriminada de datos personales de los usuarios a terceros, entre los cuales se incluye la orientación sexual. La app de citas alega que ha reforzado sus mecanismos de consentimiento, pero la propuesta de sanción alcanza los 10 millones de euros -el 10% de su facturación global-, la mayor cantidad impuesta por dicha autoridad de control[9].

¿Supone esto que a partir de ahora vamos a ver más reclamaciones en las autoridades de control y tribunales europeos? Todo apunta a que va a ser así.

Pero, en definitiva, proteger nuestra privacidad no debería ser un trabajo a tiempo completo que requiera un avanzado conocimiento de la materia. O lo que es lo mismo, “Privacy should not be an ‘advanced setting’ – it should be the default setting”[10].

Lidia Bergua

Equipo Govertis

[1] Juego Cookie Consent Speed.Run: Fred Wordie en colaboración con Big Data Girl https://cookieconsentspeed.run/ (2021).

[2] Shaping Choices in the Digital World: From dark patterns to data protection: the influence of ux/ui design on user empowerment. CNIL. (2019).

[3] Do Cookie Banners Respect my Choice?: Measuring Legal Compliance of Banners from IAB Europe’s Transparency and Consent Framework. C. Matte, N. Bielova y C. Santos. (2020).

[4] Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence: M. Nouwens, I. Liccardi, M. Veale, D. Karger y L. Kagal (2020).

[5] “EDPS calls for workable technology which serves the interests of society”. Press Release EDPS. (2018)

[6] Complaint and Request for Investigation, Injunction, and Other Relief Submitted by The Electronic Privacy Information Center (EPIC) In the Matter of Amazon.com, Inc. (2021).

[7] YOU CAN LOG OUT, BUT YOU CAN NEVER LEAVE: How Amazon manipulates consumers to keep them subscribed to Amazon Prime: FORBRUKERRADET- Norwegian Consumer Council- (2021).

[8] How Amazon manipulates customers to stay subscribed: https://www.youtube.com/watch?v=GpEQ4OWNO4Y (2021).

[9] IAPP The Privacy Advisor Podcast: Finn Myrstad on privacy case against Grindr, ‘dark patterns’ https://iapp.org/news/a/finn-myrstad-on-privacy-case-against-grindr-dark-patterns/ (2021).

[10] Privacy in the EU and US: Consumer experiences across three global platforms, jointly published by Heinrich-Böll-Stiftung Brussels European Union and the Transatlantic Consumer Dialogue (TACD), London, England. (2019).

Los retos que supone la Directiva 2019/1937 para los expertos en protección de datos

Nos encontramos a la espera de la transposición de la Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, que deberá hacerse antes del 17 de diciembre de este año. Su impacto será importante, y conviene anticiparse y prestar atención a algunas novedades que, desde luego, van a cambiar rutinas en los ámbitos empresarial, administrativo y profesional.

En materia de privacidad y protección de datos, esta directiva va a suponer un importante reto para los que nos dedicamos a esta materia, así como, según es de esperar, un gran avance en el respeto real de las exigencias legales. Para los más apresurados, recomiendo especialmente la lectura de los considerandos (1), (3), (14), (36), (56), (74), (76), (82), (83), (84), (85), (91), (92), (93), (94) y (98). Son varios los aspectos sobre los que ya deberíamos estar reflexionando quienes profesionalmente nos dedicamos a este ámbito.

1. a) En primer lugar, las infracciones en materia de protección de datos es una de las materias contempladas expresamente por la directiva dentro de su ámbito objetivo de aplicación. Cualquier infracción, mala práctica o práctica abusiva en esta materia puede dar lugar a una denuncia por parte del personal de la empresa a través de los canales internos, los externos, o incluso mediante una comunicación pública, sin temor a represalias. Piensen, por ejemplo, en las deficiencias advertidas por los empleados en el caso de que la empresa no las atienda debidamente; o en los defectos de seguridad de las redes y sistemas de información, servicios de computación en nube o servicios digitales de uso generalizado.
2. b) En segundo lugar, los delegados de protección de datos o “responsables de privacidad” son expresamente mencionados como personas idóneas para ser designados responsables o integrantes del departamento encargado de la recepción y seguimiento de las denuncias efectuadas a través del canal interno, lo que abre un nuevo abanico de funciones de gran interés;
3. c) En tercer lugar, la configuración y gestión de los canales internos (y también externos) de denuncia, en la medida en que a través de éstos se tratarán datos personales, han de ser objeto muy especialmente de un control de conformidad con las exigencias legales, habida cuenta de la gran importancia de la confidencialidad, tanto del denunciante, como también de las personas mencionadas en la denuncia. La recopilación de datos personales ha de ser vigilada, pues con toda lógica, y en virtud del principio de minimización, el art. 17 de la directiva establece que “no se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una denuncia específica o, si se recopilan por accidente, se eliminarán sin dilación indebida”. Igualmente, el registro, actas y grabación (en su caso) de denuncias (escritas o verbales) y de reuniones habidas con motivo de la misma, habrán de respetar la normativa de privacidad (art. 18 de la directiva).
4. d) En cuarto lugar, la directiva prevé una obligación de formación profesional para el personal encargado de tratamiento de las denuncias, haciendo referencia expresa a la formación en materia de normas aplicables en materia de protección de datos.

Ignoro si en el Ministerio de Justicia se está trabajando ya en la adaptación del Derecho español a esta directiva. Confiemos en que sí. El plazo empieza a apretar: 17 diciembre 2021. Mientras tanto, en el ámbito de las empresas, en particular las de más de 250 trabajadores (para las de 50 a 249 hay dos años más de margen), ya deberían estar preparándose protocolos y avisos legales, revisándose las cláusulas de confidencialidad en los contratos de trabajo, y diseñando los canales o procedimientos para la recepción, seguimiento y registro de las denuncias. El artículo 24 de la LOPDGDD 3/2018 ya nos da ciertas pautas de cómo ha de gestionarse el canal interno, aun cuando el mismo se limita a indicar la licitud de este tipo de canales, en vez de la obligatoriedad a la que vamos abocados.

Nos queda mucho trabajo por hacer.

Maite Sanz de Galdeano Arocena

Equipo Govertis (Colaboradora)

DARK PATTERNS I: Los «dark patterns» como amenaza a la privacidad de los usuarios

Dark Paternns como amenaza a la privacidad

Cuando navegamos por Internet, accedemos a diferentes webs y contenidos y disfrutamos de los servicios que los proveedores de Internet nos ofrecen, esperamos que esta experiencia sea lo más rápida y sencilla posible. Pero ¿no te has fijado que en ocasiones se convierte en un auténtico laberinto? De repente, un vídeo comienza a reproducirse automáticamente sin haber pulsado el botón de “play”, un gigante banner de cookies con un enorme botón de “aceptar todas” invade tu pantalla o debes suscribirte incluso para visualizar un artículo de 5 líneas: Estás ante ejemplos típicos de “dark patterns”. 

¿Qué son los “dark patterns”?

Este tipo de prácticas tienen nombre en el mundo de la UX (User Experience o Experiencia de Usuario): Se denominan “dark patterns” y consisten en una serie de trucos usados en las páginas webs y aplicaciones para incitarte a hacer algo que no quieres, como comprar un producto o inscribirte en un servicio. En este vídeo se explica qué son los “patrones oscuros” de forma muy práctica. El término fue acuñado por Harry Brignull (diseñador UX) en 2010, quien entonces también los clasificó e inició un Hall of Shame con ejemplos llevados a cabo por todo tipo de empresas. 

Más de una década después, estas prácticas se han convertido en endémicas a lo largo y ancho de Internet (Un estudio publicado en enero de 2020 confirmó que el uso de los “dark patterns” y el consentimiento implícito está muy extendido, sólo el 11,8% cumple los requisitos mínimos establecidos por el RGPD)¹.

¿Por qué caemos en los “dark patterns”?

Los “Dark patterns” se nutren de la naturaleza humana, jugando con sesgos cognitivos de los que a menudo no somos conscientes. Estos métodos derivados de la psicología del comportamiento son brechas o debilidades que llevan a las personas a tomar elecciones irracionales. Los proveedores de servicios de la sociedad de la información tratan de explotar dichos sesgos cognitivos para influenciar y manipular las decisiones de los consumidores. Estos pueden incluir la elección de pequeñas recompensas a corto plazo en lugar de mayores beneficios a largo plazo o la tendencia a escoger el camino de menor resistencia².

Si a un usuario se le pide que intercambie sus datos personales por un beneficio económico a corto plazo, como un descuento, lo hará. En este caso, el beneficio a corto plazo (el descuento) es tangible e inmediato, mientras que la potencial pérdida (la privacidad) lo es a largo plazo³. 

La CNIL se encarga de enfatizarlo en su informe Shaping Choices In the Digital World y recalca que estamos tan influenciados y entrenados para compartir más y más que no somos consciente que en la mayoría de los casos  estamos poniendo en peligro nuestros derechos y libertades⁴.

Ejemplos y técnicas utilizadas en los “dark patterns”

• Clicar “sí” en vez de “no” porque el botón de “sí” era mucho más grande y colorido en el banner, mientras que el de “Saber más” o “Configuración” aparece más pequeño o de color gris. Muestra de ello es el análisis que llevó a cabo Google ya en 2009, testando 41 tonos diferentes de azul para medir el porcentaje de respuesta de los usuarios⁵.
• Clicar “continuar” en vez de “no” porque la primera opción te supone navegar a través de múltiples páginas antes de aterrizar en el contenido que te interesa. 
• Registrarte a una “newsletter” sólo para avanzar hacia el siguiente servicio.
• Crear un usuario compartiendo la información de tu cuenta de Facebook para evitar rellenar un formulario interminable o cuando una red social te pide que completes toda la información sobre tu pasado, la escuela a la que fuiste o a qué club deportivo pertenecías para “mejorar tu perfil y ganar visibilidad”.
• Dar tu número de teléfono creyendo que será usado para la entrega de un pedido o para una autenticación de dos factores, cuando únicamente atiende a propósitos de prospección comercial.
• El planteamiento de una pregunta de tal manera que una lectura rápida o en vertical puede conducirte a creer que la opción de respuesta produce el efecto contrario al que piensas que estás decidiendo. Por ejemplo, con el uso de la doble negativa.
• Añadir un candado a una interfaz no muy segura.
• Incluso dar el significado de aceptación a un botón con una cruz, el cual en la mente de los usuarios es sinónimo de “Cerrar y seguir”. Este método ha sido usado, por ejemplo, por Microsoft para “alentar” a sus usuarios de la versión previa de su Windows OS a migrar al Windows 10. 

Y es que el diseño de las interfaces de usuario no es en absoluto casual. Cada elemento de una plataforma o sitio web, desde la ubicación de los botones, la elección de las fuentes y el color del texto ha sido cuidadosamente colocado y atiende a unas estudiadas razones. Las interfaces de usuario pueden ser empleadas para dirigir a los consumidores a priorizar ciertas opciones sobre otras, a ocultar u omitir información relevante o incluso engañar, confundir o frustrar a los usuarios. Los “dark patterns” siempre están diseñados para beneficiar al proveedor de servicio, coincida o no con los mejores intereses del consumidor⁶.

Uno de los casos más paradigmáticos, fue el de LinkedIn en 2015, que le costó una multa de 13 millones de dólares. Al registrarse, cualquier usuario compartía los correos electrónicos de sus contactos de una forma muy sutil y a su vez, estos correos recibían supuestas invitaciones de ese nuevo usuario para darse de alta en la plataforma. 

Facebook ya los usaba en 2010. Si rechazabas el uso de su sistema de reconocimiento facial, aparecía el siguiente mensaje: “Si mantienes el reconocimiento facial desactivado, no seremos capaces de usar esta tecnología si un extraño usa tu foto para suplantarte”; además de que el botón para activarla era azul y brillante, y el de desactivarla de un gris apagado.  ¿Quién dudaría hoy en día de que el principal interés de Facebook es ayudarte a que no suplanten tu identidad?

Pero no solo son herramientas usadas por las grandes tecnológicas. Un estudio publicado en octubre de 2019 determinó que entre los 5000 avisos de privacidad analizados pertenecientes a diversas compañías de Europa, el 54% usa “dark patterns” y el 95.8% no da elección de acuerdo con la prestación del consentimiento o únicamente confirma que los datos van a ser tratados⁷.

Lidia Bergua

Equipo Govertis

• ¹Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence: M. Nouwens, I. Liccardi, M. Veale, D. Karger y L. Kagal (2020).
• ²YOU CAN LOG OUT, BUT YOU CAN NEVER LEAVE: How Amazon manipulates consumers to keep them subscribed to Amazon Prime: FORBRUKERRADET- Norwegian Consumer Council- (2021).
• ³DECEIVED BY DESIGN: How tech companies use dark patterns to discourage us from exercising our rights to privacy: – FORBRUKERRADET- Norwegian Consumer Council- (2018).
• ⁴Shaping Choices in the Digital World: From dark patterns to data protection: the influence of ux/ui design on user empowerment. CNIL. (2019).
• 5“Putting a Bolder Face on Google”: https://www.nytimes.com/2009/03/01/business/01marissa.html. (2009)
• ⁶YOU CAN LOG OUT, BUT YOU CAN NEVER LEAVE: How Amazon manipulates consumers to keep them subscribed to Amazon Prime: FORBRUKERRADET- Norwegian Consumer Council- (2021).
• ⁷“(Un)informed Consent: Studying GDPR Consent Notices in the Field”: C. Utz, M. Degeling, S. Fahl, F.Schaub y T. Holz. (2019).

Novedades con la directiva NIS: El empoderamiento del CISO

La Directiva NIS *1 (Security of Network and Information Systems) europea relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión fue traspuesta al ordenamiento jurídico español con la entrada en vigor del RD-ley 12/2018 *2 de 7 de septiembre, de seguridad de las redes y sistemas de información.

Con la llegada del nuevo RD 43/2021 *3, de 26 de enero España se desarrolla reglamentariamente el RD-ley 12/2018 y llegan novedades para el cumplimiento de obligaciones de seguridad de los operadores de servicios esenciales y proveedores de servicios digitales en cuanto a:

• Marco institucional.
• Supervisión de la ciberseguridad por parte de la Administración.
• Notificación de ciberincidentes de seguridad
• Gobierno / gobernanza de la ciberseguridad en las organizaciones.

En este artículo, abordamos las novedades que se desarrollan a través del Artículo 7 de dicho RD que afectan, en particular, a la figura Responsable de Seguridad de la Información al que, de ahora en adelante, nos referiremos como CISO.

¿Qué novedades afectan al CISO?

• Obligación de designación oficial de un CISO y un sustituto del mismo (porque los CISOs también pueden estar ausentes, por vacaciones o enfermedad). Aunque se indica que pueda ser un órgano colegiado, deberá designarse como tal a una persona física quien ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y el CSIRT de referencia que le corresponda. Se establece un plazo máximo de tres meses tras la designación como operador de servicios esenciales para formalizar este nombramiento.
• Comunicación a la autoridad competente correspondiente de la designación del CISO (y su backup), conforme al plazo establecido de tres meses antes mencionado (hasta el mes de abril 2021). En caso de nuevos nombramientos o ceses hay obligatoriedad de mantener esta información de contacto actualizada, comunicándolo igualmente con un plazo máximo de un mes desde que se produzcan.
• Punto de contacto, ejercerá a modo de “ventanilla única” respecto a la autoridad competente, en materia de supervisión y con el CSIRT de referencia, para gestión de ciber incidentes. Además, quedarán bajo la responsabilidad del CISO:
  • Políticas de seguridad. Deberá elaborar y proponer para aprobación por la organización de las políticas de seguridad, con un enfoque de gestión del riesgo que reduzca al mínimo el impacto derivado de ciberincidentes que afecten a la organización y los servicios.

Uno de los objetivos de la Directiva NIS es asegurar la resiliencia de las organizaciones afectadas a nivel europeo frente a ciber incidentes. Para ello es importante disponer de Planes de Contingencia y Continuidad de Negocio actualizados, que les permitan restablecer los servicios y procesos críticos en el menor tiempo posible.

• • Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos, supervisar su efectividad y realizar controles de seguridad periódicos.

El cumplimiento de las obligaciones técnicas y organizativas en materia de seguridad podrá acreditarse ante la entidad supervisora, mediante la certificación en un esquema de seguridad que sea reconocido por el CSIRT de referencia (ej: el ENS o la ISO 27001).

• • Declaración de Aplicabilidad: Deberá elaborar y remitir el documento de Declaración de Aplicabilidad de medidas de seguridad en un plazo máximo de seis meses desde la designación como operador de servicios esenciales. Esta declaración de aplicabilidad deberá revisarse, al menos, cada tres años.

La entidad competente respectiva supervisará tanto la Declaración de aplicabilidad inicial de medidas de seguridad, como las sucesivas revisiones.

• • Actuar como capacitador de buenas prácticas de seguridad en redes y sistemas de información, tanto en aspectos físicos como lógicos.
  • Notificación de incidentes de seguridad a la autoridad competente, a través del CSIRT correspondiente. Se deberá notificar en tiempo y forma, aquellos incidentes de seguridad que afecten a la prestación de servicios a los que se refiere el Artículo 19.1 del RD-ley 12/2018, de 7 de septiembre.

La notificación de incidentes de seguridad deberá seguir la taxonomía definida en el Anexo del RD 43/2021, estableciendo el nivel de impacto y peligrosidad, así como la información requerida.

Según esta clasificación se definen unas ventanas temporales de reporte, para la notificación inicial, intermedia y final. A modo de ejemplo, la notificación inicial deberá ser Inmediata, en caso de incidentes con nivel de peligrosidad o impacto CRÍTICO, MUY ALTO o ALTO.

• • Recibir, interpretar y supervisar la aplicación de instrucciones y guías emanadas de la autoridad competente, tanto para operativa habitual como para subsanar deficiencias detectadas.
  • Recopilar, preparar y suministrar información a la autoridad competente o el CSIRT de referencia, ya sea atendiendo a un requerimiento o por propia iniciativa.
• Requisitos del CISO. Los operadores de servicios esenciales deberán garantizar que el CISO cumpla con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico adecuados al desempeño de sus funciones. Para el desarrollo de dichas funciones deberá contar con los recursos necesarios y, a nivel organizativo, contar con una posición que garantice su independencia respecto a responsables de redes o sistemas de información y mantener una comunicación real y efectiva con la Alta dirección.
• Compatibilidad de funciones. Cuando concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones encomendadas al CISO podrán compatibilizarse con las señaladas para el Responsable de Seguridad y Enlace y el Responsable de Seguridad del Esquema Nacional de Seguridad, según dispone la normativa aplicable sobre ambas figuras.

El listón se ha puesto alto en cuanto a requisitos y responsabilidades del CISO, por lo que resulta necesario potenciar su figura a nivel organizativo y dotarle de los recursos requeridos para lograrlo.

Conclusiones

En lo referente a la figura del CISO, el RD 43/2021 plantea a las organizaciones afectadas la obligatoriedad de designación del mismo, estableciendo una serie de requisitos y competencias que debe satisfacer para impulsar de forma efectiva las iniciativas de mejora en materia de ciberseguridad.

Para desarrollar de forma eficiente las funciones encomendadas (y no morir en el intento), este Real Decreto establece que el CISO podrá apoyarse en servicios de consultoría prestados por terceros.

Equipo Govertis

Javier Santiago

[1] VÉASE EUR-Lex – 32016L1148 – EN – EUR-Lex (europa.eu)

[2] VÉASE Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. (boe.es)

[3] VÉASE https://www.boe.es/eli/es/rd/2021/01/26/43

Transferencias internacionales de datos personales al Reino Unido tras el Brexit

La salida del Reino Unido de la Unión Europea tiene implicaciones en protección de datos personales ya que pasa a ser considerado un tercer Estado y los flujos de datos hacia al reino Unido pasan a estar regulados por el régimen previsto para las transferencias internacionales de datos del RGPD y la LOPDGDD.

El Reino Unido cuenta con tradición en la defensa de la protección de datos personales, cuanta con autoridad de control en protección de datos y legislación en la materia. Es por ello que, desde el primer momento todas las partes apostaron por una Declaración de nivel adecuado de protección para legalizar los flujos de datos personales de la Unión Europea hacia el Reino Unido.

A continuación, indicaremos los pasos que se han ido tomando para lograr en un tiempo razonable este reconocimiento.

El 31 de enero de 2020 tuvo lugar la salida del Reino Unido de la Unión Europea y comenzó a aplicarse el Acuerdo de Retirada, que estuvo en vigor hasta el 31 de diciembre de 2020.

El Reino Unido ha dejado de ser miembro de la Unión Europea, pero según el Acuerdo de Retirada debe seguir aplicando el derecho de la Unión a todos los datos de interesados fuera del Reino Unido que se hayan tratado con anterioridad al fin del periodo transitorio. Ello implica que, a efectos de exportación de datos, la situación del Reino Unido sigue siendo equiparable a la de un Estado miembro.

Las empresas que estén transfiriendo datos al Reino Unido pueden seguir haciéndolo del mismo modo que lo hacían hasta ahora y es posible iniciar nuevas transferencias con los mismos criterios aplicados hasta la fecha mientras esté en vigor el Acuerdo de Retirada.

Las futuras relaciones entre la Unión Europea y el Reino Unido, también en materia de protección de datos, deberán establecerse en los acuerdos que comenzaron a negociarse a partir de la entrada en vigor del Acuerdo de Retirada.

El propio Acuerdo de Retirada se refiere expresamente a que «la Comisión Europea iniciará lo antes posible, tras la retirada del Reino Unido, las evaluaciones respecto de dicho país.

La autoridad de supervisión del Reino Unido ha seguido actuando como una autoridad europea más a todos los efectos en relación con los instrumentos de garantía para las transferencias internacionales de datos que el RGPD, así ha podido seguir actuando como autoridad principal a la que un grupo de empresas dirijan una solicitud de autorización de normas corporativas vinculantes (BCR, por sus siglas en inglés).

La única diferencia es que la autoridad de supervisión del Reino Unido no ha podido participar como miembro con derecho a voto en las reuniones del Comité Europeo de Protección de Datos donde se validan las decisiones que sobre estos instrumentos prevean adoptar las autoridades de supervisión de los Estados Miembro.

El conocido como acuerdo de Nochebuena de diciembre de 2020, ha establecido una prórroga de ese periodo transitorio de 4 meses prorrogable hasta 6 meses SIEMPRE Y CUANDO EL REINO UNIDO NO REALICE CAMBIOS SUSTANCIALES EN SU NORMATIVA!!!!!!!

Con ello se pretende dar tiempo a la Comisión Europea para realizar los trámites necesarios que concluyan en una Resolución de Nivel adecuado de protección. Y es de suponer que en el corto plazo se vea la luz al final del túnel, puesto que el pasado 19 de febrero la Comisión Europea ha publicado dos borradores para declarar el nivel adecuado de protección del Reino Unido, uno bajo el RGPD y otro para la Directiva 2016/680.

Y en estos momentos es en la coyuntura en la que nos encontramos. Deberemos estar atentos al desarrollo de los acontecimientos.

Francisco Ramón González-Calero Manzanares
Lead Advisor Internacional asuntos legales

Novedades con la directiva NIS: una visión jurídica

Dentro del Marco legal europeo contamos con la conocida como la Directiva NIS 1 , cuyo objetivo es dar respuesta efectiva a los incidentes de seguridad y sistemas de la información.

Al tratarse de una Directiva su aplicación es armonizada, no homogénea o lo que es lo mismo, no tiene por qué haber una aplicación totalmente horizontal en todos los países de Europa, ¿Por qué?

Porque las Directivas europeas, son un tipo de norma que establecen marcos comunes en toda la UE de mínimos, en este caso se ha garantizado unas exigencias mínimas en materia de seguridad. Todas las Directivas, deben transponerse en cada país para que sean aplicables (aunque si no se llegara a trasponer es posible su aplicación directa hasta que se haga).

¿Qué significa trasponer una norma? Que cada país aprobará una norma interna de acuerdo con su sistema legislativo, recogiendo al menos lo que establece la directiva (contenido mínimo).

Hay que tener en cuenta que las Directivas son instrumentos legales más flexibles y quizás permiten llegar a acuerdos entre los estados miembros con más facilidad o rapidez, pero hace posible encontrar diferencias entre los distintos países siempre como mejora o generando un marco de seguridad más exigente.

Por diferenciarlo, la otra posibilidad hubiera sido regular el contenido de la Directiva a través de un Reglamentos europeos, que son de eficacia directa y su aplicación no requiere de ninguna trasposición. En estos casos, en consenso europeo debe ser mayor, puesto que todos los países aplicarían la misma norma y que hay ponerse todos de

Entonces, ¿En España ya tenemos una norma que ha traspuesto la Directiva NIS?

SI, efectivamente, la Directiva NIS se ha transpuesto al ordenamiento jurídico mediante el Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información.

El art. 25 de la Directiva NIS establecía el plazo máximo del 9 de mayo de 2018

y nuestra ley es septiembre de 2018, por lo que nos pasamos el plazo para su trasposición (made in Spain).

¿Qué dice está norma?

El Real Decreto-ley 12/2018 2 de seguridad de las redes y sistemas de información regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales. Su contenido recoge lo dispuesto en la Directiva, por su puesto, ya que hemos dicho que es una trasposición de la Directiva.

Esta norma, desde una perspectiva integral, establece mecanismos que permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, y fija un marco institucional de cooperación que facilita la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea.

Esta coordinación a nivel nacional y europeo es posible al provenir de una Directiva, que como indicábamos que obliga a generar un marco legal de mínimos en toda Europa.

Y ¿esto es todo?

No, también tenemos un nuevo RD Real Decreto 43/2021 *3 ,de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Pero entonces, ¿Por qué hay dos normas?

Porque el Real Decreto 43/2021, de 26 de enero, es una norma que desarrolla reglamentariamente el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Por lo tanto, es un reglamento que desarrolla la norma que ha traspuesto la directiva, regulando la misma materia, pero con contenido distinto.

En España, el Gobierno quedó habilitado para desarrollar reglamentariamente el RDL-12/2018 por la disposición final tercera, en lo relativo al marco estratégico e institucional de seguridad de las redes y sistemas de información, respecto del cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales y a la gestión de incidentes de seguridad.

En los reglamentos normalmente se aterriza más el contenido de las obligaciones con aspectos más prácticos establecidas en la ley que desarrollan.

¿Qué nos aporta esta nueva norma?

Este decreto, concreta los aspectos definidos por la Ley 12/2018 sobre las medidas necesarias para el cumplimiento de las obligaciones de seguridad por parte de los operadores de servicios esenciales entre los que se incluyen las infraestructuras críticas. Establece entre otros puntos, la obligatoriedad de designar un Responsable de Seguridad de la Información para los servicios esenciales, implantar la gestión de los riesgos para las redes y los sistemas de información de los servicios esenciales, aprobar la política de seguridad de las redes y los sistemas de los servicios esenciales y la adopción de las medidas a aplicar identificándolas en la declaración de aplicabilidad que debe ser suscrita por el RSI.

El Real Decreto desarrolla también la obligación de notificación por parte de los operadores de servicios esenciales de los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, así como de los incidentes que puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales aun cuando no hayan tenido un efecto adverso real sobre aquéllos, por referencia a los niveles de impacto y peligrosidad, según sea el caso, previstos en la Instrucción Nacional de Notificación y de Gestión de Incidentes. Por este motivo, durante el 2020 se publicó la actualización de la Guía Nacional de Notificación y Gestión de Ciberincidentes que realiza una revisión y mejora de la clasificación/taxonomía de los ciberincidentes, impactos y umbrales de notificación y las métricas e indicadores de referencia. Por otro lado, el Centro de Respuesta a Incidentes de Seguridad del Instituto Nacional de Ciberseguridad (INCIBE-CERT) ha publicado como un anexo el procedimiento de gestión de ciberincidentes para el sector privado y la ciudadanía que ofrece directrices y mecanismos, referencias y canales para la notificación de ciberincidentes al INCIBE-CERT.

Resumen de normas:

La nueva estrategia de ciberseguridad de la UE, ¿Va a cambiar en algo?

El 16 de diciembre de 2020 la Comisión Europea y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad presentaron la nueva estrategia de ciberseguridad de la UE *4. Asimismo, la Comisión presentó propuestas para abordar la resiliencia física y cibernética de las entidades y redes críticas: una Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión (Directiva NIS revisada o NIS 2), y una nueva Directiva sobre resiliencia de infraestructuras críticas. Cubren una amplia gama de sectores y tienen como objetivo abordar los riesgos actuales y futuros en línea y fuera de línea, desde ciberataques hasta delitos o desastres naturales, de una manera coherente y complementaria.

Contiene propuestas concretas para iniciativas normativas, de inversión y políticas, en tres áreas de acción de la UE:
• Resiliencia, soberanía tecnológica y liderazgo: Infraestructuras resilientes y servicios críticos, Asegurar la próxima generación de redes móviles de banda ancha, Internet de cosas seguras, …
• Desarrollar la capacidad operativa para prevenir, disuadir y responder: Unidad Cibernética Conjunta, Afrontar la ciberdelincuencia, Caja de herramientas de ciber diplomacia de la UE, …
• Promover un ciberespacio global y abierto mediante una mayor cooperación: Liderazgo de la UE en materia de estándares, normas y marcos en el ciberespacio, Cooperación con los asociados y la comunidad, Fortalecimiento de las capacidades globales para aumentar la resiliencia global.

En este contexto, la Comisión Europea ha presentado una propuesta de directiva sobre la resiliencia de las infraestructuras críticas *5 que desarrollan servicios en sectores estratégicos. Con esta propuesta, la Comisión tiene la intención de crear un marco de gestión de todos los riesgos para apoyar a los Estados miembros a garantizar que las entidades críticas puedan prevenir, resistir y recuperarse de incidentes relevantes, independientemente de si son causados por causas naturales, accidentes, terrorismo, amenazas internas o emergencias de salud pública como la que el mundo enfrenta hoy en día.

Entre las disposiciones destacables, se exigiría a las infraestructuras críticas que lleven a cabo sus propias evaluaciones de riesgos, adopten las medidas técnicas y organizativas adecuadas para aumentar la resiliencia y reporten incidentes a las autoridades nacionales. La Comisión también ha adoptado una propuesta para la revisión de la Directiva sobre las redes y los sistemas de información (NIS2)*6 , cuyo objetivo es garantizar una solidez cibernética en Europa. Con el fin de garantizar la alineación entre los dos instrumentos, todas las entidades críticas identificadas en virtud de la Directiva sobre resiliencia de las entidades críticas estarían sujetas a las obligaciones de ciber resiliencia en virtud de NIS2.

Es curioso, como podemos comprobar, que tenemos que poner en práctica un RD recién salido del horno (enero 2021) en el mes de enero que afecta a una Directiva del 2016, pero Europa, obvio, en 2021 ya se está planteando dar un Giro legislativo. Habrá que estar atentos a los próximos acontecimientos e intentar adaptarnos antes posible la próxima vez.

Equipo Govertis

Javier Cao y Sandra Ausell

1 VÉASE EUR-Lex – 32016L1148 – EN – EUR-Lex (europa.eu)

2 VÉASE Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. (boe.es)

3 VÉASE https://www.boe.es/eli/es/rd/2021/01/26/43

4 Véase https://administracionelectronica.gob.es/pae_Home/Anio2020/Diciembre/Noticia-2020-12-17-Nueva-estrategia-ciberseguridad-UE.html

5 Véase https://ec.europa.eu/home-affairs/sites/homeaffairs/Proposal_directive_resilience_critical_entities_en.pdf

6 Véase https://ec.europa.eu/digital-single-market/en/news/proposal-directive-measures-high-common-level-cybersecurity-across-union

Pautas o recomendaciones para impartir clases online en centros escolares

Con motivo del cambio de perspectiva al que nos estamos enfrentado, en un mundo globalizado, es necesario adaptar nuestra metodología de trabajo a un sistema digital. Asimismo, a la hora de realizar actividades en centro educativos como la impartición de clases online es importante establecer pautas o recomendaciones que nos faciliten el cumplimiento de los artículos 24 y 32 del Reglamento Europeo de Protección de Datos (RGPD).

Entre las medidas de seguridad que podrá adoptar el centro al convocar las reuniones es la verificación del listado de participantes a la formación. Por lo que, al inicio de la reunión, el organizador, o quien se acuerde con el centro educativo, se conectará a la actividad y procederá a la admisión de los asistentes de la sala de espera de la plataforma online y admitirá a aquellos previamente identificados en el listado del centro educativo.

Además, para evitar el reenvío de una convocatoria por los asistentes, la plataforma online podrá avisar al organizador de la reunión que el usuario ha reenviado la convocatoria, así como configurar la convocatoria para que no se pueda conectar a la misma usuarios “anónimos”.

En cuanto al cumplimiento de las obligaciones del deber de informar, se podrá articular una cláusula informativa en el correo electrónico de la convocatoria e incluir pautas o recomendaciones para los asistentes en relación con el desarrollo de las actividades formativas. Es importante resaltar que el centro educativo deberá informar de la actividad educativa y obtener la autorización de los alumnos y/o padres, madres y tutores para el uso de la imagen y voz de los asistentes a las clases. (arts. 13 y 14 RGPD y art. 11 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales LOPDGDD) y Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.

Entre las pautas y recomendaciones a incluir en la convocatoria de la sesión para impartir actividades formativas se encuentran:

• Prohibición de captar imágenes de terceros, ya sea del profesorado, ya sea de otros compañeros o compañeras durante la clase sin la correspondiente finalidad y autorización.
• No compartir dichas imágenes o videos con terceros.
• No copiar y compartir el contenido de la formación.
• Se prohíbe la redirección del enlace por correo electrónico entre padres/madres y alumnos a terceros no destinatarios de la formación educativa.
• Exención de responsabilidad de los centros educativos en caso de no seguirse las recomendaciones indicadas por padres/madres/alumnos.
• Los usuarios deben tener especial cuidado al publicar imágenes y vídeos mediante apps y herramientas en nube para no poner en riesgo la intimidad de otras personas.
• Se recomienda leer la información sobre el servicio (política de privacidad y condiciones de uso) antes de empezar a utilizar la plataforma educativa.
• Al facilitar datos en cualquier ámbito (en cualquier tipo de aplicación, en el registro de usuarios, en los contenidos) evitar incorporar datos del domicilio de los menores y otros datos personales que puedan poner en peligro su seguridad.
• Se debe evitar exponer la pantalla a la mirada de terceros. Si se trabaja habitualmente desde lugares públicos, es recomendable utilizar un filtro de privacidad para la pantalla.
• Orientación apropiada de la cámara para evitar, principalmente, que puedan aparecer personas que conviven con el usuario, y recomendar su no acceso al entorno durante la realización de la actividad.
• Deberá limitarse el acceso a la formación, pudiendo acceder solo el personal del centro educativo y limitando el acceso a los alumnos que sean destinarios de la formación.
• No está permitido ni acceder ni intentar acceder a la cuenta de ningún otro usuario, ni suplantar su propia identidad o intentar hacerlo mientras usted se encuentre utilizando estos espacios o plataformas.

Por último, en el supuesto que el centro escolar realice videograbación de la actividad educativa, tendrá en cuenta la proporcionalidad y la finalidad en el tratamiento, ya sea para identificar del alumno al inicio de la actividad educativa, ya sea para su uso posterior en la plataforma virtual del centro o para el uso de la evaluación por los profesores. El centro tendrá en cuenta seguir las Orientaciones de la AEPD sobre publicación de los documentos de identificación personal (disposición adicional 7ª LOPDGDD) en caso de publicación de los datos identificativos. Además, será importante determinar por el centro el plazo de conservación de las imágenes atendiendo al principio de minimización y proporcionalidad en protección de datos (art. 5 RGPD).

Después de la realización de la actividad educativa a través de la plataforma, el centro escolar tendrá en cuenta la eliminación de la convocatoria para que los usuarios no puedan acceder posteriormente a la sesión terminada. Por lo que el organizador de la formación cerrará la sesión de la plataforma educativa elegida.

En conclusión, con todas estas recomendaciones los centros educativos podrán realizar actividades formativas online garantizando en mayor medida el cumplimiento en la seguridad de la información y la protección de datos.

José A. Rueda

Equipo Govertis

Sobre la «Excepción Doméstica»

La Directiva 95/46 ya contemplaba la excepción doméstica en su art 3.2 y establecía que “Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas”. En su Considerando 12 concretaba “que debe excluirse el tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, como la correspondencia y la llevanza de un repertorio de direcciones”.

El RGPD en su artículo 2.2 c) establece de modo idéntico que “El presente Reglamento no se aplica al tratamiento de datos personales c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas”.

Por su parte el Considerando 18 concreta que “no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas”.

Por tanto, el RGPD, aun sin variar la literalidad en su articulado, nos aporta varias concreciones a través del Considerando 18 con respecto a la regulación establecida por la Directiva 95/46:

• La actividad personal o doméstica ha de ser sin conexión alguna con una actividad profesional o comercial, en coherencia con la exigencia ya existente de que la actividad ha de ser exclusivamente personal o doméstica.
• Se añade como ejemplos de actividad personal o doméstica, “la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades” por lo que es necesario que la actividad en la red social o en internet se realice en dicho contexto personal o doméstico para quedar incluidas dentro de la excepción. Este nuevo ejemplo, incluido tras la sugerencia realizada por el Supervisor Europeo de Protección de Datos (SEPD), era necesario pues la “correspondencia y la llevanza de un repertorio de direcciones” habían quedado un tanto obsoletos y debía contemplarse la realidad de internet.

Con anterioridad a la aprobación del RGPD, el TJUE en la conocida Sentencia Lindqvist (C-101/01) ya afirmó en 2003 que la conducta consistente en publicar en una página web datos relativos a terceras personas, constituía un “tratamiento” a nivel de protección de datos, no quedando comprendido en ninguna de las excepciones del artículo 3.2 de la Directiva 95/46. Además afirmó que “la excepción debe interpretarse en el sentido de que contempla únicamente las actividades que se inscriben en el marco de la vida privada o familiar de los particulares; evidentemente, no es éste el caso de un tratamiento de datos personales consistente en la difusión de dichos datos por Internet de modo que resulten accesibles a un grupo indeterminado de personas”.

La AEPD se pronunciaba en su Informe 0615/2008 “En definitiva, para que nos hallemos ante la exclusión prevista en el artículo 2 LOPD, lo relevante es que se trate de una actividad propia de una relación personal o familiar, equiparable a la que podría realizarse sin la utilización de Internet, por lo que no lo serán aquellos supuestos en que la publicación se efectúe en una página de libre acceso para cualquier persona o cuando el alto número de personas invitadas a contactar con dicha página resulte indicativo de que dicha actividad se extiende más allá de lo que es propio de dicho ámbito”.

En dicho informe la AEPD cita la Sentencia de la Audiencia Nacional de 15 de junio de 2006 la cual afirma en su Fundamento de Derecho Tercero que:

• “Qué ha de entenderse por «personal» o «doméstico» no resulta tarea fácil. En algunos casos porque lo personal y lo profesional aparece entremezclado” en cuyo caso dichos tratamientos quedarían incluidos en el ámbito de aplicación de la ley al no tener como finalidad exclusiva el uso personal.
• “Tampoco hay que entender que el tratamiento se desarrolla en un ámbito exclusivamente personal cuando es realizado por un único individuo” pues “por ejercicio de una actividad personal no debe entenderse ejercicio de una actividad individual. No deja de ser personal aquella actividad de tratamiento de datos que aun siendo desarrollada por varias personas físicas su finalidad no trasciende de su esfera más íntima o familiar”.
• “Será personal cuando los datos tratados afecten a la esfera más íntima de la persona, a sus relaciones familiares y de amistad y que la finalidad del tratamiento no sea otra que surtir efectos en esos ámbitos”.

En cuanto al uso de Redes sociales, el GT29 establecía en el Dictamen 5/2009 sobre las redes sociales en línea que “el tratamiento de datos personales por los usuarios corresponde en la mayoría de los casos a la exención doméstica, pero existen casos en que las actividades de un usuario no se benefician de esta exención”. Así por ejemplo, el GT29 entiende que se trasciende una actividad puramente personal o doméstica cuando:

• la red social se utiliza como una plataforma de colaboración para una asociación o una empresa;
• cuando el acceso a la información del perfil va más allá de los contactos elegidos, en particular, cuando todos los miembros que pertenecen al servicio de red social pueden acceder a un perfil o
• cuando los datos son indexables por los motores de búsqueda.

El TJUE posteriormente (Caso RYNES C-212/13) ha establecido que la excepción debe ser interpretada en sentido estricto. “Tal interpretación estricta se fundamenta también en el propio texto de la disposición que acaba de citarse, según el cual la Directiva 95/46 no se limita a prever que sus disposiciones no se aplicarán al tratamiento de datos personales en el ejercicio de actividades personales o domésticas, sino que exige que se trate del ejercicio de actividades «exclusivamente» personales o domésticas”. Asimismo, recoge la conclusión del Abogado General de que “la excepción (…) únicamente se aplica al tratamiento de datos personales cuando éste se efectúa en la esfera exclusivamente personal o doméstica de quien procede al tratamiento de datos”.

Durante los años previos a la aprobación del RGPD, se discutieron varias opciones para reformar la redacción de la excepción doméstica. El SEPD sugirió en 2012 “insertar un criterio para diferenciar las actividades públicas y domésticas, basadas en el número indefinido de personas que pueden acceder a la información” (si bien puntualiza que “este criterio debe entenderse como una indicación”) y por tanto, siguiendo el criterio establecido en el caso Lindqvist. Por su parte, la Comisión Europea sugirió introducir el requisito del “interés lucrativo” (gainful interest), para diferenciar las actividades de tratamiento personales de las comerciales. Estas cuestiones fueron debatidas en la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE) del Parlamento Europeo, que finalmente no adopta introducir el requisito del interés lucrativo y respecto al criterio del acceso por un número indefinido de personas, sugiere una redacción alternativa, “cuando pueda esperarse razonablemente que sólo tendrá acceso un número limitado de personas”.

El GT29 se pronunció posteriormente en 2013 en el Anexo 2 Proposals for Amendments regarding exemption for personal or household activities. El GT29 tampoco era partidario de incluir el requisito del “interés lucrativo” ya que entendía que actividades realizadas por particulares por el hecho de reportar un rendimiento económico, quedarían incluidas (ej ventas privadas en línea), y viceversa, actividades que trascienden el ámbito personal o doméstico pero no suponen una ganancia económica, podrían quedar incluídas en el ámbito de aplicación de la excepción y por tanto, fuera del ámbito de aplicación de la normativa de protección de datos. Por otro lado, consciente de los cambios que internet y las TIC han supuesto, posibilitando la compartición instantánea de datos personales por parte de cualquier persona, el GT29 propone una serie de criterios para ser incluidos en el Considerando del RGPD, que pueden ser utilizados para clarificar cuándo un concreto tratamiento de datos se realiza en el contexto de fines personales o domésticos. Puntualiza que dichos criterios no son determinantes per se pero una combinación de los mismos podría servir para determinar si un tratamiento queda incluido en el ámbito de la excepción o no. Dichos criterios (traducción no oficial) son:

• ¿Se difunden los datos personales a un número indefinido de personas, en lugar de a una comunidad limitada de amigos, familiares o conocidos?
• ¿los datos personales son relativos a individuos que no tienen relación con la persona que lo publica?
• ¿Sugiere la escala y la frecuencia del tratamiento de los datos personales una actividad profesional o a tiempo completo?
• ¿Existen pruebas de que un número de individuos actúan juntos de manera colectiva y organizada?
• ¿Existe un potencial impacto adverso en los individuos, incluyendo la intromisión en su privacidad?

Finalmente, la redacción definitiva adoptada por el RGPD sigue una línea continuista con la establecida por la Directiva 95/46 y no introduce grandes modificaciones ni criterios que pudieran servir de aclaración a los operadores jurídicos en relación a la aplicación de la excepción.

Ya aprobado el RGPD, el 30 de Noviembre de 2018, se realizó una petición al Parlamento Europeo solicitando concretar el alcance del artículo 2.2 c) del RGPD, a lo que la Comisión encargada contestó que:

• “Este considerando (18) aclara de forma explícita que «una actividad exclusivamente personal o doméstica» es, a efectos de la referida cláusula, una actividad privada de carácter exclusivamente personal o limitada al propio hogar y sin conexión alguna con una actividad profesional o comercial”.
• “la explicación contenida en el considerando ya aclara suficientemente que «una actividad exclusivamente personal o doméstica» en el sentido del artículo 2, apartado 2, letra c, del RGPD cubre únicamente aquellas actividades privadas que son exclusivamente personales o constituyen una actividad meramente doméstica, y no están relacionadas, en particular, con ninguna actividad profesional o comercial”.

El peticionario solicitaba la inclusión en el artículo 2.2 de las palabras «privado» y «no comercial», a lo que la Comisión encargada le contesta que “la adición de las palabras propuestas, coordinadas con la conjunción disyuntiva «o», podría entenderse incluso como una vía de extender la excepción a actividades «privadas» y «no comerciales» que rebasan las actividades meramente personales o domésticas y en cuyo marco puede ocurrir, por consiguiente, que se efectúa un tratamiento de datos personales de personas no pertenecientes al respectivo hogar. Tal extensión de la exceptuación de la aplicación de las disposiciones del RGPD podría poner en entredicho la protección de las personas en lo relativo al tratamiento de sus datos personales”.

Esto significa que el límite ha de provenir precisamente del hecho de no rebasar el ámbito de las actividades personales o domésticas y no del carácter del sujeto que realiza el tratamiento de datos. Si se hubiera querido excluir del ámbito de aplicación a las actividades realizadas por personas físicas, es decir, las actividades personales en general y sin distinguir el marco o dimensión en que se realizan, se les habría excluido directamente del ámbito subjetivo de aplicación.

El Consejo de Europa publicó en 2018 el Handbook on European Data Protection elaborado junto con la Agencia de los Derechos Fundamentales de la UE (FRA), el Supervisor Europeo de Protección de Datos y el Tribunal Europeo de Derechos Humanos. Se afirma que “El acceso de los ciudadanos a internet y la posibilidad de utilizar plataformas de comercio electrónico, redes sociales y blogs para compartir información personal acerca de sí mismos y de otras personas hace que sea cada vez más difícil distinguir el tratamiento de datos para actividades personales del tratamiento de datos para actividades no personales. La consideración de las actividades como puramente personales o domésticas depende de las circunstancias”. “(…) es crucial que los usuarios sean conscientes de que subir información de otras personas sin obtener su consentimiento puede violar los derechos a la privacidad y la protección de datos de esas personas”.

Los casos del TJUE, Lindqvist y Rynes, son citados por el Comité Europeo de Protección de Datos en sus Guidelines 3/2019 on processing of personal data through video devices, al hablar de la exención doméstica en el ámbito de la video vigilancia.

También son citadas dichas sentencias del TJUE por nuestro Tribunal Supremo en Sentencia Núm 815/2020 de 18/06/2020, que tiene en cuenta la interpretación estricta de la excepción. El TS afirma que “son dos los requisitos legales para que entre en juego la cláusula de exclusión, que el tratamiento de datos lo haga un particular y que lo haga en el marco de una actividad exclusivamente particular o doméstica”.

Siguiendo el criterio fijado en la Sentencia Lindqvist, la Guía de Videovigilancia de la AEPD en relación a las cámaras on board, establece que las grabaciones para una finalidad “doméstica” estarían exceptuadas de la aplicación de la normativa de protección de datos. Por ejemplo, el uso de estas cámaras en los cascos de un ciclista o motorista, que fuesen tomando imágenes paisajísticas. “No obstante, su uso posterior, como por ejemplo, la publicación de las grabaciones en internet quedaría sometido a la normativa de protección de datos”. También afirma la AEPD que “sobre la aplicación de esta excepción doméstica, no podrán entenderse exceptuados aquellos supuestos en los que la información tratada sea puesta en conocimiento de un número indeterminado o indefinido de personas”. Asimismo, “tampoco se aplica la excepción en aquellos casos en los que el tratamiento de estos datos pueda lesionar los derechos e intereses de las personas. A tal efecto, debe tenerse en cuenta que la utilización de las tecnologías de la información y las comunicaciones puede dar lugar a que un tratamiento de los datos inicialmente vinculado con la vida privada de quien lo realiza pueda implicar un acceso a información de un tercero que éste no desea que sea del dominio público”.

¿Quiere decir todo lo anterior que los datos obtenidos con motivo de actividades personales o domésticas, al quedar fuera del ámbito objetivo de aplicación de la norma, ya no pueden quedar protegidos por la misma?

La Audiencia Nacional en Sentencia (Núm de Recurso 481/2012) de fecha 26/09/2013 da respuesta a esta cuestión afirmando que sí son objeto de protección por parte de la normativa de protección de datos, pero de forma diferente, pues en relación a los datos personales (lista de contactos) que puede contener un teléfono móvil, el hecho de quedar incluidos dentro de la excepción doméstica no significa que los datos queden exentos de protección en el sentido de que el acceso al terminal sea libre por no quedar sujeto al régimen protector de la Ley.

Es un hecho que el desarrollo de la sociedad y la forma en que las personas interactuamos con las tecnologías han multiplicado de forma exponencial las situaciones que pueden suponer precisamente rebasar ese ámbito personal o doméstico, razón por la cual hemos podido conocer resoluciones sancionadoras de la AEPD en las que considera responsable del tratamiento a una persona física por exceder el tratamiento de datos realizado de una actividad personal o doméstica (PS/00334/2019 sanción de 10.000 eur). No obstante, sancionar a particulares no es una novedad, pues en el ámbito de videovigilancia ya habíamos conocido sanciones a particulares por captar imágenes de la vía pública y por tanto, trascender ese ámbito personal o doméstico, tal y como se estableció en el Caso RYNES por el TJUE (R/02869/2013 sanción de 2.000 eur, PS/00055/2012 diversas sanciones 2000 €, 900 € y 1000€).

El RGPD no ha introducido novedades en la materia, a pesar de las propuestas de modificación discutidas en durante su tramitación, sino únicamente puntualizaciones y actualizaciones a través del Considerando 18 que refuerzan lo establecido en su articulado y son coherentes con la interpretación que los Tribunales y el GT29 han venido realizando hasta la fecha, si bien es cierto tampoco incluyó los criterios sugeridos por el GT29 para clarificar su aplicación por parte de las autoridades de control y Tribunales.

En ocasiones, no resulta sencillo discernir cuándo estamos ante actividades privadas que sean exclusivamente personales o constituyan una actividad meramente doméstica, pero debemos tener en cuenta que ese ámbito personal o doméstico, puede ser rebasado. Es por ello que el ámbito objetivo de la excepción doméstica debe analizarse caso por caso en función de las concretas circunstancias, teniendo en cuenta que no será suficiente que el tratamiento de datos lo realice un particular, sino que, además, deberá circunscribirse en el marco de una actividad exclusivamente particular o doméstica y todo ello interpretado en sentido estricto tal y como ha establecido la Jurisprudencia del TJUE.

María Loza Corera
Lead Advisor en Govertis
@Mlozac

1. Handbook on European data protection law, 2018, P. 103.
2. P. 369
3. SAN Núm de Recurso 481/2012: “la exclusión del régimen protector de la Ley Orgánica 15/1999, de 13 diciembre, contenido en su artículo 2.2.a), debe ser cabalmente interpretado en el sentido del libre establecimiento de archivos y del tratamiento de datos por personas físicas (ya decimos que por su carácter mínimo o inocuo) correspondientes a terceros (por ejemplo una lista de contactos) siempre que se haga en un contexto puramente personal o doméstico. No, por el contrario, en el de que quede libre y exento de protección el acceso a los datos contenidos en un terminal telefónico, a los que bien puede alcanzar la más estricta privacidad. Nótese que tales dispositivos pueden albergar determinadas informaciones como las referentes a la salud o la vida sexual, que son objeto de protección reforzada en el art. 7 de la Ley Orgánica 15/1999 , de 13 diciembre. Y sin embargo, paradójicamente, quedarían exentos de protección si el acceso a esta clase de terminales fuera libre por no quedar sujetos al régimen protector de la Ley”. (FD 4º).

Hardening, una oportunidad de mejora compartida

Cuando desarrollamos tanto proyectos basados en la adecuación o cumplimiento y debemos presentar Planes de tratamiento o simplemente necesitamos mejorar el entorno de Seguridad de la información, hay uno que no falla y casi aparece (o por lo menos en mis proyectos he debido proponerlo) y debemos considerar; el Hardening (Endurecimiento), como veremos a continuación, cuando establecemos el Hardening como una de las iniciativas de protección podemos definir diferentes actividades que, si las miramos de manera global, generaran un impacto positivo.

Antes que nada y para quienes no lo conozcan, el Endurecimiento de la Infraestructura o Hardening, es una medida de protección o plan de tratamiento, conforme sea el caso, que es ejecutada por el personal a cargo de la infraestructura «los fierros» y busca realizar ajustes con el objetivo de dificultar la realización de acciones maliciosas, o contar con las suficientes pistas en caso de que algo ocurra.

Cuando nace como una iniciativa de tecnología, es el propio personal de TI el que busca la manera de realizar la implementación, considerando las buenas prácticas (que hay muchas), por otro lado cuando se realiza por temas de cumplimiento o adecuación estas medidas vienen socializadas por los responsables de Seguridad de la información, y he aquí uno de los primeros beneficios, cuando proponemos el Hardening como responsables de Seguridad de la información tenemos la oportunidad de colaborar con TI generando sinergia.

Si bien existen diferentes formas de abordarlo son 4 puntos básicos los que debemos considerar y que vamos a identificar como oportunidades de implementación de controles listados en el Anexo A de la norma ISO/IEC 27001:2013.

1. Mínimo privilegio: se basa en permitir el acceso, tanto físico como lógico, únicamente a roles que justifiquen la necesidad de conocer, por lo cual viendo desde un punto de vista objetivo es en parte la implementación de la filosofía “cero confianza” (zero trust), podrían por ejemplo considerarse algunos procesos como:
   • Gestión de cuentas de usuario; A.9.1.2, A.9.4.2
   • Configuración de archivos y directorios; A.13.2.1
   • Configuraciones para protegerse de posibles ataques físicos; A.11.1
   • Configuraciones para protegerse de posibles ataques de hardware de la máquina; A.9.4.4
     • Upgrade de firmware
     • Configuración de la BIOS
   • Políticas para establecimiento de contraseñas complejas; A.9.3.1, A.9.4.3

2. Mínima exposición: componente que busca que los servicios o aplicaciones que se dan de alta en las organizaciones sean los mínimos requeridos para la operación, por ejemplo contemplamos:
   • Servicios
     • Definición de software baseA.12.5.1
     • Restricciones para instalación de software; A.12.6.2
     • Configuración de acceso remoto;

• • Protocolos
    • Definición de protocolos de Red y medios de comunicación con la red externa; A.13.1.2

3. Registro de eventos: cuando aplicamos endurecimiento a nuestra infraestructura, las actividades que se realizan con cada elemento deben estar registradas, por ello algunas de los componentes a considerar serán:
   • Implementación de Protocolo de Tiempo de Red (NTP); A.12.4.4
   • Gestión de auditorías de sistema; A.12.4.1

4. Actualizaciones: asegurar que los elementos de la infraestructura cuentan con los parches de seguridad provistos por el proveedor es el componente que considero final y de vital importancia, aspectos que se deben considerar son:
   • Implementación de servidor de actualizaciones
   • Gestión de vulnerabilidades; A.12.6.1

Si lo analizamos adecuadamente el concepto de Hardening es aplicable tanto a sistemas operativos, servicios o aplicaciones y como lo hemos visto en este corto planteamiento, es una medida de control que requerirá un tiempo para que madure y, adicionalmente, necesitaremos la colaboración posiblemente constante de roles de auditoria o control (A.18.2.3) para que se este tipo de proyectos o iniciativas sean parte del día a día de la organización.

Jorge Guerrón

Equipo Govertis