Ecuador y su primera Ley Orgánica de Protección de Datos Personales

Introducción
Luego de un arduo trabajo que inició en el año 2017 y que fue dirigido por la Dra. Lorena Naranjo Godoy en su calidad de Directora de la Dirección Nacional de Registro de Datos Públicos (DINARDAP) con la participación de entidades públicas, privadas y de la sociedad civil, desde mayo del 2021 el Ecuador cuenta con su primera Ley Orgánica de Protección de Datos Personales (LOPDP), una normativa que permitirá el desarrollo de la innovación y el uso de la tecnología considerando el tratamiento de los datos personales como su eje central de protección.

La Constitución del Ecuador reconoce y garantiza en el artículo 66 numeral 19 a las personas: “El derecho a la protección de datos carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos personales requerirán la autorización del titular o el mandato de ley”, sin embargo, no se tenía una regulación de tipo específico, que permita garantizar el desarrollo de este derecho fundamental de los ecuatorianos y ecuatorianas.

Resumen de antecedentes
La LOPDP se presentó como una iniciativa de proyecto de ley el 19 de septiembre de 2019 por parte del entonces Presidente de la República del Ecuador Lic. Lenin Moreno, esto debido a las noticias de la mayor filtración de datos que había ocurrido en el Ecuador y que posiblemente involucró a ex funcionarios de Gobierno (Instituciones Públicas) de lo cual, hasta la fecha de esta publicación, se tiene conocimiento únicamente de una denuncia en fiscalía; una vez que el ex Presidente entregó el proyecto de ley este fue tratado al interior de la Comisión de Relaciones Internacionales y Movilidad Humana de la Asamblea Nacional, para el 10 de mayo de 2021, ser tratado su informe de segundo debate y ser aprobado por la Asamblea, finalmente la LOPDP fue sancionada por el mismo ex Presidente el 21 de Mayo de 2021.

Estructura y breve introducción a la Ley Orgánica de Protección de Datos Personales

A continuación, se describe la estructurada y los componentes que considero relevantes de la normativa.

CAPÍTULO I: ÁMBITO DE APLICACIÓN INTEGRAL
Está formado por 9 artículos, en este capítulo se describen componentes como el objeto y la finalidad de la LOPDP, se abordan temas como el ámbito de aplicación material y la territorialidad de la ley, los términos y definiciones de la ley, se señala también a los integrantes del sistema de protección de datos personales del Ecuador, y se abordan directivas conocidas como las bases de legitimación del tratamiento de datos personales, las cuales son el consentimiento y el interés legítimo, que si bien se constituyen como base de legitimación, contienen características especiales que debían abordarse por separado en la LOPDP.

Uno de los aspectos que me gustaría resaltar es la incorporación del concepto de extraterritorialidad para el tratamiento de datos personales.

CAPÍTULO II: PRINCIPIOS
Tiene un único artículo pero en su desarrollo se contemplan 13 principios de la LOPD, que se constituyen en sí mismo en principios del tratamiento de datos personales, por ello desde el punto de vista técnico, al cual pertenezco, son los principios de Seguridad de Datos Personales y Responsabilidad Proactiva y Demostrada en los cuales se podrán desarrollar las habilidades de los profesionales en materia de Seguridad de la Información, con esto no quiero decir que es lo único, pero si, que se podría convertir en nuestro punto focal de participación.

CAPÍTULO III: DERECHOS
Mediante 14 artículos se detalla las relaciones entre ciudadanos y responsables del tratamiento de datos personales, regulando las vías de interacción que podremos hacer uso para lograr que los principios definidos en el capítulo anterior se puedan materializar.

CAPÍTULO IV: CATEGORÍAS ESPECIALES DE DATOS
Recordemos que esta ley busca proteger los datos de nosotros los ciudadanos, y que estos datos tienen un ciclo de vida en las empresas o instituciones a las cuales nosotros permitimos y entregamos esa información, este capítulo se conforma de 8 artículos y adicionalmente aborda esas características adicionales de datos que, en atención de su naturaleza, deben ser protegidos con un nivel adicional de cuidado ya que requieren de lo que podríamos llamar una tutela reforzada.

CAPÍTULO V: TRANSFERENCIA O COMUNICACIÓN Y ACCESO A DATOS PERSONALES POR TERCEROS
En este capítulo formado por 4 artículos se establecen las definiciones que permitirán, conforme al mundo interconectado en el que vivimos, la transferencia de datos personales a terceros claro está que las reglas están definidas y por lo tanto tendremos la capacidad identificar si nuestros datos se han proporcionado a un tercero siguiendo las definiciones de la LOPDP.

CAPÍTULO VI: SEGURIDAD DE DATOS PERSONALES
Como especialista en el área de Seguridad de la información me gustaría extender el detalle de este componente de la LOPDP que se forma de 10 artículos; debo resumir indicando que las medidas de control deben estar destinadas a fortalecer a las organizaciones procurando la protección de los datos en los pilares de Confidencialidad, Integridad y Disponibilidad identificando los riesgos a los que las organizaciones se pueden exponer y determinando tratamientos que permitan mantener el riesgo en niveles aceptables, sin duda el componente que da vida al tratamiento de datos personales, ya que la gestión continua del riesgo permitirá entender quién si y quien no, gestiona adecuadamente el riesgo.

Otro de los componentes importantes de los artículos de este capítulo, es la responsabilidad de notificar los eventos que pueden causar variaciones en la seguridad de la información y que compromete datos de carácter personal.

Finalmente reforzar los equipos de respuesta a incidentes de seguridad de la información, debo remarcar que en caso un evento que comprometa a los datos de carácter personal, las medidas de control implementadas para la respuesta serán consideradas atenuantes por ello es importante como se involucrará al responsable de protección de datos personales en la organización.

CAPÍTULO VII: DEL RESPONSABLE Y EL DELEGADO DE PROTECCIÓN DE DATOS PERSONALES
Un grupo de 5 artículos en los que se especifica los roles y responsabilidades en materia de protección de Datos Personales y se muestra la relación que existe entre los diferentes los roles, en esta sección que me atrevería a decir, recaen en el mayor responsable de las empresas, ya que son los mayores interesados en la prestación de los servicios, la recolección de los datos y desde ahora como resultado de entrada en vigor de la LOPDP en la protección de los datos de carácter personal que utilicen.

En este grupo de artículos me gustaría resaltar adicionalmente el nuevo rol del Delegado de Protección de Datos Personales, que deberá ser implementado en las instituciones de la Administración Pública conforme a lo indicado en la siguiente cita del Art. 48, numeral 1 “Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República”, desde luego no serán los únicos ya que instituciones privadas, conforme al volumen de datos, la necesidad de control y el tipo de datos personales (especiales) deberán considerar tener o externalizar este rol en sus organizaciones.

CAPÍTULO VIII: DE LA RESPONSABILIDAD PROACTIVA
Considero no únicamente desde el punto de vista técnico y del control uno de los componentes importantes a reflexionar por los responsables del tratamiento de datos personales, este capítulo contiene 3 artículos, pero permite implementar la definición de mejora continua de la normativa de protección de datos personales, definiciones como la autorregulación permitirán que las organizaciones busquen implementaciones de normativas o estándares de referencia como la ISO/IEC 27701:2019, o que se fomente la confianza en el tratamiento de datos personales mediante “sellos” que se generarán por directivas de control mediante Entidades de Certificación.

CAPÍTULO IX: TRANSFERENCIA O COMUNICACIÓN INTERNACIONAL DE DATOS PERSONALES
Capítulo compuesto por 6 artículos y conforme lo había señalado anteriormente, esta normativa busca dar apertura al uso adecuado y el flujo de datos entre empresas nacionales con internacionales, estos apartados normativos específicamente definen los lineamientos para la transferencia internacional de datos de carácter personal, pero sustentando una base legal y ético de los involucrados.

CAPÍTULO X: DE LOS REQUERIMIENTOS DIRECTOS Y DE LA GESTIÓN DEL PROCEDIMIENTO ADMINISTRATIVO
Mediante 3 artículos la normativa presenta las vías con las que cuenta el Titular de Datos Personales, para de manera progresiva, hacer de uso de sus derechos.

CAPÍTULO XI: MEDIDAS CORRECTIVAS, INFRACCIONES Y RÉGIMEN SANCIONATORIO
Sección que considero generó algunos los principales y más interesantes debates en el tratamiento de proyecto de la LOPDP, este capítulo contiene 2 artículos los mismos que definen las multas o sanciones por el incumplimiento o tratamiento inadecuado de datos de carácter personal.

El régimen entrará en vigor una vez que pase el periodo de 2 años, pero esto no implica que el resto de la LOPDP puede incumplirse en este periodo, por lo contrario, debe cumplirse todo lo demás, pero solo posterior a los 2 años la autoridad de control podrá sancionar por el incumplimiento en el tratamiento de datos personales.

CAPÍTULO XII: AUTORIDAD DE PROTECCIÓN DE DATOS PERSONALES
Finalmente 3 artículos que norman a la entidad que, con nivel de Superintendencia, tendrá la responsabilidad de dar vida a la LOPDP del Ecuador, se opta por el rol de superintendencia por ubicarse en la función de control, conforme la normativa del Ecuador y eso le da independencia suficiente para supervisar y controlar a entidades públicas y privadas.

Como se puede apreciar, la primera y reciente LOPDP del Ecuador consta de 12 capítulos y 77 artículos que sin lugar a duda generarán un impacto positivo en el Ecuador, en la forma de hacer negocios y en la manera en las que las organizaciones utilizan los datos de carácter personal de los ecuatorianos.

Jorge Guerrón Eras (Quito – Ecuador)

Equipo Govertis

La nueva Guía de Protección de Datos en las Relaciones Laborales

Recientemente se ha presentado por parte de la AEPD una nueva guía que viene a interpretar la legislación en un ámbito muy concreto y muy conflictivo: Las relaciones laborales.

En este artículo no se conseguirá realizar un análisis pormenorizado de dicho documento, no obstante, sí que aprovecharemos para transmitir los comentarios principales que pueden extraerse del nuevo recurso.

Inicia esta nueva guía con referencias a cuestiones o aspectos generales que, si bien podrían estar más o menos claros, siempre es bueno reforzar las ideas. Así, se deja claro el concepto de dato personal para entender que la materia de la que se hablará, sin duda, se encuentra dentro del ámbito, además de proceder con un análisis de las causas de legitimación para el tratamiento de este tipo de datos, en donde, como esperado, se identifica a la relación contractual como legitimación principal, a pesar de que puedan existir otras. Hasta aquí, nada en especial.

Tampoco se aprecia gran aportación en los siguientes apartados y, de hecho, son bastante breves, cuando se habla de la información debida a las personas trabajadoras y de los derechos que éstas, al igual que cualquier interesado, tienen a disposición para ejercitar.

Sin embargo, más interesante nos parece la referencia a la minimización de los datos en el marco de la relación laboral, ya que suele ser un tema debatido en alguna de sus manifestaciones prácticas. En este sentido, además de ilustrar sobré qué datos podrían considerarse esenciales para la gestión de la relación contractual y dejar claro que otros que no sean esenciales deberán respetar otras causas de licitud, la guía nos ofrece algún ejemplo entre los que consideramos interesante destacar las líneas dedicadas al tratamiento de datos de contacto de las personas trabajadoras. Aquí, y a pesar de reconocer la jurisprudencia generada por el Tribunal Supremo sobre esta temática, la guía deja abierta la posibilidad de que estos datos puedan o no utilizarse dependiendo, como no, del caso concreto. De hecho, literalmente, la guía establece una conclusión tan lógica y práctica que podría considerarse una evidencia (aunque muchas veces se olvide), cuando dice que “…parece necesario para la ejecución del contrato que el empleador disponga de alguna vía de comunicación con las personas trabajadoras…”. Efectivamente, y a pesar de las malísimas prácticas existentes en la realidad, en algunas ocasiones, siendo minimalistas y descartando todo lo que no es importante, los contactos de una persona están para eso, para contactarle cuando sea preciso para la ejecución o gestión de la relación laboral.

Analizada esta primera situación, un poco polémica, la guía continúa alertando de los deberes en el acceso a datos de carácter personal. Y aquí se recuerda cuál es la principal obligación en esta materia: el deber de secreto. Es cierto que en no pocas ocasiones, este deber se materializa a través de acuerdos de confidencialidad que los trabajadores son obligados a firmar. De cualquier forma, parece que esta obligación, que supone la materialización de ese deber en la práctica, no sería tan necesaria conociendo que la propia LOPDGDD e, incluso, el RGPD, ya contienen esta estipulación, por lo que esta guía se centra en advertir que deberá ser transmitida la debida formación a todos los empleados para que conozcan sus deberes, así como la necesidad de crear políticas en donde se confirmen formalmente los mismos principios y deberes a los que nos estamos refiriendo, sin “el estrés” de materializar algo que dependa de que los trabajadores pueda decidir si aceptan o no esos compromisos de confidencialidad.

Por otro lado, en cuanto al proceso de selección y contratación, fuera ya de estos aspectos más generales que terminan, por cierto, con una referencia a las transferencias internacionales que no tiene nada diferente al régimen habitual, el documento se centra en diferentes cuestiones típicas de esta fase. Lo hace de una forma bastante esquemática, transmitiendo, a fin de cuentas, que:

• Límites al tratamiento: Destacan los siguientes comentarios:
• La causa de licitud que legitima la recogida de CV no es el consentimiento, conforme se suele ver en la práctica. Es la definición de medidas precontractuales con la intención de concluir un contrato. Aunque podrán existir otras.
• Evidentemente, en la convocatoria o concurso publicado para recabar CV debe constar la correspondiente cláusula informativa. Esta obligación alcanza los supuestos en los que la persona haya enviado el CV sin habérsele solicitado previamente.
• Es necesario respetar el principio de minimización: Desde nuestro punto de ista personal, esta mención es importante, especialmente, en el ámbito del Sector Público, cuando se recogen datos personales a empresas licitadoras que no serán posteriormente adjudicatarios.
• Redes sociales: Las personas candidatas y las personas trabajadoras no están obligadas a permitir la indagación del empleador en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato.

• Entrevistas: Hay que tener una cierta cautela en la información solicitada en la entrevista de trabajo, para no vulnerar, además del artículo 6 RGPD, otros principios constitucionales.

• Colaboración entre empresas: Se definen claramente los roles de las empresas de trabajo temporal o las agencias de colocación. Las primeras, una vez que actúan previamente, de acuerdo con su objeto de negocio, en la búsqueda y selección de personal para ofrecer directamente en caso de requerimiento, se configuran como Responsables del Tratamiento. En cuanto a las segundas, su rol dependerá de cómo se configure la relación, es decir, si actúan previamente a la solicitud de una empresa para la búsqueda de personal, serán Responsables del Tratamiento. En el otro caso, serán Encargadas del Tratamiento, ya que buscarán personal por cuenta de sus clientes.

• Decisiones automatizadas: Se consideran válidas, aunque dotando al proceso de las garantías suficientes para evitar discriminación. Es decir, es posible determinar unos requisitos que se deban cumplir y que los candidatos sean automáticamente descartados si no disponen, por ejemplo, de alguna titulación o requisito esencial; no obstante, no podrán ser excluidos por razones discriminatorias y deberá garantizarse una participación humana que pueda resolver las dificultades que puedan surgir.

• Datos especialmente sensibles: Es posible recabarlos, principalmente, en dos supuestos: Reconocimientos médicos, o pruebas psicológicas o psicotécnicas.

• Conservación en caso de no contratación: Literalmente, la guía ofrece las pautas a seguir: “Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento de datos, por lo que sería necesario su consentimiento para un futuro tratamiento (por ejemplo, incorporación a una bolsa de trabajo), salvo que el empleador pueda demostrar un interés legítimo. En caso contrario, debe destruir el currículum y proceder a la supresión y bloqueo de los datos personales”.

Tras analizar las distintas cuestiones generales con relación a la materia que nos ocupa, así como las vicisitudes del proceso de selección y la protección de datos, la reciente guía sobre relaciones laborales trata con detalle el transcurso de éstas, así como otros asuntos complementarios e íntimamente ligados, como son el control de la actividad laboral, la representación y la vigilancia en la salud. Al igual que antes, ofrece respuestas para situaciones singulares que bien interesantes son debido a la frecuencia con la que aparecen en la práctica jurídica sobre esta materia como, por ejemplo, los sistemas de denuncias internos, el registro de la jornada, el registro de salarios, cesiones a otras empresas, u otras similares.

Una vez que este asunto requiere de un análisis exhaustivo, si estás interesado en ampliar tus conocimientos sobre esta materia o en refrendar tus habilidades, la AEC ofrece el siguiente curso de especialización para que puedas fortalecer tus conocimientos: Protección de Datos y Relaciones Laborales | ONLINE – Oferta especial! | AEC

David Barrientos

Equipo Govertis

Mi organización ha sido víctima de un ataque ransomware, ¿Cómo debo actuar?

El ransomware es un tipo de malware en continua evolución que impide el acceso a la información de un dispositivo, amenazando con destruirla o hacerla pública si las víctimas no acceden a pagar un rescate en un determinado plazo. Este se propaga, como otros tipos de malware, por múltiples vías: a través de campañas de spam, vulnerabilidades o malas configuraciones de software, actualizaciones de software falsas, canales de descarga de software no confiables y herramientas de activación de programas no oficiales (cracking). Los ciberdelincuentes tratan de que el usuario abra un archivo adjunto infectado o haga clic en un vínculo que le lleve al sitio web del atacante, donde será infectado. Actualmente, además del bloqueo de la información, la tendencia es que amenacen con la publicación de información confidencial.[1]

Si bien durante los años 2018 y 2019 ya destacaban las notificaciones de brechas de seguridad recibidas en la Agencia Española de Protección de Datos (AEPD) que tenían origen en ataques ransomware, desde 2020, y especialmente en 2021, este tipo de ataques empiezan a ser notablemente protagonistas.

No hay más que echar un vistazo a sus tres últimos Informes de Notificaciones de Brechas de Seguridad de los Datos Personales -los relativos a los meses de enero, febrero y marzo de 2021- donde se hace eco de esta cuestión[2]:

• “Las brechas de seguridad causadas por malware de tipo ransomware siguen siendo protagonistas, afectando a organizaciones de todo tipo”. (Enero 2021)
• “Durante el mes de febrero se ha experimentado un incremento sustancial en las notificaciones recibidas respecto a enero. Un incidente de seguridad de tipo ransomware en un encargado de tratamiento que ha causado brechas de seguridad con consecuencias diversas en varios responsables, principalmente de Cataluña, ha producido este incremento”. (Febrero 2021)
• “El ransomware vuelve a tener un papel destacado produciendo brechas de datos personales en servicios públicos y privados de toda índole, comprometiendo no solo la disponibilidad sino también la confidencialidad de los datos personales”. (Marzo 2021)

Dada la proliferación de estos ataques, en el presente artículo trataremos de aportar una serie de consejos básicos para evitarlos, así como unas pautas a seguir desde el momento en que tengamos constancia de que nuestra organización ha sido víctima de un ataque de estas características.

¿CÓMO EVITARLO?

Para evitar el ransomware podemos adoptar una serie de medidas técnicas, para que nuestros sistemas no tengan agujeros de seguridad, manteniéndolos actualizados y bien configurados.

Es fundamental tener los sistemas operativos, navegadores y aplicaciones actualizados, realizar controles periódicos, realizar copias de seguridad periódicas y conservar una en un lugar diferente, utilizar contraseñas robustas, controlar adecuadamente las cuentas de usuario y administrador y concienciar y formar al personal de la organización.

El Centro Criptológico Nacional (CCN-CERT) nos proporciona medidas más específicas en su informe ‘Medidas de Seguridad contra ransomware’[3], así como el Instituto Nacional de Ciberseguridad (INCIBE). De este último, se puede consultar la Guía ‘Ransomware. Una Guía de aproximación para el empresario’.[4]

SI YA HEMOS DETECTADO EL ATAQUE ¿CÓMO DEBEMOS ACTUAR?

¿Debemos pagar el rescate?

Las diferentes autoridades y organismos en materia de protección de datos y seguridad de la información coinciden en que no se debe pagar el rescate, por los siguientes motivos:

• Pagar no te garantiza que volverás a tener acceso a los datos.
• Si pagas es posible que seas objeto de ataques posteriores pues, ya saben que estás dispuesto a pagar.
• Puede que te soliciten una cifra mayor una vez hayas pagado.
• Pagar fomenta el negocio de los ciberdelincuentes.

¿Debe denunciarse ante las Fuerzas y Cuerpos de Seguridad del Estado?

INCIBE recomienda denunciar el incidente para que se investigue el origen del delito. Así, se puede colaborar en las labores de prevención a otras entidades y en las acciones para capturar al ciberdelincuente[5]:

• Guardia civil – Grupo de delitos telemáticos
• Policía nacional – Brigada de Investigación Tecnológica (BIT)

¿Debe notificarse a algún organismo o autoridad de control? ¿Y a los interesados?

Además de reportarlo al centro de respuesta a incidente de ciberseguridad, si la incidencia afecta a datos de carácter personal, el responsable del tratamiento debe notificarlo a la autoridad de control competente, sin dilación indebida y, de ser posible, a más tardar, 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

La Guía para la gestión y notificación de brechas de seguridad de la AEPD, en su anterior versión, establecía una fórmula orientativa para la comunicación de violaciones de seguridad a la autoridad de control. En su nueva versión, no obstante, suprime dicha fórmula, y nos remite a las ‘Directrices 01/2021 de ejemplos sobre notificación de brechas de seguridad del Comité Europeo de Protección de Datos (CEPD)’[6], donde podemos encontrar ejemplos de brechas de seguridad y los factores a tener en cuenta para evaluar la necesidad de notificar a la autoridad de control competente.

En el caso de los interesados, la comunicación a estos será necesaria cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para sus derechos y libertades de las personas físicas. Para valorar si procede esta comunicación disponemos de la herramienta Comunica-Brecha RGPD de la AEPD[7], aunque esta ya ha señalado que el uso de esta herramienta no sustituye en ningún caso la necesaria valoración del nivel de riesgo por parte del responsable, que es quien mejor conoce los detalles del tratamiento de datos personales que realiza, las características de los sujetos de datos, las circunstancias de la brecha de seguridad y el resto de los factores que permiten obtener una valoración del riesgo acertada. También nos podemos apoyar en este caso en las Directrices del CEPD.

DIRECTRICES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

De los diferentes procedimientos en los que la AEPD se ha pronunciado, en asuntos relacionados este tipo de incidentes, se desprende que una buena gestión de un incidente de seguridad originado por un ataque ransomware, conlleva que:

• De manera previa al incidente, la organización cuente con medidas para evitar el ataque o, al menos, minimizar el impacto.
• Se dispongan de protocolos de actuación para afrontar incidentes de este tipo.
• Con posterioridad al incidente, la organización aplique medidas de seguridad adicionales.
• La organización denuncie los hechos ante las Fuerzas y Cuerpos de Seguridad del Estado.
• Se genere documentación de todo el proceso de detección, contención, respuesta y se custodien las evidencias.
• Se realice un informe final sobre el incidente.
• Se notifique la brecha a quien corresponda, según la valoración del riesgo realizada.

Nerea San Martín

Equipo Govertis

[1] Ransomware. Una guía de aproximación para el empresario (INCIBE): https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ransomware.pdf

[2] Informes brechas de seguridad AEPD: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/brechas-de-seguridad

[3] Medidas de seguridad contra el ransomware (CCN): https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2877-ccn-cert-ia-11-18-medidas-de-seguridad-contra-ransomware/file.html

[4] ‘Ransomware. Una Guía de aproximación para el empresario’: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ransomware.pdf

[5] Ayuda ransomware: https://www.incibe.es/protege-tu-empresa/herramientas/servicio-antiransomware

[6] Directrices 01/2021 de ejemplos sobre notificación de brechas de seguridad del Comité Europeo de Protección de Datos (CEPD):  https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-012021-examples-regarding-data-breach_es

[7] Comunica Brecha – RGPD (AEPD): https://www.aepd.es/es/guias-y-herramientas/herramientas/comunica-brecha-rgpd

Conociendo la propuesta de Reglamento de ePrivacy

En el artículo Hacia un Reglamento para la protección de los datos personales en el sector de las comunicaciones electrónicas (e-Privacy) publicado en el Blog de GOVERTIS , os contábamos cómo se ha llegado a una posición común, dentro del seno de las instituciones europeas, para avanzar en la aprobación del Reglamento sobre la privacidad y las comunicaciones electrónicas ( conocido como e-Privacy) que derogará la directiva de ePrivacy existente, Directiva 2002/58/CE, así como cuáles son sus principales puntos.

Aunque todavía está en fase de borrador y queda aún un largo recorrido hasta su aprobación (además, tras su publicación en el Diario Oficial de la U.E., comenzaría a aplicarse dos años después), por lo que el texto puede sufrir variaciones,  es hora de que vayamos conociendo poco a poco esta propuesta de e-Privacy .

¿Por qué un Reglamento sobre la privacidad y las comunicaciones electrónicas?

El requerimiento de aprobación de un Reglamento  e-Privacy surge por la necesidad de atender los nuevos desarrollos tecnológicos y de mercado, como el uso generalizado actual de Voz sobre IP, servicios de mensajería y correo electrónico basados ​​en la web, y la aparición de nuevas técnicas, no reguladas por la Directiva 2002/58/CE, que permiten rastrear los comportamientos en línea de los usuarios finales,  tal como señala el propio Consejo Europeo.

Teniendo en cuenta el alto grado de desarrollo de estas tecnologías en la última década, los avances en materia de telecomunicaciones y comunicaciones electrónicas, es necesario buscar un equilibrio entre la protección de la vida privada y el desarrollo de las nuevas tecnologías.

¿Cuál es el objeto del Reglamento  e-Privacy?

El objeto del Reglamento e-Privacy es establecer normas relativas a la protección de los derechos y las libertades fundamentales de las personas físicas y jurídicas en el ámbito de la prestación y utilización de servicios de comunicaciones electrónicas. Con el Reglamento de Privacidad Electrónica, e-Privacy, la Unión Europea pretende reforzar la privacidad de los ciudadanos en Internet y regular la protección de los datos de un modo más estricto, por ejemplo, en el uso de dispositivos de almacenamiento (cookies) en sus terminales, regulando de forma más detallada su uso.

¿Cuál va a ser el ámbito de protección? 

El e-Privacy protegerá tanto a personas físicas como a las personas jurídicas. En este sentido hay que tener en cuenta que las comunicaciones electrónicas contienen información, con datos personales, en ocasiones categorías especiales de datos, como por ejemplo información de salud o convicciones religiosas o filosóficas, y también pueden contener información confidencial, de gran importancia para las entidades por su valor económico o carácter secreto. Es por ello que, la protección abarca tanto a personas físicas como a jurídicas.

¿Qué impacto puede tener en el Reglamento (UE) 2016/679 (RGPD)?

El Reglamento e-Privacy es una “lex specialis” en relación con el RGPD, precisándolo y completándolo en lo que respecta a los datos de comunicaciones electrónicas que se consideran datos personales. Ello supone que en el momento en que entre en vigor el e-Privacy, este prevalecerá, teniendo en cuenta que no supondrá reducir el nivel de protección que depara a las personas físicas el Reglamento (UE) 2016/679.

Por otra parte, cabe indicar que a lo largo del borrador del Reglamento sobre la privacidad y las comunicaciones electrónicas nos encontramos con referencias al RGPD, así a título de ejemplo:

• En relación a las definiciones aplicarán las recogidas en el RGPD.
• En concreto en relación al consentimiento, señala que serán aplicables la definición y también las condiciones relativas al consentimiento previstas en el Es decir, la recogida del consentimiento deberá ser expreso, libre, informado e inequívoco. Prevé también la posibilidad de retirada el consentimiento conforme a lo previsto en el  RGPD.
• El Reglamento se basa en el mecanismo de coherencia del Reglamento (UE) 2016/67. La autoridad o las autoridades de control independientes encargadas de supervisar la aplicación del RGPD también serán responsables de supervisar la aplicación del Reglamento e-Privacy.
• En el caso de que se recojan datos personales se informará conforme al artículo 13 RGPD y se prevé la aplicación de medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado en relación con los riesgos, según lo establecido en el artículo 32 RGPD.

Por último, comentar que el Reglamento sobre la privacidad y las comunicaciones electrónicas, será de aplicación directa a todos los estados miembros y una norma que deberemos integrar en nuestros sistemas de gestión. Por ello, iremos trasladando cualquier actualización del borrador y avance en su aprobación, así como conocimientos que podamos ir ya asentando.

Nieves Chaveli

Equipo Govertis

Memoria AEPD 2020: El DPD como valor diferencial

La Agencia Española de Protección de Datos ha publicado recientemente su Memoria Anual de 2020, en la que se recogen las actividades más relevantes llevadas a cabo por la institución durante un año marcado por la pandemia, y en el que la AEPD ha empezado a mostrar mayor contundencia en la imposición de sanciones, cuya continuidad estamos observando en 2021 con multas tan gravosas como las recaídas a Caixabank o Vodafone, por citar solo dos ejemplos.

Uno de los apartados más interesantes en esta Memoria es el que hace referencias a “La agencia en cifras”, que permite obtener una visión global del “estado del arte”, así como observar determinados aspectos y tendencias de las cuales extraer conclusiones interesantes.

Queremos detenernos hoy en los datos relativos a la intervención del DPD ante las reclamaciones por incumplimientos de protección de datos, función esencial que le atribuye el RGPD y concreta la LOPD-GDD, cuya contribución a la tutela de este derecho fundamental y, consecuentemente, a la disminución de sanciones, se está demostrando capital.

Esta función mediadora trae causa en la articulación de la figura del DPD como punto de contacto con las autoridades de control y los interesados. El artículo 39 señala entre sus atribuciones la de “cooperar con la autoridad de control”. La LOPDGDD, por su parte, establece en su artículo 36 que el DPD “actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos”.

Así mismo, el artículo 38 del RGPD indica que “Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento”.

En base a esta posición que ocupa el DPD, la LOPDGDD concreta su participación en los supuestos de reclamaciones ante las autoridades de protección de datos. El artículo 37 destaca que ”Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos el afectado podrá, con carácter previo a la presentación de una reclamación contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, dirigirse al delegado de protección de datos de la entidad contra la que se reclame”. En este caso, “el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación”.

Es importante matizar aquí que, aunque la norma no lo precise, debe entenderse que esa decisión la adoptará el responsable o encargado, y que el delegado actuará, además de asesorando a los citados, como intermediario en la gestión de la misma.

En el supuesto en el que la reclamación se presente directamente ante ”la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al delegado de protección de datos a fin de que este responda en el plazo de un mes”.

La participación del DPD en los supuestos reseñados tiene lugar en la fase de admisión a trámite de las reclamaciones. Así se recoge en el artículo 65 de la LOPD-GDD:

1. Cuando se presentase ante la Agencia Española de Protección de Datos una reclamación, esta deberá evaluar su admisibilidad a trámite, de conformidad con las previsiones de este artículo.

(…)

4. Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica.

Por tanto, la participación del DPD puede dar lugar a que la reclamación no sea admitida a trámite, en tanto aporte información que contribuya a clarificar la situación, de manera que se pueda determinar que no existe infracción de la normativa de protección de datos, o bien se puedan corregir a tiempo los posibles incumplimientos y se adopten las medidas preventivas para evitar que se vuelvan a producir los hechos que dieron lugar a la reclamación. La inadmisión a trámite conduciría al archivo, por lo que ni siquiera se iniciarían las actuaciones previas de investigación, previas a una eventual apertura de procedimiento sancionador.

Volviendo a la Memoria de la AEPD, podemos comprobar que esta novedosa función del DPD no es puramente cosmética, y que su eficacia está más que demostrada, poniendo en valor la ventaja diferencial de contar con esta figura en una organización, más allá de que su nombramiento sea o no preceptivo.

Según los datos de 2020, y siguiendo la tendencia de 2019, casi el 80 % de las reclamaciones que se dieron traslado al responsable o encargado y al delegado de protección de datos acabaron archivadas.

Ilustración 1- Memoria AEPD 2020. Tipos de resoluciones

De las 4.396 reclamaciones que superaron la fase de análisis inicial que realiza la AEPD, 3.405 se resolvieron tras la fase de traslado. Esto no solo supone una mayor rapidez en la resolución de las reclamaciones, sino también una descarga de trabajo en la autoridad de control -para nada sobrada de efectivos-, y, por encima de todo, una minimización del riesgo de ser objeto de sanción, ya que esta vía de intermediación previa permite atajar a tiempo situaciones que pueden cronificarse y dar lugar a incumplimientos agravados y, por tanto, a sanciones más onerosas.

Siguiendo con la memoria, el relevante papel del DPD en su papel mediador se observa también en el estudio que la AEPD realiza de las reclamaciones relacionadas con la pandemia de COVID-19.

Ilustración 2 – Memoria AEPD 2020. Reclamaciones COVID-19

Pese a las múltiples noticias y situaciones acaecidas con la puesta en marcha de medidas excepcionales y la posible comisión de infracciones, en 2020 solo se incoaron 7 procedimientos sancionadores en relación con medidas de la COVID, lo que tiene relación directa con el papel relevante del DPD en la fase de traslado previa, la cual que se produjo en un total de 84 reclamaciones.

Continuando con la Memoria, cabe destacar aquí el papel relevante del DPD en las reclamaciones relacionadas con las brechas de seguridad. Es importante recordar que la notificación de brechas pueda dar lugar al inicio por parte de la autoridad de control de actuaciones previas de investigación, lo cual puede conllevar la apertura de procedimiento sancionador. La gestión del DPD en todo el proceso se antoja fundamental para el cumplimiento del principio de responsabilidad proactiva, tanto en la detección del incidente, como en su valoración y eventual notificación, así como en la puesta en marcha de medidas correctoras y preventivas.

La propia Guía de gestión de brechas de la AEPD señala que “En los casos en los que se haya designado un delegado de protección de datos (porque lo exija el RGPD o voluntariamente), éste ocupará un papel muy relevante liderando el plan de actuación en todos sus aspectos”.

Así queda de manifiesto en la Memoria, que señala que la AEPD “ha recibido y analizado 1.370 notificaciones de quiebras de seguridad en 2020, de las que sólo el 6% (81) se han remitido a Inspección al requerir de una investigación en profundidad”.

Por último, recordar que el papel del DPD en relación con la gestión de reclamaciones no se limita a la fase de admisión a trámite o a la gestión de incidentes de seguridad, sino que su participación abarca todas las fases del proceso, pudiendo realizar, entre otras, las siguientes tareas:

• Comunicar sin dilación la reclamación recibida a la entidad.
• Recabar antecedentes sobre los hechos que han podido ocasionar la reclamación. En su caso, mantener comunicación con la entidad, órgano o unidad administrativa implicado/s.
• En su caso y si las circunstancias del caso lo requieren, recabar información del Instructor de la AEPD o funcionario que lleve el asunto.
• Si las circunstancias del caso lo aconsejan, contactar directamente con el reclamante (o la entidad, organización o asociación sin ánimo de lucro que haya reclamado) para buscar una solución pactada a la reclamación, así como la renuncia a la presentación de una acción judicial de daños y perjuicios.
• Asesorar al responsable del tratamiento sobre las medidas correctoras y de mejora a implementar, en su caso.
• Asesorar al responsable del tratamiento sobre las medidas para evitar que se produzcan situaciones similares en el futuro.
• Asesorar al responsable del Tratamiento sobre el tipo de respuesta que se debe dar a la AEPD.
• Realizar un dictamen o informe sobre el contenido de la respuesta que finalmente va a realizar la entidad representada.
• Asesorar al responsable en la redacción de alegaciones y la posibilidad de presentar recursos.
• Presentar a la AEPD la respuesta a la reclamación, o las alegaciones o recursos, en nombre de la entidad representada.
• Asesorar y colaborar con instructor en las actuaciones previas de investigación.
• Realizar un seguimiento regular del asunto hasta su archivo o resolución.

La función mediadora del DPD en la gestión de reclamaciones -cuya eficacia se pone de manifiesto con la Memoria de la AEPD-, su papel destacado como interlocutor de los interesados, y su rol asesor y supervisor que permite dar trazabilidad a las medidas de cumplimiento adoptadas por las organizaciones, hacen que su figura emerja y se demuestre como un verdadero valor diferencial en las organizaciones.

Javier Villegas Flores

Lead Advisor at Govertis

Necesidad de formación en protección de datos

La idea de este artículo es encuadrar una de las medidas estrella para mitigar riesgos en los Análisis de Riesgos y en las Evaluaciones de Impacto de Protección de Datos dentro de las exigencias normativas del RGPD y la LOPDGD

Todos solemos recomendar la formación como medida transversal para mitigar riesgos y solemos recomendar a nuestros clientes que realicen formación y concienciación en materia de protección de datos y  seguridad de la información, pero ¿por qué, si no lo exige directamente el RGPD? ¿Cuál es su fundamento entonces?

Son varias las razones y se exponen a continuación:

1.- Medidas organizativas y técnicas

La necesidad de formación en materia de protección de datos se deduce de las medidas organizativas y técnicas que deben aplicar los Responsables y Encargados de Tratamiento.

El concepto de aplicación de medidas organizativas y técnicas está presente en varios artículos (Art. 24, art. 25 y art. 32 del RGPD)

Recordemos que ya no tenemos una enumeración de medidas de seguridad a implantar, sino que las mismas, se escogerán en función de un análisis de riesgos.

Tal como establece la Guía de Evaluación de Impacto de Protección de Datos de la Agencia Española de protección de Datos, en su anexo VI, se recomienda constantemente la formación como control para mitigar riesgos y, no solo formación en protección de datos, sino también en la seguridad y uso adecuado de las TIC.

2.- Principio de Responsabilidad Proactiva

El propio principio de Responsabilidad proactiva implica que el Responsable del Tratamiento será responsable del cumplimiento de lo dispuesto en RGPD y capaz de demostrarlo. El cumplimiento del RGPD no es algo exclusivo de la Alta Dirección, o de los departamentos de sistemas o jurídicos; sino que requiere una implicación de todo el personal con acceso a datos personales. Por ello, todo ese personal debe saber cuáles son sus obligaciones y, es aquí, donde la formación se convierte en un elemento vertebrador del cumplimiento de la normativa de protección de datos por parte de todo el personal.

3.- Políticas de Protección de Datos

El art. 24.2 del RGPD establece que “Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos”.

La adopción de políticas y normas internas dirigidas a los empleados, tanto con carácter general como focalizadas con relación a las funciones que desempeñen dentro de la empresa, jugará un papel decisivo en este objetivo.

Para ello será necesario comenzar con una correcta formación de todo el personal con acceso a datos

4.- Funciones del Delegado de protección de Datos (DPD)

El art. 39.2 del RGPD establece entre las funciones del DPD:

“Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”

Es decir, si entre las funciones del DPD está la concienciación y la formación del personal, esto implica que dicha obligación existe para los Responsables de Tratamiento, que en caso de tener designado un DPD, será asumida por éste.

5.- Derecho a la desconexión digital

Adicionalmente, hay que añadir que la LOPDGDD en su artículo 88.3 (Derecho a la desconexión digital en el ámbito laboral) establece una formación específica, en este caso, en desconexión digital:

3. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.

Venos otra vez, como dentro de las políticas dirigidas a los trabajadores, la formación es una parte esencial de la misma.

En conclusión, la formación es un elemento fundamental para el cumplimiento real del RGPD y se convierte en el eje vertebrador de su cumplimiento efectivo por parte de las organizaciones.

Elías Vallejo

Equipo Govertis

Los reyes de los “dark patterns” en términos de privacidad: los banners de las cookies

Como se puede observar casi en cada sitio web que visitamos, los banners de las cookies están diseñados para que no te molestes en llegar más allá del “Acepto todas” o el botón de “OK”. En consecuencia, el proceso de prestación del consentimiento está concebido para que sea opaco, impráctico y que consuma tanto tu tiempo como para que tomes la decisión de hacer clic en “Aceptar”.

En el caso de que te importe mínimamente tu privacidad, desafortunadamente vas a tener que pasar por un largo y tedioso proceso, saltando de un enlace a otro y al menú de configuración, siempre acompañado por un botón verde gigante de “acepto todas” por si desistes en el intento. Si quieres poner a prueba tu paciencia y habilidad para configurar tu privacidad, accede al “juego frustrante sobre los banners RGPD”, un irónico reto creado por el diseñador de servicios alemán Fred Wordie que cronometra cuánto tardas en rechazar todas las cookies[1].

Resulta muy interesante la clasificación de las prácticas de diseño potencialmente engañosas que la CNIL desarrolla en su informe[2]. Las más utilizadas para la aceptación del uso de rastreadores son las siguientes:

• “Improving the experience”: Usar el argumento de la personalización y la mejora de la experiencia de usuario para alentar a los usuarios a compartir más datos personales.
• “Default sharing”: Pre-marcar las casillas y opciones que suponen compartir más datos personales.
• “Blaming the individual”: Hacer que el usuario se sienta culpable por sus elecciones. Esto se usa muy a menudo por los proveedores de servicios cuyo modelo de negocio se basa esencialmente en la publicidad, cuando un usuario rechaza ser rastreado por cookies o usa un bloqueador de anuncios.
• “Impenetrable wall”: Bloquear el acceso a un servicio usando una “cookie wall” o la creación de una cuenta cuando no es necesario para la funcionalidad del servicio (también llamado “take it or leave it” -o lo tomas o lo dejas-).
• “Making it fastidious to adjust confidential settings”: Facilitar el consentimiento mediante una simple acción y hacer que la elección de una opción más respetuosa con nuestra protección de datos sea más larga y complicada. Por ejemplo, permitiendo continuar aceptando todas las opciones con un botón de “continuar” o “aceptar todas” mientras que las opciones y ajustes avanzados implican un tortuoso camino “scrolleando” y saltando de menú en menú.

De acuerdo con el estudio “Do cookie banners respect my choice?” que analizó los diseños de los banners de cookies de 560 sitios webs, el 47% empujan a los usuarios hacia la aceptación de opciones pre-seleccionadas, mientras que el 38% de las webs no proporciona ningún medio para rechazar el consentimiento. También concluyó que el formato de prestación del consentimiento utiliza una semántica poco clara, lo que dificulta su interpretación[3].  Además, otro estudio llevado a cabo por investigadores de la Universidad de Aarhus (Dinamarca), el MIT (EE.UU) y el University College de Londres (Reino Unido), si la web no incluye un botón de rechazar las cookies en la primera ventana, sube un 23% el número de usuario que dan su consentimiento y si existe dicho botón, baja entre un 8 y un 20% el número de usuarios que acepta los archivos de seguimiento[4].

Con toda esta información sobre la mesa, toca plantearse la pregunta que da sentido a este artículo:

¿Disponemos de los mecanismos suficientes para acabar con el uso extendido de los “dark patterns”?

Solamente tenemos que mirar hacia nuestro querido RGPD.

Los “dark patterns” suponen una amenaza para el concepto mismo de consentimiento dado por el RGPD: “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. El Considerando 32 también establece que el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

La prestación de un consentimiento libre es un arma que tenemos los usuarios para proteger nuestros derechos, por lo que el abuso de técnicas de manipulación que nos empujan a la toma de decisiones contrarias a nuestros intereses no puede considerarse una prestación de consentimiento libre ni mucho menos informada en aquellos casos en los que se oculta, confunde o proporciona información sesgada.

Además, para el tratamiento de los datos personales se requiere cumplir con ciertos principios de protección de datos, como el de limitación de la finalidad y el de minimización de datos, sin olvidarnos de los principios de protección de datos desde el diseño y por defecto.

La observancia de la protección de datos desde el diseño supone que tanto la arquitectura de las aplicaciones y plataformas, como la UX (experiencia de usuario) habrían de diseñarse alineadas con la privacidad de los usuarios y de acuerdo con unos principios éticos desde el inicio y en todos los procesos donde existan flujos de datos personales. Por otro lado, la protección de datos por defecto requiere un alto nivel en la salvaguarda de la información personal de los consumidores, incluso si no renuncian activamente al tratamiento y procesamiento de sus datos personales[5].

Los “dark patterns” ante la justicia

Recientemente el Tribunal del Distrito de Rostock (Alemania) decidió en su sentencia ref. 3 O 762/19, que los banners de las cookies deben ser diseñados de tal manera que tanto la declinación como la aceptación del consentimiento sean presentadas de forma equivalente una al lado de la otra.

Por el momento, EPIC (The Electronic Privacy Information Center), interpuso una reclamación[6] el pasado 23 de febrero de 2021 ante el Fiscal General de Washington D.C., alegando que Amazon utiliza ilícitamente “dark patterns” en la cancelación de su servicio de suscripción de Amazon Prime, obstaculizando deliberadamente esta decisión y continuando con el tratamiento y retención de los datos personales de sus usuarios.

Y es que abandonar una plataforma o servicio premium puede ser una auténtica carrera de obstáculos.

Precisamente en enero de este mismo año, el Consejo Noruego de Consumidores (Forbrukerrådet) publicó el informe “You can log out but you can never leave”[7] (ya citado con anterioridad) sobre cómo Amazon manipula a los consumidores para mantenerlos suscritos a Amazon Prime. Incluso elaboraron un breve vídeo[8] en el que se explica el proceso.

Esta misma organización, junto con otras plataformas como noyb (capitaneada por Max Schrems), han presentado a comienzos de este mismo año una reclamación ante la Autoridad Noruega de Protección de Datos (Datatilsynet) contra Grindr, debido al uso de una serie de “dark patterns” (consentimiento forzado o take it or leave it) que implican la cesión indiscriminada de datos personales de los usuarios a terceros, entre los cuales se incluye la orientación sexual. La app de citas alega que ha reforzado sus mecanismos de consentimiento, pero la propuesta de sanción alcanza los 10 millones de euros -el 10% de su facturación global-, la mayor cantidad impuesta por dicha autoridad de control[9].

¿Supone esto que a partir de ahora vamos a ver más reclamaciones en las autoridades de control y tribunales europeos? Todo apunta a que va a ser así.

Pero, en definitiva, proteger nuestra privacidad no debería ser un trabajo a tiempo completo que requiera un avanzado conocimiento de la materia. O lo que es lo mismo, “Privacy should not be an ‘advanced setting’ – it should be the default setting”[10].

Lidia Bergua

Equipo Govertis

[1] Juego Cookie Consent Speed.Run: Fred Wordie en colaboración con Big Data Girl https://cookieconsentspeed.run/ (2021).

[2] Shaping Choices in the Digital World: From dark patterns to data protection: the influence of ux/ui design on user empowerment. CNIL. (2019).

[3] Do Cookie Banners Respect my Choice?: Measuring Legal Compliance of Banners from IAB Europe’s Transparency and Consent Framework. C. Matte, N. Bielova y C. Santos. (2020).

[4] Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence: M. Nouwens, I. Liccardi, M. Veale, D. Karger y L. Kagal (2020).

[5] “EDPS calls for workable technology which serves the interests of society”. Press Release EDPS. (2018)

[6] Complaint and Request for Investigation, Injunction, and Other Relief Submitted by The Electronic Privacy Information Center (EPIC) In the Matter of Amazon.com, Inc. (2021).

[7] YOU CAN LOG OUT, BUT YOU CAN NEVER LEAVE: How Amazon manipulates consumers to keep them subscribed to Amazon Prime: FORBRUKERRADET- Norwegian Consumer Council- (2021).

[8] How Amazon manipulates customers to stay subscribed: https://www.youtube.com/watch?v=GpEQ4OWNO4Y (2021).

[9] IAPP The Privacy Advisor Podcast: Finn Myrstad on privacy case against Grindr, ‘dark patterns’ https://iapp.org/news/a/finn-myrstad-on-privacy-case-against-grindr-dark-patterns/ (2021).

[10] Privacy in the EU and US: Consumer experiences across three global platforms, jointly published by Heinrich-Böll-Stiftung Brussels European Union and the Transatlantic Consumer Dialogue (TACD), London, England. (2019).

Los retos que supone la Directiva 2019/1937 para los expertos en protección de datos

Nos encontramos a la espera de la transposición de la Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, que deberá hacerse antes del 17 de diciembre de este año. Su impacto será importante, y conviene anticiparse y prestar atención a algunas novedades que, desde luego, van a cambiar rutinas en los ámbitos empresarial, administrativo y profesional.

En materia de privacidad y protección de datos, esta directiva va a suponer un importante reto para los que nos dedicamos a esta materia, así como, según es de esperar, un gran avance en el respeto real de las exigencias legales. Para los más apresurados, recomiendo especialmente la lectura de los considerandos (1), (3), (14), (36), (56), (74), (76), (82), (83), (84), (85), (91), (92), (93), (94) y (98). Son varios los aspectos sobre los que ya deberíamos estar reflexionando quienes profesionalmente nos dedicamos a este ámbito.

1. a) En primer lugar, las infracciones en materia de protección de datos es una de las materias contempladas expresamente por la directiva dentro de su ámbito objetivo de aplicación. Cualquier infracción, mala práctica o práctica abusiva en esta materia puede dar lugar a una denuncia por parte del personal de la empresa a través de los canales internos, los externos, o incluso mediante una comunicación pública, sin temor a represalias. Piensen, por ejemplo, en las deficiencias advertidas por los empleados en el caso de que la empresa no las atienda debidamente; o en los defectos de seguridad de las redes y sistemas de información, servicios de computación en nube o servicios digitales de uso generalizado.
2. b) En segundo lugar, los delegados de protección de datos o “responsables de privacidad” son expresamente mencionados como personas idóneas para ser designados responsables o integrantes del departamento encargado de la recepción y seguimiento de las denuncias efectuadas a través del canal interno, lo que abre un nuevo abanico de funciones de gran interés;
3. c) En tercer lugar, la configuración y gestión de los canales internos (y también externos) de denuncia, en la medida en que a través de éstos se tratarán datos personales, han de ser objeto muy especialmente de un control de conformidad con las exigencias legales, habida cuenta de la gran importancia de la confidencialidad, tanto del denunciante, como también de las personas mencionadas en la denuncia. La recopilación de datos personales ha de ser vigilada, pues con toda lógica, y en virtud del principio de minimización, el art. 17 de la directiva establece que “no se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una denuncia específica o, si se recopilan por accidente, se eliminarán sin dilación indebida”. Igualmente, el registro, actas y grabación (en su caso) de denuncias (escritas o verbales) y de reuniones habidas con motivo de la misma, habrán de respetar la normativa de privacidad (art. 18 de la directiva).
4. d) En cuarto lugar, la directiva prevé una obligación de formación profesional para el personal encargado de tratamiento de las denuncias, haciendo referencia expresa a la formación en materia de normas aplicables en materia de protección de datos.

Ignoro si en el Ministerio de Justicia se está trabajando ya en la adaptación del Derecho español a esta directiva. Confiemos en que sí. El plazo empieza a apretar: 17 diciembre 2021. Mientras tanto, en el ámbito de las empresas, en particular las de más de 250 trabajadores (para las de 50 a 249 hay dos años más de margen), ya deberían estar preparándose protocolos y avisos legales, revisándose las cláusulas de confidencialidad en los contratos de trabajo, y diseñando los canales o procedimientos para la recepción, seguimiento y registro de las denuncias. El artículo 24 de la LOPDGDD 3/2018 ya nos da ciertas pautas de cómo ha de gestionarse el canal interno, aun cuando el mismo se limita a indicar la licitud de este tipo de canales, en vez de la obligatoriedad a la que vamos abocados.

Nos queda mucho trabajo por hacer.

Maite Sanz de Galdeano Arocena

Equipo Govertis (Colaboradora)

DARK PATTERNS I: Los «dark patterns» como amenaza a la privacidad de los usuarios

Dark Paternns como amenaza a la privacidad

Cuando navegamos por Internet, accedemos a diferentes webs y contenidos y disfrutamos de los servicios que los proveedores de Internet nos ofrecen, esperamos que esta experiencia sea lo más rápida y sencilla posible. Pero ¿no te has fijado que en ocasiones se convierte en un auténtico laberinto? De repente, un vídeo comienza a reproducirse automáticamente sin haber pulsado el botón de “play”, un gigante banner de cookies con un enorme botón de “aceptar todas” invade tu pantalla o debes suscribirte incluso para visualizar un artículo de 5 líneas: Estás ante ejemplos típicos de “dark patterns”. 

¿Qué son los “dark patterns”?

Este tipo de prácticas tienen nombre en el mundo de la UX (User Experience o Experiencia de Usuario): Se denominan “dark patterns” y consisten en una serie de trucos usados en las páginas webs y aplicaciones para incitarte a hacer algo que no quieres, como comprar un producto o inscribirte en un servicio. En este vídeo se explica qué son los “patrones oscuros” de forma muy práctica. El término fue acuñado por Harry Brignull (diseñador UX) en 2010, quien entonces también los clasificó e inició un Hall of Shame con ejemplos llevados a cabo por todo tipo de empresas. 

Más de una década después, estas prácticas se han convertido en endémicas a lo largo y ancho de Internet (Un estudio publicado en enero de 2020 confirmó que el uso de los “dark patterns” y el consentimiento implícito está muy extendido, sólo el 11,8% cumple los requisitos mínimos establecidos por el RGPD)¹.

¿Por qué caemos en los “dark patterns”?

Los “Dark patterns” se nutren de la naturaleza humana, jugando con sesgos cognitivos de los que a menudo no somos conscientes. Estos métodos derivados de la psicología del comportamiento son brechas o debilidades que llevan a las personas a tomar elecciones irracionales. Los proveedores de servicios de la sociedad de la información tratan de explotar dichos sesgos cognitivos para influenciar y manipular las decisiones de los consumidores. Estos pueden incluir la elección de pequeñas recompensas a corto plazo en lugar de mayores beneficios a largo plazo o la tendencia a escoger el camino de menor resistencia².

Si a un usuario se le pide que intercambie sus datos personales por un beneficio económico a corto plazo, como un descuento, lo hará. En este caso, el beneficio a corto plazo (el descuento) es tangible e inmediato, mientras que la potencial pérdida (la privacidad) lo es a largo plazo³. 

La CNIL se encarga de enfatizarlo en su informe Shaping Choices In the Digital World y recalca que estamos tan influenciados y entrenados para compartir más y más que no somos consciente que en la mayoría de los casos  estamos poniendo en peligro nuestros derechos y libertades⁴.

Ejemplos y técnicas utilizadas en los “dark patterns”

• Clicar “sí” en vez de “no” porque el botón de “sí” era mucho más grande y colorido en el banner, mientras que el de “Saber más” o “Configuración” aparece más pequeño o de color gris. Muestra de ello es el análisis que llevó a cabo Google ya en 2009, testando 41 tonos diferentes de azul para medir el porcentaje de respuesta de los usuarios⁵.
• Clicar “continuar” en vez de “no” porque la primera opción te supone navegar a través de múltiples páginas antes de aterrizar en el contenido que te interesa. 
• Registrarte a una “newsletter” sólo para avanzar hacia el siguiente servicio.
• Crear un usuario compartiendo la información de tu cuenta de Facebook para evitar rellenar un formulario interminable o cuando una red social te pide que completes toda la información sobre tu pasado, la escuela a la que fuiste o a qué club deportivo pertenecías para “mejorar tu perfil y ganar visibilidad”.
• Dar tu número de teléfono creyendo que será usado para la entrega de un pedido o para una autenticación de dos factores, cuando únicamente atiende a propósitos de prospección comercial.
• El planteamiento de una pregunta de tal manera que una lectura rápida o en vertical puede conducirte a creer que la opción de respuesta produce el efecto contrario al que piensas que estás decidiendo. Por ejemplo, con el uso de la doble negativa.
• Añadir un candado a una interfaz no muy segura.
• Incluso dar el significado de aceptación a un botón con una cruz, el cual en la mente de los usuarios es sinónimo de “Cerrar y seguir”. Este método ha sido usado, por ejemplo, por Microsoft para “alentar” a sus usuarios de la versión previa de su Windows OS a migrar al Windows 10. 

Y es que el diseño de las interfaces de usuario no es en absoluto casual. Cada elemento de una plataforma o sitio web, desde la ubicación de los botones, la elección de las fuentes y el color del texto ha sido cuidadosamente colocado y atiende a unas estudiadas razones. Las interfaces de usuario pueden ser empleadas para dirigir a los consumidores a priorizar ciertas opciones sobre otras, a ocultar u omitir información relevante o incluso engañar, confundir o frustrar a los usuarios. Los “dark patterns” siempre están diseñados para beneficiar al proveedor de servicio, coincida o no con los mejores intereses del consumidor⁶.

Uno de los casos más paradigmáticos, fue el de LinkedIn en 2015, que le costó una multa de 13 millones de dólares. Al registrarse, cualquier usuario compartía los correos electrónicos de sus contactos de una forma muy sutil y a su vez, estos correos recibían supuestas invitaciones de ese nuevo usuario para darse de alta en la plataforma. 

Facebook ya los usaba en 2010. Si rechazabas el uso de su sistema de reconocimiento facial, aparecía el siguiente mensaje: “Si mantienes el reconocimiento facial desactivado, no seremos capaces de usar esta tecnología si un extraño usa tu foto para suplantarte”; además de que el botón para activarla era azul y brillante, y el de desactivarla de un gris apagado.  ¿Quién dudaría hoy en día de que el principal interés de Facebook es ayudarte a que no suplanten tu identidad?

Pero no solo son herramientas usadas por las grandes tecnológicas. Un estudio publicado en octubre de 2019 determinó que entre los 5000 avisos de privacidad analizados pertenecientes a diversas compañías de Europa, el 54% usa “dark patterns” y el 95.8% no da elección de acuerdo con la prestación del consentimiento o únicamente confirma que los datos van a ser tratados⁷.

Lidia Bergua

Equipo Govertis

• ¹Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence: M. Nouwens, I. Liccardi, M. Veale, D. Karger y L. Kagal (2020).
• ²YOU CAN LOG OUT, BUT YOU CAN NEVER LEAVE: How Amazon manipulates consumers to keep them subscribed to Amazon Prime: FORBRUKERRADET- Norwegian Consumer Council- (2021).
• ³DECEIVED BY DESIGN: How tech companies use dark patterns to discourage us from exercising our rights to privacy: – FORBRUKERRADET- Norwegian Consumer Council- (2018).
• ⁴Shaping Choices in the Digital World: From dark patterns to data protection: the influence of ux/ui design on user empowerment. CNIL. (2019).
• 5“Putting a Bolder Face on Google”: https://www.nytimes.com/2009/03/01/business/01marissa.html. (2009)
• ⁶YOU CAN LOG OUT, BUT YOU CAN NEVER LEAVE: How Amazon manipulates consumers to keep them subscribed to Amazon Prime: FORBRUKERRADET- Norwegian Consumer Council- (2021).
• ⁷“(Un)informed Consent: Studying GDPR Consent Notices in the Field”: C. Utz, M. Degeling, S. Fahl, F.Schaub y T. Holz. (2019).

Novedades con la directiva NIS: El empoderamiento del CISO

La Directiva NIS *1 (Security of Network and Information Systems) europea relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión fue traspuesta al ordenamiento jurídico español con la entrada en vigor del RD-ley 12/2018 *2 de 7 de septiembre, de seguridad de las redes y sistemas de información.

Con la llegada del nuevo RD 43/2021 *3, de 26 de enero España se desarrolla reglamentariamente el RD-ley 12/2018 y llegan novedades para el cumplimiento de obligaciones de seguridad de los operadores de servicios esenciales y proveedores de servicios digitales en cuanto a:

• Marco institucional.
• Supervisión de la ciberseguridad por parte de la Administración.
• Notificación de ciberincidentes de seguridad
• Gobierno / gobernanza de la ciberseguridad en las organizaciones.

En este artículo, abordamos las novedades que se desarrollan a través del Artículo 7 de dicho RD que afectan, en particular, a la figura Responsable de Seguridad de la Información al que, de ahora en adelante, nos referiremos como CISO.

¿Qué novedades afectan al CISO?

• Obligación de designación oficial de un CISO y un sustituto del mismo (porque los CISOs también pueden estar ausentes, por vacaciones o enfermedad). Aunque se indica que pueda ser un órgano colegiado, deberá designarse como tal a una persona física quien ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y el CSIRT de referencia que le corresponda. Se establece un plazo máximo de tres meses tras la designación como operador de servicios esenciales para formalizar este nombramiento.
• Comunicación a la autoridad competente correspondiente de la designación del CISO (y su backup), conforme al plazo establecido de tres meses antes mencionado (hasta el mes de abril 2021). En caso de nuevos nombramientos o ceses hay obligatoriedad de mantener esta información de contacto actualizada, comunicándolo igualmente con un plazo máximo de un mes desde que se produzcan.
• Punto de contacto, ejercerá a modo de “ventanilla única” respecto a la autoridad competente, en materia de supervisión y con el CSIRT de referencia, para gestión de ciber incidentes. Además, quedarán bajo la responsabilidad del CISO:
  • Políticas de seguridad. Deberá elaborar y proponer para aprobación por la organización de las políticas de seguridad, con un enfoque de gestión del riesgo que reduzca al mínimo el impacto derivado de ciberincidentes que afecten a la organización y los servicios.

Uno de los objetivos de la Directiva NIS es asegurar la resiliencia de las organizaciones afectadas a nivel europeo frente a ciber incidentes. Para ello es importante disponer de Planes de Contingencia y Continuidad de Negocio actualizados, que les permitan restablecer los servicios y procesos críticos en el menor tiempo posible.

• • Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos, supervisar su efectividad y realizar controles de seguridad periódicos.

El cumplimiento de las obligaciones técnicas y organizativas en materia de seguridad podrá acreditarse ante la entidad supervisora, mediante la certificación en un esquema de seguridad que sea reconocido por el CSIRT de referencia (ej: el ENS o la ISO 27001).

• • Declaración de Aplicabilidad: Deberá elaborar y remitir el documento de Declaración de Aplicabilidad de medidas de seguridad en un plazo máximo de seis meses desde la designación como operador de servicios esenciales. Esta declaración de aplicabilidad deberá revisarse, al menos, cada tres años.

La entidad competente respectiva supervisará tanto la Declaración de aplicabilidad inicial de medidas de seguridad, como las sucesivas revisiones.

• • Actuar como capacitador de buenas prácticas de seguridad en redes y sistemas de información, tanto en aspectos físicos como lógicos.
  • Notificación de incidentes de seguridad a la autoridad competente, a través del CSIRT correspondiente. Se deberá notificar en tiempo y forma, aquellos incidentes de seguridad que afecten a la prestación de servicios a los que se refiere el Artículo 19.1 del RD-ley 12/2018, de 7 de septiembre.

La notificación de incidentes de seguridad deberá seguir la taxonomía definida en el Anexo del RD 43/2021, estableciendo el nivel de impacto y peligrosidad, así como la información requerida.

Según esta clasificación se definen unas ventanas temporales de reporte, para la notificación inicial, intermedia y final. A modo de ejemplo, la notificación inicial deberá ser Inmediata, en caso de incidentes con nivel de peligrosidad o impacto CRÍTICO, MUY ALTO o ALTO.

• • Recibir, interpretar y supervisar la aplicación de instrucciones y guías emanadas de la autoridad competente, tanto para operativa habitual como para subsanar deficiencias detectadas.
  • Recopilar, preparar y suministrar información a la autoridad competente o el CSIRT de referencia, ya sea atendiendo a un requerimiento o por propia iniciativa.
• Requisitos del CISO. Los operadores de servicios esenciales deberán garantizar que el CISO cumpla con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico adecuados al desempeño de sus funciones. Para el desarrollo de dichas funciones deberá contar con los recursos necesarios y, a nivel organizativo, contar con una posición que garantice su independencia respecto a responsables de redes o sistemas de información y mantener una comunicación real y efectiva con la Alta dirección.
• Compatibilidad de funciones. Cuando concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones encomendadas al CISO podrán compatibilizarse con las señaladas para el Responsable de Seguridad y Enlace y el Responsable de Seguridad del Esquema Nacional de Seguridad, según dispone la normativa aplicable sobre ambas figuras.

El listón se ha puesto alto en cuanto a requisitos y responsabilidades del CISO, por lo que resulta necesario potenciar su figura a nivel organizativo y dotarle de los recursos requeridos para lograrlo.

Conclusiones

En lo referente a la figura del CISO, el RD 43/2021 plantea a las organizaciones afectadas la obligatoriedad de designación del mismo, estableciendo una serie de requisitos y competencias que debe satisfacer para impulsar de forma efectiva las iniciativas de mejora en materia de ciberseguridad.

Para desarrollar de forma eficiente las funciones encomendadas (y no morir en el intento), este Real Decreto establece que el CISO podrá apoyarse en servicios de consultoría prestados por terceros.

Equipo Govertis

Javier Santiago

[1] VÉASE EUR-Lex – 32016L1148 – EN – EUR-Lex (europa.eu)

[2] VÉASE Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. (boe.es)

[3] VÉASE https://www.boe.es/eli/es/rd/2021/01/26/43