Pautas o recomendaciones para impartir clases online en centros escolares

Con motivo del cambio de perspectiva al que nos estamos enfrentado, en un mundo globalizado, es necesario adaptar nuestra metodología de trabajo a un sistema digital. Asimismo, a la hora de realizar actividades en centro educativos como la impartición de clases online es importante establecer pautas o recomendaciones que nos faciliten el cumplimiento de los artículos 24 y 32 del Reglamento Europeo de Protección de Datos (RGPD).

Entre las medidas de seguridad que podrá adoptar el centro al convocar las reuniones es la verificación del listado de participantes a la formación. Por lo que, al inicio de la reunión, el organizador, o quien se acuerde con el centro educativo, se conectará a la actividad y procederá a la admisión de los asistentes de la sala de espera de la plataforma online y admitirá a aquellos previamente identificados en el listado del centro educativo.

Además, para evitar el reenvío de una convocatoria por los asistentes, la plataforma online podrá avisar al organizador de la reunión que el usuario ha reenviado la convocatoria, así como configurar la convocatoria para que no se pueda conectar a la misma usuarios “anónimos”.

En cuanto al cumplimiento de las obligaciones del deber de informar, se podrá articular una cláusula informativa en el correo electrónico de la convocatoria e incluir pautas o recomendaciones para los asistentes en relación con el desarrollo de las actividades formativas. Es importante resaltar que el centro educativo deberá informar de la actividad educativa y obtener la autorización de los alumnos y/o padres, madres y tutores para el uso de la imagen y voz de los asistentes a las clases. (arts. 13 y 14 RGPD y art. 11 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales LOPDGDD) y Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.

Entre las pautas y recomendaciones a incluir en la convocatoria de la sesión para impartir actividades formativas se encuentran:

• Prohibición de captar imágenes de terceros, ya sea del profesorado, ya sea de otros compañeros o compañeras durante la clase sin la correspondiente finalidad y autorización.
• No compartir dichas imágenes o videos con terceros.
• No copiar y compartir el contenido de la formación.
• Se prohíbe la redirección del enlace por correo electrónico entre padres/madres y alumnos a terceros no destinatarios de la formación educativa.
• Exención de responsabilidad de los centros educativos en caso de no seguirse las recomendaciones indicadas por padres/madres/alumnos.
• Los usuarios deben tener especial cuidado al publicar imágenes y vídeos mediante apps y herramientas en nube para no poner en riesgo la intimidad de otras personas.
• Se recomienda leer la información sobre el servicio (política de privacidad y condiciones de uso) antes de empezar a utilizar la plataforma educativa.
• Al facilitar datos en cualquier ámbito (en cualquier tipo de aplicación, en el registro de usuarios, en los contenidos) evitar incorporar datos del domicilio de los menores y otros datos personales que puedan poner en peligro su seguridad.
• Se debe evitar exponer la pantalla a la mirada de terceros. Si se trabaja habitualmente desde lugares públicos, es recomendable utilizar un filtro de privacidad para la pantalla.
• Orientación apropiada de la cámara para evitar, principalmente, que puedan aparecer personas que conviven con el usuario, y recomendar su no acceso al entorno durante la realización de la actividad.
• Deberá limitarse el acceso a la formación, pudiendo acceder solo el personal del centro educativo y limitando el acceso a los alumnos que sean destinarios de la formación.
• No está permitido ni acceder ni intentar acceder a la cuenta de ningún otro usuario, ni suplantar su propia identidad o intentar hacerlo mientras usted se encuentre utilizando estos espacios o plataformas.

Por último, en el supuesto que el centro escolar realice videograbación de la actividad educativa, tendrá en cuenta la proporcionalidad y la finalidad en el tratamiento, ya sea para identificar del alumno al inicio de la actividad educativa, ya sea para su uso posterior en la plataforma virtual del centro o para el uso de la evaluación por los profesores. El centro tendrá en cuenta seguir las Orientaciones de la AEPD sobre publicación de los documentos de identificación personal (disposición adicional 7ª LOPDGDD) en caso de publicación de los datos identificativos. Además, será importante determinar por el centro el plazo de conservación de las imágenes atendiendo al principio de minimización y proporcionalidad en protección de datos (art. 5 RGPD).

Después de la realización de la actividad educativa a través de la plataforma, el centro escolar tendrá en cuenta la eliminación de la convocatoria para que los usuarios no puedan acceder posteriormente a la sesión terminada. Por lo que el organizador de la formación cerrará la sesión de la plataforma educativa elegida.

En conclusión, con todas estas recomendaciones los centros educativos podrán realizar actividades formativas online garantizando en mayor medida el cumplimiento en la seguridad de la información y la protección de datos.

José A. Rueda

Equipo Govertis

Sobre la «Excepción Doméstica»

La Directiva 95/46 ya contemplaba la excepción doméstica en su art 3.2 y establecía que “Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas”. En su Considerando 12 concretaba “que debe excluirse el tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, como la correspondencia y la llevanza de un repertorio de direcciones”.

El RGPD en su artículo 2.2 c) establece de modo idéntico que “El presente Reglamento no se aplica al tratamiento de datos personales c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas”.

Por su parte el Considerando 18 concreta que “no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas”.

Por tanto, el RGPD, aun sin variar la literalidad en su articulado, nos aporta varias concreciones a través del Considerando 18 con respecto a la regulación establecida por la Directiva 95/46:

• La actividad personal o doméstica ha de ser sin conexión alguna con una actividad profesional o comercial, en coherencia con la exigencia ya existente de que la actividad ha de ser exclusivamente personal o doméstica.
• Se añade como ejemplos de actividad personal o doméstica, “la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades” por lo que es necesario que la actividad en la red social o en internet se realice en dicho contexto personal o doméstico para quedar incluidas dentro de la excepción. Este nuevo ejemplo, incluido tras la sugerencia realizada por el Supervisor Europeo de Protección de Datos (SEPD), era necesario pues la “correspondencia y la llevanza de un repertorio de direcciones” habían quedado un tanto obsoletos y debía contemplarse la realidad de internet.

Con anterioridad a la aprobación del RGPD, el TJUE en la conocida Sentencia Lindqvist (C-101/01) ya afirmó en 2003 que la conducta consistente en publicar en una página web datos relativos a terceras personas, constituía un “tratamiento” a nivel de protección de datos, no quedando comprendido en ninguna de las excepciones del artículo 3.2 de la Directiva 95/46. Además afirmó que “la excepción debe interpretarse en el sentido de que contempla únicamente las actividades que se inscriben en el marco de la vida privada o familiar de los particulares; evidentemente, no es éste el caso de un tratamiento de datos personales consistente en la difusión de dichos datos por Internet de modo que resulten accesibles a un grupo indeterminado de personas”.

La AEPD se pronunciaba en su Informe 0615/2008 “En definitiva, para que nos hallemos ante la exclusión prevista en el artículo 2 LOPD, lo relevante es que se trate de una actividad propia de una relación personal o familiar, equiparable a la que podría realizarse sin la utilización de Internet, por lo que no lo serán aquellos supuestos en que la publicación se efectúe en una página de libre acceso para cualquier persona o cuando el alto número de personas invitadas a contactar con dicha página resulte indicativo de que dicha actividad se extiende más allá de lo que es propio de dicho ámbito”.

En dicho informe la AEPD cita la Sentencia de la Audiencia Nacional de 15 de junio de 2006 la cual afirma en su Fundamento de Derecho Tercero que:

• “Qué ha de entenderse por «personal» o «doméstico» no resulta tarea fácil. En algunos casos porque lo personal y lo profesional aparece entremezclado” en cuyo caso dichos tratamientos quedarían incluidos en el ámbito de aplicación de la ley al no tener como finalidad exclusiva el uso personal.
• “Tampoco hay que entender que el tratamiento se desarrolla en un ámbito exclusivamente personal cuando es realizado por un único individuo” pues “por ejercicio de una actividad personal no debe entenderse ejercicio de una actividad individual. No deja de ser personal aquella actividad de tratamiento de datos que aun siendo desarrollada por varias personas físicas su finalidad no trasciende de su esfera más íntima o familiar”.
• “Será personal cuando los datos tratados afecten a la esfera más íntima de la persona, a sus relaciones familiares y de amistad y que la finalidad del tratamiento no sea otra que surtir efectos en esos ámbitos”.

En cuanto al uso de Redes sociales, el GT29 establecía en el Dictamen 5/2009 sobre las redes sociales en línea que “el tratamiento de datos personales por los usuarios corresponde en la mayoría de los casos a la exención doméstica, pero existen casos en que las actividades de un usuario no se benefician de esta exención”. Así por ejemplo, el GT29 entiende que se trasciende una actividad puramente personal o doméstica cuando:

• la red social se utiliza como una plataforma de colaboración para una asociación o una empresa;
• cuando el acceso a la información del perfil va más allá de los contactos elegidos, en particular, cuando todos los miembros que pertenecen al servicio de red social pueden acceder a un perfil o
• cuando los datos son indexables por los motores de búsqueda.

El TJUE posteriormente (Caso RYNES C-212/13) ha establecido que la excepción debe ser interpretada en sentido estricto. “Tal interpretación estricta se fundamenta también en el propio texto de la disposición que acaba de citarse, según el cual la Directiva 95/46 no se limita a prever que sus disposiciones no se aplicarán al tratamiento de datos personales en el ejercicio de actividades personales o domésticas, sino que exige que se trate del ejercicio de actividades «exclusivamente» personales o domésticas”. Asimismo, recoge la conclusión del Abogado General de que “la excepción (…) únicamente se aplica al tratamiento de datos personales cuando éste se efectúa en la esfera exclusivamente personal o doméstica de quien procede al tratamiento de datos”.

Durante los años previos a la aprobación del RGPD, se discutieron varias opciones para reformar la redacción de la excepción doméstica. El SEPD sugirió en 2012 “insertar un criterio para diferenciar las actividades públicas y domésticas, basadas en el número indefinido de personas que pueden acceder a la información” (si bien puntualiza que “este criterio debe entenderse como una indicación”) y por tanto, siguiendo el criterio establecido en el caso Lindqvist. Por su parte, la Comisión Europea sugirió introducir el requisito del “interés lucrativo” (gainful interest), para diferenciar las actividades de tratamiento personales de las comerciales. Estas cuestiones fueron debatidas en la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE) del Parlamento Europeo, que finalmente no adopta introducir el requisito del interés lucrativo y respecto al criterio del acceso por un número indefinido de personas, sugiere una redacción alternativa, “cuando pueda esperarse razonablemente que sólo tendrá acceso un número limitado de personas”.

El GT29 se pronunció posteriormente en 2013 en el Anexo 2 Proposals for Amendments regarding exemption for personal or household activities. El GT29 tampoco era partidario de incluir el requisito del “interés lucrativo” ya que entendía que actividades realizadas por particulares por el hecho de reportar un rendimiento económico, quedarían incluidas (ej ventas privadas en línea), y viceversa, actividades que trascienden el ámbito personal o doméstico pero no suponen una ganancia económica, podrían quedar incluídas en el ámbito de aplicación de la excepción y por tanto, fuera del ámbito de aplicación de la normativa de protección de datos. Por otro lado, consciente de los cambios que internet y las TIC han supuesto, posibilitando la compartición instantánea de datos personales por parte de cualquier persona, el GT29 propone una serie de criterios para ser incluidos en el Considerando del RGPD, que pueden ser utilizados para clarificar cuándo un concreto tratamiento de datos se realiza en el contexto de fines personales o domésticos. Puntualiza que dichos criterios no son determinantes per se pero una combinación de los mismos podría servir para determinar si un tratamiento queda incluido en el ámbito de la excepción o no. Dichos criterios (traducción no oficial) son:

• ¿Se difunden los datos personales a un número indefinido de personas, en lugar de a una comunidad limitada de amigos, familiares o conocidos?
• ¿los datos personales son relativos a individuos que no tienen relación con la persona que lo publica?
• ¿Sugiere la escala y la frecuencia del tratamiento de los datos personales una actividad profesional o a tiempo completo?
• ¿Existen pruebas de que un número de individuos actúan juntos de manera colectiva y organizada?
• ¿Existe un potencial impacto adverso en los individuos, incluyendo la intromisión en su privacidad?

Finalmente, la redacción definitiva adoptada por el RGPD sigue una línea continuista con la establecida por la Directiva 95/46 y no introduce grandes modificaciones ni criterios que pudieran servir de aclaración a los operadores jurídicos en relación a la aplicación de la excepción.

Ya aprobado el RGPD, el 30 de Noviembre de 2018, se realizó una petición al Parlamento Europeo solicitando concretar el alcance del artículo 2.2 c) del RGPD, a lo que la Comisión encargada contestó que:

• “Este considerando (18) aclara de forma explícita que «una actividad exclusivamente personal o doméstica» es, a efectos de la referida cláusula, una actividad privada de carácter exclusivamente personal o limitada al propio hogar y sin conexión alguna con una actividad profesional o comercial”.
• “la explicación contenida en el considerando ya aclara suficientemente que «una actividad exclusivamente personal o doméstica» en el sentido del artículo 2, apartado 2, letra c, del RGPD cubre únicamente aquellas actividades privadas que son exclusivamente personales o constituyen una actividad meramente doméstica, y no están relacionadas, en particular, con ninguna actividad profesional o comercial”.

El peticionario solicitaba la inclusión en el artículo 2.2 de las palabras «privado» y «no comercial», a lo que la Comisión encargada le contesta que “la adición de las palabras propuestas, coordinadas con la conjunción disyuntiva «o», podría entenderse incluso como una vía de extender la excepción a actividades «privadas» y «no comerciales» que rebasan las actividades meramente personales o domésticas y en cuyo marco puede ocurrir, por consiguiente, que se efectúa un tratamiento de datos personales de personas no pertenecientes al respectivo hogar. Tal extensión de la exceptuación de la aplicación de las disposiciones del RGPD podría poner en entredicho la protección de las personas en lo relativo al tratamiento de sus datos personales”.

Esto significa que el límite ha de provenir precisamente del hecho de no rebasar el ámbito de las actividades personales o domésticas y no del carácter del sujeto que realiza el tratamiento de datos. Si se hubiera querido excluir del ámbito de aplicación a las actividades realizadas por personas físicas, es decir, las actividades personales en general y sin distinguir el marco o dimensión en que se realizan, se les habría excluido directamente del ámbito subjetivo de aplicación.

El Consejo de Europa publicó en 2018 el Handbook on European Data Protection elaborado junto con la Agencia de los Derechos Fundamentales de la UE (FRA), el Supervisor Europeo de Protección de Datos y el Tribunal Europeo de Derechos Humanos. Se afirma que “El acceso de los ciudadanos a internet y la posibilidad de utilizar plataformas de comercio electrónico, redes sociales y blogs para compartir información personal acerca de sí mismos y de otras personas hace que sea cada vez más difícil distinguir el tratamiento de datos para actividades personales del tratamiento de datos para actividades no personales. La consideración de las actividades como puramente personales o domésticas depende de las circunstancias”. “(…) es crucial que los usuarios sean conscientes de que subir información de otras personas sin obtener su consentimiento puede violar los derechos a la privacidad y la protección de datos de esas personas”.

Los casos del TJUE, Lindqvist y Rynes, son citados por el Comité Europeo de Protección de Datos en sus Guidelines 3/2019 on processing of personal data through video devices, al hablar de la exención doméstica en el ámbito de la video vigilancia.

También son citadas dichas sentencias del TJUE por nuestro Tribunal Supremo en Sentencia Núm 815/2020 de 18/06/2020, que tiene en cuenta la interpretación estricta de la excepción. El TS afirma que “son dos los requisitos legales para que entre en juego la cláusula de exclusión, que el tratamiento de datos lo haga un particular y que lo haga en el marco de una actividad exclusivamente particular o doméstica”.

Siguiendo el criterio fijado en la Sentencia Lindqvist, la Guía de Videovigilancia de la AEPD en relación a las cámaras on board, establece que las grabaciones para una finalidad “doméstica” estarían exceptuadas de la aplicación de la normativa de protección de datos. Por ejemplo, el uso de estas cámaras en los cascos de un ciclista o motorista, que fuesen tomando imágenes paisajísticas. “No obstante, su uso posterior, como por ejemplo, la publicación de las grabaciones en internet quedaría sometido a la normativa de protección de datos”. También afirma la AEPD que “sobre la aplicación de esta excepción doméstica, no podrán entenderse exceptuados aquellos supuestos en los que la información tratada sea puesta en conocimiento de un número indeterminado o indefinido de personas”. Asimismo, “tampoco se aplica la excepción en aquellos casos en los que el tratamiento de estos datos pueda lesionar los derechos e intereses de las personas. A tal efecto, debe tenerse en cuenta que la utilización de las tecnologías de la información y las comunicaciones puede dar lugar a que un tratamiento de los datos inicialmente vinculado con la vida privada de quien lo realiza pueda implicar un acceso a información de un tercero que éste no desea que sea del dominio público”.

¿Quiere decir todo lo anterior que los datos obtenidos con motivo de actividades personales o domésticas, al quedar fuera del ámbito objetivo de aplicación de la norma, ya no pueden quedar protegidos por la misma?

La Audiencia Nacional en Sentencia (Núm de Recurso 481/2012) de fecha 26/09/2013 da respuesta a esta cuestión afirmando que sí son objeto de protección por parte de la normativa de protección de datos, pero de forma diferente, pues en relación a los datos personales (lista de contactos) que puede contener un teléfono móvil, el hecho de quedar incluidos dentro de la excepción doméstica no significa que los datos queden exentos de protección en el sentido de que el acceso al terminal sea libre por no quedar sujeto al régimen protector de la Ley.

Es un hecho que el desarrollo de la sociedad y la forma en que las personas interactuamos con las tecnologías han multiplicado de forma exponencial las situaciones que pueden suponer precisamente rebasar ese ámbito personal o doméstico, razón por la cual hemos podido conocer resoluciones sancionadoras de la AEPD en las que considera responsable del tratamiento a una persona física por exceder el tratamiento de datos realizado de una actividad personal o doméstica (PS/00334/2019 sanción de 10.000 eur). No obstante, sancionar a particulares no es una novedad, pues en el ámbito de videovigilancia ya habíamos conocido sanciones a particulares por captar imágenes de la vía pública y por tanto, trascender ese ámbito personal o doméstico, tal y como se estableció en el Caso RYNES por el TJUE (R/02869/2013 sanción de 2.000 eur, PS/00055/2012 diversas sanciones 2000 €, 900 € y 1000€).

El RGPD no ha introducido novedades en la materia, a pesar de las propuestas de modificación discutidas en durante su tramitación, sino únicamente puntualizaciones y actualizaciones a través del Considerando 18 que refuerzan lo establecido en su articulado y son coherentes con la interpretación que los Tribunales y el GT29 han venido realizando hasta la fecha, si bien es cierto tampoco incluyó los criterios sugeridos por el GT29 para clarificar su aplicación por parte de las autoridades de control y Tribunales.

En ocasiones, no resulta sencillo discernir cuándo estamos ante actividades privadas que sean exclusivamente personales o constituyan una actividad meramente doméstica, pero debemos tener en cuenta que ese ámbito personal o doméstico, puede ser rebasado. Es por ello que el ámbito objetivo de la excepción doméstica debe analizarse caso por caso en función de las concretas circunstancias, teniendo en cuenta que no será suficiente que el tratamiento de datos lo realice un particular, sino que, además, deberá circunscribirse en el marco de una actividad exclusivamente particular o doméstica y todo ello interpretado en sentido estricto tal y como ha establecido la Jurisprudencia del TJUE.

María Loza Corera
Lead Advisor en Govertis
@Mlozac

1. Handbook on European data protection law, 2018, P. 103.
2. P. 369
3. SAN Núm de Recurso 481/2012: “la exclusión del régimen protector de la Ley Orgánica 15/1999, de 13 diciembre, contenido en su artículo 2.2.a), debe ser cabalmente interpretado en el sentido del libre establecimiento de archivos y del tratamiento de datos por personas físicas (ya decimos que por su carácter mínimo o inocuo) correspondientes a terceros (por ejemplo una lista de contactos) siempre que se haga en un contexto puramente personal o doméstico. No, por el contrario, en el de que quede libre y exento de protección el acceso a los datos contenidos en un terminal telefónico, a los que bien puede alcanzar la más estricta privacidad. Nótese que tales dispositivos pueden albergar determinadas informaciones como las referentes a la salud o la vida sexual, que son objeto de protección reforzada en el art. 7 de la Ley Orgánica 15/1999 , de 13 diciembre. Y sin embargo, paradójicamente, quedarían exentos de protección si el acceso a esta clase de terminales fuera libre por no quedar sujetos al régimen protector de la Ley”. (FD 4º).

Hardening, una oportunidad de mejora compartida

Cuando desarrollamos tanto proyectos basados en la adecuación o cumplimiento y debemos presentar Planes de tratamiento o simplemente necesitamos mejorar el entorno de Seguridad de la información, hay uno que no falla y casi aparece (o por lo menos en mis proyectos he debido proponerlo) y debemos considerar; el Hardening (Endurecimiento), como veremos a continuación, cuando establecemos el Hardening como una de las iniciativas de protección podemos definir diferentes actividades que, si las miramos de manera global, generaran un impacto positivo.

Antes que nada y para quienes no lo conozcan, el Endurecimiento de la Infraestructura o Hardening, es una medida de protección o plan de tratamiento, conforme sea el caso, que es ejecutada por el personal a cargo de la infraestructura «los fierros» y busca realizar ajustes con el objetivo de dificultar la realización de acciones maliciosas, o contar con las suficientes pistas en caso de que algo ocurra.

Cuando nace como una iniciativa de tecnología, es el propio personal de TI el que busca la manera de realizar la implementación, considerando las buenas prácticas (que hay muchas), por otro lado cuando se realiza por temas de cumplimiento o adecuación estas medidas vienen socializadas por los responsables de Seguridad de la información, y he aquí uno de los primeros beneficios, cuando proponemos el Hardening como responsables de Seguridad de la información tenemos la oportunidad de colaborar con TI generando sinergia.

Si bien existen diferentes formas de abordarlo son 4 puntos básicos los que debemos considerar y que vamos a identificar como oportunidades de implementación de controles listados en el Anexo A de la norma ISO/IEC 27001:2013.

1. Mínimo privilegio: se basa en permitir el acceso, tanto físico como lógico, únicamente a roles que justifiquen la necesidad de conocer, por lo cual viendo desde un punto de vista objetivo es en parte la implementación de la filosofía “cero confianza” (zero trust), podrían por ejemplo considerarse algunos procesos como:
   • Gestión de cuentas de usuario; A.9.1.2, A.9.4.2
   • Configuración de archivos y directorios; A.13.2.1
   • Configuraciones para protegerse de posibles ataques físicos; A.11.1
   • Configuraciones para protegerse de posibles ataques de hardware de la máquina; A.9.4.4
     • Upgrade de firmware
     • Configuración de la BIOS
   • Políticas para establecimiento de contraseñas complejas; A.9.3.1, A.9.4.3

2. Mínima exposición: componente que busca que los servicios o aplicaciones que se dan de alta en las organizaciones sean los mínimos requeridos para la operación, por ejemplo contemplamos:
   • Servicios
     • Definición de software baseA.12.5.1
     • Restricciones para instalación de software; A.12.6.2
     • Configuración de acceso remoto;

• • Protocolos
    • Definición de protocolos de Red y medios de comunicación con la red externa; A.13.1.2

3. Registro de eventos: cuando aplicamos endurecimiento a nuestra infraestructura, las actividades que se realizan con cada elemento deben estar registradas, por ello algunas de los componentes a considerar serán:
   • Implementación de Protocolo de Tiempo de Red (NTP); A.12.4.4
   • Gestión de auditorías de sistema; A.12.4.1

4. Actualizaciones: asegurar que los elementos de la infraestructura cuentan con los parches de seguridad provistos por el proveedor es el componente que considero final y de vital importancia, aspectos que se deben considerar son:
   • Implementación de servidor de actualizaciones
   • Gestión de vulnerabilidades; A.12.6.1

Si lo analizamos adecuadamente el concepto de Hardening es aplicable tanto a sistemas operativos, servicios o aplicaciones y como lo hemos visto en este corto planteamiento, es una medida de control que requerirá un tiempo para que madure y, adicionalmente, necesitaremos la colaboración posiblemente constante de roles de auditoria o control (A.18.2.3) para que se este tipo de proyectos o iniciativas sean parte del día a día de la organización.

Jorge Guerrón

Equipo Govertis

COVID-19 y Protección de Datos: Resumen del año y conclusiones

Mal que nos pese, este 2020 que ya ha tocado a su fin ha venido marcado por la grave crisis sanitaria derivada de la pandemia de la COVID-19. De entre los múltiples retos que la sociedad ha tenido que abordar como consecuencia de la situación acaecida, la protección de datos ha ocupado un lugar destacado, habiendo tenido que realizar los profesionales de la privacidad -y Delegados de protección de datos en particular- un auténtico “tour de force” para dar respuesta a las cuestiones que se han ido planteando con cada iniciativa surgida para combatir la propagación del virus, las cuales casi siempre tenían implicaciones relevantes en lo que al derecho fundamental a la protección de datos se refiere.

Desde este Blog, y a través de una serie de artículos, hemos ido tratando de dar respuesta “en tiempo real” a los casos más destacados, así como en los distintos eventos del Club DPD, que ineludiblemente han versado sobre cuestiones relacionadas con la privacidad en la pandemia.

Ahora que, por fin, llega el epílogo del 2020, mostramos a modo de resumen y de forma gráfica los principales hitos. Son todos los que están, pero no están todos los que son. Se destacan aquellas cuestiones que entendemos más relevantes en relación con la protección de datos.

De este conjunto de iniciativas anti-COVID y la forma en la que se ha abordado su encaje en la normativa de privacidad, podemos extraer una serie de conclusiones principales:

1. El falso debate PROTECCIÓN DE DATOS vs SALUD PÚBLICA: desde un primer momento se ha planteado esta disyuntiva, mediante la cual se dejaba entrever que para garantizar la salud de la población es necesario sacrificar el derecho fundamental a la protección de datos. En relación con esta cuestión, se evaluaba si el RGPD y LOPDGDD eran suficientes para combatir la pandemia (es decir, que no limitaran hasta su ineficacia las acciones para combatir la COVID) a la vez que ofrecían las suficientes garantías para la privacidad.

El Reglamento General de protección de datos también lo es para permitir su libre circulación. El RGPD tienen un espíritu abierto y flexible, y en sus considerandos y artículos se contemplan expresamente situaciones como la actual. Por tanto, se puede cumplir con el RGPD y la LOPDGDD, y, por tanto, garantizar el derecho a la protección de datos personales, mientras se combate la pandemia. Existen unos límites, pero como ocurre con cualquier otro ámbito de actuación donde entren en conflicto derechos y libertades que hay que ponderar.

Aún así, hay que advertir que la legislación actual se configura como una herramienta útil pero insuficiente. En muchos de los retos afrontados se ha echado en falta una regulación específica de los legisladores nacionales, que permitiera dotar de mayor seguridad a los responsables y encargados de tratamiento y ofrecer mayores garantías a los ciudadanos.

En la mayoría de casos o retos afrontados, los tratamientos encontraban en las normas causas o bases de licitud y legitimación (intereses vitales, interés público esencial, cumplimiento obligaciones legales, …). La clave radicaba en la proporcionalidad de las medidas y las garantías necesarias, para lo cual es esencial que las determinen las leyes y las autoridades sanitarias. Por tanto, la proporcionalidad de las acciones llevadas a cabo por los distintos agentes en los tratamientos excepcionales llevados a cabo, así como el papel que han jugado las autoridades, en especial las sanitarias, o colectivos como los servicios de prevención de riegos de las empresas, han demandado una mayor concreción por parte del legislador, que bien podría haberse materializado en los distintos instrumentos normativos publicados durante la pandemia. En definitiva, una norma que proveyera de un mayor nivel de concreción sobre el alcance de los tratamientos de datos personales en circunstancias como las derivadas de la COVID-19.

2. La desconfianza general (y justificada) en las instituciones y la clase política alcanzó también a la protección de datos, creando escepticismo ante cualquier medida de los gobiernos que tenga que ver con tratamiento de datos personales.
3. La protección de datos ha alcanzando una dimensión desconocida en los medios de comunicación en esta pandemia, que la han llevado a la primera plana. Como otras materias que salen al debate público, ha sido objeto de mucha desinformación o bulos.
4. La COVID ha servido de incuestionable acelerador de la transformación digital (desarrollo de la e-Administración, telemedicina, teletrabajo…)
5. La otra cara de la moneda es que se ha puesto de manifiesto la falta de implantación de la administración electrónica, así como la alarmante ausencia de cumplimiento del Esquema Nacional de Seguridad (ENS).
6. Refuerzo del principio protección de datos desde el diseño: valga como ejemplo, el desarrollo de la APP RADAR COVID. Sin embargo, la desconfianza en gobiernos e instituciones la ha llevado al fracaso.

Privacidad como valor al alza: cada vez se ve más como una ventaja competitiva. En este sentido, también ha salido reforzada la figura del Delegado de protección de datos, como elemento esencial en el cumplimiento de los principios y obligaciones en las organizaciones, y en la necesaria atención especializada de los retos planteados.

Javier Villegas

Equipo Govertis

Legitimidad en la grabación de entrenamientos y encuentros deportivos de equipos base

En la actualidad, entre las medidas adoptadas para combatir la propagación de la Covid-19, las federaciones, clubs u otros colectivos del deporte base o categorías inferiores han restringido el acceso a las instalaciones deportivas a padres, madres, familiares y aficionados, en general. De este modo, en función del tipo de instalación, no pueden ver nada de los entrenamientos o partidos o, en su caso, pueden ver una parte o la totalidad del espacio de juego, en ocasiones echando mano del ingenio.

Ante esto, muchas entidades deportivas han decidido grabar los entrenamientos y encuentros, para ser retransmitidos en streaming o en diferido. Dado que la captación de imágenes por medio de las cámaras se efectúa, principalmente, sobre personas físicas, identificadas o identificables, obliga a considerar en qué términos está legitimada, para que no afecte a los derechos y libertades fundamentales.

A estos efectos, atendemos al Dictamen CNS 3/2015 de la Agencia Catalana de Protección de Datos, en relación a las grabaciones en instalaciones deportivas municipales, en el que nos dice que, si la captación y la grabación de imágenes de personas realizando la práctica de un deporte tuviera lugar de manera meramente accesoria en un evento público, como puede ser un encuentro deportivo, el tratamiento de estos datos personales estaría habilitado conforme a las previsiones de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.

Ahora bien, si las imágenes de personas captadas en estos espacios no aparecieran de manera meramente accesoria, habría que contar con el consentimiento de los afectados. Así, añade el dictamen que, a diferencia de los encuentros, “en el caso de los entrenamientos no parece que puedan considerarse como un «evento público» y su grabación claramente conllevaría la captación continua y no accesoria de las imágenes de las personas que los efectúan y que pueden tener al respecto unas justificadas expectativas de privacidad. En este caso, no se podría considerar que las previsiones de la LO 1/1982 son una habilitación legal suficiente a los efectos de permitir el tratamiento sin consentimiento de los afectados”.

Sentado esto, cabe decir que los entrenamientos y partidos de equipos de categorías inferiores, a priori, no tienen el interés público asociado a la práctica profesional. De modo que, no contando con habilitación legal suficiente, habría que solicitar el consentimiento previo de los afectados [artículo 6.1.a) RGPD] o, en su caso, tratándose de menores de 14 años, de los titulares de la patria potestad o tutela [artículo 7 LOPD-GDD].

Patrick Monreal

Equipo Govertis

El Impacto de la Protección de Datos en los Chatbots

Los chatbots o bot conversacional son sistemas informáticos cuya funcionalidad es poder mantener una interacción con el ser humano. A través de este programa, el usuario es capaz de mantener una conversación en línea con una persona a partir de determinadas respuestas automáticas. El citado software, tiene una serie de respuestas preparadas de antemano, y de esta manera, destaca por su inmediatez.  Actualmente son utilizados por las compañías para poder interactuar con sus clientes o potenciales clientes, y así responder de forma ágil a las preguntas que se formulen sobre el servicio.

Para poder realizar su función de interacción con el usuario, el programa deberá procesar y almacenar la información que le facilita el usuario, entre dicha información se pueden contener datos de carácter personal. Un dato de carácter personal es toda información identificada o identificable referente a una persona física. Es por ello que, podrá almacenar datos personales de diferente tipo: desde un nombre, apellidos, dirección… a determinados datos de salud, religión etc. (considerados datos de categoría especial).

Si se va utilizar este sistema, deberá tenerse en cuenta las siguientes implicaciones en materia de protección de datos:

1. Deberá identificar los tratamientos de datos que se van a realizar en la plataforma, y registrarlo en su Registro de Actividades de Tratamiento correspondiente, con toda la información exigida por el artículo 30 del RGPD.

2. Se deberán analizar los riesgos derivados de estos tratamientos sobre los derechos y libertades de los individuos y comprobar si dicho tratamiento lleva aparejada la realización de una Evaluación de Impacto (en adelante EIPD). Además, comprobar si el mismo, se encuentra recogido en la lista de tratamientos que requieren una EIPD de forma obligatoria.

3. Aplicar las medidas tanto técnicas como organizativas adecuadas a los riesgos que hayamos previsto para los tratamientos de datos.

4. Buscar una base de legitimación de las recogidas en el artículo 6 del RGPD para los tratamientos realizados en el chatbot.

5. Informar a los usuarios que utilicen el servicio de forma sencilla, ágil y transparente según lo estipulado en los artículos 13 y 14 del RGPD.

6. En el caso de que el servicio lo provea un tercero ajeno a la organización, deberá firmarse el correspondiente contrato de encargado del tratamiento, conforme a los requisitos del artículo 28 del RGPD.

Además, debemos recordar que todas estas cuestiones deberán plantearse de manera previa a la implantación del sistema. Para cumplir con el principio de privacidad desde el diseño, el Responsable del tratamiento deberá estudiar todas estas implicaciones de forma previa y evaluar los riesgos derivados. Para ello, si fuera necesario, aplicará una serie de controles para que el servicio ofrecido se pueda desarrollar sin problemas jurídicos sobre la protección de datos de los usuarios que lo vayan a utilizar.

Marcos Rubiales

Equipo Govertis

Es obligatorio el Delegado de Protección de Datos para las empresas que desarrollan actividades de publicidad y Prospección Comercial

El uso de nuevas tecnologías resulta de mucha utilidad para la realización de una gran variedad de tratamientos de datos personales y en concreto, para aquellas actividades que se utilizan para desarrollar campañas publicitarias y prospección comercial, puesto que aplican técnicas de marketing digital con el objetivo de llegar a un público más personalizado y por tanto, obtener un mayor éxito en las ofertas de productos o servicios.

La pregunta es porqué la nueva Ley de Protección de Datos y Garantía de Derechos Digitales, 3/ 2018, de 5 de Diciembre, (LOPDGDD) fija de manera obligatoria para estas actividades, por lo tanto, para las compañías que se dedican a dichas funciones, nombrar un Delegado de Protección de Datos.

La ley, es muy clara, en este sentido, pues conforme establece su artículo 34, “Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso cuando se trate de las siguientes entidades:

• k) las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos”.

Si se observa, la Ley no obliga a todas las empresas que se dediquen a las actividades publicitarias y de prospección comercial a nombrar a un delegado de protección de datos, sino, solo a aquellas que realizan actividades que permiten conocer las preferencias de las personas o que elaboren perfiles. Esto es lo que claramente, marca la línea divisoria entre designar un delegado de protección de datos de manera obligatoria o voluntaria, tener y buscar o vigilar los gustos y hábitos de vida para elaborar perfiles debido al conocimiento de  las  preferencias personales de los usuarios.

Si en la actividad publicitaria no se realizaran perfilados, el delegado de protección de datos, podrá designarse por las compañías de una  manera voluntaria,  aunque siempre constituye una garantía de cumplimiento y de Responsabilidad Proactiva del Responsable del tratamiento,  a tenor del Reglamento Europeo de Protección de Datos  2016/ 679 del Parlamento Europeo  y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46.

Para poder entender un poco mejor, en qué consiste la elaboración de perfiles, se trata de cualquier forma de tratar los datos personales de manera que consiguen evaluar aspectos y preferencias de nuestra vida privada, como, por ejemplo, lo que nos gusta comer, o donde preferimos ir de vacaciones, en que tiendas compramos más, o en qué momento vamos a tal restaurante, es decir, se realiza una vigilancia de nuestros movimientos, comportamientos, salud o preferencias de cualquier tipo.

(fuente imagen: adveischool)

Es precisamente esta circunstancia de vigilancia de nuestros hábitos que realizado sobre un número de personas muy elevado, se denomina “tratamiento de datos personales a “gran escala” o “perfilado a gran escala” , piensen  por ejemplo en una gran cadena internacional de alimentación,  ya que  se recogen gran cantidad y variedad de datos personales (Big Data) , con la ayuda de la Inteligencia Artificial  (IA).

Este tratamiento de datos, en sí mismo, comporta riesgos especialmente relevantes (alto riesgo), para los derechos y libertades de las personas que hace necesario y obligatorio designar un delegado de protección de datos, precisamente para tomar medidas que reduzcan, dentro de lo posible, el riesgo de dañar o perjudicar a las personas, o afectar negativamente sus derechos y libertades, impidiendo o limitando su ejercicio o contenido.

Como se puede deducir, el Big Data tiene un fuerte impacto sobre nuestra privacidad, ya que las predicciones sobre las que se basan para toma de decisiones, serán mejores cuantos más datos personales se recojan, por lo tanto, cuanto más sepan de nosotros y más tiempo se tratan dichos datos, más se puede ver comprometida nuestra vida privada, ello hace que la normativa exige unas determinadas garantías para poder llevar a cabo dichos tratamientos personales que resultan más intrusivos.

La Inteligencia Artificial, junto con el Big Data, juegan un papel fundamental en esta recopilación de información personal, pues gracias a ella se utilizan sistemas que muestran un comportamiento inteligente que analiza el  entorno y  realizar acciones  con cierto grado de autonomía, para lograr un objetivo específico, por las empresas que llevan a cabo actividades  de publicidad comportamental, partiendo lógicamente desde el conocimiento de nuestras preferencias personales, intereses, fiabilidad o ubicación y movimientos

Por todo lo anterior, entendemos  por qué la legislación en materia de protección de datos, obliga a  todas aquellas empresas que realicen prospección comercial y publicidad que implique la elaboración de perfiles, o el tratamiento se base en las preferencias de los afectados , nombrar un delegado de protección de datos, por ser experto en la materia, cuya función será, entre otras muchas,  la de vigilar y poner la debida atención a los riesgos  asociados  a las operaciones de tratamiento, por considerarse  intrusivas para nuestra privacidad, teniendo sobre todo en cuenta la naturaleza de los datos que traten, así como su alcance, contexto, y finalidad del tratamiento.

Autora: Carmen Lopez Belda.

Associate-Legal & Privacy Advisor  en Govertis-Telefónica

IT Lawyer

@LopezBelda
https://www.linkedin.com/in/carmenlopezbelda

23 de Noviembre 2020

https://www.aepd.es/sites/default/files/2019-12/wp251rev01-es.pdf

https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-be-subject-automated-individual-decision-making-including-profiling_es

Gestionar contraseñas es proteger el acceso a nuestro negocio.

No cabe duda de que vivimos en una era de ciberseguridad evolutiva, en la que cualquier corporación ya sea mercantil, gubernamental u organización sin fines lucrativos, conlleva un alto nivel de protección, no sólo del activo más importante en una organización, que es su información hoy en día, sino también la protección de nuestra vida digital.

Dentro de este marco, no es menos importante la seguridad en los accesos a la información, dispositivos o aplicaciones locales o web. La llave que nos brinda el paso a todo ello, son nuestras contraseñas, a menudo gestionadas por los mismos usuarios de distintos niveles de perfil técnico.

Ante la necesidad de los constantes cambios de contraseñas para mejorar el cifrado en el acceso, surge en los usuarios “la presión añadida” de memorizar o almacenar (en ocasiones de forma rudimentaria y poco segura) estas claves.

Para aumentar la calidad del trabajo TI, es casi imprescindible automatizar este proceso, aún más cuando precisamos cumplir con auditorias de seguridad como PCI (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard).

Existen multitud de software gestores que cuentan con funcionalidades diversas como:

• La generación automática de contraseñas fuertes y aleatorias
• Sistemas de doble autenticación
• Gestión de la temporalidad de la contraseña (longevidad),
• Filtro de repetición de claves ya obtenidas o simplemente
• Almacenar de forma segura en una base de datos, que a su vez se protege por una password maestra de acceso inicial, para después de forma automática con autoescritura aplicarla junto con el usuario en cualquier acceso.

Con estas herramientas eliminamos el tedioso hábito de memorizar infinidad de contraseñas, recurriendo a menudo a la errática costumbre de asociarlo con fechas o elementos privados para poder recordarlos o en otros casos anotarlos en archivos de Word o de anotaciones de fácil acceso.

Con esta concienciación y el uso de backups programados de la base de datos donde se alojan nuestras claves, la seguridad se incrementa exponencialmente, aportando calidad en el trabajo diario, relacionado directamente con el resultado que espera el consumidor final de nuestra actividad empresarial.

Algunos consejos para la creación de contraseñas cuando no son generadas automáticamente pueden ser estos:

• Cambio de claves periódicamente (mensual o trimestral dependiendo de la información a la que se pretende acceder).
• No repetir contraseñas antiguas.
• No relacionar claves de acceso con datos o eventos personales (fechas, teléfonos, DNI, matrículas de coche, etc…)
• Diferenciar los sitios de acceso con claves diferentes.
• No almacenar las contraseñas en archivos sin acceso seguro y mucho menos en soporte papel.
• Si el entorno no es seguro, es decir, si estamos conectados a una red Wifi pública o que no está protegida de forma privada o dentro de nuestra corporación, evitar acceder a sitios con nuestro usuario y password.
• Si el equipo no está en un sistema operativo corporativo configurado con usuarios de entorno, y el equipo no es el habitual de trabajo, evitar el acceso, puede ser descifrado con sistemas de validación de pulsaciones de teclado.

Este es un concepto más de seguridad, que debe estar respaldado por un Firewall, Políticas de Seguridad y restricciones.

Rocío Bremón

Equipo Govertis

Valoración de las medidas de seguridad necesarias en el contexto RGPD en el ámbito privado

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) fundamenta el cumplimiento de los principios de protección en dos pilares fundamentales:

• Responsabilidad proactiva.
• Gestión orientada al riesgo.

Tal como establecen las propias guías de la AEPD, para poder dar cumplimiento al principio de responsabilidad proactiva, es necesario que el responsable del tratamiento “aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo».

Para establecer la gestión orientada a riesgo, la AEPD también destaca lo siguiente: «El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas. De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten. La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles».

En este nuevo contexto, la falta de una actitud proactiva y responsable en la adopción de medidas de seguridad, incluso aun no existiendo lesión de derechos y libertades del afectado o interesado, puede originar la imposición de una sanción al responsable o encargado de tratamiento por no justificar este enfoque preventivo de cumplimiento.

De conformidad con el Artículo 32 Seguridad del tratamiento del RGPD el responsable y encargado del tratamiento asumen las siguientes obligaciones, en relación con la seguridad en el tratamiento de los datos personales:

1.  Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
   • a) La seudonimización y el cifrado de datos personales;
   • b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
   • c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
   • d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.>>

En este contexto muchas organizaciones nos preguntan continuamente cómo acreditar esa valoración y poder justificar que se han tomado las medidas adecuadas. De forma ideal, lo más garantista sería apostar por el cumplimiento de estándares en la materia como ISO 27001 de seguridad de la información o la extensión de esta norma específica a la privacidad, ISO 27701.

ENISA, la Agencia Europea de Ciberseguridad según establece el REGLAMENTO (UE) 2019/881 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») ha tratado desde la publicación del RGPD de dar respuesta a esta pregunta.

Publicó en primer lugar, en Enero de 2018 publicó su “Handbook on Security of Personal Data Processing” en donde establecía una metodología para poder valorar el nivel de riesgo (Desde la perspectiva de seguridad) al que está sometido un tratamiento y establecía medidas de seguridad proporcionales a esa valoración realizada.

En Enero del año pasado, ENISA, para facilitar el uso de esta metodología, trasladó a un entorno online todo el proceso proporcionando una herramienta útil a los Delegados de Protección de Datos que quieran usar esta aproximación como base para la toma de decisiones. Este entorno está accesible en la URL https://www.enisa.europa.eu/risk-level-tool/

Esta guía establece un criterio de valoración del riesgo del tratamiento y define un conjunto de medidas de seguridad que deberá ser aplicado de forma proporcional al nivel de riesgo obtenido. Para esta estimación del riesgo, ENISA propone considerar los siguientes factores:

• Respecto a la valoración del impacto, esta propuesta se centra en valorar el tipo de tratamiento y las posibles consecuencias que podría sufrir el interesado en caso de incidente atendiendo a las consecuencias en confidencialidad, integridad o disponibilidad.
  • Confidencialidad: Impacto de una divulgación no autorizada (pérdida de confidencialidad) de datos personales.
  • Integridad: Impacto de una alteración no autorizada (pérdida de integridad) de los datos personales
  • Disponibilidad: Impacto de una destrucción o pérdida no autorizada (pérdida de disponibilidad) de datos personales.

En relación a la escala de valoración de impactos, se ha considerado como criterio más relevante utilizar los criterios de severidad establecidos por la propia AEPD en su guía de  “Evaluación de Impacto en la Protección de los Datos Personales”. Esta escala también es empleada por la herramienta GESTIONA que la AEPD ha puesto a disposición de las organizaciones para realizar tanto evaluaciones de impacto, como análisis de riesgos. La escala de valoración emplea la siguiente graduación:

• Respecto a la valoración de la probabilidad, se establecen la definición de posibles amenazas atendiendo al entorno y tecnología empleados (probabilidad de ocurrencia). Para ello, se valoran bajo cuatro áreas, la probabilidad de ocurrencia atendiendo a estimar qué posibles escenarios podrían producirse en relación a los siguientes criterios:
  • Recursos técnicos y de red (hardware y software) empleados en el tratamiento.
  • Procesos / procedimientos relacionados con el tratamiento de datos.
  • Diferentes partes interesadas y personas involucradas en las operaciones de tratamiento.
  • Sector empresarial y volumetría de datos tratados.

Con esta información sobre un tratamiento analizado, se puede realizar una evaluación del riesgo del tratamiento atendiendo a la valoración de impacto y probabilidad establecidos y determinar a qué categoría de riesgo está sometido ese tratamiento, de forma que puedan seleccionarse el conjunto de medidas de seguridad mínimo que deberán aplicarse para acreditar un nivel de protección adecuado.

Ilustración 2. Categorización del riesgo de un tratamiento según metodología ENISA

Una vez conocida la escala de riesgo que corresponde al tratamiento se establece, en función de diferentes grupos de medidas, cuáles serán necesarias de forma proporcional al nivel de riesgo. De esta forma, se define un criterio que permite aplicar el “principio de proporcionalidad” y determina un conjunto mínimo de medidas que permita acreditar el cumplimiento de la responsabilidad proactiva por parte del responsable del tratamiento. Las medidas de seguridad planteadas por ENISA también pueden clasificarse atendiendo a si determinan requisitos organizativos, técnico-organizativos o técnicos. El siguiente gráfico muestra todas las áreas que determinan las medidas de seguridad a aplicar.

Ilustración 1. Agrupación de las medidas de seguridad establecidas por «Handbook on Security of Personal Data Processing» de ENISA.

Como valor añadido, además, cada medida propuesta por ENISA indica también cuál es el control o controles de la norma ISO 27001:2013 con el que se relaciona. De esta forma, ENISA establece un conjunto básico de medidas que referencian al estándar en materia de seguridad de la información y que no suponen una aplicación de la totalidad de éste, sino una aplicación parcial, dado que no supone la puesta en marcha de los 114 controles de seguridad que contempla el estándar y su aplicación es proporcional al nivel de riesgo asignado.

Esta aproximación proporciona fundamentalmente dos ventajas:

• Supone un soporte metodológico solvente, como así reconoce la propia AEPD que lo ha considerado en algún informe publicado con relación a brechas de seguridad en donde aparece referenciado el documento “Handbook on Security of Personal Data Processing”.
• Es un primer paso hacia el cumplimiento de la norma ISO 27001/27002 dado que muchas de las medidas están relacionadas con el cumplimiento del estándar y suponen la implantación de estas medidas de seguridad. En una valoración rápida el documento de ENISA recoge aproximadamente un 60% de las medidas de seguridad de la ISO 27001, lo que supone unos primeros pasos hacia una hoja de ruta más solvente y que pueden en el futuro permitir la certificación tanto en ISO 27001 como en ISO 27701.

Javier Cao Avellaneda

Equipo Govertis

Los metadatos en la privacidad

El RGPD define Dato personal como toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona Por lo tanto, nos encontramos con una definición clara de lo que podemos entender como dato.

En la práctica estamos constantemente intercambiando información personal. Este flujo de datos personales puede realizarse de forma analógica o digital.  Cuando ese intercambio lo hacemos en el mundo analógico, sabemos perfectamente que información estamos facilitando, Ej: dar una copia en papel de nuestra fotografía de carnet,pero la cosa se complica cuando entramos en el mundo digital, en el entorno 2.0.

¿Sabías que cuando enviamos un email, estamos enviando más datos que los que hayamos incorporado en el texto del correo o cómo anexo al mismo? Y cuándo compartes una foto por WhatsApp ¿Crees que solo envías esa imagen? Efectivamente cuando enviamos un email o compartimos una fotografía realizada digitalmente ignoramos los metadatos que enviamos junto a ellos. Pero ¿qué son los metadatos? ¿son o pueden llegar a ser datos personales?

Los metadatos (del griego μετα, meta, ‘después de, más allá de’ y latín datum, ‘lo que se da’, «dato») son datos que describen otros datos, un ejemplo: en una biblioteca, los metadatos serían las fichas donde se almacena información sobre autores, títulos, editoriales para buscar libros. Los metadatos permiten identificar más datos.

En el mundo digital podría ser información que aislada no aporte ninguna información sobre quién es el interesado o pudiera ser que sí. Ni el RGPD ni la LOPDyGDD hace referencia alguna a los metadatos, pero, en  la propuesta del Reglamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002 (Reglamento de E-Privacy), sí que se regulan subsumiéndolos en el concepto de “Datos de comunicación electrónica”.

En el considerando 3 de  este  Reglamento de E-Privacy, que todavía no está vigente, dice que “ Entre esos metadatos figuran los números a los que se ha llamado, los sitios web visitados, la localización geográfica o la hora, la fecha y la duración de una llamada, información que permite extraer conclusiones precisas sobre la vida privada de las personas participantes en la comunicación electrónica tales como sus relaciones sociales, sus costumbres y actividades de la vida cotidiana, sus intereses, sus preferencias, etc.”  Es decir, que podrían ser considerados “datos” a los efectos del RGPD

De hecho, el considerando 17 se establece la obligación de requerir el consentimiento para tratar estos metadatos por parte de los proveedores de servicios, aunque en el Artículo 6.2 establecen tres tipos de bases de legitimación diferentes para tratar metadatos por parte de los proveedores de servicios:

• obligación derivada de calidad de servicio,
• facturación o
• impedir fraudes
• y por supuesto, el siempre presente consentimiento.

Además, este reglamento obliga a la supresión o anonimización de los mismos cuando ya no los use.

Sin querer profundizar más en la propuesta  del Reglamento e-privacy,  hemos de plantearnos qué situación o qué lugar tienen los metadatos en tanto que con uno de ellos o varios puedan identificar a una persona.

Como hemos referido arriba un metadato puede ser identificatorio o no en función de qué tipo sea o de si se junta con otro metadato que otorguen información suficiente como para identificar o hacer identificable a una persona. En esta hipótesis ¿podríamos estar hablando de un “dato” a los efectos del RGPD y por lo tanto ésta normativa desplegar todas sus obligaciones?

Parece ser que es un planteamiento posible en tanto que cumple con los requisitos que ha de tener un dato para que sea amparado por la normativa de privacidad, pero no es un dato, es un “metadato” y como hemos dicho, ni el RGPD y la actual LOPD hace referencia alguna al “metadato” ¿podría aplicarse el RGPD a un elemento que no regula estricto sensu?

Por otro lado, los metadatos circulan, en muchos casos, sin que Responsable de Tratamiento ni Interesado lo sepan, por ejemplo, datos de ubicación y fecha de una fotografía realizada por un teléfono móvil. Que estos datos sean “ocultos” dificulta enormemente que puedan desplegarse todas las obligaciones y derechos de uno y otro.

¿Qué pasará cuando, de forma expresa, se declare que se van a tratar metadatos por los operadores? ¿qué normativa se tendrá que aplicar?

El Reglamento e-privacy nos lo contesta en su exposición de motivos dejando claro que, mientras el RGPD garantiza la protección de datos personales el Reglamento e-privacy  amparará como lex specialis al tratamiento de datos de comunicaciones electrónicas llevado a cabo en relación con la prestación y utilización de servicios de comunicaciones electrónica.

El metadato, pues, es contemplado por la normativa como relevante jurídicamente en tanto que se encuentre en el ámbito normativo del futuro Reglamento, pero, per se, aunque pudiera identificar a una persona, como tal metadato, parece quedar fuera de la regulación. Pero, bajo mi punto de vista, lo realmente relevante es que seguimos aportando legislación de un ámbito territorial parcial cuando el tráfico de datos y sobre todo de metadatos, es global ya que se realiza a través de la red y esta es mundial.

Hoy en día los negocios en internet son enteramente globales, y esta realidad no sólo afecta a grandes empresas sino también a pequeños empresarios e incluso, al profesional o emprendedor que, en solitario, se lanza al mundo digital disponiendo de los medios para desarrollar su trabajo en un país, la empresa de Hosting que le provee en otro, los servidores en un tercero y el cliente ser de un cuarto país. Exigir cumplimientos normativos tan estrictos como el europeo en un supuesto de hecho tan complejo como el que se describe, frena el crecimiento y el emprendimiento por ello, es necesario ya disponer de una visión política y legislativa más global.

Francisco José Adán Castaño

Equipo Govertis