Soluciones operativas para el tratamiento de datos de salud de los empleados por Covid-19 (II). Tratamiento de datos del personal sensible.

En el artículo Soluciones operativas para el tratamiento de datos de salud de los empleados por Covid-19, publicado el pasado 8 de abril, extraíamos algunas conclusiones en lo que respecta al tratamiento de datos de salud en el ámbito de la Prevención de Riesgos Laborales, para la prevención del contagio del Covid-19 y evitar su propagación, conforme a la interpretación derivada de los informes, guías, píldoras, etc., de los organismos y autoridades de control con competencia en la materia, y en base a la normativa aplicable.

Continuando con esta cuestión, en el presente artículo trataremos la cuestión relativa al tratamiento de datos del personal trabajador especialmente sensible al Covid-19, considerados como tales aquellos que son más vulnerables al mismo por sus circunstancias de salud.

Respecto a los trabajadores que formen parte de estos colectivos, se habrán de adoptar por el empleador una serie de medidas específicas de prevención, adaptación y protección, de acuerdo con las indicaciones del Ministerio de Sanidad, que conllevarían el tratamiento de sus datos de salud, por ejemplo, para la remisión a estos de advertencias o recomendaciones o para la cesión de sus datos a los Responsables del Personal, Jefes de Servicio o Servicios de Prevención.

A continuación, intentaremos aportar algo de luz al respecto:

• ¿Puede el empleador enviar recomendaciones y advertencias al personal sensible por Covid-19?

A los efectos de determinar si el empleador puede remitir recomendaciones y advertencias, de manera individualizada, a aquellos empleados considerados como personal sensible, entendidos como tales aquellos que son más vulnerables al Covid-19 por sus circunstancias de salud, debemos analizar si se cuenta con una base jurídica de licitud o legitimación para el tratamiento de estos datos con la finalidad indicada.

El Considerando (46) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD) ya reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público [art. 6.1.e) RGPD], como en el interés vital del interesado u otra persona física [art. 6.1.d) RGPD]. Ello sin perjuicio de que, en el presente supuesto, puedan existir otras bases, como el cumplimiento de una obligación legal, del art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados).

En estos supuestos, además, se da la circunstancia de que los datos a transmitir son datos de categoría especial (datos de salud de las personas trabajadoras), según lo dispuesto en el art. 9.1 RGPD, lo que requeriría aplicar una de las salvedades del art. 9.2 RGPD. La letra b) de este artículo permite el tratamiento de estos datos, precisamente, para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.

Así, en las relaciones ente empleador y empleado, el empleador está sujeto o a la normativa de prevención de riesgos laborales (Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales, en adelante PRL) de la cual se desprende, en el art. 14 y concordantes de dicha ley, un deber del empleador de protección de los trabajadores frente a los riesgos laborales, para lo cual aquel deberá garantizar la seguridad y salud de todos los trabajadores a su servicio en los aspectos relacionados con el trabajo, tal y como señala la Agencia Española de Protección de Datos en el Informe 0017/2020, en relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-19.

En definitiva, podríamos concluir que el envío recomendaciones a personal sensible desde el servicio de prevención o vigilancia de la salud sería lícito, en cuanto es deber del empleador ofrecer una protección eficaz en materia de seguridad y salud a sus empleados, proporcionando información y procurando la vigilancia de su salud, adoptando para ello cuantas medidas sean necesarias para la protección de la seguridad y la salud de los trabajadores, entre las que se encontraría la remisión de recomendaciones y advertencia de la causa que puede ser objeto de sensibilidad, en cada caso.

Ahora bien, debido a la especial incidencia de los datos de salud en la intimidad de las personas, se habrían de reforzar las medidas de protección en su comunicación, en particular utilizando mecanismos de cifrado.

• ¿Puede remitirse el listado de personal sensible a los Responsables del Personal, Jefes de Servicio y Servicios de Prevención?

Dadas las circunstancias, muchos empleadores se preguntan si cabría la posibilidad elaborar un listado de personal sensible, y su remisión a los Responsables del Personal y Jefes de Servicio, con fines organizativos, además de a los Servicios de Prevención.

En primer lugar, es importante aclarar que la catalogación de un trabajador como “personal sensible” a los efectos señalados, es considerado un dato de salud, y por tanto de categoría especial y sometido a una protección cualificada. Así se desprende el concepto amplio que, de esta categoría de datos, consagra el RGPD en su artículo 4: “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”, añadiendo en su Considerando (35) que se refiere a “todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro”. Por su parte, el Comité de Ministros del Consejo de Europa, en una de sus Recomendaciones, indicó que este concepto incluye “cualquier información que ofrezca una visión real sobre la situación médica del individuo”.

En relación con el acceso a datos sanitarios del personal derivados de la vigilancia de la salud, el artículo 22.3 de la PRL, en consonancia con el principio de minimización de datos del art. 5 del RGPD, señala que el mismo queda restringido al propio trabajador, al personal médico y a las autoridades sanitarias, que son aquellas que tienen competencia en materia de prevención de riesgos laborales y, en determinados supuestos, las competentes en materia de salud pública.

No obstante lo anterior, añade el artículo que “el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva”.

Por tanto, no habría inconveniente para realizar el envío del listado de personal sensible al personal médico del organismo y, en su caso, al personal médico del Servicio de Prevención Ajeno.

Por el contrario, el envío del listado de personal sensible a los Responsables del servicio de Personal u otros Jefes de Servicio para sus fines organizativos, no entraría dentro los supuestos autorizados por la norma, estando restringido su acceso a esta información a la situación de aptitud o no para el desempeño de su trabajo o a la necesidad de introducir mejoras en las medidas de protección y prevención.

Sin embargo, la propia normativa de protección de datos personales establece que, en situaciones de emergencia, para la protección de intereses esenciales de salud pública y/o vitales de las personas físicas, podrán tratarse los datos de salud necesarios para evitar la propagación de la enfermedad que ha causado la emergencia sanitaria, o prevenir el contagio. Es en este punto donde opera el principio de minimización de datos, en virtud del cual, los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad.

Por tanto, solo si para evitar la propagación y el contagio de los trabajadores, y por ende proteger su salud, resulta imprescindible el envío del listado de personal sensible a los Responsables del Personal y Jefes de Servicio, se debería proceder a dicho envío.

Como medida alternativa, si fuera posible, se recomienda limitar el envío de esta información a las personas autorizadas por la Ley de PRL (personal médico responsable de la vigilancia de la salud interno y del Servicio de Prevención Ajeno), siendo éstas las que le facilitaran al resto (Responsables personal y Jefes de Servicio) la condición de aptitud o no aptitud de los trabajadores para el desempeño, así como las necesidades a cubrir en materia de prevención y protección, a consecuencia de la situación de vulnerabilidad de los mismos.

Otra posibilidad a contemplar sería la del envío de este listado con datos anonimizados y agregados, por categorías, puestos de trabajo, o cualquier otra clasificación que impida la identificación del empleado.

Respecto al modo de envío, recalcar la necesidad de utilizar mecanismos de cifrado para proteger la confidencialidad de las comunicaciones.

*Nota: Los artículos del Blog del DPD reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.

Equipo Govertis

Geolocalización de usuarios por parte del Gobierno para luchar contra el Covid-19

El Ministerio de Sanidad publicaba el pasado 28 de marzo la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, que contempla el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, y que contiene, entre otras, las siguientes medidas en relación con la geolocalización de los usuarios:

• Desarrollo de una App de autoevaluación

Se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo urgente y operación de una aplicación informática para la autoevaluación de los usuarios en base a los síntomas médicos que comunique, que permitiría la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar, para poder personalizar las respuestas en función del protocolo de cada una de ellas.

En este caso, el Ministerio de Sanidad será el responsable del tratamiento de estos datos, mientras que la Secretaría será encargada de tratamiento.

• Estudio de movilidad DataCOVID-19

Asimismo, se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial el análisis de la movilidad de las personas en los días previos y durante el confinamiento, a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada.

En este caso, los operadores de comunicaciones electrónicas móviles comunicarán los datos de movilidad al Instituto Nacional de Estadística, para la realización del estudio.

Por tanto, el Gobierno únicamente realizará un tratamiento de datos personales de geolocalización de los usuarios que, previo consentimiento expreso, descarguen y utilicen la app de salud, y a los solos efectos de verificar la comunidad autónoma en la que están. El estudio de movilidad utiliza datos anonimizados.

Estas medidas han hecho que muchos se lleven las manos a la cabeza por la creencia de que estarían habilitando al Gobierno a realizar un seguimiento en masa de los ciudadanos, vulnerando así su derecho a la protección de datos personales.

Respecto al tratamiento de datos de salud mediante la aplicación, la Agencia Española de Protección de Datos (AEPD) viene recordando que existe habilitación para el tratamiento de datos personales en base a la necesidad de atender las misiones realizadas en interés público, así como la de garantizar los intereses vitales de los propios afectados o de terceras personas.

Así, la base jurídica de licitud o legitimación para realizar este tratamiento de datos se concretaría en los artículos 6.1.d) y e) del RGPD: “el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física”, o “para el cumplimiento de una misión realizada en interés público”.

Además, al estar tratando datos de categoría especial, el tratamiento debe ampararse en las excepciones que recoge el artículo 9.2 RPGD. En este supuesto tenemos las del 9.2.c), g) e i): “el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física”, “por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros“, o “de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud”, así como la del 9.2.a) “cuando el interesado dio su consentimiento explícito” al introducir los datos en la App.

En cuanto a la base legal que sustenta el “interés público esencial”, podría atenderse a las siguientes disposiciones del ordenamiento jurídico español:

• Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo)

Artículo tercero:

“con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, […], podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.

• Ley 14/1986, de 25 de abril, General de Sanidad

Artículo 26:

1. En caso de que exista o se sospeche razonablemente la existencia de un riesgo inminente y extraordinario para la salud, las autoridades sanitarias adoptarán las medidas preventivas que estimen pertinentes, tales como la incautación o inmovilización de productos, suspensión del ejercicio de actividades, cierres de Empresas o de sus instalaciones, intervención de medios materiales y personales y cuantas otras consideren sanitariamente justificadas.

• Ley 33/2011, de 4 de octubre, General de Salud Pública

Artículo 54. Medidas especiales y cautelares.

2. En particular, sin perjuicio de lo previsto en la Ley 14/1986, de 25 de abril, General de Sanidad, la autoridad competente podrá adoptar, mediante resolución motivada, las siguientes medidas: (…) f) Cualquier otra medida ajustada a la legalidad vigente si existen indicios racionales de riesgo para la salud incluida la suspensión de actuaciones de acuerdo a lo establecido en el Título II de esta ley.

3. Las medidas se adoptarán previa audiencia de los interesados, salvo en caso de riesgo inminente y extraordinario para la salud de la población y su duración no excederá del tiempo exigido por la situación de riesgo que las motivó. Los gastos derivados de la adopción de medidas cautelares contempladas en el presente artículo correrán a cargo de la persona o empresa responsable.

Las medidas que se adopten deberán, en todo caso, respetar el principio de proporcionalidad.

De modo que podríamos entender que las medidas encomendadas por el Gobierno hallarían base jurídica de licitud para realizar el tratamiento de los datos. Ahora bien, aunque la legislación española habilita legalmente al referido tratamiento de datos, ninguna de las citadas normas incluye las medidas adecuadas y específicas para proteger los derechos y libertades del interesado exigidas por las letras g) e i) del RGPD, por lo que es esta la cuestión que debe ser analizada actualmente. Entre éstas, cabría destacar la necesidad de garantizar que los datos se utilicen solo para la finalidad indicada y sean eliminados al finalizar la pandemia, salvo su reutilización con fines de investigación, mediante su anonimización o pseudonimización.

Por el momento, la aplicación oficial de autodiagnóstico AsistenciaCOVID-19 está disponible en seis comunidades autónomas: Asturias, Canarias, Cantabria, Castilla-La Mancha, Extremadura y Comunidad de Madrid, según Nota de prensa del Gobierno de fecha 6 de abril.

La mencionada Nota de Prensa precisa que el sistema de geolocalización vía GPS del teléfono móvil únicamente se activará con permiso del usuario y para la validación de la comunidad autónoma en la que se encuentra el usuario, para personalizar las respuestas en función de los protocolos de cada una de ellas.

Lo mismo señala la Política de Privacidad de la aplicación:

“Geolocalización (esto es, la localización vía GPS de tu teléfono móvil), opcional para saber dónde te encuentras y poder ofrecerte las mejores medidas preventivas y de evaluación en cada momento. La geolocalización sólo se utilizará a la hora de registrarte y realizar tus autoevaluaciones, para poder conocer en qué Comunidad Autónoma te encuentras y poder conectarte con el sistema de atención sanitaria que te corresponda. No se rastrea tu localización para finalidades distintas de las señaladas”.

También en la sección de Preguntas Frecuentes de la aplicación se da respuesta a la cuestión de “¿La aplicación recoge datos de localización?”, de la siguiente manera: “La aplicación web solicita acceso a la localización vía GPS únicamente a la hora de registrarse y enviar autoevaluaciones para poder conocer en qué Comunidad Autónoma se encuentran los usuarios y poder conectarles con el sistema de atención sanitaria que les corresponda. Esta información es recogida con el propósito de garantizar la calidad de los datos y su análisis epidemiológico y así poder entender la distribución de los síntomas con datos lo más fiables posibles. El usuario puede denegar el acceso a la localización GPS, pero debe proporcionar una dirección donde se encuentra por si la administración necesitara ponerse en contacto con él y con fines epidemiológicos. La aplicación no recoge información continua de localización de los usuarios, ni rastrea su localización, ni tampoco realiza geofencing para determinar si el ciudadano se encuentra en su domicilio”.

Otras comunidades autónomas han desarrollado sus propias aplicaciones, así como otras herramientas de ayuda:

• CoronaMadrid (Madrid)
• Stop COVID19 (Cataluña)
• Salud Responde (Junta de Andalucía)
• Asistente informativo COVID-19 (Junta de Andalucía)
• Info Covid19 GVA (Comunidad Valenciana)
• Test COVID-19 (Castilla y León)
• CoronaTest (Navarra)
• COVID-19.EUS (Euskadi)
• Coronavirus Sergas (Xunta de Galicia)

Nota: Los artículos del Blog del DPD reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.

Equipo Govertis

Soluciones operativas para el tratamiento de datos de salud de los empleados por Covid-19

La declaración del estado de alarma, con motivo de la pandemia del Covid-19, ha traído consigo una serie de normas y medidas de carácter excepcional con afectación en cuanto al tratamiento de datos personales. Para aterrizar estas medidas al día a día de las empresas y administraciones, los organismos y autoridades de control con competencia en la materia han elaborado informes, guías, píldoras, etc., con el objeto de que faciliten la comprensión de las mismas.

En lo que respecta al tratamiento de datos de salud en el ámbito de la Prevención de Riesgos Laborales, para la prevención del contagio del Covid-19 y evitar su propagación, conforme a la interpretación que se derivan de los informes citados, y en base a la normativa aplicable, podemos extraer las siguientes conclusiones:

• El empleador podrá tomar la temperatura a los trabajadores, como medida relacionada con la vigilancia de su salud en materia de Prevención de Riesgos Laborales. Ésta debe ser realizada, siempre que sea posible, por personal sanitario. Aunque a primera vista de la faq de la AEPD parece que no hay otra opción quizá (es una opinión personal) pueda entenderse que “si no fuera posible” cabría interpretar que no habría inconveniente en que esta labor se llevara a cabo por personal de la empresa de seguridad, si bien el diagnóstico y medidas derivadas de dicha medición correspondería únicamente a un profesional sanitario. Estas tomas deben obedecer únicamente a la finalidad específica de contener la propagación del coronavirus y conservarse únicamente durante el tiempo necesario para la finalidad de emergencia sanitaria. Una de las opciones que se han barajado es por ejemplo la utilización de cámaras térmicas.
• El empleador podrá preguntar a las personas trabajadoras si han visitado países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, si tienen síntomas, si están sujetas a cuarentena o si están infectadas, con el fin de que su servicio de prevención diseñe los planes de contingencia que sean necesarios.
• El empleador deberá comunicar al resto de la plantilla las personas trabajadoras infectadas cuando sea necesario para preservar la salud del personal, y sin identificar a la persona afectada, salvo que así lo considerasen las autoridades competentes, o fuera necesaria la información identificativa de los contagiados para dicho fin. En estos supuestos se habrían de reforzar las medidas de protección en su comunicación.
• El trabajador que, por aplicación de los protocolos establecidos por las Autoridades Sanitarias competentes, se vean sometidos al aislamiento preventivo, tendrá el deber informar a su empleador y al servicio de prevención o, en su caso, a los delegados de prevención, en aplicación de la Ley de Prevención de Riesgos Laborales.

*Nota: Los artículos del Blog del DPD reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.

Equipo de Govertis

¿Se deben seguir notificando las brechas de seguridad de datos personales y respondiendo a los derechos de los interesados durante el estado de alarma?

La Agencia Española de Protección de Datos (AEPD) viene manifestando en los diferentes recursos publicados, que esta situación de emergencia generada por la pandemia del Covid-19 no puede suponer una suspensión del derecho fundamental a la protección de datos personales.

Es por ello que, si bien el Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19, suspende, en su disposición adicional tercera, los plazos para la tramitación de los procedimientos de las entidades del sector público, la AEPD aclara en su Blog que las obligaciones impuestas en el Reglamento UE 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) relativas a la notificación de brechas de seguridad de los datos personales, así como la obligación de comunicar a los interesados en caso de que estas entrañen un alto riesgo para los derechos y libertades de las personas física, no quedan suspendidas.

Esto es, en caso de que, durante el estado de alarma, los responsables y encargados de tratamiento sufran una brecha de seguridad de los datos personales que constituya un riesgo para los derechos y libertades de las personas físicas, deben seguir cumpliendo con sus obligaciones de notificación a la Autoridad de Control en el plazo de 72 horas mediante la presentación de la notificación de forma telemática a través de la sede electrónica de la AEPD. Además, cuando sea probable que la brecha entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable lo comunicará también al interesado lo antes posible, siendo especialmente relevante esta comunicación a los interesados en periodos de especial vulnerabilidad como el actual.

Por otra parte, aunque la AEPD no se pronuncia en su Blog sobre la suspensión de los plazos para dar respuesta al ejercicio de derechos de los artículos 15 a 22 del RGPD, estos plazos no quedarían suspendidos. No obstante, los responsables del tratamiento podrían acogerse a la prórroga de dos meses en virtud del artículo 12.3 del RGPD, siempre que informen al interesado en el plazo de un mes a partir de la recepción de la solicitud e indiquen los motivos de la dilación, por ejemplo, describiendo cómo afecta a la actividad del responsable la crisis del coronavirus. Ahora bien, la sola mención a la actual situación de emergencia sanitaria de salud pública podría no ser suficiente a estos efectos en todos los casos, dado que las tecnologías de la información y comunicación permiten, en muchos de ellos, dar continuidad a la actividad profesional.

*Nota: Los artículos del Blog del DPD reflejan, en ocasiones, las opiniones o criterios de autoridades de protección de datos y organismos competentes en la materia; no obstante, en otros casos reflejan la opinión de los autores y, por tanto, será decisión y responsabilidad de quien aplique o no estos criterios.

Equipo de Govertis

Orden para la creación de una App y estudio de movilidad para el COVID-19

Durante estos días, con motivo de la situación excepcional de pandemia y la consiguiente declaración del estado de alarma en España, hemos asistidos a la proliferación de aplicaciones móviles y herramientas para tratar de ayudar a prevenir la pandemia del coronavirus, proteger la salud de los ciudadanos o evitar de colapso de los servicios sanitarios. La premura que ha acompañado a estas iniciativas ha originado una dispersión y falta de coordinación que no ha estado exenta de polémicas, entre otras, por las posibles derivadas en materia de protección de datos.

Los datos de salud están sujetos a una especial protección en la normativa de protección de datos, y esto, unido al tratamiento de datos de geolocalización, suscita dudas a la hora de valorar la legalidad o no de las soluciones ofrecidas. Sin embargo, la normativa vigente ya prevé con nitidez situaciones como la actual, que flexibiliza los requisitos siempre que se cumplan una serie de garantías.

Estando así las cosas, el Gobierno acaba de publicar la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, que contempla el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, con un doble objetivo:

• “Ofrecer canales alternativos de información fiable a los ciudadanos, a través de aplicaciones, asistente conversacional o página web que permitan aliviar la carga de trabajo de los servicios de emergencia de las Administraciones Públicas
• Contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento, para ver cómo de dimensionadas están las capacidades sanitarias en cada provincia.”

Por ello, se ha encomendado a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo urgente de los siguientes servicios:

1. APP AUTOEVALUACIÓN

App que permita realizar al usuario la autoevaluación en base a los síntomas médicos que comunique, acerca de la probabilidad de que esté infectado por el COVID-19, y ofrecerle información y recomendaciones de acciones a seguir. Permitirá la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar.

La Secretaría será encargado de tratamiento, y el Ministerio de Sanidad el responsable.

2. CHATBOT ATENCIÓN CIUDADANA

Asistente conversacional/chatbot para ser utilizado vía WhatsApp y otras aplicaciones de mensajería instantánea. Proporcionará información oficial ante las preguntas de la ciudadanía.

La Secretaría será encargado de tratamiento, y el Ministerio de Sanidad el responsable.

3. WEB INFORMATIVA

Web informativa con los recursos tecnológicos disponibles.

4. ESTUDIO DATACOVID-19

Realizar un análisis de la movilidad de las personas en los días previos y durante el confinamiento, a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, de acuerdo con el modelo emprendido por el Instituto Nacional de Estadística en su estudio de movilidad.

Ya en su día, el estudio de movilidad llevado a cabo por el INE generó controversia, sobre todo por la falta de transparencia con la que se llevó a cabo, lo que obligó a la Agencia Española de Protección de Datos a solicitar información adicional al INE.

El responsable del tratamiento será el Instituto Nacional de Estadística. Los encargados del tratamiento serán los operadores de comunicaciones electrónicas móviles, a los que se autoriza a recurrir a otros encargados. En este punto adquiere especial relevancia la ubicación de los sistemas de información y comunicaciones para el registro de datos, ya que según el Real Decreto-ley 14/2019, de 31 de octubre, los datos y tratamientos de los mismos de usuarios del Sistema Nacional de Salud deberán ubicarse y prestarse dentro del territorio de la Unión Europea.

5. PUNTO CENTRAL DE COORDINACIÓN

Crear un punto central de coordinación para la evaluación de propuestas tecnológicas por parte de otros organismos y entidades. Con esto se pretenden centralizar todas las iniciativas públicas y privadas que se han ido sucediendo a lo largo de estos días, de cara a evitar la dispersión y aunar esfuerzos.

En definitiva, se ponen en marcha desde la Administración, de forma urgente, soluciones tecnológicas que permitan aprovechar y exprimir todos los medios y la información que tiene a su alcance, con el objetivo de generar confianza y seguridad, garantizar la fiabilidad de la información y asegurar el respeto a los derechos y libertades de los ciudadanos.

Inscríbete al II Insight Club DPD 2020 vía streaming 

Jueves 2 de abril

Equipo de Govertis

¿Qué datos debe facilitar el responsable del tratamiento cuando se ejercita el derecho a la portabilidad de los datos?

La entrada en vigor del Reglamento (UE) 2016/679, de 27 de abril de 2016, General de Protección de Datos (RGPD) trajo consigo la inclusión de nuevos derechos para los interesados, entre los que se encuentra el derecho a la portabilidad de los datos.

Este derecho, que permite a los interesados obtener los datos facilitados al responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica, ha de ejercerse en los términos del artículo 20 RGPD:

“1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

1. a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
2. b) el tratamiento se efectúe por medios automatizados.
3. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
4. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
5. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros”.

Recientemente, la Agencia Española de Protección de Datos (AEPD) emitía una resolución que ofrecía respuesta a la pregunta de cuáles son los datos “facilitados” al responsable de tratamiento a los que se refiere el RGPD, que el interesado tiene derecho a recibir.

Concretamente, la resolución se originó con la reclamación de un usuario que ejerció su derecho de portabilidad ante una empresa de telecomunicaciones y que no quedó satisfecho con los datos entregados por la misma, ya que únicamente recibió los datos que él mismo había facilitado a la empresa de comunicaciones: nombre, apellidos, DNI, teléfono, dirección, correo electrónico y datos bancarios; y no otros datos resultantes del uso o desarrollo del servicio, como los datos de productos o servicios, consumo, tráfico, visitas a webs y localización.

La Agencia entiende que el concepto de “datos facilitados por el afectado” del art. 20.1 RGPD debe ser interpretado en un sentido amplio, acorde con la finalidad perseguida por el reconocimiento de este derecho, por lo que cabría considerar como “facilitados” los datos efectivamente suministrados por el interesado y, además, aquellos que resultasen del propio “uso” o “desarrollo” del servicio contratado.

Mientras que no serían objeto del derecho de portabilidad aquéllos datos que puedan ser considerados “inferidos” y “derivados”, entendidos como los que resulten de la aplicación a la información generada en el desarrollo del servicio de conocimientos o técnicas propias del responsable; es decir, procedentes de la aplicación sobre los datos relacionados con el producto o servicio de técnicas que forman parte del know how del responsable (como pueden ser entre otros, técnicas matemáticas o resultantes de la aplicación de algoritmos).

En base a esto, entiende a Agencia que, en este supuesto, la portabilidad se ha llevado a cabo de forma incompleta, dado que el reclamado no ha facilitado otros datos que también le incumben a la parte reclamante.

En este sentido, se debe facilitar los datos personales que procedan también de la observación de sus actividades tales como los datos de consumo.

Respecto a los datos de tráfico y los datos de localización distintos de los datos de tráfico, declara que, teniendo en cuenta lo dispuesto en el artículo 48 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, que el reclamante tiene derecho a la portabilidad respecto de sus datos de tráfico que conserve la entidad por ser necesarios a efectos de la facturación y los pagos de las interconexiones hasta que sean cancelados por haber expirado el plazo para la impugnación de la factura del servicio, para la devolución del cargo efectuado por el operador, para el pago de la factura o para que el operador pueda exigir su pago.

También tendrá el reclamante derecho a la portabilidad respecto de los datos de tráfico que se utilicen con su consentimiento con fines comerciales o para la prestación de servicios de valor añadido y respecto de los datos de localización distintos de los datos de tráfico que no se hayan hecho anónimos por la entidad y se utilicen con consentimiento del interesado para la prestación de servicios de valor añadido, sin que estas previsiones alcancen a la imprecisa pretensión de las “visitas a la web”.

En relación con estos datos es importante señalar que la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, en su Capítulo II («Conservación y cesión de datos») establece el plazo de conservación de los mismos, que será, con carácter general, de doce meses desde que la comunicación se hubiera establecido (si bien reglamentariamente se podrá reducir a seis meses o ampliar a dos años, como permite la Directiva 2006/24/CE).

Como se reseña en el artículo 1 de esta ley, esta tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.

Así, existe una obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, pero esta conservación se realiza únicamente con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales, pudiendo tener acceso a los datos conservados exclusivamente los agentes facultados.

De lo anterior, deduce la Agencia, que los interesados no tienen derecho a la portabilidad de los datos de tráfico conservados por las operadoras a los efectos previstos en la Ley 25/2007.

En relación con los datos referidos a las visitas web, no se reconoce el derecho a su portabilidad.

Equipo de Govertis

¿Protección de Datos o Derecho a la propia imagen?

Hace una semanas, veía la luz una resolución de la Agencia Española de Protección de Datos (Procedimiento Nº: PS/00334/2019) , en el que se imponía una sanción de 10.000 €uros a un particular por “publicar en su estado de WhatsApp fotografías intimas y capturas de conversaciones del reclamante y de una tercera persona (…), siendo publicadas sin su conocimiento, ni consentimiento tras haberle sido sustraídas de un pendrive que le ha desaparecido.”

Tras estimar la reclamación e iniciar procedimiento sancionador, la AEPD, estima que se ha producido una infracción de artículo 6 del Reglamento General de Protección de Datos relativo a la licitud del tratamiento al haberse utilizado las fotografías sin consentimiento del interesado.

La Agencia, tras valorar entre otras cosas: La ausencia de vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal. El reclamado es una persona física, decide imponer la mencionada sanción conforme a los artículos 83.1 y 83.2 del RGPD y el artículo 76 de la LOPDGDD.

Esta resolución de la Agencia Española de Protección de Datos, ha resultado polémica por la aplicación directa del RGPD a un particular.

Si bien es cierto que la Agencia Española de Protección de Datos, ya ha sancionado en otras ocasiones a particulares por “usar, grabar y compartir imágenes por whatsapp” al considerar que estas acciones constituyen un tratamiento de datos. Se ha planteado por diversos profesionales una cuestión interesante sobre si la vía jurídica correcta para perseguir o evitar ese tipo de uso de imágenes sin consentimiento o sin autorización del titular es acudir a la Agencia Española de Protección de Datos, como órgano administrativo, o si bien la forma correcta de proteger este uso ilegítimo de la imagen sería acudir a juzgados y tribunales.

A este respecto, en España la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, ya dispone en su artículo primero que el derecho a la propia imagen “será protegido civilmente frente a todo género de intromisiones ilegítimas, de acuerdo con lo establecido en la presente Ley Orgánica. Cuando la intromisión sea constitutiva de delito, se estará a lo dispuesto en el Código Penal”

Esta norma indica que no se apreciará la existencia de intromisión ilegítima en la protección civil del honor, de la intimidad y de la propia imagen cuando estuviere expresamente autorizada por ley o cuando el titular del derecho hubiese otorgado al efecto su consentimiento expreso.

Y en su artículo séptimo enumera los casos considerados como intromisiones ilegítimas.

Todas las normas citadas (RGPD, LOPDGDD y Ley Orgánica 1/1982) establecen claramente los requisitos para la legitimidad del uso de imágenes, y en concreto que esta legitimación debe ser el consentimiento o autorización.

Mediante esta resolución la AEPD (aunque parta de la competencia a un órgano de la administración conforme a la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas) ha querido proteger los derechos fundamentales del interesado, y en concreto el derecho a la intimidad personal recogido en el artículo 18 de nuestra Constitución, estimando tener competencia para ello en vía administrativa.

Equipo de Govertis

El rol del DPO ante la rendición de cuentas o el principio de accountability

El principio de responsabilidad proactiva se encuentra regulado en el artículo 5 del RGPD:

“El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)”.

Este principio es posteriormente desarrollado en el artículo 24 del RGPD:

1. “Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
3. La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento”.

Lo relevante y la novedad principal introducida por el RGPD radica en que no basta simplemente con cumplir con las obligaciones establecidas en el RGPD, sino que además hay que ser capaz de demostrar que se cumple con el RGPD.

El rol del DPD puede tener un incalculable valor a la hora de demostrar el cumplimiento del RGPD:

• El DPO ya está garantizando por el mero hecho de su nombramiento una presunción de cumplimiento del principio de privacidad por diseño y por defecto puesto que su rol de asesor y supervisor implica que con carácter previo debe haber asesorado al responsable o encargado sobre el nuevo tratamiento que se pretende iniciar o sobre las nuevas finalidades y usos no previstos inicialmente sobre alguno de los tratamientos existentes.
• El DPO en su labor de asesoramiento y supervisión debe emitir informes y dictámenes lo que genera un conjunto de documentos que dan trazabilidad a las medidas adoptadas para reducir o eliminar los riesgos que pueden afectar a los diferentes tratamientos.
• El DPO tiene un papel relevante otorgado por el RGPD dentro de las EIPD y su labor de documentación, así como las opiniones reflejadas en las diferentes actas aportan una información de gran importancia a la hora de demostrar que se pretendía y se pretende cumplir con el RGPD.
• Tanto EL RGPD como la LOPDGDD obligan al DPO a comunicar internamente a los órganos de dirección los incumplimientos que detecten del RGPD. Esta obligación obliga a documentar por parte del DPO la vulneración y posteriormente ayudará a demostrar cómo se ha avanzado dentro de un ciclo de mejora continua desde que se detecta un incumplimiento del RGPD hasta que se elimina o reduce a un nivel aceptable ese incumplimiento.
• La LOPDGDD obliga a responsables y encargados que hayan designado DPO a comunicarle cualquier adición, modificación o exclusión en el contenido del registro de actividades de tratamiento. Esta medida da trazabilidad al contenido del registro y sus diferentes versiones puesto que además de justificar por escrito que se ha comunicado al DPO, este último deberá emitir un informe o dictamen sobre su parecer sobre los cambios proyectados. Mas aún si cabe, la primera versión del registro de actividades también debería ir acompañada de un dictamen o informe sobre la conformidad o disconformidad del DPO sobre el registro.
• La LOPDGDD dispone que el DPO en el ejercicio de sus funciones tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto. Por su parte el artículo 38.1 del RGPD dispone que tanto el responsable como el encargado del tratamiento garantizarán que el DPO participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Ese conocimiento del contexto de los tratamientos que tiene el DPO junto con sus informes o dictámenes permitirán demostrar documentalmente las medidas implementadas para eliminar las vulneraciones del RGPD y LOPDGDD.
• Su papel dentro de la gestión de una violación de seguridad de datos personales es de vital importancia, puesto que su asesoramiento y consejo documentado permitirán a la organización justificar documentalmente aquellos aspectos que llevaron a determinar que existía o no, un riesgo o un alto riesgo para los interesados, así como las medidas que se deben implementar para evitar sucesos similares en el futuro.
• Es el punto de contacto entre la organización que representa y la autoridad de control y los interesados por lo que puede asesorar sobre la mejor actuación y respuesta a dar ante reclamaciones y solicitudes de información.
• En definitiva, esa labor de informar, asesorar y supervisar los tratamientos realizados por el responsable o encargado sobre los tratamientos realizados dejan una importante documental de cara a demostrar el cumplimiento del RGPD tanto desde las fases iniciales hasta las fases finales en las que se pueda emitir la conformidad del DPO en aspectos tan diversos como:

• • Registro de actividades de tratamiento
  • Cumplimiento de los principios del RGPD (licitud, minimización etc)
  • Conformidad con las bases de legitimación del tratamiento
  • Conformidad con las comunicaciones de datos
  • Conformidad con las garantías ofrecidas por los prestadores de servicios que acceden a datos
  • Conformidad con las transferencias internacionales realizadas
  • Conformidad con los planes de formación y concienciación de empleados que se han realizado o programado
  • Conformidad con los resultados de los análisis de riesgos o evaluaciones de impacto en protección de datos
  • Conformidad con las medidas de seguridad implementadas
  • Conformidad con los resultados de las auditorías internas o externas y los planes de mejora continua implementados para eliminar o reducir las no conformidades detectadas.

Equipo de Govertis

El derecho de acceso a las grabaciones de dispositivos de video

La Agencia Española de Protección de Datos (AEPD) ha tratado de manera reiterada el tema de dispositivos de vídeo y sistemas videovigilancia ya sea a través de resoluciones, instrucciones o guías.

Asuntos como el de los carteles informativos sobre la videovigilancia, los requisitos que se han de cumplir respecto al posicionamiento y orientación de las cámaras o el periodo de conservación de las imágenes han sido ampliamente tratados. Sin embargo, un tema que ha pasado desapercibido, es el método de actuación que ha de seguir el Responsable del Tratamiento ante la solicitud por un interesado de un ejercicio de derecho de acceso a las grabaciones. Aunque parece un asunto sencillo tiene sus particularidades que hemos de tener en cuenta.

El art. 15 del Reglamento General de Protección de Datos (RGPD) regula el Derecho de Acceso.

Un interesado podrá solicitar la copia de las grabaciones de una cámara de videovigilancia de una determinada ubicación donde haya estado en los últimos días y, además, la información adicional que se contempla en los distintos puntos del art. 15 del RGPD como, por ejemplo, los fines del tratamiento, las categorías de datos, los destinatarios o los plazos de conservación. Es especialmente relevante, como se verá más adelante, que el acceso a la copia de las grabaciones no puede ser en perjuicio de los derechos y libertades de terceras personas.

El mencionado art. 15 del RGPD es complementado en la legislación nacional por el art. 13 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD).

Al contrario del RGPD, la LOPD-GDD aborda de manera explícita el tratamiento de datos para fines videovigilancia en su art. 22. No obstante, no regula de forma específica como se ha responder a un derecho de acceso de un interesado a las grabaciones de los dispositivos de vídeo. La respuesta a esta pregunta la podemos encontrar en los siguientes documentos:

1. Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras (link). Noviembre de 2006.
2. Guía de la AEPD sobre el uso de videocámaras para seguridad y otras finalidades (link). Noviembre de 2018.
3. Directrices 3/2019 del Comité Europeo de Protección de Datos (CEPD) sobre el tratamiento de datos personales mediante dispositivos de vídeo – Guidelines 3/2019 on processing of personal data through video devices – (link). Julio de 2019.

De los dos primeros documentos podemos extraer las siguientes conclusiones respecto de los requisitos que ha de cumplir un interesado a la hora de ejercitar un derecho de acceso. Además de escrito en el que se ejercite el derecho de acceso:

1. El interesado ha de hacer constar al Responsable del Tratamiento su identidad.
2. El interesado ha de acompañar su ejercicio de derecho de una imagen actualizada que permita al Responsable del Tratamiento identificar al interesado en sus grabaciones.

Además, de acuerdo con el criterio establecido por el CEPD en sus “Directrices 3/2019” existen una serie de limitaciones al derecho de acceso que el Interesado y le Responsable han de respetar:

1. Afección negativa a los derechos y libertades de terceros. De acuerdo con el art. 15.4 del RGPD, el derecho del Interesado a acceder a una copia de sus datos personales mediante el ejercicio del derecho de acceso “no afectará negativamente a los derechos y libertades de otros”. Como es lógico, puede darse el caso de que en una misma secuencia de grabación aparezcan multitud de interesados. Si, de acuerdo con el artículo 15.3 del RGPD, un interesado solicita una copia de sus datos personales podrían verse afectados los derechos y libertades de terceros. En estos casos debe ser el Responsable el que valore si puede facilitar copia de las grabaciones a la persona que ejerce el derecho sin que este hecho perjudique a los derechos y libertades de terceros. No obstante, este hecho no puede ser utilizado como excusa para no atender a los ejercicios legítimos de derecho de acceso. En este sentido, siempre que sea posible el Responsable deberá recurrir a medidas técnicas, como, por ejemplo, la edición de imágenes, que permitan cumplir con el ejercicio del derecho.

No obstante, esta visión del Comité Europeo de Protección de Datos no coincide de manera plena con la de la Agencia Española de Protección de Datos. La AEPD, a diferencia del Comité, establece en su instrucción 1/2006 que el Responsable puede facilitar “el acceso mediante escrito certificado en el que, con la mayor precisión posible y sin afectar a derechos de terceros, se especifiquen los datos que han sido objeto de tratamiento”. Es decir, omite la posibilidad de modificar las imágenes mediante medidas técnicas y ofrece al Responsable la opción de entregar en vez de las imágenes un documento certificado en el que se describan, con precisión suficiente, los hechos que se pueden observar en la grabación.

2. Imposibilidad de identificar al interesado. Puede darse el caso que el interesado solicite el derecho de acceso a unas imágenes en las que aparezcan multitud de individuos. Por ejemplo, un Interesado que solicita al Responsable de un aeropuerto que le facilite la copia de la grabación de él entrando a las instalaciones un día determinado. En este caso, ya que en un aeropuerto entran al día miles de personas y a través de distintas puertas, podría entrar en juego el art. 11.2 del RGPD que establece que cuando “el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación”.

3. Información adicional que permita la identificación. Siguiendo con el ejemplo del aeropuerto, el interesado debería, a petición del Responsable, “facilitar información adicional que permita su identificación”. En este sentido se le podría exigir al Interesado que, en la medida de lo posible, identifique la puerta por la que accedió al edificio, que establezca un periodo de tiempo razonablemente acotado y que describa sus características personales o indumentaria de tal forma que sea más sencilla su identificación.

4. Solicitudes excesivas. De acuerdo con el art. 12.5 del RGPD, el Responsable puede oponerse o cobrar (un canon razonable) a aquellos interesados que realicen solicitudes de acceso manifiestamente infundadas o excesivas. El RGPD no establece que puede considerarse como excesivo, sin embargo, la LOPD-GDD si establece en su art. 13.3 que “se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello”. Por su parte en el art. 13.4 se dice que “cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte.”

El Equipo Govertis

EL DNS: EL GRAN OLVIDADO

La AEPD ha publicado recientemente una nota técnica relativa a las implicaciones en la privacidad del uso del Sistema de Resolución de Nombres (Domain Name System o DNS) para concienciar a la ciudadanía respecto a las actividades que desarrollan en internet. A continuación, analizaremos los aspectos fundamentales de la misma:

¿Qué es el DNS?

El DNS es un protocolo que traduce el nombre de un sitio web (por ejemplo “www.aec.es”) por su dirección IP asignada (un código numérico). Permite localizar un sitio en Internet por el nombre sin que los usuarios tengamos que saber en cada momento que IP le corresponde.

¿Cómo funciona?

Cada vez que realizamos una búsqueda en Internet, los equipos realizan consultas a distintos servidores DNS para saber la dirección IP que corresponde al nombre que hemos escrito en el navegador. Para ello utilizan bases de datos que almacenan los nombres de dominios y sus IP.

¿Cómo impacta en la privacidad?

Cuando un ordenador está conectado a una red tiene asignada una dirección IP que identifica al usuario. De esta forma, al navegar por Internet podemos ser fácilmente geolocalizados y revelar qué páginas visitamos. Esto podría dar a conocer hábitos, intereses u opiniones que permiten generar perfiles de los usuarios (como deducir problemas de salud por los tipos de foros, blog o webs en los que participamos).

¿Cuáles son los riesgos?

• Supone el tratamiento de datos por terceros distintos de aquellos que prestan los servicios a los que queremos acceder.
• Los servidores DNS que procesan las búsquedas registran toda la información de las consultas. Podrían estar configurados para guardar dichos registros y utilizar esos datos para infinitas finalidades.
• Las consultas que realiza el dispositivo para averiguar la dirección IP se envían sin cifrar a través de la red, supone un impacto en la confidencialidad.
• La falta de medidas de seguridad podría implicar técnicas de suplantación de DNS, (robo de información, ransomware), ataques al DNS (redirigir a sitios maliciosos, a webs fraudulentas, a servidores controlados por delincuentes)

¿Y las soluciones?

La AEPD propone como solución:

• Los proveedores de DNS deben informar de las condiciones de uso. Se deben seleccionar terceros que ofrezcan garantías suficientes para cumplir con el RGPD.
• Incorporar soluciones de seguridad:

• Utilizar el DNSSEC para aportar integridad y autenticidad en las comunicaciones.
• Cifrar las consultas mediante DNS Over TLS (capacidad de cifrado) y DNS Over HTTPS (enmascara las comunicaciones).

El Equipo Govertis