«Lista Stop Publicidad»: ¿Un verdadero adiós a la publicidad no deseada?

La proliferación de publicidad no deseada, por medios electrónicos y llamadas, genera un absoluto malestar entre los ciudadanos.  Es por esto que, a los efectos de adoptar soluciones para evitar o mitigar este envío de comunicaciones o llamadas comerciales no deseadas, más allá del ordenamiento jurídico, también surgió en España los sistemas de exclusión publicitaria, como la conocida «Lista Robinson», cuyo objetivo es otorgar a los usuarios un mayor control sobre el tratamiento de los datos para fines publicitarios y evitar, así, que las empresas les envíen publicidad sin su consentimiento a través del teléfono, SMS/MMS, correo postal o electrónico. Acceso al Reglamento del Servicio de la Lista Robinson y su modificación en febrero de 2020.

La Lista Robinson y sus limitaciones

Sin embargo, con el paso del tiempo, muchos consideraron que esta lista de exclusión no terminaba de adaptarse a los nuevos formatos digitales, en los que la publicidad ha evolucionado hacia redes sociales y plataformas de mensajería instantánea, y no contemplaba como medios para recibir comunicaciones publicitarias las redes sociales ni aplicaciones de mensajería.

Nacimiento de la Lista Stop Publicidad (LSP)

Ante esta necesidad, y con la intención de cubrir mayor número de medios por los que recibir comunicaciones publicitarias, surge la «Lista Stop Publicidad» (en adelante, LSP), publicada el pasado 31 de enero en la sede electrónica de la Agencia Española de Protección de Datos (AEPD), tras ser impulsada por la acción ciudadana a través de la Asociación Española para la Privacidad Digital (AEP). Su aprobación llegó después de tres denegaciones previas por parte de la Agencia, que cuestionaba su ámbito subjetivo de aplicación y su posible vinculación con la oferta de servicios privados del promotor. Estas objeciones se fundamentaban en la necesidad de garantizar la imparcialidad, la objetividad y la defensa del interés público las actuaciones de la Agencia. Acceso al Reglamento de la LSP.

Por tanto, la LSP amplía la protección de los usuarios al abarcar no solo los canales contemplados en la Lista Robinson, sino también anuncios en redes sociales como Facebook/Meta, Instagram, TikTok…, así como en plataformas de mensajería instantánea como WhatsApp y en otros nuevos canales que se consideren.

La Lista LSP enumera sectores de actividad, de los cuales el interesado puede solicitar la exclusión para recibir publicidad de los mismos. Por defecto, el sistema excluye al interesado de todos los sectores, pero, el interesado puede deseleccionar sectores de los que no se opone a recibir publicidad. A continuación, se muestra la relación de sectores que integra la LSP, tal y como se muestra a continuación:

Regulaciones y principios de exclusión publicitaria

La regulación de los sistemas de exclusión publicitaria se encuadra en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). En particular, el artículo 23 LOPDGDD establece las bases para su funcionamiento, siendo los puntos clave, los que aquí resumimos:

• Legitimidad del tratamiento: Es lícito tratar datos personales para evitar el envío de comunicaciones comerciales a quienes hayan manifestado su negativa a recibirlas.
• Creación de sistemas de exclusión publicitaria: Se pueden establecer sistemas generales o sectoriales que incluyan únicamente los datos imprescindibles para identificar a los afectados (principio de minimización de datos). También pueden incorporar servicios de preferencia para limitar la recepción de comunicaciones solo a determinadas empresas.
• Comunicación a la autoridad de control: Las entidades responsables de estos sistemas deben informar a la autoridad competente sobre su creación y sobre los mecanismos para que los afectados puedan incorporarse o gestionar sus preferencias.
• Publicación por la autoridad de control: La autoridad competente debe hacer pública en su sede electrónica la relación de estos sistemas y comunicar su existencia a otras autoridades de control.
• Deber de información: Si un afectado solicita la exclusión de sus datos para fines comerciales, el responsable del tratamiento debe informarle sobre la existencia de estos sistemas, pudiendo remitirle a la información publicada por la autoridad competente.
• Consulta obligatoria antes de realizar comunicaciones comerciales: Quienes realicen acciones de marketing directo deben consultar previamente estos sistemas y excluir a las personas que hayan manifestado su oposición. Sin embargo, no será necesario realizar la consulta cuando el afectado haya dado su consentimiento expreso para recibir las comunicaciones.

Modificación en la normativa de llamadas comerciales

Desde junio de 2023 se reforzaron los derechos del usuario respecto a no recibir llamadas comerciales no solicitadas. La Ley 11/2022, de 28 de junio, General de Telecomunicaciones, regula en el artículo 66.1 b) el derecho a la protección de datos personales y la privacidad en relación con las comunicaciones no solicitadas, garantizando el derecho de los usuarios:

1. a) a no recibir llamadas automáticas sin intervención humana o mensajes de fax, con fines de comunicación comercial sin haber prestado su consentimiento previo para ello;
2. b) a no recibir llamadas no deseadas con fines de comunicación comercial, salvo que exista consentimiento previo del propio usuario para recibir este tipo de comunicaciones comerciales o salvo que la comunicación pueda ampararse en otra base de legitimación de las previstas en el artículo 6.1 del RGPD.

Antes de la aplicación de dichos cambios, los usuarios podían recibir llamadas si habían dado previamente su consentimiento o bien si la empresa podía justificar que su interés legítimo prevalecía al derecho de los usuarios a no recibir dichas llamadas.

En esta línea, la AEPD publicó una Circular, que daba continuidad al Informe 0040/2023 sobre la interpretación jurídica del derecho de los usuarios a no recibir llamadas comerciales no solicitadas, recogidos en el artículo 66.1.b), fijando así los criterios conforme a los que va a actuar la AEPD con relación a la aplicación de dicho precepto. De igual modo, también publicó la infografía «Derecho a no recibir llamadas comerciales no solicitadas», en la que expone de manera clara los cambios recogidos en dicho precepto.

Por su parte, el informe jurídico 52/2023 reafirma que el artículo 66.1.b) de la Ley 11/2022 admite, como base legitimadora para la realización de llamadas comerciales, tanto el consentimiento previo del usuario como el interés legítimo del responsable del tratamiento, conforme al artículo 6.1 del RGPD. Sin embargo, subraya que, dada la naturaleza excepcional de estas bases, su interpretación debe ser restrictiva.

Este cambio supone una transición del modelo «opt-out» al «opt-in». Bajo el régimen anterior de «opt-out», las empresas podían realizar llamadas comerciales salvo que el usuario manifestara expresamente su oposición. Con el nuevo cambio normativo, se establece un modelo de «opt-in», en el que el usuario debe haber dado su consentimiento previo para recibir este tipo de comunicaciones, salvo que la empresa pueda justificar la existencia de un interés legítimo que prevalezca sobre los derechos y libertades del usuario.

En conclusión, y con el objetivo de dar respuesta a la pregunta planteada: ¿servirá la LSP para poner fin a la publicidad no deseada?, podemos afirmar que la implementación de la LSP representa un avance significativo en la defensa del derecho a la privacidad. No obstante, su éxito dependerá de su adopción y cumplimiento tanto por parte de los usuarios como de las empresas. Solo el tiempo será el que determine si ambas Listas logran su objetivo de erradicar este tipo de prácticas.

Cristina Zato
Govertis, parte de Telefónica Tech

Ciberseguridad, IA y privacidad se unen en el I Congreso Foro GRC

El pasado 26 de febrero, Madrid fue testigo de un evento clave para el ecosistema de la privacidad, la ciberseguridad y la inteligencia artificial con la celebración del I Congreso Foro GRC, organizado por la Asociación Española para la Calidad (AEC) en colaboración con Telefónica Tech y Govertis, part of Telefónica Tech.

Más de mil personas inscritas, tanto presenciales como virtuales, se dieron cita en la emblemática Fundación Telefónica en un foro que abordó los desafíos y oportunidades actuales para profesionales del GRC (Gobierno, Riesgo y Cumplimiento).

El acto de apertura corrió a cargo de María Jesús Almazor, COO España, Hispam, Brasil y USA de Telefónica Tech, quien enfatizó el papel de la innovación en la transformación digital y la creciente preocupación por la ciberseguridad en todas las organizaciones: «El 70% de los ciberataques afectan a pymes. No podemos permitirnos seguir viéndolo como un problema ajeno».

A continuación, Avelino Brito, director general de la AEC, abordó la evolución de la calidad hacia la gestión integral de riesgos, destacando la relevancia de este foro para el futuro del sector.

El Foro GRC: Club del DPD + Club del CISO + Comunidad IA

Alberto González (Director de Operaciones, TI y Gestor del Club DPD y Club CISO de la AEC), junto con Eduard Chaveli (Head of Consulting Strategy de Govertis) y Óscar Bou (Head of Consulting Business de Govertis), fueron los encargados de conducir el evento y presentar el Foro GRC como una evolución natural de los anteriores clubes (CISO, DPD y Comunidad IA) hasta convertirse en un espacio de referencia para la intersección entre privacidad, ciberseguridad e IA.

«Este foro nace para ayudar a las organizaciones a entender y afrontar los desafíos del futuro», destacó Chaveli dando paso a la primera de las mesas redondas del Congreso.

Mesa Redonda: «Tendencias regulatorias en GRC»

Javier Villegas Flores (IT Lawyer, Associate – Lead Advisor DPDs en Govertis) fue el encargado de moderar y arrancar la primera mesa que abordó los retos normativos en el ámbito GRC con la participación de:

• Andrés Calvo, Jefe de Área de la División de Innovación Tecnología, AEPD.
• Javier Candau, Adjunto al Subdirector, CCN-CERT.
• Patricia Alonso, Gerente, INCIBE-CERT.

Candau insistió en la necesidad de adoptar un enfoque preventivo: «No hay transformación digital sin ciberseguridad. Debemos implementar medidas de seguridad de manera nativa en nuestros sistemas».

Por su parte, Alonso se centró en la importancia de la gestión de incidentes, resaltando que «es crucial que las empresas sepan cómo actuar ante un incidente y cómo recuperarse».

Calvo, por su parte, subrayó la necesidad de entender el espíritu de la norma más allá del mero cumplimiento, señalando que «la norma es una herramienta, pero debemos ir más allá y asumir una responsabilidad proactiva en la protección de datos y la gestión de riesgos». Añadió que «no se trata solo de evitar multas, sino de proteger a las personas».

Mesa Redonda: «Privacidad y Sistemas IA en el ámbito laboral»

En una sociedad donde la IA juega un papel cada vez más relevante en la selección y gestión del talento, esta mesa, moderada por Jordi Morera (Lead Advisor Compliance en Govertis), reunió para debatir sobre los desafíos en el ámbito laboral a:

• Elena Gil, Co-Founder, Data Guardians.
• Ignasi Beltrán, Catedrático de Derecho del Trabajo y de la Seguridad Social, Decano de los Estudios de Derecho y Ciencia Política, UOC.
• Eva Román, International Talent Acquisition Lead in Technology, Cybersecurity & HR, Korn Ferry.

Eva Román destacó que, aunque el 99% de las empresas del índice Fortune 500 utilizan IA en procesos de selección, solo el 23% confía en que sus organizaciones se adapten adecuadamente. «La IA es un facilitador, pero el talento sigue siendo la principal fuente de diferenciación. Debemos empoderar a las personas, no sustituirlas», afirmó resaltando la importancia de la transformación cultural en las organizaciones.

Por su parte, Beltrán advirtió sobre los riesgos de la neurotecnología y la psicometría. «Estamos exponiendo nuestro yo inconsciente, que representa el 95% de nuestra actividad cerebral. Esto plantea serios desafíos para la libertad y la responsabilidad individual», explicó refiriéndose a cómo las tecnologías pueden influir en nuestras decisiones sin que ni siquiera lo percibamos.

Finalmente, Elena Gil se centró en las garantías legales existentes, como el artículo 22 del RGPD, que regula las decisiones automatizadas. «Aunque tenemos herramientas legales, su aplicación es compleja. Necesitamos más transparencia y menos sesgos en los algoritmos», afirmó destacando la importancia de la intervención humana en los procesos automatizados.

La mesa subrayó la necesidad de transparencia, justicia algorítmica y marcos normativos claros para evitar sesgos y vigilancia excesiva.

Mesa Redonda: «Futuro de los profesionales GRC ante la era de la transformación digital inteligente»

Para debatir sobre el papel de los profesionales GRC en un entorno tecnológico en constante evolución, Sandra Ausell Roca (GRC Senior Consultant de Govertis) fue la encargada de moderar esta mesa que contó con la participación de:

• Richard Benjamins, Co-founder and CEO of the Spanish observatory for ethical and social impacts of AI, OdiseIA.
• Juan José Nombela, Miembro de la Junta Directiva, ISACA Madrid Chapter.
• Eduvigis Ortiz, President & Founder, Women4Cyber Spain.
• Pedro López Sáez, Director de la Cátedra Extraordinaria en Ciberseguridad y Protección de Datos, Universidad Complutense de Madrid.

Juan José Nombela inició el debate subrayando la creciente complejidad del ecosistema de ciberseguridad debido a la globalización y la evolución tecnológica. «El reto está en encontrar un equilibrio entre la gestión de riesgos y el cumplimiento normativo en un entorno cambiante y con una gran escasez de talento», señaló. Además, subrayó la necesidad de formación continua y el apoyo de la alta dirección para integrar la seguridad en la estrategia empresarial.

Ahondando en los retos actuales, Richard Benjamins destacó el impacto que la inteligencia artificial está teniendo en el sector. «Uno de los mayores desafíos para los profesionales de GRC es comprender cómo funciona la tecnología a un nivel básico. Sin este conocimiento, es muy difícil anticipar y mitigar riesgos», afirmó.

Eduvigis Ortiz, por su parte, abordó el desafío de la escasez de talento y la importancia de la diversidad en el sector: «El 31% de los profesionales de ciberseguridad en España son mujeres, frente al 25% a nivel global», y destacó que «aunque hemos avanzado, todavía queda mucho por hacer para atraer más talento femenino y joven a la industria». Atendiendo a esta situación y con el objetivo de mostrar el valor y propósito del sector, Ortiz destacó el papel que llevan desempeñando desde Women4Cyber impulsando programas de mentoring y concienciación.

Desde la perspectiva académica, Pedro López Sáez, puso el foco en la necesidad de alinear la formación con las demandas del mercado laboral. «El déficit de talento en Europa es alarmante: faltan más de 1.300.000 profesionales en ciberseguridad y GRC. Las universidades deben adaptar sus programas para cubrir esta brecha y ofrecer formación que combine conocimientos técnicos y regulatorios», explicó.

La mesa concluyó con un consenso claro: la necesidad de fomentar la formación, el trabajo interdisciplinar y la colaboración entre equipos.

Mesa Redonda: «Desinformación, la gran amenaza para la democracia: IA y Ciberseguridad como riesgo y oportunidad»

Bajo la moderación de José Antonio Sánchez (Coordinador del Club del CISO y GRC Senior Consultant en Govertis), esta mesa abordó uno de los temas más críticos en la actualidad: la desinformación como un factor que puede influir en procesos democráticos y la manera en que la inteligencia artificial y la ciberseguridad pueden ser tanto una amenaza como una herramienta para combatirla. Este espacio contó con la participación de:

• David Ramírez, CISO, RTVE.
• Pedro Coll, Europe Crisis & Issues Director, LLYC.
• Luisma Hernández, Director de Marketing y Comunicación, Dive.

Nuestro compañero abrió el debate con una reflexión sobre la inteligencia artificial y su capacidad para influir en la opinión pública donde los ponentes analizaron cómo la desinformación se ha convertido en una herramienta estratégica en conflictos políticos y sociales, y la manera en que las redes sociales han amplificado su impacto.

Ante este escenario donde «la desinformación es una gran amenaza para la democracia», Sánchez inició la mesa planteando la necesidad de abordar este fenómeno desde la inteligencia artificial y la ciberseguridad.

David Ramírez, desde su experiencia en RTVE, comenzó destacando la diferencia entre noticias falsas y desinformación estructurada, señalando que los medios de comunicación tienen la responsabilidad de garantizar fuentes verificadas y mecanismos de contraste para generar información. En este sentido, alertó de que «cualquier persona puede generar información que es opinión muchas veces» y que «las herramientas profesionales existen, están a disposición de los medios de comunicación». Además, destacó la importancia de implementar herramientas tecnológicas de verificación, aunque recordó que el factor humano sigue siendo esencial para discernir entre contenido legítimo y manipulado dado que «cualquier persona puede emitir una opinión con mayor o menor seguimiento o mayor o menor credibilidad» en redes sociales.

Por su parte, Pedro Coll, experto en gestión de crisis, abordó la relación entre libertad de expresión y regulación en redes sociales. Reflexionó sobre si las grandes plataformas deben autorregularse o si los gobiernos deberían intervenir de manera más estricta.

Coll confirmó que se trata de un tema muy complejo y, en cuanto a la tecnología, insistió en la ética en el uso de la inteligencia artificial sugiriendo seguir un esquema basado en la Unesco. Preguntó: «¿Te importa si el resultado es verdadero? Si contestas no, utiliza ChatGPT. Si dices sí, el siguiente paso es: ¿Tú tienes conocimiento suficiente para verificar si el resultado es verdadero? Si la respuesta es no, entonces no utilices ChatGPT».

Hernández hizo hincapié también en la importancia de educar en el consumo crítico de la información: «Cuando tú hablas con los jóvenes y les dices cómo se informan, que es una pregunta que yo suelo hacer mucho cuando interactúo con ellos, pues se informan en Instagram y en TikTok». Y no solo ante el consumo de información, Hernández también destacó el papel de la educación en ciberseguridad en las organizaciones en relación al debate iniciado por Sánchez en el que alertaba de que los ciberatacantes también pueden alterar los datos de entrenamiento de los modelos de IA para manipular sus resultados.

Los ponentes coincidieron poniendo el foco en la responsabilidad de los medios de comunicación y las plataformas digitales. Explicaron que los algoritmos de recomendación y personalización están diseñados para mostrar contenido que refuerce los sesgos del usuario, lo que contribuye a la viralización de bulos.

Todos ellos concordaron en la necesidad de combinar educación, tecnología y regulación para minimizar el impacto de la desinformación y garantizar un uso responsable, ético y seguro de la IA.

Entrega de premios Foro GRC

Uno de los momentos más esperados del evento fue la entrega de premios de esta primera edición del Congreso Foro GRC, que quiso reconocer la labor de profesionales y entidades destacadas en este ámbito:

• Premio a la trayectoria en inteligencia artificial: Javier Sirvent, por su labor divulgativa y evangelización sobre las tecnologías emergentes.
• Premio al liderazgo femenino en GRC: Eduvigis Ortiz, por su compromiso en visibilizar el talento femenino en ciberseguridad y privacidad.
• Premio a la excelencia en ciberseguridad: Centro Criptológico Nacional (CCN-CERT), recogido por Javier Candau, en reconocimiento a su contribución en la seguridad del sector público.
• Premio a la privacidad: Mar España, exdirectora de la AEPD, por su trayectoria en la defensa del derecho fundamental a la privacidad tras casi una década al frente de la Agencia.

En su discurso, España dedicó unas palabras a sus sucesores, Lorenzo Cotino y Francisco Pérez Bes, nombrados recientemente como presidente y adjunto de la AEPD respectivamente: «Desde aquí, les deseo lo mejor en un momento clave, donde la IA está en pleno desarrollo y nos jugamos el modelo ético de sociedad: nuestra identidad personal, nuestra identidad digital y nuestro propio bienestar».

Ponencia: «IA: Lo que está por llegar»

El evento contó también con ponencias como la de Javier Sirvent, quien reflexionó sobre el impacto de la inteligencia artificial en la sociedad. Con su característico estilo, Sirvent presentó las disrupciones tecnológicas que están moldeando el futuro y cómo la IA está transformando el mundo como lo conocemos.

Sirvent utilizó ejemplos impactantes para ilustrar sus predicciones: «Estamos viviendo una disrupción evolutiva por culpa o gracias al COVID». Además, mencionó que «todas estas enfermedades serán tratables o curables en los próximos 10, 15 años» gracias a avances como el ARNm, que «se diseñó y se programó gracias a una IA». También habló del impacto en la productividad empresarial, advirtiendo que «las empresas que no integren IA en sus procesos quedarán obsoletas en un abrir y cerrar de ojos».

Cerró su intervención con un mensaje inspirador: «La IA no es el enemigo, el enemigo es la falta de adaptación. No tengamos miedo de la inteligencia artificial, sino de quedarnos atrás».

Concurso de ponencias

Este encuentro contó también con un espacio en donde se premiaron dos interesantes ponencias seleccionadas por el jurado del Congreso por su rigor académico, su enfoque innovador y su contribución al debate sobre el futuro de la tecnología y su impacto en la sociedad:

• Ganador: Francisco Javier Carbayo y Mar González, con «Jugando con la mente: el impacto de las interfaces cerebro-ordenador en el sector del entretenimiento» en donde exploraron cómo las interfaces cerebro-ordenador están revolucionando la industria del entretenimiento y abriendo nuevas posibilidades para la interacción humano y tecnología.
• Accésit: María Ramírez, con «Construyendo confianza: El reto de la gobernanza de la ética, la privacidad y la ciberseguridad en la era de la IA, un análisis a la luz de la desinformación». En su ponencia, abordó los desafíos críticos de la gobernanza en inteligencia artificial, enfocándose en la importancia de la ética, la privacidad y la ciberseguridad. Destacó que «en un mundo cada vez más digitalizado, la confianza es el elemento clave para garantizar el uso responsable de la IA».

Ponencia: «RIA y RGPD: ¿Un matrimonio que se va a llevar bien?»

Jorge García Herrero, evangelista del RGPD y premio AEPD 2019, exploró con su particular tono de humor los desafíos y oportunidades de la coexistencia entre el Reglamento de Inteligencia Artificial (RIA) y el Reglamento General de Protección de Datos (RGPD) recordando ambos roles: «El RGPD es un reglamento de principios, no como el RIA, que es de seguridad de producto. El RGPD regula el tratamiento de datos que se produce dentro de la tecnología, funcione como funcione».

Ponencia: «Visión práctica de la NIS 2 y su relación con el ENS»

El cierre del congreso estuvo a cargo de Javier Candau (CCN-CERT), quien explicó los cambios regulatorios de la Directiva NIS 2 y su impacto en el Esquema Nacional de Seguridad (ENS), resaltando que «la NIS 2 no solo refuerza la protección de infraestructuras críticas, sino que también fomenta una cultura de seguridad proactiva en todos los sectores».

El I Congreso Foro GRC no solo abordó los retos de la ciberseguridad y la privacidad, sino que también puso en relieve el papel esencial de los profesionales de GRC en un entorno de transformación constante. Quedó claro que el profesional de GRC del futuro debe ser un perfil versátil y multidisciplinar, capaz de combinar conocimientos técnicos con una sólida comprensión de la regulación y los principios éticos.

La creciente complejidad de los marcos normativos, sumada al avance acelerado de tecnologías emergentes como la inteligencia artificial, exige una actualización continua y una estrecha colaboración con equipos de distintas áreas para anticiparse a los riesgos y gestionarlos de una manera eficaz.

El congreso dejó una conclusión clara: el futuro del GRC requiere profesionales con una visión estratégica, capaces de afrontar los nuevos desafíos con un enfoque integral. Con este propósito, este nuevo Foro GRC se consolida como un punto de referencia que seguirá impulsando el conocimiento, la innovación y la cooperación entre expertos y profesionales del sector.

David Bascoy
Govertis, parte de Telefónica Tech

La seudonimización: claves de las Directrices 1/2025 del CEPD

En un mundo cada vez más digitalizado, la protección de datos personales se ha convertido en un desafío para empresas y organizaciones. La seudonimización se presenta como una de las técnicas más eficaces para minimizar riesgos y garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD).
El Comité Europeo de Protección de Datos (CEPD, por sus siglas en inglés) ha publicado las Directrices 1/2025 sobre seudonimización, proporcionando un marco de referencia para su correcta aplicación. En este artículo, analizaremos qué es la seudonimización, sus beneficios y las medidas técnicas necesarias para su implementación adecuada.

1. ¿Qué es la seudonimización y en qué se diferencia de la anonimización?
La seudonimización es definida por el artículo 4.5) como «el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable».
Es importante no confundir la seudonimización con la anonimización:

2. ¿Por qué es importante la seudonimización?
Las Directrices 1/2025 del CEPD destacan varios beneficios clave de la seudonimización:

3. Medidas técnicas y salvaguardas para una seudonimización efectiva
Para garantizar una seudonimización adecuada, el CEPD recomienda aplicar medidas técnicas y organizativas que pueden agruparse en tres grandes bloques:
– En la transformación seudonomizadora:
La seudonimización es un proceso que sustituye o elimina identificadores directos, impidiendo la vinculación con los datos originales sin información adicional protegida. Este proceso se basa en «pseudonymisation secrets» (secretos de la seudonimización), que deben almacenarse por separado y estar protegidos con medidas técnicas y organizativas estrictas para evitar accesos no autorizados.
Existen dos enfoques principales para llevar a cabo la transformación seudonimizadora:

• Algoritmos criptográficos: utilizan funciones unidireccionales o cifrado para generar pseudónimos, dificultando la reversión del proceso.
• Tablas de búsqueda: asocian identificadores originales con pseudónimos en una base de datos protegida, permitiendo su acceso controlado.

Para una implementación efectiva, los responsables del tratamiento deben evaluar qué atributos modificar, eliminando o sustituyendo identificadores directos y gestionando cuasi-identificadores según el riesgo de reidentificación.
En la fase de recolección de datos, la seudonimización puede aplicarse a través de dos estrategias:

• Uso de un intermediario de confianza: gestiona los datos y, si es necesario, revierte la transformación bajo condiciones controladas.
• Seudonimización en la fuente: los datos seudonimizados se transmiten directamente sin identificadores originales.

– Para prevenir la reidentificación indebida:
El CEPD enumera varias medidas que pueden aplicarse para reforzar la seguridad y evitar la reidentificación indebida de los datos. Las medidas técnicas se centran en la protección de la infraestructura y los procesos de transformación de los datos, mientras que las medidas organizativas garantizan que el personal involucrado en la gestión de los datos seudonimizados cuente con la capacitación y los controles adecuados. La siguiente tabla resume estas medidas:

– En la vinculación de datos seudonimizados
En determinados escenarios, varios responsables del tratamiento pueden necesitar vincular conjuntos de datos seudonimizados dentro de un nuevo dominio de seudonimización. Para ello, se pueden emplear tres estrategias principales:

Independientemente del método elegido, los responsables del tratamiento deben garantizar que los pseudónimos generados no permitan la atribución directa a los interesados sin información adicional protegida.

4. Aplicaciones prácticas de la seudonimización
El Anexo de las Directrices 1/2025 del CEPD presenta varios casos en los que la seudonimización protege la privacidad y garantiza el cumplimiento del RGPD. A continuación, se destacan algunos ejemplos:

Estos casos demuestran cómo la seudonimización es una herramienta clave para garantizar el equilibrio entre la protección de datos y la utilidad de la información en distintos sectores.
Las Directrices 1/2025 del CEPD se encuentran actualmente en fase de consulta pública hasta el 28 de febrero de 2025. Se espera que, tras este proceso, se adopten recomendaciones finales que refuercen su aplicación en la UE.
Para más información, puedes consultar el documento oficial aquí: Guidelines 01/2025 on Pseudonymisation | European Data Protection Board

Lluis Sabaté
Govertis, parte de Telefónica Tech

El modo incógnito y la protección de datos: ventajas, riesgos y realidad

En el mundo digital actual, el concepto de privacidad es más importante que nunca. Una de las herramientas más conocidas para navegar por internet de forma «privada» es el modo incógnito. El modo incógnito es una característica que ofrecen la mayoría de los navegadores web modernos como Google Chrome, Mozilla Firefox, Microsoft Edge y Safari. Aunque muchas personas lo asocian con anonimato absoluto, la realidad es que no es tan «incógnito» como podría parecer. A continuación, exploraremos qué hace realmente este modo, sus ventajas, riesgos y hasta qué punto protege tus datos personales.

¿Qué es el modo incógnito y cómo funciona?

El modo incógnito, también conocido como «navegación privada» permite navegar por Internet sin que el navegador guarde ciertas informaciones en el dispositivo. Cuando usas este modo:

• No se almacenan cookies ni historial de búsqueda: lal cerrar la sesión, el navegador elimina las cookies, el historial de navegación y cualquier dato que hayas introducido en formularios.
• Sesiones independientes: las pestañas abiertas en modo incógnito no comparten las cookies con las pestañas normales, lo que puede evitar que los sitios web «te sigan» a través de distintas sesiones abiertas.
• Sin autocompletar: elos datos introducidos (como usuarios y contraseñas) no se guardan para futuros accesos.

Ventajas del modo incógnito

1. Privacidad local:
   • Protege tu actividad de otros usuarios que comparten el mismo dispositivo (ordenador, teléfono, etc.) ya que no se registran los sitios que visitas en el historial del navegador, no queda registro de las páginas ni las búsquedas realizadas.
2. Evitar personalización:
   • Las cookies almacenadas mientras navegas en modo incógnito se eliminan automáticamente al cerrar la sesión. Esto significa que las páginas que visitas no pueden usar cookies para personalizar anuncios o sugerencias basadas en tu historial anterior.
3. Acceso múltiple:
   • Ideal para iniciar sesión en cuentas personales en dispositivos públicos o compartidos, ya que los datos de inicio de sesión no se guardan. Así, te permite acceder a varias cuentas de un mismo servicio (por ejemplo, redes sociales) al mismo tiempo, sin necesidad de cerrar sesión en una cuenta para usar otra.
4. Consulta sin rastros (precios dinámicos):
   • Algunos sitios, como aerolíneas o tiendas online, cambian los precios según lo que has buscado con anterioridad. El modo incógnito es útil para explorar estas páginas o servicios sin que las cookies o sesiones anteriores influyan en los resultados de lo que buscas.

Sin embargo, hay un malentendido común: este modo no impide que terceros rastreen tu actividad online.

Riesgos y limitaciones del modo incógnito

1. No anonimiza tu actividad:
   • Tu compañía de internet, el administrador de la red y las páginas que visitas todavía pueden ver lo que haces en línea, aunque estés usando navegación privada. Así, por ejemplo, en el trabajo o en el instituto, quien se encargue de la red, puede supervisar la actividad que realizas.
2. Rastreo de terceros:
   • Las empresas tecnológicas y los anunciantes pueden rastrearte mediante direcciones IP, huellas digitales del navegador (browser fingerprinting) y otras técnicas avanzadas, aunque estés en modo incognito.
3. No protege contra malware o ciberataques:
   • El modo incógnito no ofrece protección contra virus, spyware ni sitios web fraudulentos, no sustituye herramientas de seguridad, ni garantiza que estés a salvo de ciberamenazas.
4. Confianza falsa:
   • Muchas personas creen erróneamente que están completamente protegidas y bajan la guardia al introducir información personal o financiera.
5. Activación manual:

Pero entonces… ¿Es realmente «incógnito»?

La respuesta corta es: no totalmente. Aunque el navegador no almacena ciertos datos en tu dispositivo, es importante entender que no garantiza anonimato total en internet, tu actividad sigue siendo rastreable por:

1. Tu proveedor de servicios de internet (ISP): tu ISP es el intermediario entre tu dispositivo y los sitios web que visitas. Todo el tráfico de tu conexión pasa a través de ellos, por lo que pueden ver las direcciones de los sitios web que visitas (URLs) y registrar y guardar un historial de las páginas que frecuentas.

2. El administrador de la red: si usas una red corporativa o pública, como la de tu lugar de trabajo, universidad o una red Wi-Fi pública, el administrador de esa red también puede monitorizar tu tráfico (sitios visitados, archivos descargados, tiempos de conexión).

3. Los sitios web que visitas pueden rastrear tu actividad a través de tu dirección IP (que revela tu ubicación aproximada), técnicas de rastreo como cookies (que pueden funcionar parcialmente incluso en modo incógnito) o browser fingerprinting, que mencionamos antes y herramientas de análisis y rastreo, como Google Analytics o píxeles de seguimiento.
4. Motores de búsqueda: aunque uses modo incógnito, los motores de búsqueda como Google pueden registrar tus búsquedas si has iniciado sesión en tu cuenta. En 2020, Google enfrentó una demanda colectiva en Estados Unidos que alegaba que la compañía recopilaba datos de usuarios incluso cuando navegaban en modo incógnito en Chrome. Los demandantes argumentaban que esta práctica violaba las expectativas de privacidad de los usuarios. Para resolver esta disputa, en abril de 2024, Google acordó eliminar miles de millones de registros de datos recopilados durante las sesiones en modo incógnito.

Consejos para mejorar tu privacidad

1. Usa una VPN (Red Privada Virtual): Oculta tu dirección IP y cifra tu tráfico de Internet, impidiendo que tu ISP o administradores de red vean tu actividad. Las VPN crean un cifrado seguro entre un usuario y un sitio web.
2. Bloqueadores de rastreadores: extensiones como Privacy Badger o uBlock Origin ayudan a bloquear cookies, scripts y otras herramientas de rastreo utilizadas por sitios web.
3. Motores de búsqueda privados: utiliza opciones como DuckDuckGo o StartPage, que no almacenan tu historial de búsquedas.
4. Evita redes públicas no seguras: las redes públicas son especialmente vulnerables al espionaje, si necesitas usarlas, complementa con una VPN y evita introducir información sensible.
5. Actualiza tu navegador: mantener el software actualizado ayuda a protegerte contra vulnerabilidades conocidas.
6. Conexión HTTPS: siempre busca el candado o «https://» en las URL. Esto asegura que la comunicación entre tu navegador y el sitio web esté cifrada. Aunque no oculta los sitios visitados a tu ISP, protege el contenido que transmites.

Como conclusión podemos decir que «el modo incógnito» es una herramienta útil para proteger tu privacidad en el dispositivo local, pero no es una solución completa para navegar de forma totalmente anónima o segura. Para una protección más robusta de tus datos, es necesario combinarlo con otras herramientas y buenas prácticas de seguridad digital.

Recordemos que, en el mundo digital, la verdadera privacidad requiere más que solo activar un «modo incógnito».

Carolina Pena
Govertis, parte de Telefónica Tech

IA en procesos de selección. ¿Reclutador imparcial?

En los últimos años, la Inteligencia Artificial (IA) ha supuesto una transformación sin precedentes en los procesos de selección de muchas empresas. La implementación de los modelos de IA está revolucionando la manera de trabajar, facilitando la mejora en la eficiencia y en la productividad en los procesos de negocio.

Su función principal en la selección de candidatos es automatizar tareas repetitivas y monótonas, permitiendo al personal de recursos humanos centrarse en los aspectos clave de los procesos.

Ventajas de su uso

Entre sus múltiples ventajas, resaltan las siguientes:

• Agilidad: la automatización, sobre todo en la fase de cribado inicial de los candidatos, consigue que el proceso sea mucho más rápido. Este tipo de herramientas permite, entre otras, crear bases de datos con aquellos candidatos que cumplan los requisitos indicados en la oferta de empleo o la búsqueda de palabras clave dentro de los currículums recibidos.
• Eficiencia: la simplificación del proceso permite a los reclutadores, simultáneamente, dedicarse a otras tareas vinculadas al proceso como la realización de las entrevistas personales.
• Satisfacción del candidato: en la mayoría de procesos, el feedback al candidato se suele demorar bastante. Sin embargo, la utilización de este tipo de herramientas permite al aspirante saber cuál es el estado de su candidatura o poder consultar dudas sobre las fases del proceso en tiempo real.

En definitiva, el uso de estas herramientas se traduce en una optimización del proceso, beneficiando tanto el empleador como a los postulantes.

Analizadas sus ventajas, parece como si no hubiera sombras en la utilización de este tipo de herramientas para la evaluación de candidatos. Sin embargo, no es oro todo lo que reluce. ¿Es la IA un arma de doble filo para la selección de candidatos?

Impacto en la privacidad

Al ser una herramienta configurada para simular el comportamiento humano, puede dar lugar a que en la criba de candidatos se tengan en cuenta factores que van más allá de lo objetivo. Por ejemplo, la exclusión en base a su género o etnia o incluso el filtrado de los mismos teniendo en cuenta datos personales de categoría especial, como su orientación sexual.

Cuando los modelos de IA se entrenan, pueden ir adquiriendo progresivamente sesgos vigentes en la sociedad actual, a pesar de que sean sistemas diseñados para operar en el marco de límites éticos.

A modo de ejemplo, si el algoritmo aprende que el 90% de los directivos de empresas son hombres o que el 80% de los puestos de secretaría son mujeres jóvenes, es complicado que, a la hora de realizar la criba no reproduzca el patrón, favoreciendo dichas candidaturas frente a otras que se salgan del mismo para cubrir la vacante.

Un caso notorio fue el de un sistema desarrollado por Amazon que, según el MIT Technology Review (2022), discriminaba contra las mujeres debido a un sesgo en los datos históricos utilizados para entrenarlo.

Son múltiples organismos los que han analizado diferentes modelos de IA y denunciado estas evidencias, entre ellos, la Information Comissioner’s Office (ICO). Tras la realización de auditorías a varios modelos de IA, detectaron la existencia de herramientas que permitían la búsqueda y filtrado de candidatos en base a datos de categoría especial o la solicitud excesiva de datos que, posteriormente, se extraía y combinaba con otros encontrados en sus perfiles de redes sociales o plataformas de empleo.

Por ello, la ICO ha emitido una serie de recomendaciones a desarrolladores y proveedores de soluciones de IA para la selección de personal. Entre los puntos clave del estudio, destacan los siguientes:

• Equidad: se debe asegurar por parte de los proveedores que el tratamiento de datos personales se realiza de forma justa. Además, deben garantizar que cualquier dato de categoría especial procesado para controlar los resultados sesgados y discriminatorios sea lo suficientemente adecuado y preciso para cumplir con la finalidad pretendida.
• Transparencia: los responsables de la contratación deberán informar a los candidatos de qué información procesa la IA y cómo lo hace, la lógica implicada en la realización de predicciones o resultados y cómo utilizan dicha información para entrenar, probar o desarrollar de otro modo la IA.
• Minimización de datos: se debe realizar el tratamiento de aquellos datos absolutamente imprescindibles, asegurándose de que solamente se procesa la información para el propósito específico y que no se almacena, comparte o se vuelve a procesar para un propósito alternativo incompatible.

En conclusión, el uso de la IA en los procesos de contratación es prometedor. Sin embargo, queda un largo camino para que la tecnología encuentre un equilibrio entre el desarrollo tecnológico y la protección de los derechos y libertades de las personas.

Isabel Abad Ayala
Govertis, parte de Telefónica Tech

III Insight del Club del DPD – 2024

El pasado 23 de septiembre tuvo lugar el III Insight del Club del DPD de 2024 organizado por la Asociación Española para la Calidad, con la colaboración de Govertis, parte de Telefónica Tech.

El evento, dirigido por Javier Villegas, Lead Advisor y responsable de Desarrollo de Negocio de Govertis, se dividió en tres partes: una mesa redonda sobre «¿Cómo acreditar el cumplimiento de medidas de seguridad en encargados de tratamiento y la responsabilidad in vigilando?», otra mesa redonda sobre «Gestión de riesgos en proveedores/cadena de suministro y brechas de seguridad» y, un taller práctico sobre cómo llevar a cabo correctamente las Transfer Impact Assessments (TIAs) o evaluaciones de impacto de transferencias internacionales de datos personales.

1. ¿Cómo acreditar el cumplimiento de medidas de seguridad en encargados de tratamiento y la responsabilidad in vigilando?

La primera mesa redonda fue impartida por Eduard Blasi Casagran, abogado especializado en Derecho Digital y Privacidad, y Elena Gil González, abogada especializada en Protección de Datos y Derecho Digital. Se abordó la responsabilidad in vigilando y medidas de seguridad de los encargados de tratamiento.

En primer lugar, Eduard consideró esencial que los responsables de los datos generen una lista de proveedores ya que nos va a permitir tener un termómetro del estado de los terceros en materia de privacidad. Además, de tener otras herramientas como los sellos de confianza y las certificaciones, como la de calidad.

Igualmente, es importante prestar atención a la tipología de los proveedores porque solo aquellos que presentan una especial sensibilidad en el tratamiento de los datos tienen que estar más presentes en nuestro análisis.

Además, hay que tener en cuenta los contratos de encargados de tratamiento para verificar la responsabilidad in vigilando, por eso se debe realizar un triaje de valoración de terceros en el que se incorpore no solo las medidas de seguridad sino también el cumplimiento de la protección de datos, así como una cláusula de auditoría para los terceros proveedores.

Asimismo, Eduard resaltó la verificación del flujo de los datos en las transferencias internacionales de datos y que la labor de control de los proveedores conlleva la atención de derechos, el control de los subencargados, los límites de la responsabilidad y la devolución o destrucción de la documentación una vez finalizada la relación contractual.

Por último, durante su ponencia, Eduard resaltó que la imposibilidad de negociar un contrato de encargado con las grandes multinacionales no supone una eximente o atenuación de responsabilidad ante la Agencia Española de Protección de Datos, aspecto que deberá tenerse en cuenta.
También es necesaria una intervención del DPD para cambios menores en la negociación de los contratos de encargados por el departamento legal de las empresas. Y, terminó apuntando que la accountability consiste en verificar el cumplimiento de las medidas de seguridad en detalle y no rellenar un simple formulario.

A continuación, Elena Gil González, nos habló de la complejidad de abarcar toda la normativa digital recientemente legislada en la Unión Europea; destacando, por su importancia, el Reglamento DORA para entidades financieras, NIST2 para operadores críticos o la normativa de Inteligencia artificial, que regula no solo los aspectos de los datos personales sino también todo lo referente a la tecnología. Lo complicado es aplicar las obligaciones de transparencia sobre la lógica de un modelo algorítmico en una empresa.

Elena incidió en el cuidado con la elección del proveedor y que cualquier error en el modelo de inteligencia artificial va a afectar dicha elección. Así como la excesiva maraña contractual, dado que es muy complicado gestionar por el responsable como también elegir un único proveedor, ya que te hace super dependiente del mismo.

Según Gil, una buena praxis es realizar auditorías anuales y si ocurriese algo, por ejemplo, contar con una sospecha fundada de incidencia de cambio normativo, realizar una auditoría extraordinaria. Además, es importante realizar una distribución de la responsabilidad de los terceros en función de las culpas por la importancia de datos que tratan. Igualmente hay que resaltar que la medición de los contratos de encargados de tratamientos en cuanto a eficiencia requiere mucho esfuerzo y recursos para las empresas, así como el control de los subencargados, ya que hay numerosos.

Por último, apuntó que se requieren elementos de homologación de los proveedores para verificar que cumplen con la normativa, pero que la certificación que se obtenga esté vinculada al problema en cuestión para poder eximir de responsabilidad a la empresa como encargado de tratamiento.

2. Gestión de riesgos en proveedores/cadena de suministro y brechas de seguridad.

Posteriormente, Javier Cao Avellaneda, Senior Consultant de Govertis y Marcos Rubiales Olmedo, también consultor senior de Govertis, abordaron la gestión de riesgos en proveedores y cadena de suministro, y analizaron un supuesto de una brecha de seguridad que conllevó la apertura de expediente sancionador por la AEPD.

Javier nos indicó que en el programa de gestión de proveedores tenemos que revisar la norma ISO 27001 y NIST SP-800-161, teniendo en cuenta las fases de evaluar, monitorizar y responder, así como los nuevos controles de la ISO 27001 del 5.19 al 5.23.

Por lo tanto, en la fase in eligiendo vamos a desarrollar la clasificación de los proveedores, disponiendo de un inventario inicial y aplicando una proporcionalidad en la criticidad de los mismos orientada al riesgo.

Por ejemplo, se pueden tener criterios de valoración técnicos, es decir, por la tipología del sector, por el grado de confidencialidad, integridad y disponibilidad (la matriz de KRALJIC) incluso la complejidad del servicio, el riesgo inherente al proveedor, la dependencia y ubicación geográfica.

Deja claro que la intensidad del cumplimiento de los requisitos y garantías debe ser proporcional a la importancia y riesgos del proveedor. Y que incluir las garantías previas en esta fase resulta importante, así como establecer una clasificación de proveedores sin impacto, proveedores normales, proveedores esenciales y proveedores críticos. Establecer desde un contrato general a contratos más específicos con SLA, certificaciones, auditorías de terceras partes, scoring tecnológico y agencia rating para aquellos proveedores más importantes.

En la fase in eligendo + in vigilando se va a tener en cuenta los alcances de la certificación otorgada con las certificaciones en seguridad (ISO 27001, 27701 o 22301) y los resultados de la gestión (indicadores de seguridad, evaluación del mantenimiento tras la auditoría) así como otros elementos ya indicados como la auditoria de tercera parte y de dependencias del proveedor.

Por último, en la fase de respuesta los elementos importantes son: identificar al CISO del proveedor con quien hay que hablar del incidente, definir qué incidentes sufre el proveedor que tiene que estar informado al responsable en todo momento, establecer claramente los criterios de gravedad y escalado. Así como la capacidad de respuesta y tiempos de resolución, los contratos de SLAs y, en definitiva, la penalización e indemnización.

A continuación, Marcos Rubiales expuso un análisis de un expediente sancionador de una brecha de seguridad, a partir del robo y posterior venta no autorizada de una base de datos del CRM del responsable. Entre las medidas que debiera haber implementado estaría el doble factor de autenticación como medida preventiva, clave para esta circunstancia, ya que se accedía al CRM. La AEPD detalló que si esta medida se hubiera implementado se hubiera evitado la incidencia.

También entre otras medidas, estaría la realización de una auditoría de control de los proveedores, que, al producirse a posteriori, no se llega a evitar la incidencia.
O la importancia de contar con procedimientos específicos en materia de protección de datos.

Ilustración 1 – Principales conclusiones del análisis del procedimiento sancionador

3. Transfer Impact Assesment (TIA): Claves prácticas para abordar correctamente las evaluaciones de impacto de transferencias internacionales de datos.

En la parte final de la sesión se realizó un taller por Félix Haro, consultor senior en Govertis, sobre las evaluaciones de impacto de transferencias internacionales de datos personales.

Básicamente, indicó que hay que procurar un nivel equivalente en los países al que marca la UE, el denominado nivel de protección sustancialmente equivalente.
Asimismo, el Considerando 108 del RGPD nos marca cómo conseguir un nivel equivalente y aparte de los instrumentos que pone a disposición el Reglamento, como las cláusulas tipo hay garantías adicionales que no vincula a organismos públicos solo entre las partes.
Al no indicarlo expresamente el RGPD, nos podemos ir a las Recomendaciones 1/2020 CEPD para saber cuáles son las medidas que complementan los instrumentos de transferencia.

El proceso para conocer las transferencias parte del Registro de actividades de tratamiento (RAT), conocer los encargados y subencargados y cumplir con la minimización como principio, aunque los softwares no suelen ser flexibles, y te dan licencia en bloque.

Además, es importante determinar los instrumentos de transferencia con el orden jerárquico:
1. Decisión de adecuación (45).
2. Garantías adecuadas (46).
3. Excepciones.

Además, hay que ver si las cláusulas contractuales tipo se ajustan a uno en función de las circunstancias específicas:
a) Tener en cuenta la legislación de la privacidad.
b) Legislación de vigilancia.
c) Acceso por autoridades públicas.
d) Independencia de las autoridades de Protección de datos.

Incluso hay que evaluar si el instrumento de transferencia es eficaz, con las Recomendaciones 2/2020, analizar la injerencia injustificable con normas claras, precisas, necesidad y proporcionalidad, mecanismos de supervisión independientes, recursos efectivos a disposición del interesado.

En el caso de legislación problemática, podemos suspender la transferencia, aplicar medidas complementarias o no aplicar la legislación problemática.
Un aspecto para verificar la eficacia de nuestro instrumento a utilizar en la transferencia internacional es en base a las fuentes de jurisprudencia, resoluciones e informes de órganos de control.

Una vez que el instrumento de transferencia no es suficiente por las características de la legislación, podemos tomar medidas técnicas en el acceso como el cifrado, en tránsito y local, realizar una transferencia datos seudonimizados, que el receptor esté protegido por legislación local o el tratamiento esté fraccionado.
Es importante tener en cuenta que hay legislaciones en los que hay prohibición de cifrado. Otras medidas como las contractuales entre las que encontramos la utilización de medidas técnicas específicas, la transparencia y responsabilidad proactiva como registro de solicitudes o los métodos de organización y adopción de normas y buenas prácticas.

Incluso hay medidas complementarias como las políticas internas de gobernanza, obligaciones de transparencia (solicitudes de acceso recibidas) o la operativa (puertas traseras software, procesos comerciales, impugnación órdenes) o las auditorías o inspecciones.
Por último, necesitamos realizar una evaluación periódica y un seguimiento, así como cumplir la responsabilidad proactiva.

Ilustración 2 – Ejemplo de transferencia internacional de datos

Por último, en las conclusiones finales, resalta la necesidad de realizar una evaluación de riesgos, calcular el riesgo, verificar la amplitud del tratamiento, verificar las actividades de vigilancia gubernamental y, por supuesto, realizar un control más continuo junto con la agilidad, que en definitiva es un sistema de gestión, así nos permitirá efectuar la evaluación más exhaustiva de las transferencias internacionales de datos.

José Alberto Rueda
Govertis, parte de Telefónica Tech

ÚLTIMAS ACTUALIZACIONES EN MATERIA DE COOKIES

En el presente artículo expondremos las nuevas actualizaciones en materia de cookies, las cuales revisten de una especial importancia, ya que reflejan la continua evolución de las regulaciones y prácticas relacionadas con el tratamiento de cookies en el entorno digital.

En primer lugar, destacamos la actualización de la Guía sobre el uso de las cookies del pasado mes de julio, cuya finalidad era adaptarla a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos (CEPD).

Si bien el objetivo principal de las Directrices era la regulación de las interfaces de las redes sociales, también se afirma que los patrones de diseño engañosos no son exclusivos de tales plataformas, pudiendo incluir sitios web, tiendas en línea, videojuegos, aplicaciones móviles…

No obstante, con la incorporación de tales Directrices a la Guía de cookies, estas exigencias se vieron ampliadas a todos aquellos prestadores de servicio de la sociedad de la información, quienes tuvieron que cumplirlas estableciéndose, como plazo para ello, el pasado 11 de enero de 2024.

Por lo tanto, los prestadores de servicios de la sociedad de la información tendrán la obligación de evitar los patrones engañosos cuando informen acerca del uso de cookies a sus usuarios, en concreto, en lo relativo a las acciones de aceptar o rechazar las cookies. Los patrones que deberán evitar, según lo señalado en las Directrices, serán: la sobrecarga de opciones, omisión de información, señales visuales contradictorias, bloqueo de gestión de datos, así como los diseños inconsistentes, poco claros y oscuros.

Cabe destacar que el principio de licitud del tratamiento (artículo 5 RGPD) es el punto de partida para evaluar la presencia de patrones de diseño engañosos.

En la siguiente imagen que recoge el CEPD en las Directrices, se detallan las categorías de patrones de diseño engañosos y sus subcategorías. De igual modo, se enumeran las disposiciones del RGPD más afectadas por estos tipos de patrones, incluyendo también ejemplos y casos de uso (UC) correspondientes para ayudar a encontrar los diferentes patrones de manera más ágil.

Por otro lado, no debemos olvidar los requisitos de transparencia de la información relativo al uso de cookies, que exigen que la información facilitada en dicha política sea concisa, transparente e inteligible. Además, se deberá utilizar un lenguaje claro y sencillo, evitando frases o palabras que pudieran inducir a error al usuario. Asimismo, la información deberá resultar de fácil acceso y evidente para el usuario en todo momento, tanto a la hora de prestar el consentimiento, como una vez prestado.

Estos requisitos de transparencia serán exigibles tanto en la información facilitada al usuario en las capas 1 y 2, tal y como detallábamos en el anterior artículo “Cookies en el horno: última llamada para su cumplimiento”, del Blog de la Asociación Española para la Calidad (AEC).

Respecto a la información facilitada en la primera capa, la Guía de la AEPD exige que las acciones de aceptar o rechazar cookies se presenten en un lugar y formato destacados, debiendo encontrarse tales acciones en el mismo nivel, sin que resulte más complicado rechazarlas que aceptarlas. Además, se incluyen nuevos ejemplos sobre cómo deben mostrarse estas opciones, ofreciendo indicaciones relativas al color, tamaño y lugar en el que aparecen, entre otros. A modo de ejemplo, el CEPD indica que un tamaño pequeño o un color que no contraste lo suficiente como para ofrecer una clara legibilidad pudiera tener un impacto negativo y resultar engañoso para los usuarios, al igual que modificar los colores de los interruptores de consentimiento.

Otro punto importante de la Guía es la relativa a los llamados “muros de cookies”. Con la nueva actualización se permite que la alternativa a la no aceptación de cookies a la hora de navegación en un sitio web, pueda ser de pago, lo que se traduce en que el usuario puede verse obligado a pagar un precio por acceder a dicha información si no desea la implementación de determinadas cookies que no se encuentran exentas de consentimiento, como las cookies de análisis o medición o de publicidad comportamental. Como se ha podido observar con mayor frecuencia en las últimas semanas, ya son muchas las webs que incluyen el llamado “Pay or OK”, teniendo el usuario, por lo tanto, la opción de aceptar seguir navegando de manera gratuita, a cambio de la instalación de cookies no exentas de consentimiento en su dispositivo, o bien pagar una cuota, lo que le permitirá seguir navegando sin publicidad y, por tanto, sin la instalación de cookies no exentas en sus dispositivos.

El pasado mes de noviembre, la organización austriaca sin ánimo de lucro NOYB (Centro Europeo de Derechos Digitales) planteó una reclamación contra el “Pay or OK” instaurado por META, al ascender la cantidad solicitada por la entidad a cada usuario a un total de 251’88€ al año por “conservar su derecho fundamental a la protección de datos en Instagram y Facebook», tal y como señala la propia organización en su nota de prensa. La organización considera que dicho consentimiento no se trataría de un consentimiento libre, además de ser accesible solamente para personas pudientes económicamente. Quedaremos a la espera de la resolución de la autoridad austriaca de protección de datos al respecto.

Por último, en este mes de enero, la AEPD ha publicado una nueva guía sobre el uso de cookies para herramientas de medición de audiencia. Dicha información se ha incorporado mediante la creación de un Anexo II, lo que implica una nueva actualización de la Guía sobre el uso de cookies.

En esta guía se aborda el uso de herramientas de medición de audiencia y cookies en la gestión de sitios web o aplicaciones móviles por parte de los editores, cuestión esencial para recopilar estadísticas de tráfico o rendimiento necesarias para la prestación del servicio. Asimismo, la guía detalla las condiciones que permiten que determinadas cookies de medición puedan estar exentas de requerir consentimiento, siempre que su propósito sea limitado a la medición exclusiva de la audiencia y se utilicen para producir datos estadísticos anónimos.

A tal efecto, la AEPD considera estrictamente necesario el tratamiento de los siguientes datos, por lo que no será necesario obtener el consentimiento de los usuarios:

• Medición de audiencia, página por página.
• La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual ya sea interna o externa al sitio, por página y agregada diariamente.
• Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente.
• Estadísticas de tiempo de carga de la página, por página y agregadas por hora.
• Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente.
• Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente.

De igual modo, se establecen garantías mínimas para el uso de cookies exentas que deben ser implementadas por el editor, como informar a los usuarios del uso de las cookies a través de políticas de privacidad; limitar la vida útil de las cookies, y conservar la información recopilada por un período específico que no debe superar los 25 meses, debiendo realizarse revisiones periódicas.

Cuando se recurre a un proveedor de servicios de medición de audiencia, se exige un compromiso contractual que prohíba la reutilización de datos y que garantice un tratamiento independiente de datos en caso de servir a más editores. También se requiere que el proveedor restrinja el tratamiento de datos a propósitos específicos y a cumplir con las condiciones para la transferencia de datos fuera de la Unión Europea. Finalmente, será necesaria una evaluación para asegurar que las herramientas del proveedor cumplen con los requisitos establecidos.

En resumen, resulta evidente que el “mundo cookie” ha experimentado numerosas modificaciones en los últimos meses. No obstante, aún estamos a la espera de conocer las acciones que tomarán las autoridades de control, así como la respuesta de los usuarios frente a tales cambios significativos.

Cristina Zato, CdC Privacidad de Govertis part of Telefonica Tech

El papel del DPD en el modelo de organización y gestión del cumplimiento normativo del ámbito penal

De manera sucinta, señalaremos los motivos por los que la figura del Delegado de Protección de Datos (DPD) tiene un papel ineludible y relevante en el modelo de organización y gestión del cumplimiento normativo del ámbito penal. Para ver este nexo de unión, partimos de ver quién es el DPD y qué contempla nuestro Código Penal. No abordaremos, en este breve artículo, la equiparación del modelo de organización y gestión del cumplimiento normativo del ámbito penal y de protección de datos personales; en cuanto a la responsabilidad proactiva o accountability.

Por un lado, el Delegado de Protección de Datos (DPD) es una figura, cuyo nombramiento y designación en una entidad, pública o privada, que efectúa actividades de tratamientos de datos de carácter personal, es obligatoria o, en su caso, de nombramiento y designación voluntaria, conforme al REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD).

El DPD se ocupa, principalmente, de asesorar y supervisar el cumplimiento de la normativa en materia de protección de datos, por parte de la entidad, responsable o encargada del tratamiento de los datos personales.

De acuerdo con el artículo 39.2 RGPD “El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento”.

Por otro lado, nuestro Código Penal contempla determinados delitos, como puede ser el delito de descubrimiento y revelación de secretos. Así, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o una persona con discapacidad necesitada de especial protección, se impondrán las penas previstas en su mitad superior (artículo 197.5 Código Penal).
Además, cabe decir que, el Código Penal, en el artículo 31.bis. 5, 1º y 4º, determina que, los elementos básicos del modelo de prevención de delitos, cuya responsabilidad penal pueda atribuirse a una persona jurídica, son, tanto la “identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos” como “la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.”
Es por esto que, en el modelo de organización y gestión del cumplimiento normativo del ámbito penal [que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión], la figura del Delegado de Protección de Datos debiera estar presente.

De este modo, analizando una parte de las funciones del DPD, se puede apreciar que:
• A fin de evitar la comisión de delitos, en el que el bien jurídico afectado fuera, por ejemplo, datos de categoría especial de la persona física, con el descubrimiento o revelación de secretos, la adopción medidas de seguridad, a nivel organizativo o técnico, conforme al artículo 32 del RGPD, es pertinente. Si no se aplica de forma adecuada la seguridad, además de la comisión de infracción de la normativa en protección de datos, puede dar lugar también a la comisión de delito; así a la persona jurídica, responsable del tratamiento de los datos personales o información, podría atribuirse responsabilidad penal.

• En todo caso, cabe recordar que, para que un hecho suponga responsabilidad penal de la persona jurídica, debe ser necesario que las medidas que han sido adoptadas estén directamente relacionadas o sean de la misma naturaleza que el delito que se trató de evitar; es decir, si la entidad, por ejemplo, no dispone de un control de accesos a la información para los distintos perfiles, no dispone de una política de seguridad o no puede evidenciarse que el personal tiene conocimiento de los controles implementados en la entidad, puede suponerse que no se han adoptado las medidas necesarias para minimizar el riesgo o “evitar” la comisión del delito. De modo que, la persona jurídica podría tener que responder de la comisión de aquellos hechos cometidos por el personal de su organización y que han supuesto una lesión del bien jurídico a proteger, en este caso, la intimidad de las personas físicas.

• Por otro lado, el DPD, dentro de un modelo de prevención de delitos, puede configurarse como una de las líneas de defensa dentro de la organización, pudiendo estar vinculado tanto con la 1ª como con la 2ª línea de defensa.

En este caso, el DPD debe contribuir a la adecuada implantación de aquellos controles que vengan directamente vinculados a la normativa de protección de datos, como la asignación de responsabilidades dentro de los departamentos de la entidad, la concienciación y formación del personal que participa en las operaciones de tratamiento de los datos, la adopción de las medidas de seguridad técnicas relacionadas con el artículo 32 del RGGPD y, por último, la realización de las correspondientes auditorías de aplicación de esos controles.

La aplicación de determinados controles puede contribuir a minimizar el riesgo de que pueda cometerse alguno de los tipos delictivos, que están directamente relacionados con la protección de datos y, por tanto, reducir la posibilidad de que la organización deba responder jurídicamente de los hechos derivados del incumplimiento de estos controles.

Ahora bien, en relación con esto, el DPD no debiera auditar las medidas de seguridad que él mismo hubiera indicado a la entidad responsable. De modo que, la auditoria debiera realizarse por persona externa; con esto, se acudiría a la llamada 4ª línea de defensa, la auditoría externa.

En definitiva, el papel del DPD, en el modelo de organización y gestión del cumplimiento normativo del ámbito penal, es pertinente, debiendo estar cuantas instrucciones emita, a la entidad responsable o encargada del tratamiento de los datos personales, contempladas en el el programa de cumplimiento normativo adoptar para la prevención de la comisión de delitos imputables a la persona jurídica.

Carolina Tella. GRC Consultant.
Equipo Govertis

La nueva Guía de Protección de Datos en las Relaciones Laborales

Recientemente se ha presentado por parte de la AEPD una nueva guía que viene a interpretar la legislación en un ámbito muy concreto y muy conflictivo: Las relaciones laborales.

En este artículo no se conseguirá realizar un análisis pormenorizado de dicho documento, no obstante, sí que aprovecharemos para transmitir los comentarios principales que pueden extraerse del nuevo recurso.

Inicia esta nueva guía con referencias a cuestiones o aspectos generales que, si bien podrían estar más o menos claros, siempre es bueno reforzar las ideas. Así, se deja claro el concepto de dato personal para entender que la materia de la que se hablará, sin duda, se encuentra dentro del ámbito, además de proceder con un análisis de las causas de legitimación para el tratamiento de este tipo de datos, en donde, como esperado, se identifica a la relación contractual como legitimación principal, a pesar de que puedan existir otras. Hasta aquí, nada en especial.

Tampoco se aprecia gran aportación en los siguientes apartados y, de hecho, son bastante breves, cuando se habla de la información debida a las personas trabajadoras y de los derechos que éstas, al igual que cualquier interesado, tienen a disposición para ejercitar.

Sin embargo, más interesante nos parece la referencia a la minimización de los datos en el marco de la relación laboral, ya que suele ser un tema debatido en alguna de sus manifestaciones prácticas. En este sentido, además de ilustrar sobré qué datos podrían considerarse esenciales para la gestión de la relación contractual y dejar claro que otros que no sean esenciales deberán respetar otras causas de licitud, la guía nos ofrece algún ejemplo entre los que consideramos interesante destacar las líneas dedicadas al tratamiento de datos de contacto de las personas trabajadoras. Aquí, y a pesar de reconocer la jurisprudencia generada por el Tribunal Supremo sobre esta temática, la guía deja abierta la posibilidad de que estos datos puedan o no utilizarse dependiendo, como no, del caso concreto. De hecho, literalmente, la guía establece una conclusión tan lógica y práctica que podría considerarse una evidencia (aunque muchas veces se olvide), cuando dice que “…parece necesario para la ejecución del contrato que el empleador disponga de alguna vía de comunicación con las personas trabajadoras…”. Efectivamente, y a pesar de las malísimas prácticas existentes en la realidad, en algunas ocasiones, siendo minimalistas y descartando todo lo que no es importante, los contactos de una persona están para eso, para contactarle cuando sea preciso para la ejecución o gestión de la relación laboral.

Analizada esta primera situación, un poco polémica, la guía continúa alertando de los deberes en el acceso a datos de carácter personal. Y aquí se recuerda cuál es la principal obligación en esta materia: el deber de secreto. Es cierto que en no pocas ocasiones, este deber se materializa a través de acuerdos de confidencialidad que los trabajadores son obligados a firmar. De cualquier forma, parece que esta obligación, que supone la materialización de ese deber en la práctica, no sería tan necesaria conociendo que la propia LOPDGDD e, incluso, el RGPD, ya contienen esta estipulación, por lo que esta guía se centra en advertir que deberá ser transmitida la debida formación a todos los empleados para que conozcan sus deberes, así como la necesidad de crear políticas en donde se confirmen formalmente los mismos principios y deberes a los que nos estamos refiriendo, sin “el estrés” de materializar algo que dependa de que los trabajadores pueda decidir si aceptan o no esos compromisos de confidencialidad.

Por otro lado, en cuanto al proceso de selección y contratación, fuera ya de estos aspectos más generales que terminan, por cierto, con una referencia a las transferencias internacionales que no tiene nada diferente al régimen habitual, el documento se centra en diferentes cuestiones típicas de esta fase. Lo hace de una forma bastante esquemática, transmitiendo, a fin de cuentas, que:

• Límites al tratamiento: Destacan los siguientes comentarios:
• La causa de licitud que legitima la recogida de CV no es el consentimiento, conforme se suele ver en la práctica. Es la definición de medidas precontractuales con la intención de concluir un contrato. Aunque podrán existir otras.
• Evidentemente, en la convocatoria o concurso publicado para recabar CV debe constar la correspondiente cláusula informativa. Esta obligación alcanza los supuestos en los que la persona haya enviado el CV sin habérsele solicitado previamente.
• Es necesario respetar el principio de minimización: Desde nuestro punto de ista personal, esta mención es importante, especialmente, en el ámbito del Sector Público, cuando se recogen datos personales a empresas licitadoras que no serán posteriormente adjudicatarios.
• Redes sociales: Las personas candidatas y las personas trabajadoras no están obligadas a permitir la indagación del empleador en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato.

• Entrevistas: Hay que tener una cierta cautela en la información solicitada en la entrevista de trabajo, para no vulnerar, además del artículo 6 RGPD, otros principios constitucionales.

• Colaboración entre empresas: Se definen claramente los roles de las empresas de trabajo temporal o las agencias de colocación. Las primeras, una vez que actúan previamente, de acuerdo con su objeto de negocio, en la búsqueda y selección de personal para ofrecer directamente en caso de requerimiento, se configuran como Responsables del Tratamiento. En cuanto a las segundas, su rol dependerá de cómo se configure la relación, es decir, si actúan previamente a la solicitud de una empresa para la búsqueda de personal, serán Responsables del Tratamiento. En el otro caso, serán Encargadas del Tratamiento, ya que buscarán personal por cuenta de sus clientes.

• Decisiones automatizadas: Se consideran válidas, aunque dotando al proceso de las garantías suficientes para evitar discriminación. Es decir, es posible determinar unos requisitos que se deban cumplir y que los candidatos sean automáticamente descartados si no disponen, por ejemplo, de alguna titulación o requisito esencial; no obstante, no podrán ser excluidos por razones discriminatorias y deberá garantizarse una participación humana que pueda resolver las dificultades que puedan surgir.

• Datos especialmente sensibles: Es posible recabarlos, principalmente, en dos supuestos: Reconocimientos médicos, o pruebas psicológicas o psicotécnicas.

• Conservación en caso de no contratación: Literalmente, la guía ofrece las pautas a seguir: “Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento de datos, por lo que sería necesario su consentimiento para un futuro tratamiento (por ejemplo, incorporación a una bolsa de trabajo), salvo que el empleador pueda demostrar un interés legítimo. En caso contrario, debe destruir el currículum y proceder a la supresión y bloqueo de los datos personales”.

Tras analizar las distintas cuestiones generales con relación a la materia que nos ocupa, así como las vicisitudes del proceso de selección y la protección de datos, la reciente guía sobre relaciones laborales trata con detalle el transcurso de éstas, así como otros asuntos complementarios e íntimamente ligados, como son el control de la actividad laboral, la representación y la vigilancia en la salud. Al igual que antes, ofrece respuestas para situaciones singulares que bien interesantes son debido a la frecuencia con la que aparecen en la práctica jurídica sobre esta materia como, por ejemplo, los sistemas de denuncias internos, el registro de la jornada, el registro de salarios, cesiones a otras empresas, u otras similares.

Una vez que este asunto requiere de un análisis exhaustivo, si estás interesado en ampliar tus conocimientos sobre esta materia o en refrendar tus habilidades, la AEC ofrece el siguiente curso de especialización para que puedas fortalecer tus conocimientos: Protección de Datos y Relaciones Laborales | ONLINE – Oferta especial! | AEC

David Barrientos

Equipo Govertis

Mi organización ha sido víctima de un ataque ransomware, ¿Cómo debo actuar?

El ransomware es un tipo de malware en continua evolución que impide el acceso a la información de un dispositivo, amenazando con destruirla o hacerla pública si las víctimas no acceden a pagar un rescate en un determinado plazo. Este se propaga, como otros tipos de malware, por múltiples vías: a través de campañas de spam, vulnerabilidades o malas configuraciones de software, actualizaciones de software falsas, canales de descarga de software no confiables y herramientas de activación de programas no oficiales (cracking). Los ciberdelincuentes tratan de que el usuario abra un archivo adjunto infectado o haga clic en un vínculo que le lleve al sitio web del atacante, donde será infectado. Actualmente, además del bloqueo de la información, la tendencia es que amenacen con la publicación de información confidencial.[1]

Si bien durante los años 2018 y 2019 ya destacaban las notificaciones de brechas de seguridad recibidas en la Agencia Española de Protección de Datos (AEPD) que tenían origen en ataques ransomware, desde 2020, y especialmente en 2021, este tipo de ataques empiezan a ser notablemente protagonistas.

No hay más que echar un vistazo a sus tres últimos Informes de Notificaciones de Brechas de Seguridad de los Datos Personales -los relativos a los meses de enero, febrero y marzo de 2021- donde se hace eco de esta cuestión[2]:

• “Las brechas de seguridad causadas por malware de tipo ransomware siguen siendo protagonistas, afectando a organizaciones de todo tipo”. (Enero 2021)
• “Durante el mes de febrero se ha experimentado un incremento sustancial en las notificaciones recibidas respecto a enero. Un incidente de seguridad de tipo ransomware en un encargado de tratamiento que ha causado brechas de seguridad con consecuencias diversas en varios responsables, principalmente de Cataluña, ha producido este incremento”. (Febrero 2021)
• “El ransomware vuelve a tener un papel destacado produciendo brechas de datos personales en servicios públicos y privados de toda índole, comprometiendo no solo la disponibilidad sino también la confidencialidad de los datos personales”. (Marzo 2021)

Dada la proliferación de estos ataques, en el presente artículo trataremos de aportar una serie de consejos básicos para evitarlos, así como unas pautas a seguir desde el momento en que tengamos constancia de que nuestra organización ha sido víctima de un ataque de estas características.

¿CÓMO EVITARLO?

Para evitar el ransomware podemos adoptar una serie de medidas técnicas, para que nuestros sistemas no tengan agujeros de seguridad, manteniéndolos actualizados y bien configurados.

Es fundamental tener los sistemas operativos, navegadores y aplicaciones actualizados, realizar controles periódicos, realizar copias de seguridad periódicas y conservar una en un lugar diferente, utilizar contraseñas robustas, controlar adecuadamente las cuentas de usuario y administrador y concienciar y formar al personal de la organización.

El Centro Criptológico Nacional (CCN-CERT) nos proporciona medidas más específicas en su informe ‘Medidas de Seguridad contra ransomware’[3], así como el Instituto Nacional de Ciberseguridad (INCIBE). De este último, se puede consultar la Guía ‘Ransomware. Una Guía de aproximación para el empresario’.[4]

SI YA HEMOS DETECTADO EL ATAQUE ¿CÓMO DEBEMOS ACTUAR?

¿Debemos pagar el rescate?

Las diferentes autoridades y organismos en materia de protección de datos y seguridad de la información coinciden en que no se debe pagar el rescate, por los siguientes motivos:

• Pagar no te garantiza que volverás a tener acceso a los datos.
• Si pagas es posible que seas objeto de ataques posteriores pues, ya saben que estás dispuesto a pagar.
• Puede que te soliciten una cifra mayor una vez hayas pagado.
• Pagar fomenta el negocio de los ciberdelincuentes.

¿Debe denunciarse ante las Fuerzas y Cuerpos de Seguridad del Estado?

INCIBE recomienda denunciar el incidente para que se investigue el origen del delito. Así, se puede colaborar en las labores de prevención a otras entidades y en las acciones para capturar al ciberdelincuente[5]:

• Guardia civil – Grupo de delitos telemáticos
• Policía nacional – Brigada de Investigación Tecnológica (BIT)

¿Debe notificarse a algún organismo o autoridad de control? ¿Y a los interesados?

Además de reportarlo al centro de respuesta a incidente de ciberseguridad, si la incidencia afecta a datos de carácter personal, el responsable del tratamiento debe notificarlo a la autoridad de control competente, sin dilación indebida y, de ser posible, a más tardar, 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

La Guía para la gestión y notificación de brechas de seguridad de la AEPD, en su anterior versión, establecía una fórmula orientativa para la comunicación de violaciones de seguridad a la autoridad de control. En su nueva versión, no obstante, suprime dicha fórmula, y nos remite a las ‘Directrices 01/2021 de ejemplos sobre notificación de brechas de seguridad del Comité Europeo de Protección de Datos (CEPD)’[6], donde podemos encontrar ejemplos de brechas de seguridad y los factores a tener en cuenta para evaluar la necesidad de notificar a la autoridad de control competente.

En el caso de los interesados, la comunicación a estos será necesaria cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para sus derechos y libertades de las personas físicas. Para valorar si procede esta comunicación disponemos de la herramienta Comunica-Brecha RGPD de la AEPD[7], aunque esta ya ha señalado que el uso de esta herramienta no sustituye en ningún caso la necesaria valoración del nivel de riesgo por parte del responsable, que es quien mejor conoce los detalles del tratamiento de datos personales que realiza, las características de los sujetos de datos, las circunstancias de la brecha de seguridad y el resto de los factores que permiten obtener una valoración del riesgo acertada. También nos podemos apoyar en este caso en las Directrices del CEPD.

DIRECTRICES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

De los diferentes procedimientos en los que la AEPD se ha pronunciado, en asuntos relacionados este tipo de incidentes, se desprende que una buena gestión de un incidente de seguridad originado por un ataque ransomware, conlleva que:

• De manera previa al incidente, la organización cuente con medidas para evitar el ataque o, al menos, minimizar el impacto.
• Se dispongan de protocolos de actuación para afrontar incidentes de este tipo.
• Con posterioridad al incidente, la organización aplique medidas de seguridad adicionales.
• La organización denuncie los hechos ante las Fuerzas y Cuerpos de Seguridad del Estado.
• Se genere documentación de todo el proceso de detección, contención, respuesta y se custodien las evidencias.
• Se realice un informe final sobre el incidente.
• Se notifique la brecha a quien corresponda, según la valoración del riesgo realizada.

Nerea San Martín

Equipo Govertis

[1] Ransomware. Una guía de aproximación para el empresario (INCIBE): https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ransomware.pdf

[2] Informes brechas de seguridad AEPD: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/brechas-de-seguridad

[3] Medidas de seguridad contra el ransomware (CCN): https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2877-ccn-cert-ia-11-18-medidas-de-seguridad-contra-ransomware/file.html

[4] ‘Ransomware. Una Guía de aproximación para el empresario’: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ransomware.pdf

[5] Ayuda ransomware: https://www.incibe.es/protege-tu-empresa/herramientas/servicio-antiransomware

[6] Directrices 01/2021 de ejemplos sobre notificación de brechas de seguridad del Comité Europeo de Protección de Datos (CEPD):  https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-012021-examples-regarding-data-breach_es

[7] Comunica Brecha – RGPD (AEPD): https://www.aepd.es/es/guias-y-herramientas/herramientas/comunica-brecha-rgpd