phone 915 752 750 email aec@aec.es

    La nueva Guía de Protección de Datos en las Relaciones Laborales

    7 junio, 2021 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    Recientemente se ha presentado por parte de la AEPD una nueva guía que viene a interpretar la legislación en un ámbito muy concreto y muy conflictivo: Las relaciones laborales.

    En este artículo no se conseguirá realizar un análisis pormenorizado de dicho documento, no obstante, sí que aprovecharemos para transmitir los comentarios principales que pueden extraerse del nuevo recurso.

    Inicia esta nueva guía con referencias a cuestiones o aspectos generales que, si bien podrían estar más o menos claros, siempre es bueno reforzar las ideas. Así, se deja claro el concepto de dato personal para entender que la materia de la que se hablará, sin duda, se encuentra dentro del ámbito, además de proceder con un análisis de las causas de legitimación para el tratamiento de este tipo de datos, en donde, como esperado, se identifica a la relación contractual como legitimación principal, a pesar de que puedan existir otras. Hasta aquí, nada en especial.

    Tampoco se aprecia gran aportación en los siguientes apartados y, de hecho, son bastante breves, cuando se habla de la información debida a las personas trabajadoras y de los derechos que éstas, al igual que cualquier interesado, tienen a disposición para ejercitar.

    Sin embargo, más interesante nos parece la referencia a la minimización de los datos en el marco de la relación laboral, ya que suele ser un tema debatido en alguna de sus manifestaciones prácticas. En este sentido, además de ilustrar sobré qué datos podrían considerarse esenciales para la gestión de la relación contractual y dejar claro que otros que no sean esenciales deberán respetar otras causas de licitud, la guía nos ofrece algún ejemplo entre los que consideramos interesante destacar las líneas dedicadas al tratamiento de datos de contacto de las personas trabajadoras. Aquí, y a pesar de reconocer la jurisprudencia generada por el Tribunal Supremo sobre esta temática, la guía deja abierta la posibilidad de que estos datos puedan o no utilizarse dependiendo, como no, del caso concreto. De hecho, literalmente, la guía establece una conclusión tan lógica y práctica que podría considerarse una evidencia (aunque muchas veces se olvide), cuando dice que “…parece necesario para la ejecución del contrato que el empleador disponga de alguna vía de comunicación con las personas trabajadoras…”. Efectivamente, y a pesar de las malísimas prácticas existentes en la realidad, en algunas ocasiones, siendo minimalistas y descartando todo lo que no es importante, los contactos de una persona están para eso, para contactarle cuando sea preciso para la ejecución o gestión de la relación laboral.

    Analizada esta primera situación, un poco polémica, la guía continúa alertando de los deberes en el acceso a datos de carácter personal. Y aquí se recuerda cuál es la principal obligación en esta materia: el deber de secreto. Es cierto que en no pocas ocasiones, este deber se materializa a través de acuerdos de confidencialidad que los trabajadores son obligados a firmar. De cualquier forma, parece que esta obligación, que supone la materialización de ese deber en la práctica, no sería tan necesaria conociendo que la propia LOPDGDD e, incluso, el RGPD, ya contienen esta estipulación, por lo que esta guía se centra en advertir que deberá ser transmitida la debida formación a todos los empleados para que conozcan sus deberes, así como la necesidad de crear políticas en donde se confirmen formalmente los mismos principios y deberes a los que nos estamos refiriendo, sin “el estrés” de materializar algo que dependa de que los trabajadores pueda decidir si aceptan o no esos compromisos de confidencialidad.

    Por otro lado, en cuanto al proceso de selección y contratación, fuera ya de estos aspectos más generales que terminan, por cierto, con una referencia a las transferencias internacionales que no tiene nada diferente al régimen habitual, el documento se centra en diferentes cuestiones típicas de esta fase. Lo hace de una forma bastante esquemática, transmitiendo, a fin de cuentas, que:

    • Límites al tratamiento: Destacan los siguientes comentarios:
    • La causa de licitud que legitima la recogida de CV no es el consentimiento, conforme se suele ver en la práctica. Es la definición de medidas precontractuales con la intención de concluir un contrato. Aunque podrán existir otras.
    • Evidentemente, en la convocatoria o concurso publicado para recabar CV debe constar la correspondiente cláusula informativa. Esta obligación alcanza los supuestos en los que la persona haya enviado el CV sin habérsele solicitado previamente.
    • Es necesario respetar el principio de minimización: Desde nuestro punto de ista personal, esta mención es importante, especialmente, en el ámbito del Sector Público, cuando se recogen datos personales a empresas licitadoras que no serán posteriormente adjudicatarios.
    • Redes sociales: Las personas candidatas y las personas trabajadoras no están obligadas a permitir la indagación del empleador en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato.
    • Entrevistas: Hay que tener una cierta cautela en la información solicitada en la entrevista de trabajo, para no vulnerar, además del artículo 6 RGPD, otros principios constitucionales.
    • Colaboración entre empresas: Se definen claramente los roles de las empresas de trabajo temporal o las agencias de colocación. Las primeras, una vez que actúan previamente, de acuerdo con su objeto de negocio, en la búsqueda y selección de personal para ofrecer directamente en caso de requerimiento, se configuran como Responsables del Tratamiento. En cuanto a las segundas, su rol dependerá de cómo se configure la relación, es decir, si actúan previamente a la solicitud de una empresa para la búsqueda de personal, serán Responsables del Tratamiento. En el otro caso, serán Encargadas del Tratamiento, ya que buscarán personal por cuenta de sus clientes.
    • Decisiones automatizadas: Se consideran válidas, aunque dotando al proceso de las garantías suficientes para evitar discriminación. Es decir, es posible determinar unos requisitos que se deban cumplir y que los candidatos sean automáticamente descartados si no disponen, por ejemplo, de alguna titulación o requisito esencial; no obstante, no podrán ser excluidos por razones discriminatorias y deberá garantizarse una participación humana que pueda resolver las dificultades que puedan surgir.
    • Datos especialmente sensibles: Es posible recabarlos, principalmente, en dos supuestos: Reconocimientos médicos, o pruebas psicológicas o psicotécnicas.
    • Conservación en caso de no contratación: Literalmente, la guía ofrece las pautas a seguir: “Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento de datos, por lo que sería necesario su consentimiento para un futuro tratamiento (por ejemplo, incorporación a una bolsa de trabajo), salvo que el empleador pueda demostrar un interés legítimo. En caso contrario, debe destruir el currículum y proceder a la supresión y bloqueo de los datos personales”.

    Tras analizar las distintas cuestiones generales con relación a la materia que nos ocupa, así como las vicisitudes del proceso de selección y la protección de datos, la reciente guía sobre relaciones laborales trata con detalle el transcurso de éstas, así como otros asuntos complementarios e íntimamente ligados, como son el control de la actividad laboral, la representación y la vigilancia en la salud. Al igual que antes, ofrece respuestas para situaciones singulares que bien interesantes son debido a la frecuencia con la que aparecen en la práctica jurídica sobre esta materia como, por ejemplo, los sistemas de denuncias internos, el registro de la jornada, el registro de salarios, cesiones a otras empresas, u otras similares.

    Una vez que este asunto requiere de un análisis exhaustivo, si estás interesado en ampliar tus conocimientos sobre esta materia o en refrendar tus habilidades, la AEC ofrece el siguiente curso de especialización para que puedas fortalecer tus conocimientos: Protección de Datos y Relaciones Laborales | ONLINE – Oferta especial! | AEC

    David Barrientos

    Equipo Govertis

    KEEP READING

    Mi organización ha sido víctima de un ataque ransomware, ¿Cómo debo actuar?

    27 mayo, 2021 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    El ransomware es un tipo de malware en continua evolución que impide el acceso a la información de un dispositivo, amenazando con destruirla o hacerla pública si las víctimas no acceden a pagar un rescate en un determinado plazo. Este se propaga, como otros tipos de malware, por múltiples vías: a través de campañas de spam, vulnerabilidades o malas configuraciones de software, actualizaciones de software falsas, canales de descarga de software no confiables y herramientas de activación de programas no oficiales (cracking). Los ciberdelincuentes tratan de que el usuario abra un archivo adjunto infectado o haga clic en un vínculo que le lleve al sitio web del atacante, donde será infectado. Actualmente, además del bloqueo de la información, la tendencia es que amenacen con la publicación de información confidencial.[1]

    Si bien durante los años 2018 y 2019 ya destacaban las notificaciones de brechas de seguridad recibidas en la Agencia Española de Protección de Datos (AEPD) que tenían origen en ataques ransomware, desde 2020, y especialmente en 2021, este tipo de ataques empiezan a ser notablemente protagonistas.

    No hay más que echar un vistazo a sus tres últimos Informes de Notificaciones de Brechas de Seguridad de los Datos Personales -los relativos a los meses de enero, febrero y marzo de 2021- donde se hace eco de esta cuestión[2]:

    • “Las brechas de seguridad causadas por malware de tipo ransomware siguen siendo protagonistas, afectando a organizaciones de todo tipo”. (Enero 2021)
    • “Durante el mes de febrero se ha experimentado un incremento sustancial en las notificaciones recibidas respecto a enero. Un incidente de seguridad de tipo ransomware en un encargado de tratamiento que ha causado brechas de seguridad con consecuencias diversas en varios responsables, principalmente de Cataluña, ha producido este incremento”. (Febrero 2021)
    • “El ransomware vuelve a tener un papel destacado produciendo brechas de datos personales en servicios públicos y privados de toda índole, comprometiendo no solo la disponibilidad sino también la confidencialidad de los datos personales”. (Marzo 2021)

    Dada la proliferación de estos ataques, en el presente artículo trataremos de aportar una serie de consejos básicos para evitarlos, así como unas pautas a seguir desde el momento en que tengamos constancia de que nuestra organización ha sido víctima de un ataque de estas características.

    ¿CÓMO EVITARLO?

    Para evitar el ransomware podemos adoptar una serie de medidas técnicas, para que nuestros sistemas no tengan agujeros de seguridad, manteniéndolos actualizados y bien configurados.

    Es fundamental tener los sistemas operativos, navegadores y aplicaciones actualizados, realizar controles periódicos, realizar copias de seguridad periódicas y conservar una en un lugar diferente, utilizar contraseñas robustas, controlar adecuadamente las cuentas de usuario y administrador y concienciar y formar al personal de la organización.

    El Centro Criptológico Nacional (CCN-CERT) nos proporciona medidas más específicas en su informe ‘Medidas de Seguridad contra ransomware’[3], así como el Instituto Nacional de Ciberseguridad (INCIBE). De este último, se puede consultar la Guía ‘Ransomware. Una Guía de aproximación para el empresario’.[4]

    SI YA HEMOS DETECTADO EL ATAQUE ¿CÓMO DEBEMOS ACTUAR?

    ¿Debemos pagar el rescate?

    Las diferentes autoridades y organismos en materia de protección de datos y seguridad de la información coinciden en que no se debe pagar el rescate, por los siguientes motivos:

    • Pagar no te garantiza que volverás a tener acceso a los datos.
    • Si pagas es posible que seas objeto de ataques posteriores pues, ya saben que estás dispuesto a pagar.
    • Puede que te soliciten una cifra mayor una vez hayas pagado.
    • Pagar fomenta el negocio de los ciberdelincuentes.

    ¿Debe denunciarse ante las Fuerzas y Cuerpos de Seguridad del Estado?

    INCIBE recomienda denunciar el incidente para que se investigue el origen del delito. Así, se puede colaborar en las labores de prevención a otras entidades y en las acciones para capturar al ciberdelincuente[5]:

    • Guardia civil – Grupo de delitos telemáticos
    • Policía nacional – Brigada de Investigación Tecnológica (BIT)

    ¿Debe notificarse a algún organismo o autoridad de control? ¿Y a los interesados?

    Además de reportarlo al centro de respuesta a incidente de ciberseguridad, si la incidencia afecta a datos de carácter personal, el responsable del tratamiento debe notificarlo a la autoridad de control competente, sin dilación indebida y, de ser posible, a más tardar, 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

    La Guía para la gestión y notificación de brechas de seguridad de la AEPD, en su anterior versión, establecía una fórmula orientativa para la comunicación de violaciones de seguridad a la autoridad de control. En su nueva versión, no obstante, suprime dicha fórmula, y nos remite a las ‘Directrices 01/2021 de ejemplos sobre notificación de brechas de seguridad del Comité Europeo de Protección de Datos (CEPD)’[6], donde podemos encontrar ejemplos de brechas de seguridad y los factores a tener en cuenta para evaluar la necesidad de notificar a la autoridad de control competente.

    En el caso de los interesados, la comunicación a estos será necesaria cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para sus derechos y libertades de las personas físicas. Para valorar si procede esta comunicación disponemos de la herramienta Comunica-Brecha RGPD de la AEPD[7], aunque esta ya ha señalado que el uso de esta herramienta no sustituye en ningún caso la necesaria valoración del nivel de riesgo por parte del responsable, que es quien mejor conoce los detalles del tratamiento de datos personales que realiza, las características de los sujetos de datos, las circunstancias de la brecha de seguridad y el resto de los factores que permiten obtener una valoración del riesgo acertada. También nos podemos apoyar en este caso en las Directrices del CEPD.

    DIRECTRICES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

    De los diferentes procedimientos en los que la AEPD se ha pronunciado, en asuntos relacionados este tipo de incidentes, se desprende que una buena gestión de un incidente de seguridad originado por un ataque ransomware, conlleva que:

    • De manera previa al incidente, la organización cuente con medidas para evitar el ataque o, al menos, minimizar el impacto.
    • Se dispongan de protocolos de actuación para afrontar incidentes de este tipo.
    • Con posterioridad al incidente, la organización aplique medidas de seguridad adicionales.
    • La organización denuncie los hechos ante las Fuerzas y Cuerpos de Seguridad del Estado.
    • Se genere documentación de todo el proceso de detección, contención, respuesta y se custodien las evidencias.
    • Se realice un informe final sobre el incidente.
    • Se notifique la brecha a quien corresponda, según la valoración del riesgo realizada.

    Nerea San Martín

    Equipo Govertis

    [1] Ransomware. Una guía de aproximación para el empresario (INCIBE): https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ransomware.pdf
    [2] Informes brechas de seguridad AEPD: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/brechas-de-seguridad
    [3] Medidas de seguridad contra el ransomware (CCN): https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2877-ccn-cert-ia-11-18-medidas-de-seguridad-contra-ransomware/file.html
    [4] ‘Ransomware. Una Guía de aproximación para el empresario’: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ransomware.pdf
    [5] Ayuda ransomware: https://www.incibe.es/protege-tu-empresa/herramientas/servicio-antiransomware
    [6] Directrices 01/2021 de ejemplos sobre notificación de brechas de seguridad del Comité Europeo de Protección de Datos (CEPD):  https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-012021-examples-regarding-data-breach_es
    [7] Comunica Brecha – RGPD (AEPD): https://www.aepd.es/es/guias-y-herramientas/herramientas/comunica-brecha-rgpd
    KEEP READING

    Memoria AEPD 2020: El DPD como valor diferencial

    7 mayo, 2021 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    La Agencia Española de Protección de Datos ha publicado recientemente su Memoria Anual de 2020, en la que se recogen las actividades más relevantes llevadas a cabo por la institución durante un año marcado por la pandemia, y en el que la AEPD ha empezado a mostrar mayor contundencia en la imposición de sanciones, cuya continuidad estamos observando en 2021 con multas tan gravosas como las recaídas a Caixabank o Vodafone, por citar solo dos ejemplos.

    Uno de los apartados más interesantes en esta Memoria es el que hace referencias a “La agencia en cifras”, que permite obtener una visión global del “estado del arte”, así como observar determinados aspectos y tendencias de las cuales extraer conclusiones interesantes.

    Queremos detenernos hoy en los datos relativos a la intervención del DPD ante las reclamaciones por incumplimientos de protección de datos, función esencial que le atribuye el RGPD y concreta la LOPD-GDD, cuya contribución a la tutela de este derecho fundamental y, consecuentemente, a la disminución de sanciones, se está demostrando capital.

    Esta función mediadora trae causa en la articulación de la figura del DPD como punto de contacto con las autoridades de control y los interesados. El artículo 39 señala entre sus atribuciones la de “cooperar con la autoridad de control”. La LOPDGDD, por su parte, establece en su artículo 36 que el DPD “actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos”.

    Así mismo, el artículo 38 del RGPD indica que “Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento”.

    En base a esta posición que ocupa el DPD, la LOPDGDD concreta su participación en los supuestos de reclamaciones ante las autoridades de protección de datos. El artículo 37 destaca que ”Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos el afectado podrá, con carácter previo a la presentación de una reclamación contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, dirigirse al delegado de protección de datos de la entidad contra la que se reclame”. En este caso, “el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación”.

    Es importante matizar aquí que, aunque la norma no lo precise, debe entenderse que esa decisión la adoptará el responsable o encargado, y que el delegado actuará, además de asesorando a los citados, como intermediario en la gestión de la misma.

    En el supuesto en el que la reclamación se presente directamente ante ”la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al delegado de protección de datos a fin de que este responda en el plazo de un mes”.

    La participación del DPD en los supuestos reseñados tiene lugar en la fase de admisión a trámite de las reclamaciones. Así se recoge en el artículo 65 de la LOPD-GDD:

    1. Cuando se presentase ante la Agencia Española de Protección de Datos una reclamación, esta deberá evaluar su admisibilidad a trámite, de conformidad con las previsiones de este artículo.

    (…)

    1. Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica.

    Por tanto, la participación del DPD puede dar lugar a que la reclamación no sea admitida a trámite, en tanto aporte información que contribuya a clarificar la situación, de manera que se pueda determinar que no existe infracción de la normativa de protección de datos, o bien se puedan corregir a tiempo los posibles incumplimientos y se adopten las medidas preventivas para evitar que se vuelvan a producir los hechos que dieron lugar a la reclamación. La inadmisión a trámite conduciría al archivo, por lo que ni siquiera se iniciarían las actuaciones previas de investigación, previas a una eventual apertura de procedimiento sancionador.

     

    Volviendo a la Memoria de la AEPD, podemos comprobar que esta novedosa función del DPD no es puramente cosmética, y que su eficacia está más que demostrada, poniendo en valor la ventaja diferencial de contar con esta figura en una organización, más allá de que su nombramiento sea o no preceptivo.

    Según los datos de 2020, y siguiendo la tendencia de 2019, casi el 80 % de las reclamaciones que se dieron traslado al responsable o encargado y al delegado de protección de datos acabaron archivadas.

    Ilustración 1- Memoria AEPD 2020. Tipos de resoluciones

     

    De las 4.396 reclamaciones que superaron la fase de análisis inicial que realiza la AEPD, 3.405 se resolvieron tras la fase de traslado. Esto no solo supone una mayor rapidez en la resolución de las reclamaciones, sino también una descarga de trabajo en la autoridad de control -para nada sobrada de efectivos-, y, por encima de todo, una minimización del riesgo de ser objeto de sanción, ya que esta vía de intermediación previa permite atajar a tiempo situaciones que pueden cronificarse y dar lugar a incumplimientos agravados y, por tanto, a sanciones más onerosas.

    Siguiendo con la memoria, el relevante papel del DPD en su papel mediador se observa también en el estudio que la AEPD realiza de las reclamaciones relacionadas con la pandemia de COVID-19.

    Ilustración 2 – Memoria AEPD 2020. Reclamaciones COVID-19

    Pese a las múltiples noticias y situaciones acaecidas con la puesta en marcha de medidas excepcionales y la posible comisión de infracciones, en 2020 solo se incoaron 7 procedimientos sancionadores en relación con medidas de la COVID, lo que tiene relación directa con el papel relevante del DPD en la fase de traslado previa, la cual que se produjo en un total de 84 reclamaciones.

    Continuando con la Memoria, cabe destacar aquí el papel relevante del DPD en las reclamaciones relacionadas con las brechas de seguridad. Es importante recordar que la notificación de brechas pueda dar lugar al inicio por parte de la autoridad de control de actuaciones previas de investigación, lo cual puede conllevar la apertura de procedimiento sancionador. La gestión del DPD en todo el proceso se antoja fundamental para el cumplimiento del principio de responsabilidad proactiva, tanto en la detección del incidente, como en su valoración y eventual notificación, así como en la puesta en marcha de medidas correctoras y preventivas.

    La propia Guía de gestión de brechas de la AEPD señala que “En los casos en los que se haya designado un delegado de protección de datos (porque lo exija el RGPD o voluntariamente), éste ocupará un papel muy relevante liderando el plan de actuación en todos sus aspectos”.

    Así queda de manifiesto en la Memoria, que señala que la AEPD “ha recibido y analizado 1.370 notificaciones de quiebras de seguridad en 2020, de las que sólo el 6% (81) se han remitido a Inspección al requerir de una investigación en profundidad”.

    Por último, recordar que el papel del DPD en relación con la gestión de reclamaciones no se limita a la fase de admisión a trámite o a la gestión de incidentes de seguridad, sino que su participación abarca todas las fases del proceso, pudiendo realizar, entre otras, las siguientes tareas:

    • Comunicar sin dilación la reclamación recibida a la entidad.
    • Recabar antecedentes sobre los hechos que han podido ocasionar la reclamación. En su caso, mantener comunicación con la entidad, órgano o unidad administrativa implicado/s.
    • En su caso y si las circunstancias del caso lo requieren, recabar información del Instructor de la AEPD o funcionario que lleve el asunto.
    • Si las circunstancias del caso lo aconsejan, contactar directamente con el reclamante (o la entidad, organización o asociación sin ánimo de lucro que haya reclamado) para buscar una solución pactada a la reclamación, así como la renuncia a la presentación de una acción judicial de daños y perjuicios.
    • Asesorar al responsable del tratamiento sobre las medidas correctoras y de mejora a implementar, en su caso.
    • Asesorar al responsable del tratamiento sobre las medidas para evitar que se produzcan situaciones similares en el futuro.
    • Asesorar al responsable del Tratamiento sobre el tipo de respuesta que se debe dar a la AEPD.
    • Realizar un dictamen o informe sobre el contenido de la respuesta que finalmente va a realizar la entidad representada.
    • Asesorar al responsable en la redacción de alegaciones y la posibilidad de presentar recursos.
    • Presentar a la AEPD la respuesta a la reclamación, o las alegaciones o recursos, en nombre de la entidad representada.
    • Asesorar y colaborar con instructor en las actuaciones previas de investigación.
    • Realizar un seguimiento regular del asunto hasta su archivo o resolución.

    La función mediadora del DPD en la gestión de reclamaciones -cuya eficacia se pone de manifiesto con la Memoria de la AEPD-, su papel destacado como interlocutor de los interesados, y su rol asesor y supervisor que permite dar trazabilidad a las medidas de cumplimiento adoptadas por las organizaciones, hacen que su figura emerja y se demuestre como un verdadero valor diferencial en las organizaciones.

    Javier Villegas Flores

    Lead Advisor at Govertis

    KEEP READING

    Necesidad de formación en protección de datos

    23 abril, 2021 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    La idea de este artículo es encuadrar una de las medidas estrella para mitigar riesgos en los Análisis de Riesgos y en las Evaluaciones de Impacto de Protección de Datos dentro de las exigencias normativas del RGPD y la LOPDGD

    Todos solemos recomendar la formación como medida transversal para mitigar riesgos y solemos recomendar a nuestros clientes que realicen formación y concienciación en materia de protección de datos y  seguridad de la información, pero ¿por qué, si no lo exige directamente el RGPD? ¿Cuál es su fundamento entonces?

    Son varias las razones y se exponen a continuación:

    1.- Medidas organizativas y técnicas

    La necesidad de formación en materia de protección de datos se deduce de las medidas organizativas y técnicas que deben aplicar los Responsables y Encargados de Tratamiento.

    El concepto de aplicación de medidas organizativas y técnicas está presente en varios artículos (Art. 24, art. 25 y art. 32 del RGPD)

    Recordemos que ya no tenemos una enumeración de medidas de seguridad a implantar, sino que las mismas, se escogerán en función de un análisis de riesgos.

    Tal como establece la Guía de Evaluación de Impacto de Protección de Datos de la Agencia Española de protección de Datos, en su anexo VI, se recomienda constantemente la formación como control para mitigar riesgos y, no solo formación en protección de datos, sino también en la seguridad y uso adecuado de las TIC.

    2.- Principio de Responsabilidad Proactiva

    El propio principio de Responsabilidad proactiva implica que el Responsable del Tratamiento será responsable del cumplimiento de lo dispuesto en RGPD y capaz de demostrarlo. El cumplimiento del RGPD no es algo exclusivo de la Alta Dirección, o de los departamentos de sistemas o jurídicos; sino que requiere una implicación de todo el personal con acceso a datos personales. Por ello, todo ese personal debe saber cuáles son sus obligaciones y, es aquí, donde la formación se convierte en un elemento vertebrador del cumplimiento de la normativa de protección de datos por parte de todo el personal.

    3.- Políticas de Protección de Datos

    El art. 24.2 del RGPD establece que “Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos”.

    La adopción de políticas y normas internas dirigidas a los empleados, tanto con carácter general como focalizadas con relación a las funciones que desempeñen dentro de la empresa, jugará un papel decisivo en este objetivo.

    Para ello será necesario comenzar con una correcta formación de todo el personal con acceso a datos

    4.- Funciones del Delegado de protección de Datos (DPD)

    El art. 39.2 del RGPD establece entre las funciones del DPD:

    “Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”

    Es decir, si entre las funciones del DPD está la concienciación y la formación del personal, esto implica que dicha obligación existe para los Responsables de Tratamiento, que en caso de tener designado un DPD, será asumida por éste.

    5.- Derecho a la desconexión digital

    Adicionalmente, hay que añadir que la LOPDGDD en su artículo 88.3 (Derecho a la desconexión digital en el ámbito laboral) establece una formación específica, en este caso, en desconexión digital:

    1. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.

    Venos otra vez, como dentro de las políticas dirigidas a los trabajadores, la formación es una parte esencial de la misma.

    En conclusión, la formación es un elemento fundamental para el cumplimiento real del RGPD y se convierte en el eje vertebrador de su cumplimiento efectivo por parte de las organizaciones.

     

    Elías Vallejo

    Equipo Govertis

    KEEP READING

    DARK PATTERNS I: Los «dark patterns» como amenaza a la privacidad de los usuarios

    12 marzo, 2021 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    Dark Paternns como amenaza a la privacidad

    Cuando navegamos por Internet, accedemos a diferentes webs y contenidos y disfrutamos de los servicios que los proveedores de Internet nos ofrecen, esperamos que esta experiencia sea lo más rápida y sencilla posible. Pero ¿no te has fijado que en ocasiones se convierte en un auténtico laberinto? De repente, un vídeo comienza a reproducirse automáticamente sin haber pulsado el botón de “play”, un gigante banner de cookies con un enorme botón de “aceptar todas” invade tu pantalla o debes suscribirte incluso para visualizar un artículo de 5 líneas: Estás ante ejemplos típicos de “dark patterns”. 

    ¿Qué son los “dark patterns”?

    Este tipo de prácticas tienen nombre en el mundo de la UX (User Experience o Experiencia de Usuario): Se denominan “dark patterns” y consisten en una serie de trucos usados en las páginas webs y aplicaciones para incitarte a hacer algo que no quieres, como comprar un producto o inscribirte en un servicio. En este vídeo se explica qué son los “patrones oscuros” de forma muy práctica. El término fue acuñado por Harry Brignull (diseñador UX) en 2010, quien entonces también los clasificó e inició un Hall of Shame con ejemplos llevados a cabo por todo tipo de empresas. 

    Más de una década después, estas prácticas se han convertido en endémicas a lo largo y ancho de Internet (Un estudio publicado en enero de 2020 confirmó que el uso de los “dark patterns” y el consentimiento implícito está muy extendido, sólo el 11,8% cumple los requisitos mínimos establecidos por el RGPD)1.

    ¿Por qué caemos en los “dark patterns”?

    Los “Dark patterns” se nutren de la naturaleza humana, jugando con sesgos cognitivos de los que a menudo no somos conscientes. Estos métodos derivados de la psicología del comportamiento son brechas o debilidades que llevan a las personas a tomar elecciones irracionales. Los proveedores de servicios de la sociedad de la información tratan de explotar dichos sesgos cognitivos para influenciar y manipular las decisiones de los consumidores. Estos pueden incluir la elección de pequeñas recompensas a corto plazo en lugar de mayores beneficios a largo plazo o la tendencia a escoger el camino de menor resistencia2.

    Si a un usuario se le pide que intercambie sus datos personales por un beneficio económico a corto plazo, como un descuento, lo hará. En este caso, el beneficio a corto plazo (el descuento) es tangible e inmediato, mientras que la potencial pérdida (la privacidad) lo es a largo plazo3

    La CNIL se encarga de enfatizarlo en su informe Shaping Choices In the Digital World y recalca que estamos tan influenciados y entrenados para compartir más y más que no somos consciente que en la mayoría de los casos  estamos poniendo en peligro nuestros derechos y libertades4.

    Ejemplos y técnicas utilizadas en los “dark patterns”

    • Clicar “sí” en vez de “no” porque el botón de “sí” era mucho más grande y colorido en el banner, mientras que el de “Saber más” o “Configuración” aparece más pequeño o de color gris. Muestra de ello es el análisis que llevó a cabo Google ya en 2009, testando 41 tonos diferentes de azul para medir el porcentaje de respuesta de los usuarios5.
    • Clicar “continuar” en vez de “no” porque la primera opción te supone navegar a través de múltiples páginas antes de aterrizar en el contenido que te interesa. 
    • Registrarte a una “newsletter” sólo para avanzar hacia el siguiente servicio.
    • Crear un usuario compartiendo la información de tu cuenta de Facebook para evitar rellenar un formulario interminable o cuando una red social te pide que completes toda la información sobre tu pasado, la escuela a la que fuiste o a qué club deportivo pertenecías para “mejorar tu perfil y ganar visibilidad”.
    • Dar tu número de teléfono creyendo que será usado para la entrega de un pedido o para una autenticación de dos factores, cuando únicamente atiende a propósitos de prospección comercial.
    • El planteamiento de una pregunta de tal manera que una lectura rápida o en vertical puede conducirte a creer que la opción de respuesta produce el efecto contrario al que piensas que estás decidiendo. Por ejemplo, con el uso de la doble negativa.
    • Añadir un candado a una interfaz no muy segura.
    • Incluso dar el significado de aceptación a un botón con una cruz, el cual en la mente de los usuarios es sinónimo de “Cerrar y seguir”. Este método ha sido usado, por ejemplo, por Microsoft para “alentar” a sus usuarios de la versión previa de su Windows OS a migrar al Windows 10. 

    Y es que el diseño de las interfaces de usuario no es en absoluto casual. Cada elemento de una plataforma o sitio web, desde la ubicación de los botones, la elección de las fuentes y el color del texto ha sido cuidadosamente colocado y atiende a unas estudiadas razones. Las interfaces de usuario pueden ser empleadas para dirigir a los consumidores a priorizar ciertas opciones sobre otras, a ocultar u omitir información relevante o incluso engañar, confundir o frustrar a los usuarios. Los “dark patterns” siempre están diseñados para beneficiar al proveedor de servicio, coincida o no con los mejores intereses del consumidor6.

    Uno de los casos más paradigmáticos, fue el de LinkedIn en 2015, que le costó una multa de 13 millones de dólares. Al registrarse, cualquier usuario compartía los correos electrónicos de sus contactos de una forma muy sutil y a su vez, estos correos recibían supuestas invitaciones de ese nuevo usuario para darse de alta en la plataforma. 

    Facebook ya los usaba en 2010. Si rechazabas el uso de su sistema de reconocimiento facial, aparecía el siguiente mensaje: “Si mantienes el reconocimiento facial desactivado, no seremos capaces de usar esta tecnología si un extraño usa tu foto para suplantarte”; además de que el botón para activarla era azul y brillante, y el de desactivarla de un gris apagado.  ¿Quién dudaría hoy en día de que el principal interés de Facebook es ayudarte a que no suplanten tu identidad?

    Pero no solo son herramientas usadas por las grandes tecnológicas. Un estudio publicado en octubre de 2019 determinó que entre los 5000 avisos de privacidad analizados pertenecientes a diversas compañías de Europa, el 54% usa “dark patterns” y el 95.8% no da elección de acuerdo con la prestación del consentimiento o únicamente confirma que los datos van a ser tratados7.

    Lidia Bergua

    Equipo Govertis

    • 1Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence: M. Nouwens, I. Liccardi, M. Veale, D. Karger y L. Kagal (2020).
    • 2YOU CAN LOG OUT, BUT YOU CAN NEVER LEAVE: How Amazon manipulates consumers to keep them subscribed to Amazon Prime: FORBRUKERRADET- Norwegian Consumer Council- (2021).
    • 3DECEIVED BY DESIGN: How tech companies use dark patterns to discourage us from exercising our rights to privacy: – FORBRUKERRADET- Norwegian Consumer Council- (2018).
    • 4Shaping Choices in the Digital World: From dark patterns to data protection: the influence of ux/ui design on user empowerment. CNIL. (2019).
    • 5“Putting a Bolder Face on Google”: https://www.nytimes.com/2009/03/01/business/01marissa.html. (2009)
    • 6YOU CAN LOG OUT, BUT YOU CAN NEVER LEAVE: How Amazon manipulates consumers to keep them subscribed to Amazon Prime: FORBRUKERRADET- Norwegian Consumer Council- (2021).
    • 7“(Un)informed Consent: Studying GDPR Consent Notices in the Field”: C. Utz, M. Degeling, S. Fahl, F.Schaub y T. Holz. (2019).

    KEEP READING

    Novedades con la directiva NIS: El empoderamiento del CISO

    4 marzo, 2021 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    La Directiva NIS *1 (Security of Network and Information Systems) europea relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión fue traspuesta al ordenamiento jurídico español con la entrada en vigor del RD-ley 12/2018 *2 de 7 de septiembre, de seguridad de las redes y sistemas de información.

    Con la llegada del nuevo RD 43/2021 *3, de 26 de enero España se desarrolla reglamentariamente el RD-ley 12/2018 y llegan novedades para el cumplimiento de obligaciones de seguridad de los operadores de servicios esenciales y proveedores de servicios digitales en cuanto a:

    • Marco institucional.
    • Supervisión de la ciberseguridad por parte de la Administración.
    • Notificación de ciberincidentes de seguridad
    • Gobierno / gobernanza de la ciberseguridad en las organizaciones.

    En este artículo, abordamos las novedades que se desarrollan a través del Artículo 7 de dicho RD que afectan, en particular, a la figura Responsable de Seguridad de la Información al que, de ahora en adelante, nos referiremos como CISO.

    ¿Qué novedades afectan al CISO?

    • Obligación de designación oficial de un CISO y un sustituto del mismo (porque los CISOs también pueden estar ausentes, por vacaciones o enfermedad). Aunque se indica que pueda ser un órgano colegiado, deberá designarse como tal a una persona física quien ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y el CSIRT de referencia que le corresponda. Se establece un plazo máximo de tres meses tras la designación como operador de servicios esenciales para formalizar este nombramiento.
    • Comunicación a la autoridad competente correspondiente de la designación del CISO (y su backup), conforme al plazo establecido de tres meses antes mencionado (hasta el mes de abril 2021). En caso de nuevos nombramientos o ceses hay obligatoriedad de mantener esta información de contacto actualizada, comunicándolo igualmente con un plazo máximo de un mes desde que se produzcan.
    • Punto de contacto, ejercerá a modo de “ventanilla única” respecto a la autoridad competente, en materia de supervisión y con el CSIRT de referencia, para gestión de ciber incidentes. Además, quedarán bajo la responsabilidad del CISO:
      • Políticas de seguridad. Deberá elaborar y proponer para aprobación por la organización de las políticas de seguridad, con un enfoque de gestión del riesgo que reduzca al mínimo el impacto derivado de ciberincidentes que afecten a la organización y los servicios.

    Uno de los objetivos de la Directiva NIS es asegurar la resiliencia de las organizaciones afectadas a nivel europeo frente a ciber incidentes. Para ello es importante disponer de Planes de Contingencia y Continuidad de Negocio actualizados, que les permitan restablecer los servicios y procesos críticos en el menor tiempo posible.

      • Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos, supervisar su efectividad y realizar controles de seguridad periódicos.

    El cumplimiento de las obligaciones técnicas y organizativas en materia de seguridad podrá acreditarse ante la entidad supervisora, mediante la certificación en un esquema de seguridad que sea reconocido por el CSIRT de referencia (ej: el ENS o la ISO 27001).

      • Declaración de Aplicabilidad: Deberá elaborar y remitir el documento de Declaración de Aplicabilidad de medidas de seguridad en un plazo máximo de seis meses desde la designación como operador de servicios esenciales. Esta declaración de aplicabilidad deberá revisarse, al menos, cada tres años.

    La entidad competente respectiva supervisará tanto la Declaración de aplicabilidad inicial de medidas de seguridad, como las sucesivas revisiones.

      • Actuar como capacitador de buenas prácticas de seguridad en redes y sistemas de información, tanto en aspectos físicos como lógicos.
      • Notificación de incidentes de seguridad a la autoridad competente, a través del CSIRT correspondiente. Se deberá notificar en tiempo y forma, aquellos incidentes de seguridad que afecten a la prestación de servicios a los que se refiere el Artículo 19.1 del RD-ley 12/2018, de 7 de septiembre.

    La notificación de incidentes de seguridad deberá seguir la taxonomía definida en el Anexo del RD 43/2021, estableciendo el nivel de impacto y peligrosidad, así como la información requerida.

    Según esta clasificación se definen unas ventanas temporales de reporte, para la notificación inicial, intermedia y final. A modo de ejemplo, la notificación inicial deberá ser Inmediata, en caso de incidentes con nivel de peligrosidad o impacto CRÍTICO, MUY ALTO o ALTO.

      • Recibir, interpretar y supervisar la aplicación de instrucciones y guías emanadas de la autoridad competente, tanto para operativa habitual como para subsanar deficiencias detectadas.
      • Recopilar, preparar y suministrar información a la autoridad competente o el CSIRT de referencia, ya sea atendiendo a un requerimiento o por propia iniciativa.
    • Requisitos del CISO. Los operadores de servicios esenciales deberán garantizar que el CISO cumpla con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico adecuados al desempeño de sus funciones. Para el desarrollo de dichas funciones deberá contar con los recursos necesarios y, a nivel organizativo, contar con una posición que garantice su independencia respecto a responsables de redes o sistemas de información y mantener una comunicación real y efectiva con la Alta dirección.
    • Compatibilidad de funciones. Cuando concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones encomendadas al CISO podrán compatibilizarse con las señaladas para el Responsable de Seguridad y Enlace y el Responsable de Seguridad del Esquema Nacional de Seguridad, según dispone la normativa aplicable sobre ambas figuras.

    El listón se ha puesto alto en cuanto a requisitos y responsabilidades del CISO, por lo que resulta necesario potenciar su figura a nivel organizativo y dotarle de los recursos requeridos para lograrlo.

    Conclusiones

    En lo referente a la figura del CISO, el RD 43/2021 plantea a las organizaciones afectadas la obligatoriedad de designación del mismo, estableciendo una serie de requisitos y competencias que debe satisfacer para impulsar de forma efectiva las iniciativas de mejora en materia de ciberseguridad.

    Para desarrollar de forma eficiente las funciones encomendadas (y no morir en el intento), este Real Decreto establece que el CISO podrá apoyarse en servicios de consultoría prestados por terceros.

    Equipo Govertis

    Javier Santiago

    [1] VÉASE EUR-Lex – 32016L1148 – EN – EUR-Lex (europa.eu)

    [2] VÉASE Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. (boe.es)

    [3] VÉASE https://www.boe.es/eli/es/rd/2021/01/26/43

    KEEP READING

    El Impacto de la Protección de Datos en los Chatbots

    9 diciembre, 2020 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    Los chatbots o bot conversacional son sistemas informáticos cuya funcionalidad es poder mantener una interacción con el ser humano. A través de este programa, el usuario es capaz de mantener una conversación en línea con una persona a partir de determinadas respuestas automáticas. El citado software, tiene una serie de respuestas preparadas de antemano, y de esta manera, destaca por su inmediatez.  Actualmente son utilizados por las compañías para poder interactuar con sus clientes o potenciales clientes, y así responder de forma ágil a las preguntas que se formulen sobre el servicio.

    Para poder realizar su función de interacción con el usuario, el programa deberá procesar y almacenar la información que le facilita el usuario, entre dicha información se pueden contener datos de carácter personal. Un dato de carácter personal es toda información identificada o identificable referente a una persona física. Es por ello que, podrá almacenar datos personales de diferente tipo: desde un nombre, apellidos, dirección… a determinados datos de salud, religión etc. (considerados datos de categoría especial).

    Si se va utilizar este sistema, deberá tenerse en cuenta las siguientes implicaciones en materia de protección de datos:

    1. Deberá identificar los tratamientos de datos que se van a realizar en la plataforma, y registrarlo en su Registro de Actividades de Tratamiento correspondiente, con toda la información exigida por el artículo 30 del RGPD.

    2. Se deberán analizar los riesgos derivados de estos tratamientos sobre los derechos y libertades de los individuos y comprobar si dicho tratamiento lleva aparejada la realización de una Evaluación de Impacto (en adelante EIPD). Además, comprobar si el mismo, se encuentra recogido en la lista de tratamientos que requieren una EIPD de forma obligatoria.

    3. Aplicar las medidas tanto técnicas como organizativas adecuadas a los riesgos que hayamos previsto para los tratamientos de datos.

    4. Buscar una base de legitimación de las recogidas en el artículo 6 del RGPD para los tratamientos realizados en el chatbot.

    5. Informar a los usuarios que utilicen el servicio de forma sencilla, ágil y transparente según lo estipulado en los artículos 13 y 14 del RGPD.

    6. En el caso de que el servicio lo provea un tercero ajeno a la organización, deberá firmarse el correspondiente contrato de encargado del tratamiento, conforme a los requisitos del artículo 28 del RGPD.

    Además, debemos recordar que todas estas cuestiones deberán plantearse de manera previa a la implantación del sistema. Para cumplir con el principio de privacidad desde el diseño, el Responsable del tratamiento deberá estudiar todas estas implicaciones de forma previa y evaluar los riesgos derivados. Para ello, si fuera necesario, aplicará una serie de controles para que el servicio ofrecido se pueda desarrollar sin problemas jurídicos sobre la protección de datos de los usuarios que lo vayan a utilizar.

    Marcos Rubiales

    Equipo Govertis

    KEEP READING

    Es obligatorio el Delegado de Protección de Datos para las empresas que desarrollan actividades de publicidad y Prospección Comercial

    26 noviembre, 2020 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    El uso de nuevas tecnologías resulta de mucha utilidad para la realización de una gran variedad de tratamientos de datos personales y en concreto, para aquellas actividades que se utilizan para desarrollar campañas publicitarias y prospección comercial, puesto que aplican técnicas de marketing digital con el objetivo de llegar a un público más personalizado y por tanto, obtener un mayor éxito en las ofertas de productos o servicios.

    La pregunta es porqué la nueva Ley de Protección de Datos y Garantía de Derechos Digitales, 3/ 2018, de 5 de Diciembre, (LOPDGDD) fija de manera obligatoria para estas actividades, por lo tanto, para las compañías que se dedican a dichas funciones, nombrar un Delegado de Protección de Datos.

    La ley, es muy clara, en este sentido, pues conforme establece su artículo 34, “Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso cuando se trate de las siguientes entidades:

    • k) las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos”.

    Si se observa, la Ley no obliga a todas las empresas que se dediquen a las actividades publicitarias y de prospección comercial a nombrar a un delegado de protección de datos, sino, solo a aquellas que realizan actividades que permiten conocer las preferencias de las personas o que elaboren perfiles. Esto es lo que claramente, marca la línea divisoria entre designar un delegado de protección de datos de manera obligatoria o voluntaria, tener y buscar o vigilar los gustos y hábitos de vida para elaborar perfiles debido al conocimiento de  las  preferencias personales de los usuarios.

    Si en la actividad publicitaria no se realizaran perfilados, el delegado de protección de datos, podrá designarse por las compañías de una  manera voluntaria,  aunque siempre constituye una garantía de cumplimiento y de Responsabilidad Proactiva del Responsable del tratamiento,  a tenor del Reglamento Europeo de Protección de Datos  2016/ 679 del Parlamento Europeo  y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46.

    Para poder entender un poco mejor, en qué consiste la elaboración de perfiles, se trata de cualquier forma de tratar los datos personales de manera que consiguen evaluar aspectos y preferencias de nuestra vida privada, como, por ejemplo, lo que nos gusta comer, o donde preferimos ir de vacaciones, en que tiendas compramos más, o en qué momento vamos a tal restaurante, es decir, se realiza una vigilancia de nuestros movimientos, comportamientos, salud o preferencias de cualquier tipo.

    (fuente imagen: adveischool)

    Es precisamente esta circunstancia de vigilancia de nuestros hábitos que realizado sobre un número de personas muy elevado, se denomina “tratamiento de datos personales a “gran escala” o “perfilado a gran escala” , piensen  por ejemplo en una gran cadena internacional de alimentación,  ya que  se recogen gran cantidad y variedad de datos personales (Big Data) , con la ayuda de la Inteligencia Artificial  (IA).

    Este tratamiento de datos, en sí mismo, comporta riesgos especialmente relevantes (alto riesgo), para los derechos y libertades de las personas que hace necesario y obligatorio designar un delegado de protección de datos, precisamente para tomar medidas que reduzcan, dentro de lo posible, el riesgo de dañar o perjudicar a las personas, o afectar negativamente sus derechos y libertades, impidiendo o limitando su ejercicio o contenido.

    Como se puede deducir, el Big Data tiene un fuerte impacto sobre nuestra privacidad, ya que las predicciones sobre las que se basan para toma de decisiones, serán mejores cuantos más datos personales se recojan, por lo tanto, cuanto más sepan de nosotros y más tiempo se tratan dichos datos, más se puede ver comprometida nuestra vida privada, ello hace que la normativa exige unas determinadas garantías para poder llevar a cabo dichos tratamientos personales que resultan más intrusivos.

    La Inteligencia Artificial, junto con el Big Data, juegan un papel fundamental en esta recopilación de información personal, pues gracias a ella se utilizan sistemas que muestran un comportamiento inteligente que analiza el  entorno y  realizar acciones  con cierto grado de autonomía, para lograr un objetivo específico, por las empresas que llevan a cabo actividades  de publicidad comportamental, partiendo lógicamente desde el conocimiento de nuestras preferencias personales, intereses, fiabilidad o ubicación y movimientos

    Por todo lo anterior, entendemos  por qué la legislación en materia de protección de datos, obliga a  todas aquellas empresas que realicen prospección comercial y publicidad que implique la elaboración de perfiles, o el tratamiento se base en las preferencias de los afectados , nombrar un delegado de protección de datos, por ser experto en la materia, cuya función será, entre otras muchas,  la de vigilar y poner la debida atención a los riesgos  asociados  a las operaciones de tratamiento, por considerarse  intrusivas para nuestra privacidad, teniendo sobre todo en cuenta la naturaleza de los datos que traten, así como su alcance, contexto, y finalidad del tratamiento.

    Autora: Carmen Lopez Belda.

    Associate-Legal & Privacy Advisor  en Govertis-Telefónica

    IT Lawyer

    @LopezBelda
    https://www.linkedin.com/in/carmenlopezbelda

    23 de Noviembre 2020

    https://www.aepd.es/sites/default/files/2019-12/wp251rev01-es.pdf

    https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-be-subject-automated-individual-decision-making-including-profiling_es

    KEEP READING

    Gestionar contraseñas es proteger el acceso a nuestro negocio.

    18 noviembre, 2020 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    No cabe duda de que vivimos en una era de ciberseguridad evolutiva, en la que cualquier corporación ya sea mercantil, gubernamental u organización sin fines lucrativos, conlleva un alto nivel de protección, no sólo del activo más importante en una organización, que es su información hoy en día, sino también la protección de nuestra vida digital.

    Dentro de este marco, no es menos importante la seguridad en los accesos a la información, dispositivos o aplicaciones locales o web. La llave que nos brinda el paso a todo ello, son nuestras contraseñas, a menudo gestionadas por los mismos usuarios de distintos niveles de perfil técnico.

    Ante la necesidad de los constantes cambios de contraseñas para mejorar el cifrado en el acceso, surge en los usuarios “la presión añadida” de memorizar o almacenar (en ocasiones de forma rudimentaria y poco segura) estas claves.

    Para aumentar la calidad del trabajo TI, es casi imprescindible automatizar este proceso, aún más cuando precisamos cumplir con auditorias de seguridad como PCI (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard).

    Existen multitud de software gestores que cuentan con funcionalidades diversas como:

    • La generación automática de contraseñas fuertes y aleatorias
    • Sistemas de doble autenticación
    • Gestión de la temporalidad de la contraseña (longevidad),
    • Filtro de repetición de claves ya obtenidas o simplemente
    • Almacenar de forma segura en una base de datos, que a su vez se protege por una password maestra de acceso inicial, para después de forma automática con autoescritura aplicarla junto con el usuario en cualquier acceso.

    Con estas herramientas eliminamos el tedioso hábito de memorizar infinidad de contraseñas, recurriendo a menudo a la errática costumbre de asociarlo con fechas o elementos privados para poder recordarlos o en otros casos anotarlos en archivos de Word o de anotaciones de fácil acceso.

    Con esta concienciación y el uso de backups programados de la base de datos donde se alojan nuestras claves, la seguridad se incrementa exponencialmente, aportando calidad en el trabajo diario, relacionado directamente con el resultado que espera el consumidor final de nuestra actividad empresarial.

    Algunos consejos para la creación de contraseñas cuando no son generadas automáticamente pueden ser estos:

    • Cambio de claves periódicamente (mensual o trimestral dependiendo de la información a la que se pretende acceder).
    • No repetir contraseñas antiguas.
    • No relacionar claves de acceso con datos o eventos personales (fechas, teléfonos, DNI, matrículas de coche, etc…)
    • Diferenciar los sitios de acceso con claves diferentes.
    • No almacenar las contraseñas en archivos sin acceso seguro y mucho menos en soporte papel.
    • Si el entorno no es seguro, es decir, si estamos conectados a una red Wifi pública o que no está protegida de forma privada o dentro de nuestra corporación, evitar acceder a sitios con nuestro usuario y password.
    • Si el equipo no está en un sistema operativo corporativo configurado con usuarios de entorno, y el equipo no es el habitual de trabajo, evitar el acceso, puede ser descifrado con sistemas de validación de pulsaciones de teclado.

    Este es un concepto más de seguridad, que debe estar respaldado por un Firewall, Políticas de Seguridad y restricciones.

    Rocío Bremón

    Equipo Govertis

    KEEP READING

    La obligación de bloqueo de datos: dificultades conceptuales sobre su aplicación

    22 octubre, 2020 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    Al integrar en nuestro sistema de Compliance el cumplimento de las obligaciones del RGPD y la LOPDGDD ¿cómo debemos interpretar la obligación de bloqueo que preceptúa el artículo 32 de la LOPDGDD? “El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión”. Más allá de las cuestiones relativas a como ejecutar materialmente el denominado “bloqueo” en nuestro sistema de información, otra de las cuestiones prácticas claves es bajo qué circunstancias y durante cuánto tiempo debemos bloquear dichos datos.

    Las posibles responsabilidades

    Cabe destacar ciertos detalles de la redacción del artículo 32.2 cuando se refiere a restringir el tratamiento y únicamente permitirlo para su puesta a disposición a las autoridades: para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas”. La redacción puede ser problemática, en el sentido de que entendemos como “posibles responsabilidades”, ¿se trata de responsabilidades que ya han nacido a consecuencia de un determinado hecho y que, ya sea porque nuestra entidad lo ha detectado o porque se ha iniciado el correspondiente proceso judicial o administrativo, corresponde bloquear los datos personales vinculados al mismo?, o ¿se refiere a cualquier potencial responsabilidad, ocurra o no el hecho generador de la misma, sobre la que pueda responder la entidad?

    Responsabilidades derivadas del tratamiento

    Otro elemento de incertidumbre en la redacción del artículo 32, en concreto su apartado 2, es la relativa a que debemos entender por “responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.”

    Aunque ello puede parecer a priori una forma de restricción que evite una hipertrofia del abanico de responsabilidades legales que pueden motivar el bloqueo de datos, dicha restricción nos obliga a llevar a cabo un segundo análisis causalista, no exento de complejidad e incertidumbre, sobre qué acciones dentro de la definición de tratamiento de datos personales, pueden ser susceptibles de producir responsabilidades de algún tipo y, una vez determinadas, establecer el plazo de bloqueo conforme su período de prescripción.

    Distintos escenarios de prescripción de responsabilidades derivadas del tratamiento

    Obviamente las responsabilidades derivadas del tratamiento quizás más evidentes serían las correspondientes al régimen sancionador de la LOPDGDD y sus correspondientes plazos de prescripción, siendo 3 años el más alto, para infracciones muy graves, tal como establece el artículo 72.1.

    No obstante, ¿debemos detener el análisis en la prescripción de las sanciones de la LOPDGDD? Podemos encontrar en otros cuerpos legislativos, supuestos de hecho en los que, un tratamiento vulnerando alguna de las disposiciones del RGPD, puede generar una serie de consecuencias que den lugar a responsabilidad civil o incluso penal.

    Si analizamos, por ejemplo, el marco del Real Decreto Legislativo 1/2007 por el que se aprueba el texto refundido de la Ley General para la Defensa de los consumidores y Usuarios y otras leyes complementarias (TRLGCU), una posible falta de conformidad en el producto recibido por un consumidor podría ser fruto de que el empresario llevó a cabo un tratamiento sin establecer medidas para garantizar el principio de exactitud del RGPD. Dicha falta negligente de exactitud, podría ser relativa a medidas corporales del cliente que se requieren para la personalización del producto o la confusión de direcciones de envío distintas, enviando productos a los destinatarios incorrectos, ¿estaríamos también en ese caso ante una responsabilidad derivada del tratamiento? Recordamos que las acciones por faltas de conformidad de los consumidores y usuarios prescriben a los 2 años, artículo 123.1 TRLGCU, y por ello, ¿deberíamos bloquear todos los datos de nuestros clientes, en condición de consumidores y usuarios, durante 2 años?

    Continuando con el análisis, si nos fijamos en el marco penal, tenemos delitos como los de descubrimiento y revelación de secretos del artículo 197 y siguientes del Código Penal, que pueden ser cometidos por persona jurídica y versan muy directamente sobre datos de carácter personal, especialmente sobre la esfera de la confidencialidad, así como otros delitos como los daños informáticos del artículo 264 y siguientes que, aunque no se refieren expresamente a los datos de carácter personal, tampoco excluyen los mismos y se centran en aspectos relativos a la disponibilidad e integridad de los datos. ¿Encajarían entonces en la definición de “responsabilidades derivadas del tratamiento”?

    Si la respuesta fuera afirmativa, sería necesario relacionar el plazo de prescripción de los delitos para la determinación de dicho período de bloqueo. Sin pretender entrar en una discusión doctrinal sobre la prescripción, dichos plazos podrían llegar a situarse en los 15 años, en interpretación conjunta del artículo 131 y 33.7 del Código Penal, junto a la doctrina del Tribunal Supremo sobre la valoración de la pena en abstracto del delito para la determinación del plazo de prescripción (STS 4264/2017 y Acuerdo del Pleno no jurisdiccional de la Sala 2 del TS de 16 diciembre de 2008 “la pena de la que hay que partir para la prescripción es la abstracta señalada al delito por el legislador y no la concreta resultante de aplicar la reglas sobre el grado de ejecución participación y circunstancias”). ¿Estaríamos entonces ante la obligación de que cualquier persona jurídica, por razón de sus “responsabilidades derivadas del tratamiento”, debería adoptar un sistema de bloqueo de datos personales de 15 años en cumplimiento del artículo 32.2 de la LOPDGDD y los eventuales plazos de prescripción penal aplicables?

    Obligación de bloqueo y compatibilidad con el RGPD

    La incertidumbre sobre la determinación del período de bloqueo, especialmente si tenemos en consideración los plazos de prescripción por responsabilidad penal, obligan a plantear la siguiente cuestión: ¿en qué medida una obligación de conservar o quizás, mejor dicho, una obligación de no destruir los datos de hasta 15 años, una vez se ha agotada la finalidad que motivó el inicial tratamiento, puede ser compatible con el principio de limitación del plazo de conservación del RGPD?

    En conclusión, sería deseable mayores precisiones del legislador, teniendo en cuenta que tanto el incumplimiento de la obligación de bloqueo como la infracción de principios del artículo 5 del RGPD se tipifican en la LOPDGDD como sanciones muy graves, produciendo un escenario de riesgo complejo según como gestionemos la limitación del plazo de conservación junto con la obligación de bloqueo. Finalmente, cabe reflexionar sobre hasta qué punto el legislador nacional puede delimitar, modificar o matizar el alcance de un principio del Reglamento europeo e incluso generar incluso un concepto jurídico no previsto por este si tenemos en cuenta los conocidos principios de primacía y efecto directo.

    Jordi Morera Torres

    Equipo Govertis

    Fuente de la imagen: https://pixabay.com/illustrations/security-secure-locked-technology-2168233/ Free for commercial use, No attribution required

    KEEP READING