phone 915 752 750 email aec@aec.es

    DPD DPO

    Delegado de protección de datos > El Blog del DPD/DPO > DPD DPO

    Memoria AEPD 2020: El DPD como valor diferencial

    7 mayo, 2021 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    La Agencia Española de Protección de Datos ha publicado recientemente su Memoria Anual de 2020, en la que se recogen las actividades más relevantes llevadas a cabo por la institución durante un año marcado por la pandemia, y en el que la AEPD ha empezado a mostrar mayor contundencia en la imposición de sanciones, cuya continuidad estamos observando en 2021 con multas tan gravosas como las recaídas a Caixabank o Vodafone, por citar solo dos ejemplos.

    Uno de los apartados más interesantes en esta Memoria es el que hace referencias a “La agencia en cifras”, que permite obtener una visión global del “estado del arte”, así como observar determinados aspectos y tendencias de las cuales extraer conclusiones interesantes.

    Queremos detenernos hoy en los datos relativos a la intervención del DPD ante las reclamaciones por incumplimientos de protección de datos, función esencial que le atribuye el RGPD y concreta la LOPD-GDD, cuya contribución a la tutela de este derecho fundamental y, consecuentemente, a la disminución de sanciones, se está demostrando capital.

    Esta función mediadora trae causa en la articulación de la figura del DPD como punto de contacto con las autoridades de control y los interesados. El artículo 39 señala entre sus atribuciones la de “cooperar con la autoridad de control”. La LOPDGDD, por su parte, establece en su artículo 36 que el DPD “actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos”.

    Así mismo, el artículo 38 del RGPD indica que “Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento”.

    En base a esta posición que ocupa el DPD, la LOPDGDD concreta su participación en los supuestos de reclamaciones ante las autoridades de protección de datos. El artículo 37 destaca que ”Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos el afectado podrá, con carácter previo a la presentación de una reclamación contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, dirigirse al delegado de protección de datos de la entidad contra la que se reclame”. En este caso, “el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación”.

    Es importante matizar aquí que, aunque la norma no lo precise, debe entenderse que esa decisión la adoptará el responsable o encargado, y que el delegado actuará, además de asesorando a los citados, como intermediario en la gestión de la misma.

    En el supuesto en el que la reclamación se presente directamente ante ”la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al delegado de protección de datos a fin de que este responda en el plazo de un mes”.

    La participación del DPD en los supuestos reseñados tiene lugar en la fase de admisión a trámite de las reclamaciones. Así se recoge en el artículo 65 de la LOPD-GDD:

    1. Cuando se presentase ante la Agencia Española de Protección de Datos una reclamación, esta deberá evaluar su admisibilidad a trámite, de conformidad con las previsiones de este artículo.

    (…)

    1. Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica.

    Por tanto, la participación del DPD puede dar lugar a que la reclamación no sea admitida a trámite, en tanto aporte información que contribuya a clarificar la situación, de manera que se pueda determinar que no existe infracción de la normativa de protección de datos, o bien se puedan corregir a tiempo los posibles incumplimientos y se adopten las medidas preventivas para evitar que se vuelvan a producir los hechos que dieron lugar a la reclamación. La inadmisión a trámite conduciría al archivo, por lo que ni siquiera se iniciarían las actuaciones previas de investigación, previas a una eventual apertura de procedimiento sancionador.

     

    Volviendo a la Memoria de la AEPD, podemos comprobar que esta novedosa función del DPD no es puramente cosmética, y que su eficacia está más que demostrada, poniendo en valor la ventaja diferencial de contar con esta figura en una organización, más allá de que su nombramiento sea o no preceptivo.

    Según los datos de 2020, y siguiendo la tendencia de 2019, casi el 80 % de las reclamaciones que se dieron traslado al responsable o encargado y al delegado de protección de datos acabaron archivadas.

    Ilustración 1- Memoria AEPD 2020. Tipos de resoluciones

     

    De las 4.396 reclamaciones que superaron la fase de análisis inicial que realiza la AEPD, 3.405 se resolvieron tras la fase de traslado. Esto no solo supone una mayor rapidez en la resolución de las reclamaciones, sino también una descarga de trabajo en la autoridad de control -para nada sobrada de efectivos-, y, por encima de todo, una minimización del riesgo de ser objeto de sanción, ya que esta vía de intermediación previa permite atajar a tiempo situaciones que pueden cronificarse y dar lugar a incumplimientos agravados y, por tanto, a sanciones más onerosas.

    Siguiendo con la memoria, el relevante papel del DPD en su papel mediador se observa también en el estudio que la AEPD realiza de las reclamaciones relacionadas con la pandemia de COVID-19.

    Ilustración 2 – Memoria AEPD 2020. Reclamaciones COVID-19

    Pese a las múltiples noticias y situaciones acaecidas con la puesta en marcha de medidas excepcionales y la posible comisión de infracciones, en 2020 solo se incoaron 7 procedimientos sancionadores en relación con medidas de la COVID, lo que tiene relación directa con el papel relevante del DPD en la fase de traslado previa, la cual que se produjo en un total de 84 reclamaciones.

    Continuando con la Memoria, cabe destacar aquí el papel relevante del DPD en las reclamaciones relacionadas con las brechas de seguridad. Es importante recordar que la notificación de brechas pueda dar lugar al inicio por parte de la autoridad de control de actuaciones previas de investigación, lo cual puede conllevar la apertura de procedimiento sancionador. La gestión del DPD en todo el proceso se antoja fundamental para el cumplimiento del principio de responsabilidad proactiva, tanto en la detección del incidente, como en su valoración y eventual notificación, así como en la puesta en marcha de medidas correctoras y preventivas.

    La propia Guía de gestión de brechas de la AEPD señala que “En los casos en los que se haya designado un delegado de protección de datos (porque lo exija el RGPD o voluntariamente), éste ocupará un papel muy relevante liderando el plan de actuación en todos sus aspectos”.

    Así queda de manifiesto en la Memoria, que señala que la AEPD “ha recibido y analizado 1.370 notificaciones de quiebras de seguridad en 2020, de las que sólo el 6% (81) se han remitido a Inspección al requerir de una investigación en profundidad”.

    Por último, recordar que el papel del DPD en relación con la gestión de reclamaciones no se limita a la fase de admisión a trámite o a la gestión de incidentes de seguridad, sino que su participación abarca todas las fases del proceso, pudiendo realizar, entre otras, las siguientes tareas:

    • Comunicar sin dilación la reclamación recibida a la entidad.
    • Recabar antecedentes sobre los hechos que han podido ocasionar la reclamación. En su caso, mantener comunicación con la entidad, órgano o unidad administrativa implicado/s.
    • En su caso y si las circunstancias del caso lo requieren, recabar información del Instructor de la AEPD o funcionario que lleve el asunto.
    • Si las circunstancias del caso lo aconsejan, contactar directamente con el reclamante (o la entidad, organización o asociación sin ánimo de lucro que haya reclamado) para buscar una solución pactada a la reclamación, así como la renuncia a la presentación de una acción judicial de daños y perjuicios.
    • Asesorar al responsable del tratamiento sobre las medidas correctoras y de mejora a implementar, en su caso.
    • Asesorar al responsable del tratamiento sobre las medidas para evitar que se produzcan situaciones similares en el futuro.
    • Asesorar al responsable del Tratamiento sobre el tipo de respuesta que se debe dar a la AEPD.
    • Realizar un dictamen o informe sobre el contenido de la respuesta que finalmente va a realizar la entidad representada.
    • Asesorar al responsable en la redacción de alegaciones y la posibilidad de presentar recursos.
    • Presentar a la AEPD la respuesta a la reclamación, o las alegaciones o recursos, en nombre de la entidad representada.
    • Asesorar y colaborar con instructor en las actuaciones previas de investigación.
    • Realizar un seguimiento regular del asunto hasta su archivo o resolución.

    La función mediadora del DPD en la gestión de reclamaciones -cuya eficacia se pone de manifiesto con la Memoria de la AEPD-, su papel destacado como interlocutor de los interesados, y su rol asesor y supervisor que permite dar trazabilidad a las medidas de cumplimiento adoptadas por las organizaciones, hacen que su figura emerja y se demuestre como un verdadero valor diferencial en las organizaciones.

    Javier Villegas Flores

    Lead Advisor at Govertis

    KEEP READING

    Necesidad de formación en protección de datos

    23 abril, 2021 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    La idea de este artículo es encuadrar una de las medidas estrella para mitigar riesgos en los Análisis de Riesgos y en las Evaluaciones de Impacto de Protección de Datos dentro de las exigencias normativas del RGPD y la LOPDGD

    Todos solemos recomendar la formación como medida transversal para mitigar riesgos y solemos recomendar a nuestros clientes que realicen formación y concienciación en materia de protección de datos y  seguridad de la información, pero ¿por qué, si no lo exige directamente el RGPD? ¿Cuál es su fundamento entonces?

    Son varias las razones y se exponen a continuación:

    1.- Medidas organizativas y técnicas

    La necesidad de formación en materia de protección de datos se deduce de las medidas organizativas y técnicas que deben aplicar los Responsables y Encargados de Tratamiento.

    El concepto de aplicación de medidas organizativas y técnicas está presente en varios artículos (Art. 24, art. 25 y art. 32 del RGPD)

    Recordemos que ya no tenemos una enumeración de medidas de seguridad a implantar, sino que las mismas, se escogerán en función de un análisis de riesgos.

    Tal como establece la Guía de Evaluación de Impacto de Protección de Datos de la Agencia Española de protección de Datos, en su anexo VI, se recomienda constantemente la formación como control para mitigar riesgos y, no solo formación en protección de datos, sino también en la seguridad y uso adecuado de las TIC.

    2.- Principio de Responsabilidad Proactiva

    El propio principio de Responsabilidad proactiva implica que el Responsable del Tratamiento será responsable del cumplimiento de lo dispuesto en RGPD y capaz de demostrarlo. El cumplimiento del RGPD no es algo exclusivo de la Alta Dirección, o de los departamentos de sistemas o jurídicos; sino que requiere una implicación de todo el personal con acceso a datos personales. Por ello, todo ese personal debe saber cuáles son sus obligaciones y, es aquí, donde la formación se convierte en un elemento vertebrador del cumplimiento de la normativa de protección de datos por parte de todo el personal.

    3.- Políticas de Protección de Datos

    El art. 24.2 del RGPD establece que “Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos”.

    La adopción de políticas y normas internas dirigidas a los empleados, tanto con carácter general como focalizadas con relación a las funciones que desempeñen dentro de la empresa, jugará un papel decisivo en este objetivo.

    Para ello será necesario comenzar con una correcta formación de todo el personal con acceso a datos

    4.- Funciones del Delegado de protección de Datos (DPD)

    El art. 39.2 del RGPD establece entre las funciones del DPD:

    “Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”

    Es decir, si entre las funciones del DPD está la concienciación y la formación del personal, esto implica que dicha obligación existe para los Responsables de Tratamiento, que en caso de tener designado un DPD, será asumida por éste.

    5.- Derecho a la desconexión digital

    Adicionalmente, hay que añadir que la LOPDGDD en su artículo 88.3 (Derecho a la desconexión digital en el ámbito laboral) establece una formación específica, en este caso, en desconexión digital:

    1. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.

    Venos otra vez, como dentro de las políticas dirigidas a los trabajadores, la formación es una parte esencial de la misma.

    En conclusión, la formación es un elemento fundamental para el cumplimiento real del RGPD y se convierte en el eje vertebrador de su cumplimiento efectivo por parte de las organizaciones.

     

    Elías Vallejo

    Equipo Govertis

    KEEP READING

    DARK PATTERNS I: Los «dark patterns» como amenaza a la privacidad de los usuarios

    12 marzo, 2021 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    Dark Paternns como amenaza a la privacidad

    Cuando navegamos por Internet, accedemos a diferentes webs y contenidos y disfrutamos de los servicios que los proveedores de Internet nos ofrecen, esperamos que esta experiencia sea lo más rápida y sencilla posible. Pero ¿no te has fijado que en ocasiones se convierte en un auténtico laberinto? De repente, un vídeo comienza a reproducirse automáticamente sin haber pulsado el botón de “play”, un gigante banner de cookies con un enorme botón de “aceptar todas” invade tu pantalla o debes suscribirte incluso para visualizar un artículo de 5 líneas: Estás ante ejemplos típicos de “dark patterns”. 

    ¿Qué son los “dark patterns”?

    Este tipo de prácticas tienen nombre en el mundo de la UX (User Experience o Experiencia de Usuario): Se denominan “dark patterns” y consisten en una serie de trucos usados en las páginas webs y aplicaciones para incitarte a hacer algo que no quieres, como comprar un producto o inscribirte en un servicio. En este vídeo se explica qué son los “patrones oscuros” de forma muy práctica. El término fue acuñado por Harry Brignull (diseñador UX) en 2010, quien entonces también los clasificó e inició un Hall of Shame con ejemplos llevados a cabo por todo tipo de empresas. 

    Más de una década después, estas prácticas se han convertido en endémicas a lo largo y ancho de Internet (Un estudio publicado en enero de 2020 confirmó que el uso de los “dark patterns” y el consentimiento implícito está muy extendido, sólo el 11,8% cumple los requisitos mínimos establecidos por el RGPD)1.

    ¿Por qué caemos en los “dark patterns”?

    Los “Dark patterns” se nutren de la naturaleza humana, jugando con sesgos cognitivos de los que a menudo no somos conscientes. Estos métodos derivados de la psicología del comportamiento son brechas o debilidades que llevan a las personas a tomar elecciones irracionales. Los proveedores de servicios de la sociedad de la información tratan de explotar dichos sesgos cognitivos para influenciar y manipular las decisiones de los consumidores. Estos pueden incluir la elección de pequeñas recompensas a corto plazo en lugar de mayores beneficios a largo plazo o la tendencia a escoger el camino de menor resistencia2.

    Si a un usuario se le pide que intercambie sus datos personales por un beneficio económico a corto plazo, como un descuento, lo hará. En este caso, el beneficio a corto plazo (el descuento) es tangible e inmediato, mientras que la potencial pérdida (la privacidad) lo es a largo plazo3

    La CNIL se encarga de enfatizarlo en su informe Shaping Choices In the Digital World y recalca que estamos tan influenciados y entrenados para compartir más y más que no somos consciente que en la mayoría de los casos  estamos poniendo en peligro nuestros derechos y libertades4.

    Ejemplos y técnicas utilizadas en los “dark patterns”

    • Clicar “sí” en vez de “no” porque el botón de “sí” era mucho más grande y colorido en el banner, mientras que el de “Saber más” o “Configuración” aparece más pequeño o de color gris. Muestra de ello es el análisis que llevó a cabo Google ya en 2009, testando 41 tonos diferentes de azul para medir el porcentaje de respuesta de los usuarios5.
    • Clicar “continuar” en vez de “no” porque la primera opción te supone navegar a través de múltiples páginas antes de aterrizar en el contenido que te interesa. 
    • Registrarte a una “newsletter” sólo para avanzar hacia el siguiente servicio.
    • Crear un usuario compartiendo la información de tu cuenta de Facebook para evitar rellenar un formulario interminable o cuando una red social te pide que completes toda la información sobre tu pasado, la escuela a la que fuiste o a qué club deportivo pertenecías para “mejorar tu perfil y ganar visibilidad”.
    • Dar tu número de teléfono creyendo que será usado para la entrega de un pedido o para una autenticación de dos factores, cuando únicamente atiende a propósitos de prospección comercial.
    • El planteamiento de una pregunta de tal manera que una lectura rápida o en vertical puede conducirte a creer que la opción de respuesta produce el efecto contrario al que piensas que estás decidiendo. Por ejemplo, con el uso de la doble negativa.
    • Añadir un candado a una interfaz no muy segura.
    • Incluso dar el significado de aceptación a un botón con una cruz, el cual en la mente de los usuarios es sinónimo de “Cerrar y seguir”. Este método ha sido usado, por ejemplo, por Microsoft para “alentar” a sus usuarios de la versión previa de su Windows OS a migrar al Windows 10. 

    Y es que el diseño de las interfaces de usuario no es en absoluto casual. Cada elemento de una plataforma o sitio web, desde la ubicación de los botones, la elección de las fuentes y el color del texto ha sido cuidadosamente colocado y atiende a unas estudiadas razones. Las interfaces de usuario pueden ser empleadas para dirigir a los consumidores a priorizar ciertas opciones sobre otras, a ocultar u omitir información relevante o incluso engañar, confundir o frustrar a los usuarios. Los “dark patterns” siempre están diseñados para beneficiar al proveedor de servicio, coincida o no con los mejores intereses del consumidor6.

    Uno de los casos más paradigmáticos, fue el de LinkedIn en 2015, que le costó una multa de 13 millones de dólares. Al registrarse, cualquier usuario compartía los correos electrónicos de sus contactos de una forma muy sutil y a su vez, estos correos recibían supuestas invitaciones de ese nuevo usuario para darse de alta en la plataforma. 

    Facebook ya los usaba en 2010. Si rechazabas el uso de su sistema de reconocimiento facial, aparecía el siguiente mensaje: “Si mantienes el reconocimiento facial desactivado, no seremos capaces de usar esta tecnología si un extraño usa tu foto para suplantarte”; además de que el botón para activarla era azul y brillante, y el de desactivarla de un gris apagado.  ¿Quién dudaría hoy en día de que el principal interés de Facebook es ayudarte a que no suplanten tu identidad?

    Pero no solo son herramientas usadas por las grandes tecnológicas. Un estudio publicado en octubre de 2019 determinó que entre los 5000 avisos de privacidad analizados pertenecientes a diversas compañías de Europa, el 54% usa “dark patterns” y el 95.8% no da elección de acuerdo con la prestación del consentimiento o únicamente confirma que los datos van a ser tratados7.

    Lidia Bergua

    Equipo Govertis

    • 1Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence: M. Nouwens, I. Liccardi, M. Veale, D. Karger y L. Kagal (2020).
    • 2YOU CAN LOG OUT, BUT YOU CAN NEVER LEAVE: How Amazon manipulates consumers to keep them subscribed to Amazon Prime: FORBRUKERRADET- Norwegian Consumer Council- (2021).
    • 3DECEIVED BY DESIGN: How tech companies use dark patterns to discourage us from exercising our rights to privacy: – FORBRUKERRADET- Norwegian Consumer Council- (2018).
    • 4Shaping Choices in the Digital World: From dark patterns to data protection: the influence of ux/ui design on user empowerment. CNIL. (2019).
    • 5“Putting a Bolder Face on Google”: https://www.nytimes.com/2009/03/01/business/01marissa.html. (2009)
    • 6YOU CAN LOG OUT, BUT YOU CAN NEVER LEAVE: How Amazon manipulates consumers to keep them subscribed to Amazon Prime: FORBRUKERRADET- Norwegian Consumer Council- (2021).
    • 7“(Un)informed Consent: Studying GDPR Consent Notices in the Field”: C. Utz, M. Degeling, S. Fahl, F.Schaub y T. Holz. (2019).

    KEEP READING

    Novedades con la directiva NIS: El empoderamiento del CISO

    4 marzo, 2021 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    La Directiva NIS *1 (Security of Network and Information Systems) europea relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión fue traspuesta al ordenamiento jurídico español con la entrada en vigor del RD-ley 12/2018 *2 de 7 de septiembre, de seguridad de las redes y sistemas de información.

    Con la llegada del nuevo RD 43/2021 *3, de 26 de enero España se desarrolla reglamentariamente el RD-ley 12/2018 y llegan novedades para el cumplimiento de obligaciones de seguridad de los operadores de servicios esenciales y proveedores de servicios digitales en cuanto a:

    • Marco institucional.
    • Supervisión de la ciberseguridad por parte de la Administración.
    • Notificación de ciberincidentes de seguridad
    • Gobierno / gobernanza de la ciberseguridad en las organizaciones.

    En este artículo, abordamos las novedades que se desarrollan a través del Artículo 7 de dicho RD que afectan, en particular, a la figura Responsable de Seguridad de la Información al que, de ahora en adelante, nos referiremos como CISO.

    ¿Qué novedades afectan al CISO?

    • Obligación de designación oficial de un CISO y un sustituto del mismo (porque los CISOs también pueden estar ausentes, por vacaciones o enfermedad). Aunque se indica que pueda ser un órgano colegiado, deberá designarse como tal a una persona física quien ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y el CSIRT de referencia que le corresponda. Se establece un plazo máximo de tres meses tras la designación como operador de servicios esenciales para formalizar este nombramiento.
    • Comunicación a la autoridad competente correspondiente de la designación del CISO (y su backup), conforme al plazo establecido de tres meses antes mencionado (hasta el mes de abril 2021). En caso de nuevos nombramientos o ceses hay obligatoriedad de mantener esta información de contacto actualizada, comunicándolo igualmente con un plazo máximo de un mes desde que se produzcan.
    • Punto de contacto, ejercerá a modo de “ventanilla única” respecto a la autoridad competente, en materia de supervisión y con el CSIRT de referencia, para gestión de ciber incidentes. Además, quedarán bajo la responsabilidad del CISO:
      • Políticas de seguridad. Deberá elaborar y proponer para aprobación por la organización de las políticas de seguridad, con un enfoque de gestión del riesgo que reduzca al mínimo el impacto derivado de ciberincidentes que afecten a la organización y los servicios.

    Uno de los objetivos de la Directiva NIS es asegurar la resiliencia de las organizaciones afectadas a nivel europeo frente a ciber incidentes. Para ello es importante disponer de Planes de Contingencia y Continuidad de Negocio actualizados, que les permitan restablecer los servicios y procesos críticos en el menor tiempo posible.

      • Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos, supervisar su efectividad y realizar controles de seguridad periódicos.

    El cumplimiento de las obligaciones técnicas y organizativas en materia de seguridad podrá acreditarse ante la entidad supervisora, mediante la certificación en un esquema de seguridad que sea reconocido por el CSIRT de referencia (ej: el ENS o la ISO 27001).

      • Declaración de Aplicabilidad: Deberá elaborar y remitir el documento de Declaración de Aplicabilidad de medidas de seguridad en un plazo máximo de seis meses desde la designación como operador de servicios esenciales. Esta declaración de aplicabilidad deberá revisarse, al menos, cada tres años.

    La entidad competente respectiva supervisará tanto la Declaración de aplicabilidad inicial de medidas de seguridad, como las sucesivas revisiones.

      • Actuar como capacitador de buenas prácticas de seguridad en redes y sistemas de información, tanto en aspectos físicos como lógicos.
      • Notificación de incidentes de seguridad a la autoridad competente, a través del CSIRT correspondiente. Se deberá notificar en tiempo y forma, aquellos incidentes de seguridad que afecten a la prestación de servicios a los que se refiere el Artículo 19.1 del RD-ley 12/2018, de 7 de septiembre.

    La notificación de incidentes de seguridad deberá seguir la taxonomía definida en el Anexo del RD 43/2021, estableciendo el nivel de impacto y peligrosidad, así como la información requerida.

    Según esta clasificación se definen unas ventanas temporales de reporte, para la notificación inicial, intermedia y final. A modo de ejemplo, la notificación inicial deberá ser Inmediata, en caso de incidentes con nivel de peligrosidad o impacto CRÍTICO, MUY ALTO o ALTO.

      • Recibir, interpretar y supervisar la aplicación de instrucciones y guías emanadas de la autoridad competente, tanto para operativa habitual como para subsanar deficiencias detectadas.
      • Recopilar, preparar y suministrar información a la autoridad competente o el CSIRT de referencia, ya sea atendiendo a un requerimiento o por propia iniciativa.
    • Requisitos del CISO. Los operadores de servicios esenciales deberán garantizar que el CISO cumpla con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico adecuados al desempeño de sus funciones. Para el desarrollo de dichas funciones deberá contar con los recursos necesarios y, a nivel organizativo, contar con una posición que garantice su independencia respecto a responsables de redes o sistemas de información y mantener una comunicación real y efectiva con la Alta dirección.
    • Compatibilidad de funciones. Cuando concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones encomendadas al CISO podrán compatibilizarse con las señaladas para el Responsable de Seguridad y Enlace y el Responsable de Seguridad del Esquema Nacional de Seguridad, según dispone la normativa aplicable sobre ambas figuras.

    El listón se ha puesto alto en cuanto a requisitos y responsabilidades del CISO, por lo que resulta necesario potenciar su figura a nivel organizativo y dotarle de los recursos requeridos para lograrlo.

    Conclusiones

    En lo referente a la figura del CISO, el RD 43/2021 plantea a las organizaciones afectadas la obligatoriedad de designación del mismo, estableciendo una serie de requisitos y competencias que debe satisfacer para impulsar de forma efectiva las iniciativas de mejora en materia de ciberseguridad.

    Para desarrollar de forma eficiente las funciones encomendadas (y no morir en el intento), este Real Decreto establece que el CISO podrá apoyarse en servicios de consultoría prestados por terceros.

    Equipo Govertis

    Javier Santiago

    [1] VÉASE EUR-Lex – 32016L1148 – EN – EUR-Lex (europa.eu)

    [2] VÉASE Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. (boe.es)

    [3] VÉASE https://www.boe.es/eli/es/rd/2021/01/26/43

    KEEP READING

    El Impacto de la Protección de Datos en los Chatbots

    9 diciembre, 2020 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    Los chatbots o bot conversacional son sistemas informáticos cuya funcionalidad es poder mantener una interacción con el ser humano. A través de este programa, el usuario es capaz de mantener una conversación en línea con una persona a partir de determinadas respuestas automáticas. El citado software, tiene una serie de respuestas preparadas de antemano, y de esta manera, destaca por su inmediatez.  Actualmente son utilizados por las compañías para poder interactuar con sus clientes o potenciales clientes, y así responder de forma ágil a las preguntas que se formulen sobre el servicio.

    Para poder realizar su función de interacción con el usuario, el programa deberá procesar y almacenar la información que le facilita el usuario, entre dicha información se pueden contener datos de carácter personal. Un dato de carácter personal es toda información identificada o identificable referente a una persona física. Es por ello que, podrá almacenar datos personales de diferente tipo: desde un nombre, apellidos, dirección… a determinados datos de salud, religión etc. (considerados datos de categoría especial).

    Si se va utilizar este sistema, deberá tenerse en cuenta las siguientes implicaciones en materia de protección de datos:

    1. Deberá identificar los tratamientos de datos que se van a realizar en la plataforma, y registrarlo en su Registro de Actividades de Tratamiento correspondiente, con toda la información exigida por el artículo 30 del RGPD.

    2. Se deberán analizar los riesgos derivados de estos tratamientos sobre los derechos y libertades de los individuos y comprobar si dicho tratamiento lleva aparejada la realización de una Evaluación de Impacto (en adelante EIPD). Además, comprobar si el mismo, se encuentra recogido en la lista de tratamientos que requieren una EIPD de forma obligatoria.

    3. Aplicar las medidas tanto técnicas como organizativas adecuadas a los riesgos que hayamos previsto para los tratamientos de datos.

    4. Buscar una base de legitimación de las recogidas en el artículo 6 del RGPD para los tratamientos realizados en el chatbot.

    5. Informar a los usuarios que utilicen el servicio de forma sencilla, ágil y transparente según lo estipulado en los artículos 13 y 14 del RGPD.

    6. En el caso de que el servicio lo provea un tercero ajeno a la organización, deberá firmarse el correspondiente contrato de encargado del tratamiento, conforme a los requisitos del artículo 28 del RGPD.

    Además, debemos recordar que todas estas cuestiones deberán plantearse de manera previa a la implantación del sistema. Para cumplir con el principio de privacidad desde el diseño, el Responsable del tratamiento deberá estudiar todas estas implicaciones de forma previa y evaluar los riesgos derivados. Para ello, si fuera necesario, aplicará una serie de controles para que el servicio ofrecido se pueda desarrollar sin problemas jurídicos sobre la protección de datos de los usuarios que lo vayan a utilizar.

    Marcos Rubiales

    Equipo Govertis

    KEEP READING

    Es obligatorio el Delegado de Protección de Datos para las empresas que desarrollan actividades de publicidad y Prospección Comercial

    26 noviembre, 2020 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    El uso de nuevas tecnologías resulta de mucha utilidad para la realización de una gran variedad de tratamientos de datos personales y en concreto, para aquellas actividades que se utilizan para desarrollar campañas publicitarias y prospección comercial, puesto que aplican técnicas de marketing digital con el objetivo de llegar a un público más personalizado y por tanto, obtener un mayor éxito en las ofertas de productos o servicios.

    La pregunta es porqué la nueva Ley de Protección de Datos y Garantía de Derechos Digitales, 3/ 2018, de 5 de Diciembre, (LOPDGDD) fija de manera obligatoria para estas actividades, por lo tanto, para las compañías que se dedican a dichas funciones, nombrar un Delegado de Protección de Datos.

    La ley, es muy clara, en este sentido, pues conforme establece su artículo 34, “Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso cuando se trate de las siguientes entidades:

    • k) las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos”.

    Si se observa, la Ley no obliga a todas las empresas que se dediquen a las actividades publicitarias y de prospección comercial a nombrar a un delegado de protección de datos, sino, solo a aquellas que realizan actividades que permiten conocer las preferencias de las personas o que elaboren perfiles. Esto es lo que claramente, marca la línea divisoria entre designar un delegado de protección de datos de manera obligatoria o voluntaria, tener y buscar o vigilar los gustos y hábitos de vida para elaborar perfiles debido al conocimiento de  las  preferencias personales de los usuarios.

    Si en la actividad publicitaria no se realizaran perfilados, el delegado de protección de datos, podrá designarse por las compañías de una  manera voluntaria,  aunque siempre constituye una garantía de cumplimiento y de Responsabilidad Proactiva del Responsable del tratamiento,  a tenor del Reglamento Europeo de Protección de Datos  2016/ 679 del Parlamento Europeo  y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46.

    Para poder entender un poco mejor, en qué consiste la elaboración de perfiles, se trata de cualquier forma de tratar los datos personales de manera que consiguen evaluar aspectos y preferencias de nuestra vida privada, como, por ejemplo, lo que nos gusta comer, o donde preferimos ir de vacaciones, en que tiendas compramos más, o en qué momento vamos a tal restaurante, es decir, se realiza una vigilancia de nuestros movimientos, comportamientos, salud o preferencias de cualquier tipo.

    (fuente imagen: adveischool)

    Es precisamente esta circunstancia de vigilancia de nuestros hábitos que realizado sobre un número de personas muy elevado, se denomina “tratamiento de datos personales a “gran escala” o “perfilado a gran escala” , piensen  por ejemplo en una gran cadena internacional de alimentación,  ya que  se recogen gran cantidad y variedad de datos personales (Big Data) , con la ayuda de la Inteligencia Artificial  (IA).

    Este tratamiento de datos, en sí mismo, comporta riesgos especialmente relevantes (alto riesgo), para los derechos y libertades de las personas que hace necesario y obligatorio designar un delegado de protección de datos, precisamente para tomar medidas que reduzcan, dentro de lo posible, el riesgo de dañar o perjudicar a las personas, o afectar negativamente sus derechos y libertades, impidiendo o limitando su ejercicio o contenido.

    Como se puede deducir, el Big Data tiene un fuerte impacto sobre nuestra privacidad, ya que las predicciones sobre las que se basan para toma de decisiones, serán mejores cuantos más datos personales se recojan, por lo tanto, cuanto más sepan de nosotros y más tiempo se tratan dichos datos, más se puede ver comprometida nuestra vida privada, ello hace que la normativa exige unas determinadas garantías para poder llevar a cabo dichos tratamientos personales que resultan más intrusivos.

    La Inteligencia Artificial, junto con el Big Data, juegan un papel fundamental en esta recopilación de información personal, pues gracias a ella se utilizan sistemas que muestran un comportamiento inteligente que analiza el  entorno y  realizar acciones  con cierto grado de autonomía, para lograr un objetivo específico, por las empresas que llevan a cabo actividades  de publicidad comportamental, partiendo lógicamente desde el conocimiento de nuestras preferencias personales, intereses, fiabilidad o ubicación y movimientos

    Por todo lo anterior, entendemos  por qué la legislación en materia de protección de datos, obliga a  todas aquellas empresas que realicen prospección comercial y publicidad que implique la elaboración de perfiles, o el tratamiento se base en las preferencias de los afectados , nombrar un delegado de protección de datos, por ser experto en la materia, cuya función será, entre otras muchas,  la de vigilar y poner la debida atención a los riesgos  asociados  a las operaciones de tratamiento, por considerarse  intrusivas para nuestra privacidad, teniendo sobre todo en cuenta la naturaleza de los datos que traten, así como su alcance, contexto, y finalidad del tratamiento.

    Autora: Carmen Lopez Belda.

    Associate-Legal & Privacy Advisor  en Govertis-Telefónica

    IT Lawyer

    @LopezBelda
    https://www.linkedin.com/in/carmenlopezbelda

    23 de Noviembre 2020

    https://www.aepd.es/sites/default/files/2019-12/wp251rev01-es.pdf

    https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-be-subject-automated-individual-decision-making-including-profiling_es

    KEEP READING

    Gestionar contraseñas es proteger el acceso a nuestro negocio.

    18 noviembre, 2020 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    No cabe duda de que vivimos en una era de ciberseguridad evolutiva, en la que cualquier corporación ya sea mercantil, gubernamental u organización sin fines lucrativos, conlleva un alto nivel de protección, no sólo del activo más importante en una organización, que es su información hoy en día, sino también la protección de nuestra vida digital.

    Dentro de este marco, no es menos importante la seguridad en los accesos a la información, dispositivos o aplicaciones locales o web. La llave que nos brinda el paso a todo ello, son nuestras contraseñas, a menudo gestionadas por los mismos usuarios de distintos niveles de perfil técnico.

    Ante la necesidad de los constantes cambios de contraseñas para mejorar el cifrado en el acceso, surge en los usuarios “la presión añadida” de memorizar o almacenar (en ocasiones de forma rudimentaria y poco segura) estas claves.

    Para aumentar la calidad del trabajo TI, es casi imprescindible automatizar este proceso, aún más cuando precisamos cumplir con auditorias de seguridad como PCI (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard).

    Existen multitud de software gestores que cuentan con funcionalidades diversas como:

    • La generación automática de contraseñas fuertes y aleatorias
    • Sistemas de doble autenticación
    • Gestión de la temporalidad de la contraseña (longevidad),
    • Filtro de repetición de claves ya obtenidas o simplemente
    • Almacenar de forma segura en una base de datos, que a su vez se protege por una password maestra de acceso inicial, para después de forma automática con autoescritura aplicarla junto con el usuario en cualquier acceso.

    Con estas herramientas eliminamos el tedioso hábito de memorizar infinidad de contraseñas, recurriendo a menudo a la errática costumbre de asociarlo con fechas o elementos privados para poder recordarlos o en otros casos anotarlos en archivos de Word o de anotaciones de fácil acceso.

    Con esta concienciación y el uso de backups programados de la base de datos donde se alojan nuestras claves, la seguridad se incrementa exponencialmente, aportando calidad en el trabajo diario, relacionado directamente con el resultado que espera el consumidor final de nuestra actividad empresarial.

    Algunos consejos para la creación de contraseñas cuando no son generadas automáticamente pueden ser estos:

    • Cambio de claves periódicamente (mensual o trimestral dependiendo de la información a la que se pretende acceder).
    • No repetir contraseñas antiguas.
    • No relacionar claves de acceso con datos o eventos personales (fechas, teléfonos, DNI, matrículas de coche, etc…)
    • Diferenciar los sitios de acceso con claves diferentes.
    • No almacenar las contraseñas en archivos sin acceso seguro y mucho menos en soporte papel.
    • Si el entorno no es seguro, es decir, si estamos conectados a una red Wifi pública o que no está protegida de forma privada o dentro de nuestra corporación, evitar acceder a sitios con nuestro usuario y password.
    • Si el equipo no está en un sistema operativo corporativo configurado con usuarios de entorno, y el equipo no es el habitual de trabajo, evitar el acceso, puede ser descifrado con sistemas de validación de pulsaciones de teclado.

    Este es un concepto más de seguridad, que debe estar respaldado por un Firewall, Políticas de Seguridad y restricciones.

    Rocío Bremón

    Equipo Govertis

    KEEP READING

    La obligación de bloqueo de datos: dificultades conceptuales sobre su aplicación

    22 octubre, 2020 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    Al integrar en nuestro sistema de Compliance el cumplimento de las obligaciones del RGPD y la LOPDGDD ¿cómo debemos interpretar la obligación de bloqueo que preceptúa el artículo 32 de la LOPDGDD? “El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión”. Más allá de las cuestiones relativas a como ejecutar materialmente el denominado “bloqueo” en nuestro sistema de información, otra de las cuestiones prácticas claves es bajo qué circunstancias y durante cuánto tiempo debemos bloquear dichos datos.

    Las posibles responsabilidades

    Cabe destacar ciertos detalles de la redacción del artículo 32.2 cuando se refiere a restringir el tratamiento y únicamente permitirlo para su puesta a disposición a las autoridades: para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas”. La redacción puede ser problemática, en el sentido de que entendemos como “posibles responsabilidades”, ¿se trata de responsabilidades que ya han nacido a consecuencia de un determinado hecho y que, ya sea porque nuestra entidad lo ha detectado o porque se ha iniciado el correspondiente proceso judicial o administrativo, corresponde bloquear los datos personales vinculados al mismo?, o ¿se refiere a cualquier potencial responsabilidad, ocurra o no el hecho generador de la misma, sobre la que pueda responder la entidad?

    Responsabilidades derivadas del tratamiento

    Otro elemento de incertidumbre en la redacción del artículo 32, en concreto su apartado 2, es la relativa a que debemos entender por “responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.”

    Aunque ello puede parecer a priori una forma de restricción que evite una hipertrofia del abanico de responsabilidades legales que pueden motivar el bloqueo de datos, dicha restricción nos obliga a llevar a cabo un segundo análisis causalista, no exento de complejidad e incertidumbre, sobre qué acciones dentro de la definición de tratamiento de datos personales, pueden ser susceptibles de producir responsabilidades de algún tipo y, una vez determinadas, establecer el plazo de bloqueo conforme su período de prescripción.

    Distintos escenarios de prescripción de responsabilidades derivadas del tratamiento

    Obviamente las responsabilidades derivadas del tratamiento quizás más evidentes serían las correspondientes al régimen sancionador de la LOPDGDD y sus correspondientes plazos de prescripción, siendo 3 años el más alto, para infracciones muy graves, tal como establece el artículo 72.1.

    No obstante, ¿debemos detener el análisis en la prescripción de las sanciones de la LOPDGDD? Podemos encontrar en otros cuerpos legislativos, supuestos de hecho en los que, un tratamiento vulnerando alguna de las disposiciones del RGPD, puede generar una serie de consecuencias que den lugar a responsabilidad civil o incluso penal.

    Si analizamos, por ejemplo, el marco del Real Decreto Legislativo 1/2007 por el que se aprueba el texto refundido de la Ley General para la Defensa de los consumidores y Usuarios y otras leyes complementarias (TRLGCU), una posible falta de conformidad en el producto recibido por un consumidor podría ser fruto de que el empresario llevó a cabo un tratamiento sin establecer medidas para garantizar el principio de exactitud del RGPD. Dicha falta negligente de exactitud, podría ser relativa a medidas corporales del cliente que se requieren para la personalización del producto o la confusión de direcciones de envío distintas, enviando productos a los destinatarios incorrectos, ¿estaríamos también en ese caso ante una responsabilidad derivada del tratamiento? Recordamos que las acciones por faltas de conformidad de los consumidores y usuarios prescriben a los 2 años, artículo 123.1 TRLGCU, y por ello, ¿deberíamos bloquear todos los datos de nuestros clientes, en condición de consumidores y usuarios, durante 2 años?

    Continuando con el análisis, si nos fijamos en el marco penal, tenemos delitos como los de descubrimiento y revelación de secretos del artículo 197 y siguientes del Código Penal, que pueden ser cometidos por persona jurídica y versan muy directamente sobre datos de carácter personal, especialmente sobre la esfera de la confidencialidad, así como otros delitos como los daños informáticos del artículo 264 y siguientes que, aunque no se refieren expresamente a los datos de carácter personal, tampoco excluyen los mismos y se centran en aspectos relativos a la disponibilidad e integridad de los datos. ¿Encajarían entonces en la definición de “responsabilidades derivadas del tratamiento”?

    Si la respuesta fuera afirmativa, sería necesario relacionar el plazo de prescripción de los delitos para la determinación de dicho período de bloqueo. Sin pretender entrar en una discusión doctrinal sobre la prescripción, dichos plazos podrían llegar a situarse en los 15 años, en interpretación conjunta del artículo 131 y 33.7 del Código Penal, junto a la doctrina del Tribunal Supremo sobre la valoración de la pena en abstracto del delito para la determinación del plazo de prescripción (STS 4264/2017 y Acuerdo del Pleno no jurisdiccional de la Sala 2 del TS de 16 diciembre de 2008 “la pena de la que hay que partir para la prescripción es la abstracta señalada al delito por el legislador y no la concreta resultante de aplicar la reglas sobre el grado de ejecución participación y circunstancias”). ¿Estaríamos entonces ante la obligación de que cualquier persona jurídica, por razón de sus “responsabilidades derivadas del tratamiento”, debería adoptar un sistema de bloqueo de datos personales de 15 años en cumplimiento del artículo 32.2 de la LOPDGDD y los eventuales plazos de prescripción penal aplicables?

    Obligación de bloqueo y compatibilidad con el RGPD

    La incertidumbre sobre la determinación del período de bloqueo, especialmente si tenemos en consideración los plazos de prescripción por responsabilidad penal, obligan a plantear la siguiente cuestión: ¿en qué medida una obligación de conservar o quizás, mejor dicho, una obligación de no destruir los datos de hasta 15 años, una vez se ha agotada la finalidad que motivó el inicial tratamiento, puede ser compatible con el principio de limitación del plazo de conservación del RGPD?

    En conclusión, sería deseable mayores precisiones del legislador, teniendo en cuenta que tanto el incumplimiento de la obligación de bloqueo como la infracción de principios del artículo 5 del RGPD se tipifican en la LOPDGDD como sanciones muy graves, produciendo un escenario de riesgo complejo según como gestionemos la limitación del plazo de conservación junto con la obligación de bloqueo. Finalmente, cabe reflexionar sobre hasta qué punto el legislador nacional puede delimitar, modificar o matizar el alcance de un principio del Reglamento europeo e incluso generar incluso un concepto jurídico no previsto por este si tenemos en cuenta los conocidos principios de primacía y efecto directo.

    Jordi Morera Torres

    Equipo Govertis

    Fuente de la imagen: https://pixabay.com/illustrations/security-secure-locked-technology-2168233/ Free for commercial use, No attribution required

    KEEP READING

    Las imágenes de videovigilancia como prueba judicial fuera del plazo de conservación

    7 octubre, 2020 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    Como ya vimos en publicaciones anteriores, la Agencia Española de Protección de Datos (AEPD) ha venido aclarando todo lo relativo a los dispositivos de vídeo y sistemas videovigilancia mediante una serie de resoluciones, instrucciones y guías

    Particularmente, en cuanto a la legitimación temporal del tratamiento de las imágenes de esas fuentes.

    A modo de prolegómenos, comentar que el Reglamento General de Protección de Datos (RGPD), en su considerando 39, anuncia la necesidad de “garantizar que se limite a un mínimo estricto” el plazo de conservación de los datos personales, los cuales a su vez deben ser “adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados”.

    El artículo 22.3 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), concreta –en cuanto a los tratamientos con fines de videovigilancia– que “los datos serán suprimidos en el plazo máximo de un mes desde su captación”. 

    Se trata del mismo plazo que ya estableció la Instrucción 1/2006 de la AEPD, cuando todavía se llamaba “plazo de cancelación”. En 2019, en su Guía sobre el uso de videocámaras para seguridad y otras finalidades, la AEPD ha precisado que el plazo de un mes indicado en dicha Instrucción es, efectivamente, de supresión.

    Ahora bien, si durante el tratamiento legítimo (dentro del mes desde su captación) se observa que las imágenes pueden “acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones”, existe el deber de comunicar la existencia de la grabación “en un plazo máximo de 72 horas” y su entrega a las autoridades (art. 22.3 LOPDGDD). Consecuentemente, las imágenes pasarían a ser tratadas ya en el marco del respectivo procedimiento judicial, investigación policial o procedimiento administrativo sancionador (nueva lógica de conservación que es igualmente aplicable cuando se incoe un expediente disciplinario en el ejercicio de la potestad sancionadora de los empresarios ante incumplimientos laborales de los trabajadores).

    Pero, ¿qué pasaría si unos hechos –que en principio merecerían reproche penal, administrativo o laboral– se descubren revisando imágenes guardadas más de lo debido? Es decir, superando el plazo mensual para ello, habiendo incumplido la LOPDGDD por no destruir los archivos. ¿Podrían servir como prueba en juicio? 

    Por una parte, en virtud del artículo 11.1 de la Ley Orgánica de Poder Judicial, “no surtirán efecto las pruebas obtenidas, directa o indirectamente, violentando los derechos o libertades fundamentales”. Siendo la protección de datos un derecho fundamental ex art. 18.4 de la Constitución Española, “cuando alguna de las partes, o incluso el tribunal de oficio, considere que en la obtención u origen de alguna prueba admitida se han vulnerado derechos fundamentales habrá de alegarlo de inmediato…”, dispone el art. 287 de la Ley de Enjuiciamiento Civil.

    Desde la doctrina jurídica, el magistrado Suárez-Quiñones en su artículo «Las videograbaciones como prueba en el proceso penal» [en: Boletín del Ministerio de Justicia (estudios doctrinales), 2006, número 2024, pág. 13] expone que las grabaciones de cámaras de seguridad tienen un “plazo de validez” como prueba y recuerda: “las imágenes y sonidos obtenidos por cualquiera de las maneras previstas, serán destruidos en el plazo de un mes desde su captación”. Plazo que, por cierto, en caso de tratamientos que surgen de investigaciones profesionales, sería de tres años, según el art. 49.4 de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

    Por otra parte, en nuestros juzgados y tribunales el planteamiento en cuestión no resulta del todo pacífico.

    En la jurisdicción social encontramos posturas más flexibles a este tipo de actos del empresario, en vez de declarar su nulidad (como se hace por motivo de violar el derecho fundamental a la protección de datos en la Sentencia del Tribunal Constitucional 29/2013). Así, la justificación viene por el lado de incidir en una supuesta separación entre la actividad probatoria y la calificación que deba darse a circunstancias como la sanción de un trabajador. Nótese la Sentencia del Tribunal Superior de Justicia de Cataluña 7109/2000 que sostiene lo siguiente: “la calificación del despido debe vincularse al móvil que lo determina, o a la violación de derechos y libertades del art.  55.5 ET, y no a la ilegalidad de alguna de las pruebas aportadas al proceso, ello puede, no obstante, determinar la improcedencia [no la nulidad] del despido”.

    En el ámbito de lo penal, a falta de mayor jurisprudencia en este sentido, llama la atención la Sentencia del Tribunal Supremo 4281/2019, cuyo fundamento jurídico tercero redunda en un intento de separar la valoración de unas imágenes de videovigilancia entre “el ámbito de la propia legislación reguladora de protección de datos, es decir, en el tratamiento que al efecto puede llevar la Agencia de protección de datos” y la “incidencia en el proceso penal”. Se apunta pues a que no valdría alegar la mera vulneración, sino que cabe establecer un grado concreto de invasión de un derecho constitucional (como el de la propia imagen o el de la protección de datos) a partir del cual alcanzamos la nulidad de la prueba.   

    La citada sentencia, ponderando la seguridad pública, con el interés social de la persecución y prueba del delito, sugiere que existe una diferencia entre el alcance de las “correcciones administrativas” que pueda imponer la AEPD y lo que sería la validez de las imágenes en sede judicial para convertirse en prueba documental. Los requisitos que apunta el alto tribunal para discernir dicha diferencia se limitarían únicamente a “no vulnerar derechos fundamentales como el de la intimidad o la dignidad de la persona al captarlas” y no “hacerlo en espacios, lugares o locales libres y públicos, y dentro de ellos nunca en espacios considerados privados (como los aseos, vestuarios) sin autorización judicial”. Aparentemente, desde este planteamiento aislado –aunque de momento no contrastable con otros casos de jurisprudencia mayor–, se concibe dentro orden penal la asunción puntual de una suerte de ligas de derechos fundamentales en la que la protección de datos jugaría en segunda división. 

    En cualquier caso, independientemente del fin para el que se realiza la disposición, el mero hecho de no haber suprimido los archivos cuando así tocaba ya constituye una infracción muy grave de la normativa de protección de datos.

    De hecho, la posibilidad de reclamar ante la Agencia –con la certeza sobre el sentido del pronunciamiento y sanción– sirve, si no como desincentivo a valerse en juicio de este tipo de imágenes para quien las guarde, como un instrumento en manos de la parte afectada para su defensa o negociaciones. 

    Andreu Yakúbuv-Trembach

    Equipo Govertis

    KEEP READING

    Rastreo de usuarios por internet y medidas para minimizarlo

    30 septiembre, 2020 |by Blog AEC GOVERTIS | 0 Comments | DPD DPO

    Cuando visitamos páginas webs por medio de ordenadores, móviles, tabletas u otros dispositivos, nuestra privacidad se ve amenazada por distintas prácticas que, mediante el envío de identificadores únicos, permiten distinguir al usuario y sus hábitos de navegación 

    A través de diversos rastreadores, las organizaciones, los prestadores de servicios y las páginas webs, entre otros, obtienen información y datos que posteriormente podrán ser utilizados con fines de publicidad, analíticos, estadísticos, para ofrecer servicios concretos, crear perfiles, o como base para el desarrollo de mejoras o nuevos productos y serviciosDe esta forma, logran un conocimiento exhaustivo de cada usuario.  

    Para poder recopilar dicha información se utilizan distintas tecnologías que impactan de forma directa sobre la privacidad de los usuarios en cuestión. Las más conocidas por todos son las cookies, pero no son el único método, hay muchos otros: almacenamiento local, logs de servidores, identificadores únicos de publicidad, huella digital, etc.  

    Teniendo en cuenta lo anterior, ¿Cómo podemos reducir este seguimiento de actividad en la navegación en internet y proteger nuestro anonimato?  

    Para dar respuesta a esta cuestión, recientemente la Agencia Española de Protección de Datos (AEPD) ha publicado en su página web una serie de recomendaciones que resumiremos a continuación y que pueden ser consultadas en la página web de la AEPD de forma completa.  

    Recomendaciones para usuarios sin conocimientos avanzados: 

    • Navegadores, aplicaciones y redes sociales: 
      • Se recomienda elegirlos, instalarlos o utilizarlos teniendo en cuenta las garantías de privacidad que ofrecen, atendiendo a los últimos análisis que se publiquen sobre ellos. Evitando el acceso a aquellos servicios que no ofrecen garantías adecuadas.  
      • Revisar y configurar las opciones de personalización, perfiles y publicidad que brindan.  
      • Evitar instalar aplicaciones que no sean necesarias. 
      • Evitar, en lo posible, iniciar sesión en el navegador, o al menos, evitar que la sesión se mantenga abierta de forma indefinida.  
      • Configurar el navegador para no sincronizar datos de navegación con los del usuario de sesión. 
    • Protección avanzada anti-rastreo: 
      • Mantener las aplicaciones y navegadores actualizados con el fin de disfrutar de las últimas tecnologías anti-rastreo 
      • En caso de que el navegador disponga de protección avanzada (anti rastreo/seguimiento) se recomienda activar o mantener activada esta configuración eligiendo el nivel más elevado.  
      • Si el navegador no dispone de protección avanzada anti-rastreo/seguimiento, se pueden instalar extensiones que realicen esta función, siempre que ofrezcan garantías adecuadas 
    • Respecto a las cookies: 
      • Se aconseja configurar el navegador para bloquear las cookies de terceros, como mínimo para cuando se navegue en modo privado 
      • Configurar el navegador para que al cerrar la página web las cookies se borren de forma automática. 
      • Borrar las cookies manualmente cada cierto tiempo.  
    • Para poder navegar por sitios que exigen mayor acceso a tus datos puedes seguir las siguientes opciones: 
      • Contar con dos navegadores distintos para que, si las configuraciones restrictivas te impiden acceder a algunos servicios, puedas hacerlo con el otro navegador que otorga mayores permisos.  
      • Añadir una excepción en la configuración del navegador que estés utilizando, pero estarás exponiendo información personal con los sitios incluidos en la excepción. 
    • Configura tu dispositivo:  
      • Cambia las opciones de tu dispositivo de forma que no se utilice el identificador de publicidad para crear perfiles o mostrar anuncios personalizados basados en la localización o el perfil.  
      • Si el dispositivo lo permite, también puedes cambiar el identificador de publicidad cada cierto tiempo desde las opciones de configuración de privacidad. 

    Recomendaciones para usuarios con conocimientos avanzados: 

    • Configurar en la red doméstica un bloqueador de consultas DNS.  
    • Navegar a través de una VPN (red privada virtual) o la red TOR. 
    • Instalar máquinas virtuales en tu sistema, incluyendo únicamente un navegador de Internet y navegar en las sesiones virtuales. 
    • Utilizar sistemas operativos diseñados para preservar la privacidad y el anonimato.  

     Referencia:  https://www.aepd.es/sites/default/files/2020-09/nota-tecnica-evitar-seguimiento.pdf

    Carolina Pena

    Equipo Govertis

    KEEP READING