La seudonimización: claves de las Directrices 1/2025 del CEPD

En un mundo cada vez más digitalizado, la protección de datos personales se ha convertido en un desafío para empresas y organizaciones. La seudonimización se presenta como una de las técnicas más eficaces para minimizar riesgos y garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD).
El Comité Europeo de Protección de Datos (CEPD, por sus siglas en inglés) ha publicado las Directrices 1/2025 sobre seudonimización, proporcionando un marco de referencia para su correcta aplicación. En este artículo, analizaremos qué es la seudonimización, sus beneficios y las medidas técnicas necesarias para su implementación adecuada.

1. ¿Qué es la seudonimización y en qué se diferencia de la anonimización?
La seudonimización es definida por el artículo 4.5) como «el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable».
Es importante no confundir la seudonimización con la anonimización:

2. ¿Por qué es importante la seudonimización?
Las Directrices 1/2025 del CEPD destacan varios beneficios clave de la seudonimización:

3. Medidas técnicas y salvaguardas para una seudonimización efectiva
Para garantizar una seudonimización adecuada, el CEPD recomienda aplicar medidas técnicas y organizativas que pueden agruparse en tres grandes bloques:
– En la transformación seudonomizadora:
La seudonimización es un proceso que sustituye o elimina identificadores directos, impidiendo la vinculación con los datos originales sin información adicional protegida. Este proceso se basa en «pseudonymisation secrets» (secretos de la seudonimización), que deben almacenarse por separado y estar protegidos con medidas técnicas y organizativas estrictas para evitar accesos no autorizados.
Existen dos enfoques principales para llevar a cabo la transformación seudonimizadora:

• Algoritmos criptográficos: utilizan funciones unidireccionales o cifrado para generar pseudónimos, dificultando la reversión del proceso.
• Tablas de búsqueda: asocian identificadores originales con pseudónimos en una base de datos protegida, permitiendo su acceso controlado.

Para una implementación efectiva, los responsables del tratamiento deben evaluar qué atributos modificar, eliminando o sustituyendo identificadores directos y gestionando cuasi-identificadores según el riesgo de reidentificación.
En la fase de recolección de datos, la seudonimización puede aplicarse a través de dos estrategias:

• Uso de un intermediario de confianza: gestiona los datos y, si es necesario, revierte la transformación bajo condiciones controladas.
• Seudonimización en la fuente: los datos seudonimizados se transmiten directamente sin identificadores originales.

– Para prevenir la reidentificación indebida:
El CEPD enumera varias medidas que pueden aplicarse para reforzar la seguridad y evitar la reidentificación indebida de los datos. Las medidas técnicas se centran en la protección de la infraestructura y los procesos de transformación de los datos, mientras que las medidas organizativas garantizan que el personal involucrado en la gestión de los datos seudonimizados cuente con la capacitación y los controles adecuados. La siguiente tabla resume estas medidas:

– En la vinculación de datos seudonimizados
En determinados escenarios, varios responsables del tratamiento pueden necesitar vincular conjuntos de datos seudonimizados dentro de un nuevo dominio de seudonimización. Para ello, se pueden emplear tres estrategias principales:

Independientemente del método elegido, los responsables del tratamiento deben garantizar que los pseudónimos generados no permitan la atribución directa a los interesados sin información adicional protegida.

4. Aplicaciones prácticas de la seudonimización
El Anexo de las Directrices 1/2025 del CEPD presenta varios casos en los que la seudonimización protege la privacidad y garantiza el cumplimiento del RGPD. A continuación, se destacan algunos ejemplos:

Estos casos demuestran cómo la seudonimización es una herramienta clave para garantizar el equilibrio entre la protección de datos y la utilidad de la información en distintos sectores.
Las Directrices 1/2025 del CEPD se encuentran actualmente en fase de consulta pública hasta el 28 de febrero de 2025. Se espera que, tras este proceso, se adopten recomendaciones finales que refuercen su aplicación en la UE.
Para más información, puedes consultar el documento oficial aquí: Guidelines 01/2025 on Pseudonymisation | European Data Protection Board

Lluis Sabaté
Govertis, parte de Telefónica Tech

El modo incógnito y la protección de datos: ventajas, riesgos y realidad

En el mundo digital actual, el concepto de privacidad es más importante que nunca. Una de las herramientas más conocidas para navegar por internet de forma «privada» es el modo incógnito. El modo incógnito es una característica que ofrecen la mayoría de los navegadores web modernos como Google Chrome, Mozilla Firefox, Microsoft Edge y Safari. Aunque muchas personas lo asocian con anonimato absoluto, la realidad es que no es tan «incógnito» como podría parecer. A continuación, exploraremos qué hace realmente este modo, sus ventajas, riesgos y hasta qué punto protege tus datos personales.

¿Qué es el modo incógnito y cómo funciona?

El modo incógnito, también conocido como «navegación privada» permite navegar por Internet sin que el navegador guarde ciertas informaciones en el dispositivo. Cuando usas este modo:

• No se almacenan cookies ni historial de búsqueda: lal cerrar la sesión, el navegador elimina las cookies, el historial de navegación y cualquier dato que hayas introducido en formularios.
• Sesiones independientes: las pestañas abiertas en modo incógnito no comparten las cookies con las pestañas normales, lo que puede evitar que los sitios web «te sigan» a través de distintas sesiones abiertas.
• Sin autocompletar: elos datos introducidos (como usuarios y contraseñas) no se guardan para futuros accesos.

Ventajas del modo incógnito

1. Privacidad local:
   • Protege tu actividad de otros usuarios que comparten el mismo dispositivo (ordenador, teléfono, etc.) ya que no se registran los sitios que visitas en el historial del navegador, no queda registro de las páginas ni las búsquedas realizadas.
2. Evitar personalización:
   • Las cookies almacenadas mientras navegas en modo incógnito se eliminan automáticamente al cerrar la sesión. Esto significa que las páginas que visitas no pueden usar cookies para personalizar anuncios o sugerencias basadas en tu historial anterior.
3. Acceso múltiple:
   • Ideal para iniciar sesión en cuentas personales en dispositivos públicos o compartidos, ya que los datos de inicio de sesión no se guardan. Así, te permite acceder a varias cuentas de un mismo servicio (por ejemplo, redes sociales) al mismo tiempo, sin necesidad de cerrar sesión en una cuenta para usar otra.
4. Consulta sin rastros (precios dinámicos):
   • Algunos sitios, como aerolíneas o tiendas online, cambian los precios según lo que has buscado con anterioridad. El modo incógnito es útil para explorar estas páginas o servicios sin que las cookies o sesiones anteriores influyan en los resultados de lo que buscas.

Sin embargo, hay un malentendido común: este modo no impide que terceros rastreen tu actividad online.

Riesgos y limitaciones del modo incógnito

1. No anonimiza tu actividad:
   • Tu compañía de internet, el administrador de la red y las páginas que visitas todavía pueden ver lo que haces en línea, aunque estés usando navegación privada. Así, por ejemplo, en el trabajo o en el instituto, quien se encargue de la red, puede supervisar la actividad que realizas.
2. Rastreo de terceros:
   • Las empresas tecnológicas y los anunciantes pueden rastrearte mediante direcciones IP, huellas digitales del navegador (browser fingerprinting) y otras técnicas avanzadas, aunque estés en modo incognito.
3. No protege contra malware o ciberataques:
   • El modo incógnito no ofrece protección contra virus, spyware ni sitios web fraudulentos, no sustituye herramientas de seguridad, ni garantiza que estés a salvo de ciberamenazas.
4. Confianza falsa:
   • Muchas personas creen erróneamente que están completamente protegidas y bajan la guardia al introducir información personal o financiera.
5. Activación manual:

Pero entonces… ¿Es realmente «incógnito»?

La respuesta corta es: no totalmente. Aunque el navegador no almacena ciertos datos en tu dispositivo, es importante entender que no garantiza anonimato total en internet, tu actividad sigue siendo rastreable por:

1. Tu proveedor de servicios de internet (ISP): tu ISP es el intermediario entre tu dispositivo y los sitios web que visitas. Todo el tráfico de tu conexión pasa a través de ellos, por lo que pueden ver las direcciones de los sitios web que visitas (URLs) y registrar y guardar un historial de las páginas que frecuentas.

2. El administrador de la red: si usas una red corporativa o pública, como la de tu lugar de trabajo, universidad o una red Wi-Fi pública, el administrador de esa red también puede monitorizar tu tráfico (sitios visitados, archivos descargados, tiempos de conexión).

3. Los sitios web que visitas pueden rastrear tu actividad a través de tu dirección IP (que revela tu ubicación aproximada), técnicas de rastreo como cookies (que pueden funcionar parcialmente incluso en modo incógnito) o browser fingerprinting, que mencionamos antes y herramientas de análisis y rastreo, como Google Analytics o píxeles de seguimiento.
4. Motores de búsqueda: aunque uses modo incógnito, los motores de búsqueda como Google pueden registrar tus búsquedas si has iniciado sesión en tu cuenta. En 2020, Google enfrentó una demanda colectiva en Estados Unidos que alegaba que la compañía recopilaba datos de usuarios incluso cuando navegaban en modo incógnito en Chrome. Los demandantes argumentaban que esta práctica violaba las expectativas de privacidad de los usuarios. Para resolver esta disputa, en abril de 2024, Google acordó eliminar miles de millones de registros de datos recopilados durante las sesiones en modo incógnito.

Consejos para mejorar tu privacidad

1. Usa una VPN (Red Privada Virtual): Oculta tu dirección IP y cifra tu tráfico de Internet, impidiendo que tu ISP o administradores de red vean tu actividad. Las VPN crean un cifrado seguro entre un usuario y un sitio web.
2. Bloqueadores de rastreadores: extensiones como Privacy Badger o uBlock Origin ayudan a bloquear cookies, scripts y otras herramientas de rastreo utilizadas por sitios web.
3. Motores de búsqueda privados: utiliza opciones como DuckDuckGo o StartPage, que no almacenan tu historial de búsquedas.
4. Evita redes públicas no seguras: las redes públicas son especialmente vulnerables al espionaje, si necesitas usarlas, complementa con una VPN y evita introducir información sensible.
5. Actualiza tu navegador: mantener el software actualizado ayuda a protegerte contra vulnerabilidades conocidas.
6. Conexión HTTPS: siempre busca el candado o «https://» en las URL. Esto asegura que la comunicación entre tu navegador y el sitio web esté cifrada. Aunque no oculta los sitios visitados a tu ISP, protege el contenido que transmites.

Como conclusión podemos decir que «el modo incógnito» es una herramienta útil para proteger tu privacidad en el dispositivo local, pero no es una solución completa para navegar de forma totalmente anónima o segura. Para una protección más robusta de tus datos, es necesario combinarlo con otras herramientas y buenas prácticas de seguridad digital.

Recordemos que, en el mundo digital, la verdadera privacidad requiere más que solo activar un «modo incógnito».

Carolina Pena
Govertis, parte de Telefónica Tech

IA en procesos de selección. ¿Reclutador imparcial?

En los últimos años, la Inteligencia Artificial (IA) ha supuesto una transformación sin precedentes en los procesos de selección de muchas empresas. La implementación de los modelos de IA está revolucionando la manera de trabajar, facilitando la mejora en la eficiencia y en la productividad en los procesos de negocio.

Su función principal en la selección de candidatos es automatizar tareas repetitivas y monótonas, permitiendo al personal de recursos humanos centrarse en los aspectos clave de los procesos.

Ventajas de su uso

Entre sus múltiples ventajas, resaltan las siguientes:

• Agilidad: la automatización, sobre todo en la fase de cribado inicial de los candidatos, consigue que el proceso sea mucho más rápido. Este tipo de herramientas permite, entre otras, crear bases de datos con aquellos candidatos que cumplan los requisitos indicados en la oferta de empleo o la búsqueda de palabras clave dentro de los currículums recibidos.
• Eficiencia: la simplificación del proceso permite a los reclutadores, simultáneamente, dedicarse a otras tareas vinculadas al proceso como la realización de las entrevistas personales.
• Satisfacción del candidato: en la mayoría de procesos, el feedback al candidato se suele demorar bastante. Sin embargo, la utilización de este tipo de herramientas permite al aspirante saber cuál es el estado de su candidatura o poder consultar dudas sobre las fases del proceso en tiempo real.

En definitiva, el uso de estas herramientas se traduce en una optimización del proceso, beneficiando tanto el empleador como a los postulantes.

Analizadas sus ventajas, parece como si no hubiera sombras en la utilización de este tipo de herramientas para la evaluación de candidatos. Sin embargo, no es oro todo lo que reluce. ¿Es la IA un arma de doble filo para la selección de candidatos?

Impacto en la privacidad

Al ser una herramienta configurada para simular el comportamiento humano, puede dar lugar a que en la criba de candidatos se tengan en cuenta factores que van más allá de lo objetivo. Por ejemplo, la exclusión en base a su género o etnia o incluso el filtrado de los mismos teniendo en cuenta datos personales de categoría especial, como su orientación sexual.

Cuando los modelos de IA se entrenan, pueden ir adquiriendo progresivamente sesgos vigentes en la sociedad actual, a pesar de que sean sistemas diseñados para operar en el marco de límites éticos.

A modo de ejemplo, si el algoritmo aprende que el 90% de los directivos de empresas son hombres o que el 80% de los puestos de secretaría son mujeres jóvenes, es complicado que, a la hora de realizar la criba no reproduzca el patrón, favoreciendo dichas candidaturas frente a otras que se salgan del mismo para cubrir la vacante.

Un caso notorio fue el de un sistema desarrollado por Amazon que, según el MIT Technology Review (2022), discriminaba contra las mujeres debido a un sesgo en los datos históricos utilizados para entrenarlo.

Son múltiples organismos los que han analizado diferentes modelos de IA y denunciado estas evidencias, entre ellos, la Information Comissioner’s Office (ICO). Tras la realización de auditorías a varios modelos de IA, detectaron la existencia de herramientas que permitían la búsqueda y filtrado de candidatos en base a datos de categoría especial o la solicitud excesiva de datos que, posteriormente, se extraía y combinaba con otros encontrados en sus perfiles de redes sociales o plataformas de empleo.

Por ello, la ICO ha emitido una serie de recomendaciones a desarrolladores y proveedores de soluciones de IA para la selección de personal. Entre los puntos clave del estudio, destacan los siguientes:

• Equidad: se debe asegurar por parte de los proveedores que el tratamiento de datos personales se realiza de forma justa. Además, deben garantizar que cualquier dato de categoría especial procesado para controlar los resultados sesgados y discriminatorios sea lo suficientemente adecuado y preciso para cumplir con la finalidad pretendida.
• Transparencia: los responsables de la contratación deberán informar a los candidatos de qué información procesa la IA y cómo lo hace, la lógica implicada en la realización de predicciones o resultados y cómo utilizan dicha información para entrenar, probar o desarrollar de otro modo la IA.
• Minimización de datos: se debe realizar el tratamiento de aquellos datos absolutamente imprescindibles, asegurándose de que solamente se procesa la información para el propósito específico y que no se almacena, comparte o se vuelve a procesar para un propósito alternativo incompatible.

En conclusión, el uso de la IA en los procesos de contratación es prometedor. Sin embargo, queda un largo camino para que la tecnología encuentre un equilibrio entre el desarrollo tecnológico y la protección de los derechos y libertades de las personas.

Isabel Abad Ayala
Govertis, parte de Telefónica Tech

III Insight del Club del DPD – 2024

El pasado 23 de septiembre tuvo lugar el III Insight del Club del DPD de 2024 organizado por la Asociación Española para la Calidad, con la colaboración de Govertis, parte de Telefónica Tech.

El evento, dirigido por Javier Villegas, Lead Advisor y responsable de Desarrollo de Negocio de Govertis, se dividió en tres partes: una mesa redonda sobre «¿Cómo acreditar el cumplimiento de medidas de seguridad en encargados de tratamiento y la responsabilidad in vigilando?», otra mesa redonda sobre «Gestión de riesgos en proveedores/cadena de suministro y brechas de seguridad» y, un taller práctico sobre cómo llevar a cabo correctamente las Transfer Impact Assessments (TIAs) o evaluaciones de impacto de transferencias internacionales de datos personales.

1. ¿Cómo acreditar el cumplimiento de medidas de seguridad en encargados de tratamiento y la responsabilidad in vigilando?

La primera mesa redonda fue impartida por Eduard Blasi Casagran, abogado especializado en Derecho Digital y Privacidad, y Elena Gil González, abogada especializada en Protección de Datos y Derecho Digital. Se abordó la responsabilidad in vigilando y medidas de seguridad de los encargados de tratamiento.

En primer lugar, Eduard consideró esencial que los responsables de los datos generen una lista de proveedores ya que nos va a permitir tener un termómetro del estado de los terceros en materia de privacidad. Además, de tener otras herramientas como los sellos de confianza y las certificaciones, como la de calidad.

Igualmente, es importante prestar atención a la tipología de los proveedores porque solo aquellos que presentan una especial sensibilidad en el tratamiento de los datos tienen que estar más presentes en nuestro análisis.

Además, hay que tener en cuenta los contratos de encargados de tratamiento para verificar la responsabilidad in vigilando, por eso se debe realizar un triaje de valoración de terceros en el que se incorpore no solo las medidas de seguridad sino también el cumplimiento de la protección de datos, así como una cláusula de auditoría para los terceros proveedores.

Asimismo, Eduard resaltó la verificación del flujo de los datos en las transferencias internacionales de datos y que la labor de control de los proveedores conlleva la atención de derechos, el control de los subencargados, los límites de la responsabilidad y la devolución o destrucción de la documentación una vez finalizada la relación contractual.

Por último, durante su ponencia, Eduard resaltó que la imposibilidad de negociar un contrato de encargado con las grandes multinacionales no supone una eximente o atenuación de responsabilidad ante la Agencia Española de Protección de Datos, aspecto que deberá tenerse en cuenta.
También es necesaria una intervención del DPD para cambios menores en la negociación de los contratos de encargados por el departamento legal de las empresas. Y, terminó apuntando que la accountability consiste en verificar el cumplimiento de las medidas de seguridad en detalle y no rellenar un simple formulario.

A continuación, Elena Gil González, nos habló de la complejidad de abarcar toda la normativa digital recientemente legislada en la Unión Europea; destacando, por su importancia, el Reglamento DORA para entidades financieras, NIST2 para operadores críticos o la normativa de Inteligencia artificial, que regula no solo los aspectos de los datos personales sino también todo lo referente a la tecnología. Lo complicado es aplicar las obligaciones de transparencia sobre la lógica de un modelo algorítmico en una empresa.

Elena incidió en el cuidado con la elección del proveedor y que cualquier error en el modelo de inteligencia artificial va a afectar dicha elección. Así como la excesiva maraña contractual, dado que es muy complicado gestionar por el responsable como también elegir un único proveedor, ya que te hace super dependiente del mismo.

Según Gil, una buena praxis es realizar auditorías anuales y si ocurriese algo, por ejemplo, contar con una sospecha fundada de incidencia de cambio normativo, realizar una auditoría extraordinaria. Además, es importante realizar una distribución de la responsabilidad de los terceros en función de las culpas por la importancia de datos que tratan. Igualmente hay que resaltar que la medición de los contratos de encargados de tratamientos en cuanto a eficiencia requiere mucho esfuerzo y recursos para las empresas, así como el control de los subencargados, ya que hay numerosos.

Por último, apuntó que se requieren elementos de homologación de los proveedores para verificar que cumplen con la normativa, pero que la certificación que se obtenga esté vinculada al problema en cuestión para poder eximir de responsabilidad a la empresa como encargado de tratamiento.

2. Gestión de riesgos en proveedores/cadena de suministro y brechas de seguridad.

Posteriormente, Javier Cao Avellaneda, Senior Consultant de Govertis y Marcos Rubiales Olmedo, también consultor senior de Govertis, abordaron la gestión de riesgos en proveedores y cadena de suministro, y analizaron un supuesto de una brecha de seguridad que conllevó la apertura de expediente sancionador por la AEPD.

Javier nos indicó que en el programa de gestión de proveedores tenemos que revisar la norma ISO 27001 y NIST SP-800-161, teniendo en cuenta las fases de evaluar, monitorizar y responder, así como los nuevos controles de la ISO 27001 del 5.19 al 5.23.

Por lo tanto, en la fase in eligiendo vamos a desarrollar la clasificación de los proveedores, disponiendo de un inventario inicial y aplicando una proporcionalidad en la criticidad de los mismos orientada al riesgo.

Por ejemplo, se pueden tener criterios de valoración técnicos, es decir, por la tipología del sector, por el grado de confidencialidad, integridad y disponibilidad (la matriz de KRALJIC) incluso la complejidad del servicio, el riesgo inherente al proveedor, la dependencia y ubicación geográfica.

Deja claro que la intensidad del cumplimiento de los requisitos y garantías debe ser proporcional a la importancia y riesgos del proveedor. Y que incluir las garantías previas en esta fase resulta importante, así como establecer una clasificación de proveedores sin impacto, proveedores normales, proveedores esenciales y proveedores críticos. Establecer desde un contrato general a contratos más específicos con SLA, certificaciones, auditorías de terceras partes, scoring tecnológico y agencia rating para aquellos proveedores más importantes.

En la fase in eligendo + in vigilando se va a tener en cuenta los alcances de la certificación otorgada con las certificaciones en seguridad (ISO 27001, 27701 o 22301) y los resultados de la gestión (indicadores de seguridad, evaluación del mantenimiento tras la auditoría) así como otros elementos ya indicados como la auditoria de tercera parte y de dependencias del proveedor.

Por último, en la fase de respuesta los elementos importantes son: identificar al CISO del proveedor con quien hay que hablar del incidente, definir qué incidentes sufre el proveedor que tiene que estar informado al responsable en todo momento, establecer claramente los criterios de gravedad y escalado. Así como la capacidad de respuesta y tiempos de resolución, los contratos de SLAs y, en definitiva, la penalización e indemnización.

A continuación, Marcos Rubiales expuso un análisis de un expediente sancionador de una brecha de seguridad, a partir del robo y posterior venta no autorizada de una base de datos del CRM del responsable. Entre las medidas que debiera haber implementado estaría el doble factor de autenticación como medida preventiva, clave para esta circunstancia, ya que se accedía al CRM. La AEPD detalló que si esta medida se hubiera implementado se hubiera evitado la incidencia.

También entre otras medidas, estaría la realización de una auditoría de control de los proveedores, que, al producirse a posteriori, no se llega a evitar la incidencia.
O la importancia de contar con procedimientos específicos en materia de protección de datos.

Ilustración 1 – Principales conclusiones del análisis del procedimiento sancionador

3. Transfer Impact Assesment (TIA): Claves prácticas para abordar correctamente las evaluaciones de impacto de transferencias internacionales de datos.

En la parte final de la sesión se realizó un taller por Félix Haro, consultor senior en Govertis, sobre las evaluaciones de impacto de transferencias internacionales de datos personales.

Básicamente, indicó que hay que procurar un nivel equivalente en los países al que marca la UE, el denominado nivel de protección sustancialmente equivalente.
Asimismo, el Considerando 108 del RGPD nos marca cómo conseguir un nivel equivalente y aparte de los instrumentos que pone a disposición el Reglamento, como las cláusulas tipo hay garantías adicionales que no vincula a organismos públicos solo entre las partes.
Al no indicarlo expresamente el RGPD, nos podemos ir a las Recomendaciones 1/2020 CEPD para saber cuáles son las medidas que complementan los instrumentos de transferencia.

El proceso para conocer las transferencias parte del Registro de actividades de tratamiento (RAT), conocer los encargados y subencargados y cumplir con la minimización como principio, aunque los softwares no suelen ser flexibles, y te dan licencia en bloque.

Además, es importante determinar los instrumentos de transferencia con el orden jerárquico:
1. Decisión de adecuación (45).
2. Garantías adecuadas (46).
3. Excepciones.

Además, hay que ver si las cláusulas contractuales tipo se ajustan a uno en función de las circunstancias específicas:
a) Tener en cuenta la legislación de la privacidad.
b) Legislación de vigilancia.
c) Acceso por autoridades públicas.
d) Independencia de las autoridades de Protección de datos.

Incluso hay que evaluar si el instrumento de transferencia es eficaz, con las Recomendaciones 2/2020, analizar la injerencia injustificable con normas claras, precisas, necesidad y proporcionalidad, mecanismos de supervisión independientes, recursos efectivos a disposición del interesado.

En el caso de legislación problemática, podemos suspender la transferencia, aplicar medidas complementarias o no aplicar la legislación problemática.
Un aspecto para verificar la eficacia de nuestro instrumento a utilizar en la transferencia internacional es en base a las fuentes de jurisprudencia, resoluciones e informes de órganos de control.

Una vez que el instrumento de transferencia no es suficiente por las características de la legislación, podemos tomar medidas técnicas en el acceso como el cifrado, en tránsito y local, realizar una transferencia datos seudonimizados, que el receptor esté protegido por legislación local o el tratamiento esté fraccionado.
Es importante tener en cuenta que hay legislaciones en los que hay prohibición de cifrado. Otras medidas como las contractuales entre las que encontramos la utilización de medidas técnicas específicas, la transparencia y responsabilidad proactiva como registro de solicitudes o los métodos de organización y adopción de normas y buenas prácticas.

Incluso hay medidas complementarias como las políticas internas de gobernanza, obligaciones de transparencia (solicitudes de acceso recibidas) o la operativa (puertas traseras software, procesos comerciales, impugnación órdenes) o las auditorías o inspecciones.
Por último, necesitamos realizar una evaluación periódica y un seguimiento, así como cumplir la responsabilidad proactiva.

Ilustración 2 – Ejemplo de transferencia internacional de datos

Por último, en las conclusiones finales, resalta la necesidad de realizar una evaluación de riesgos, calcular el riesgo, verificar la amplitud del tratamiento, verificar las actividades de vigilancia gubernamental y, por supuesto, realizar un control más continuo junto con la agilidad, que en definitiva es un sistema de gestión, así nos permitirá efectuar la evaluación más exhaustiva de las transferencias internacionales de datos.

José Alberto Rueda
Govertis, parte de Telefónica Tech

ÚLTIMAS ACTUALIZACIONES EN MATERIA DE COOKIES

En el presente artículo expondremos las nuevas actualizaciones en materia de cookies, las cuales revisten de una especial importancia, ya que reflejan la continua evolución de las regulaciones y prácticas relacionadas con el tratamiento de cookies en el entorno digital.

En primer lugar, destacamos la actualización de la Guía sobre el uso de las cookies del pasado mes de julio, cuya finalidad era adaptarla a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos (CEPD).

Si bien el objetivo principal de las Directrices era la regulación de las interfaces de las redes sociales, también se afirma que los patrones de diseño engañosos no son exclusivos de tales plataformas, pudiendo incluir sitios web, tiendas en línea, videojuegos, aplicaciones móviles…

No obstante, con la incorporación de tales Directrices a la Guía de cookies, estas exigencias se vieron ampliadas a todos aquellos prestadores de servicio de la sociedad de la información, quienes tuvieron que cumplirlas estableciéndose, como plazo para ello, el pasado 11 de enero de 2024.

Por lo tanto, los prestadores de servicios de la sociedad de la información tendrán la obligación de evitar los patrones engañosos cuando informen acerca del uso de cookies a sus usuarios, en concreto, en lo relativo a las acciones de aceptar o rechazar las cookies. Los patrones que deberán evitar, según lo señalado en las Directrices, serán: la sobrecarga de opciones, omisión de información, señales visuales contradictorias, bloqueo de gestión de datos, así como los diseños inconsistentes, poco claros y oscuros.

Cabe destacar que el principio de licitud del tratamiento (artículo 5 RGPD) es el punto de partida para evaluar la presencia de patrones de diseño engañosos.

En la siguiente imagen que recoge el CEPD en las Directrices, se detallan las categorías de patrones de diseño engañosos y sus subcategorías. De igual modo, se enumeran las disposiciones del RGPD más afectadas por estos tipos de patrones, incluyendo también ejemplos y casos de uso (UC) correspondientes para ayudar a encontrar los diferentes patrones de manera más ágil.

Por otro lado, no debemos olvidar los requisitos de transparencia de la información relativo al uso de cookies, que exigen que la información facilitada en dicha política sea concisa, transparente e inteligible. Además, se deberá utilizar un lenguaje claro y sencillo, evitando frases o palabras que pudieran inducir a error al usuario. Asimismo, la información deberá resultar de fácil acceso y evidente para el usuario en todo momento, tanto a la hora de prestar el consentimiento, como una vez prestado.

Estos requisitos de transparencia serán exigibles tanto en la información facilitada al usuario en las capas 1 y 2, tal y como detallábamos en el anterior artículo “Cookies en el horno: última llamada para su cumplimiento”, del Blog de la Asociación Española para la Calidad (AEC).

Respecto a la información facilitada en la primera capa, la Guía de la AEPD exige que las acciones de aceptar o rechazar cookies se presenten en un lugar y formato destacados, debiendo encontrarse tales acciones en el mismo nivel, sin que resulte más complicado rechazarlas que aceptarlas. Además, se incluyen nuevos ejemplos sobre cómo deben mostrarse estas opciones, ofreciendo indicaciones relativas al color, tamaño y lugar en el que aparecen, entre otros. A modo de ejemplo, el CEPD indica que un tamaño pequeño o un color que no contraste lo suficiente como para ofrecer una clara legibilidad pudiera tener un impacto negativo y resultar engañoso para los usuarios, al igual que modificar los colores de los interruptores de consentimiento.

Otro punto importante de la Guía es la relativa a los llamados “muros de cookies”. Con la nueva actualización se permite que la alternativa a la no aceptación de cookies a la hora de navegación en un sitio web, pueda ser de pago, lo que se traduce en que el usuario puede verse obligado a pagar un precio por acceder a dicha información si no desea la implementación de determinadas cookies que no se encuentran exentas de consentimiento, como las cookies de análisis o medición o de publicidad comportamental. Como se ha podido observar con mayor frecuencia en las últimas semanas, ya son muchas las webs que incluyen el llamado “Pay or OK”, teniendo el usuario, por lo tanto, la opción de aceptar seguir navegando de manera gratuita, a cambio de la instalación de cookies no exentas de consentimiento en su dispositivo, o bien pagar una cuota, lo que le permitirá seguir navegando sin publicidad y, por tanto, sin la instalación de cookies no exentas en sus dispositivos.

El pasado mes de noviembre, la organización austriaca sin ánimo de lucro NOYB (Centro Europeo de Derechos Digitales) planteó una reclamación contra el “Pay or OK” instaurado por META, al ascender la cantidad solicitada por la entidad a cada usuario a un total de 251’88€ al año por “conservar su derecho fundamental a la protección de datos en Instagram y Facebook», tal y como señala la propia organización en su nota de prensa. La organización considera que dicho consentimiento no se trataría de un consentimiento libre, además de ser accesible solamente para personas pudientes económicamente. Quedaremos a la espera de la resolución de la autoridad austriaca de protección de datos al respecto.

Por último, en este mes de enero, la AEPD ha publicado una nueva guía sobre el uso de cookies para herramientas de medición de audiencia. Dicha información se ha incorporado mediante la creación de un Anexo II, lo que implica una nueva actualización de la Guía sobre el uso de cookies.

En esta guía se aborda el uso de herramientas de medición de audiencia y cookies en la gestión de sitios web o aplicaciones móviles por parte de los editores, cuestión esencial para recopilar estadísticas de tráfico o rendimiento necesarias para la prestación del servicio. Asimismo, la guía detalla las condiciones que permiten que determinadas cookies de medición puedan estar exentas de requerir consentimiento, siempre que su propósito sea limitado a la medición exclusiva de la audiencia y se utilicen para producir datos estadísticos anónimos.

A tal efecto, la AEPD considera estrictamente necesario el tratamiento de los siguientes datos, por lo que no será necesario obtener el consentimiento de los usuarios:

• Medición de audiencia, página por página.
• La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual ya sea interna o externa al sitio, por página y agregada diariamente.
• Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente.
• Estadísticas de tiempo de carga de la página, por página y agregadas por hora.
• Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente.
• Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente.

De igual modo, se establecen garantías mínimas para el uso de cookies exentas que deben ser implementadas por el editor, como informar a los usuarios del uso de las cookies a través de políticas de privacidad; limitar la vida útil de las cookies, y conservar la información recopilada por un período específico que no debe superar los 25 meses, debiendo realizarse revisiones periódicas.

Cuando se recurre a un proveedor de servicios de medición de audiencia, se exige un compromiso contractual que prohíba la reutilización de datos y que garantice un tratamiento independiente de datos en caso de servir a más editores. También se requiere que el proveedor restrinja el tratamiento de datos a propósitos específicos y a cumplir con las condiciones para la transferencia de datos fuera de la Unión Europea. Finalmente, será necesaria una evaluación para asegurar que las herramientas del proveedor cumplen con los requisitos establecidos.

En resumen, resulta evidente que el “mundo cookie” ha experimentado numerosas modificaciones en los últimos meses. No obstante, aún estamos a la espera de conocer las acciones que tomarán las autoridades de control, así como la respuesta de los usuarios frente a tales cambios significativos.

Cristina Zato, CdC Privacidad de Govertis part of Telefonica Tech

El papel del DPD en el modelo de organización y gestión del cumplimiento normativo del ámbito penal

De manera sucinta, señalaremos los motivos por los que la figura del Delegado de Protección de Datos (DPD) tiene un papel ineludible y relevante en el modelo de organización y gestión del cumplimiento normativo del ámbito penal. Para ver este nexo de unión, partimos de ver quién es el DPD y qué contempla nuestro Código Penal. No abordaremos, en este breve artículo, la equiparación del modelo de organización y gestión del cumplimiento normativo del ámbito penal y de protección de datos personales; en cuanto a la responsabilidad proactiva o accountability.

Por un lado, el Delegado de Protección de Datos (DPD) es una figura, cuyo nombramiento y designación en una entidad, pública o privada, que efectúa actividades de tratamientos de datos de carácter personal, es obligatoria o, en su caso, de nombramiento y designación voluntaria, conforme al REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD).

El DPD se ocupa, principalmente, de asesorar y supervisar el cumplimiento de la normativa en materia de protección de datos, por parte de la entidad, responsable o encargada del tratamiento de los datos personales.

De acuerdo con el artículo 39.2 RGPD “El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento”.

Por otro lado, nuestro Código Penal contempla determinados delitos, como puede ser el delito de descubrimiento y revelación de secretos. Así, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o una persona con discapacidad necesitada de especial protección, se impondrán las penas previstas en su mitad superior (artículo 197.5 Código Penal).
Además, cabe decir que, el Código Penal, en el artículo 31.bis. 5, 1º y 4º, determina que, los elementos básicos del modelo de prevención de delitos, cuya responsabilidad penal pueda atribuirse a una persona jurídica, son, tanto la “identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos” como “la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.”
Es por esto que, en el modelo de organización y gestión del cumplimiento normativo del ámbito penal [que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión], la figura del Delegado de Protección de Datos debiera estar presente.

De este modo, analizando una parte de las funciones del DPD, se puede apreciar que:
• A fin de evitar la comisión de delitos, en el que el bien jurídico afectado fuera, por ejemplo, datos de categoría especial de la persona física, con el descubrimiento o revelación de secretos, la adopción medidas de seguridad, a nivel organizativo o técnico, conforme al artículo 32 del RGPD, es pertinente. Si no se aplica de forma adecuada la seguridad, además de la comisión de infracción de la normativa en protección de datos, puede dar lugar también a la comisión de delito; así a la persona jurídica, responsable del tratamiento de los datos personales o información, podría atribuirse responsabilidad penal.

• En todo caso, cabe recordar que, para que un hecho suponga responsabilidad penal de la persona jurídica, debe ser necesario que las medidas que han sido adoptadas estén directamente relacionadas o sean de la misma naturaleza que el delito que se trató de evitar; es decir, si la entidad, por ejemplo, no dispone de un control de accesos a la información para los distintos perfiles, no dispone de una política de seguridad o no puede evidenciarse que el personal tiene conocimiento de los controles implementados en la entidad, puede suponerse que no se han adoptado las medidas necesarias para minimizar el riesgo o “evitar” la comisión del delito. De modo que, la persona jurídica podría tener que responder de la comisión de aquellos hechos cometidos por el personal de su organización y que han supuesto una lesión del bien jurídico a proteger, en este caso, la intimidad de las personas físicas.

• Por otro lado, el DPD, dentro de un modelo de prevención de delitos, puede configurarse como una de las líneas de defensa dentro de la organización, pudiendo estar vinculado tanto con la 1ª como con la 2ª línea de defensa.

En este caso, el DPD debe contribuir a la adecuada implantación de aquellos controles que vengan directamente vinculados a la normativa de protección de datos, como la asignación de responsabilidades dentro de los departamentos de la entidad, la concienciación y formación del personal que participa en las operaciones de tratamiento de los datos, la adopción de las medidas de seguridad técnicas relacionadas con el artículo 32 del RGGPD y, por último, la realización de las correspondientes auditorías de aplicación de esos controles.

La aplicación de determinados controles puede contribuir a minimizar el riesgo de que pueda cometerse alguno de los tipos delictivos, que están directamente relacionados con la protección de datos y, por tanto, reducir la posibilidad de que la organización deba responder jurídicamente de los hechos derivados del incumplimiento de estos controles.

Ahora bien, en relación con esto, el DPD no debiera auditar las medidas de seguridad que él mismo hubiera indicado a la entidad responsable. De modo que, la auditoria debiera realizarse por persona externa; con esto, se acudiría a la llamada 4ª línea de defensa, la auditoría externa.

En definitiva, el papel del DPD, en el modelo de organización y gestión del cumplimiento normativo del ámbito penal, es pertinente, debiendo estar cuantas instrucciones emita, a la entidad responsable o encargada del tratamiento de los datos personales, contempladas en el el programa de cumplimiento normativo adoptar para la prevención de la comisión de delitos imputables a la persona jurídica.

Carolina Tella. GRC Consultant.
Equipo Govertis

La nueva Guía de Protección de Datos en las Relaciones Laborales

Recientemente se ha presentado por parte de la AEPD una nueva guía que viene a interpretar la legislación en un ámbito muy concreto y muy conflictivo: Las relaciones laborales.

En este artículo no se conseguirá realizar un análisis pormenorizado de dicho documento, no obstante, sí que aprovecharemos para transmitir los comentarios principales que pueden extraerse del nuevo recurso.

Inicia esta nueva guía con referencias a cuestiones o aspectos generales que, si bien podrían estar más o menos claros, siempre es bueno reforzar las ideas. Así, se deja claro el concepto de dato personal para entender que la materia de la que se hablará, sin duda, se encuentra dentro del ámbito, además de proceder con un análisis de las causas de legitimación para el tratamiento de este tipo de datos, en donde, como esperado, se identifica a la relación contractual como legitimación principal, a pesar de que puedan existir otras. Hasta aquí, nada en especial.

Tampoco se aprecia gran aportación en los siguientes apartados y, de hecho, son bastante breves, cuando se habla de la información debida a las personas trabajadoras y de los derechos que éstas, al igual que cualquier interesado, tienen a disposición para ejercitar.

Sin embargo, más interesante nos parece la referencia a la minimización de los datos en el marco de la relación laboral, ya que suele ser un tema debatido en alguna de sus manifestaciones prácticas. En este sentido, además de ilustrar sobré qué datos podrían considerarse esenciales para la gestión de la relación contractual y dejar claro que otros que no sean esenciales deberán respetar otras causas de licitud, la guía nos ofrece algún ejemplo entre los que consideramos interesante destacar las líneas dedicadas al tratamiento de datos de contacto de las personas trabajadoras. Aquí, y a pesar de reconocer la jurisprudencia generada por el Tribunal Supremo sobre esta temática, la guía deja abierta la posibilidad de que estos datos puedan o no utilizarse dependiendo, como no, del caso concreto. De hecho, literalmente, la guía establece una conclusión tan lógica y práctica que podría considerarse una evidencia (aunque muchas veces se olvide), cuando dice que “…parece necesario para la ejecución del contrato que el empleador disponga de alguna vía de comunicación con las personas trabajadoras…”. Efectivamente, y a pesar de las malísimas prácticas existentes en la realidad, en algunas ocasiones, siendo minimalistas y descartando todo lo que no es importante, los contactos de una persona están para eso, para contactarle cuando sea preciso para la ejecución o gestión de la relación laboral.

Analizada esta primera situación, un poco polémica, la guía continúa alertando de los deberes en el acceso a datos de carácter personal. Y aquí se recuerda cuál es la principal obligación en esta materia: el deber de secreto. Es cierto que en no pocas ocasiones, este deber se materializa a través de acuerdos de confidencialidad que los trabajadores son obligados a firmar. De cualquier forma, parece que esta obligación, que supone la materialización de ese deber en la práctica, no sería tan necesaria conociendo que la propia LOPDGDD e, incluso, el RGPD, ya contienen esta estipulación, por lo que esta guía se centra en advertir que deberá ser transmitida la debida formación a todos los empleados para que conozcan sus deberes, así como la necesidad de crear políticas en donde se confirmen formalmente los mismos principios y deberes a los que nos estamos refiriendo, sin “el estrés” de materializar algo que dependa de que los trabajadores pueda decidir si aceptan o no esos compromisos de confidencialidad.

Por otro lado, en cuanto al proceso de selección y contratación, fuera ya de estos aspectos más generales que terminan, por cierto, con una referencia a las transferencias internacionales que no tiene nada diferente al régimen habitual, el documento se centra en diferentes cuestiones típicas de esta fase. Lo hace de una forma bastante esquemática, transmitiendo, a fin de cuentas, que:

• Límites al tratamiento: Destacan los siguientes comentarios:
• La causa de licitud que legitima la recogida de CV no es el consentimiento, conforme se suele ver en la práctica. Es la definición de medidas precontractuales con la intención de concluir un contrato. Aunque podrán existir otras.
• Evidentemente, en la convocatoria o concurso publicado para recabar CV debe constar la correspondiente cláusula informativa. Esta obligación alcanza los supuestos en los que la persona haya enviado el CV sin habérsele solicitado previamente.
• Es necesario respetar el principio de minimización: Desde nuestro punto de ista personal, esta mención es importante, especialmente, en el ámbito del Sector Público, cuando se recogen datos personales a empresas licitadoras que no serán posteriormente adjudicatarios.
• Redes sociales: Las personas candidatas y las personas trabajadoras no están obligadas a permitir la indagación del empleador en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato.

• Entrevistas: Hay que tener una cierta cautela en la información solicitada en la entrevista de trabajo, para no vulnerar, además del artículo 6 RGPD, otros principios constitucionales.

• Colaboración entre empresas: Se definen claramente los roles de las empresas de trabajo temporal o las agencias de colocación. Las primeras, una vez que actúan previamente, de acuerdo con su objeto de negocio, en la búsqueda y selección de personal para ofrecer directamente en caso de requerimiento, se configuran como Responsables del Tratamiento. En cuanto a las segundas, su rol dependerá de cómo se configure la relación, es decir, si actúan previamente a la solicitud de una empresa para la búsqueda de personal, serán Responsables del Tratamiento. En el otro caso, serán Encargadas del Tratamiento, ya que buscarán personal por cuenta de sus clientes.

• Decisiones automatizadas: Se consideran válidas, aunque dotando al proceso de las garantías suficientes para evitar discriminación. Es decir, es posible determinar unos requisitos que se deban cumplir y que los candidatos sean automáticamente descartados si no disponen, por ejemplo, de alguna titulación o requisito esencial; no obstante, no podrán ser excluidos por razones discriminatorias y deberá garantizarse una participación humana que pueda resolver las dificultades que puedan surgir.

• Datos especialmente sensibles: Es posible recabarlos, principalmente, en dos supuestos: Reconocimientos médicos, o pruebas psicológicas o psicotécnicas.

• Conservación en caso de no contratación: Literalmente, la guía ofrece las pautas a seguir: “Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento de datos, por lo que sería necesario su consentimiento para un futuro tratamiento (por ejemplo, incorporación a una bolsa de trabajo), salvo que el empleador pueda demostrar un interés legítimo. En caso contrario, debe destruir el currículum y proceder a la supresión y bloqueo de los datos personales”.

Tras analizar las distintas cuestiones generales con relación a la materia que nos ocupa, así como las vicisitudes del proceso de selección y la protección de datos, la reciente guía sobre relaciones laborales trata con detalle el transcurso de éstas, así como otros asuntos complementarios e íntimamente ligados, como son el control de la actividad laboral, la representación y la vigilancia en la salud. Al igual que antes, ofrece respuestas para situaciones singulares que bien interesantes son debido a la frecuencia con la que aparecen en la práctica jurídica sobre esta materia como, por ejemplo, los sistemas de denuncias internos, el registro de la jornada, el registro de salarios, cesiones a otras empresas, u otras similares.

Una vez que este asunto requiere de un análisis exhaustivo, si estás interesado en ampliar tus conocimientos sobre esta materia o en refrendar tus habilidades, la AEC ofrece el siguiente curso de especialización para que puedas fortalecer tus conocimientos: Protección de Datos y Relaciones Laborales | ONLINE – Oferta especial! | AEC

David Barrientos

Equipo Govertis

Mi organización ha sido víctima de un ataque ransomware, ¿Cómo debo actuar?

El ransomware es un tipo de malware en continua evolución que impide el acceso a la información de un dispositivo, amenazando con destruirla o hacerla pública si las víctimas no acceden a pagar un rescate en un determinado plazo. Este se propaga, como otros tipos de malware, por múltiples vías: a través de campañas de spam, vulnerabilidades o malas configuraciones de software, actualizaciones de software falsas, canales de descarga de software no confiables y herramientas de activación de programas no oficiales (cracking). Los ciberdelincuentes tratan de que el usuario abra un archivo adjunto infectado o haga clic en un vínculo que le lleve al sitio web del atacante, donde será infectado. Actualmente, además del bloqueo de la información, la tendencia es que amenacen con la publicación de información confidencial.[1]

Si bien durante los años 2018 y 2019 ya destacaban las notificaciones de brechas de seguridad recibidas en la Agencia Española de Protección de Datos (AEPD) que tenían origen en ataques ransomware, desde 2020, y especialmente en 2021, este tipo de ataques empiezan a ser notablemente protagonistas.

No hay más que echar un vistazo a sus tres últimos Informes de Notificaciones de Brechas de Seguridad de los Datos Personales -los relativos a los meses de enero, febrero y marzo de 2021- donde se hace eco de esta cuestión[2]:

• “Las brechas de seguridad causadas por malware de tipo ransomware siguen siendo protagonistas, afectando a organizaciones de todo tipo”. (Enero 2021)
• “Durante el mes de febrero se ha experimentado un incremento sustancial en las notificaciones recibidas respecto a enero. Un incidente de seguridad de tipo ransomware en un encargado de tratamiento que ha causado brechas de seguridad con consecuencias diversas en varios responsables, principalmente de Cataluña, ha producido este incremento”. (Febrero 2021)
• “El ransomware vuelve a tener un papel destacado produciendo brechas de datos personales en servicios públicos y privados de toda índole, comprometiendo no solo la disponibilidad sino también la confidencialidad de los datos personales”. (Marzo 2021)

Dada la proliferación de estos ataques, en el presente artículo trataremos de aportar una serie de consejos básicos para evitarlos, así como unas pautas a seguir desde el momento en que tengamos constancia de que nuestra organización ha sido víctima de un ataque de estas características.

¿CÓMO EVITARLO?

Para evitar el ransomware podemos adoptar una serie de medidas técnicas, para que nuestros sistemas no tengan agujeros de seguridad, manteniéndolos actualizados y bien configurados.

Es fundamental tener los sistemas operativos, navegadores y aplicaciones actualizados, realizar controles periódicos, realizar copias de seguridad periódicas y conservar una en un lugar diferente, utilizar contraseñas robustas, controlar adecuadamente las cuentas de usuario y administrador y concienciar y formar al personal de la organización.

El Centro Criptológico Nacional (CCN-CERT) nos proporciona medidas más específicas en su informe ‘Medidas de Seguridad contra ransomware’[3], así como el Instituto Nacional de Ciberseguridad (INCIBE). De este último, se puede consultar la Guía ‘Ransomware. Una Guía de aproximación para el empresario’.[4]

SI YA HEMOS DETECTADO EL ATAQUE ¿CÓMO DEBEMOS ACTUAR?

¿Debemos pagar el rescate?

Las diferentes autoridades y organismos en materia de protección de datos y seguridad de la información coinciden en que no se debe pagar el rescate, por los siguientes motivos:

• Pagar no te garantiza que volverás a tener acceso a los datos.
• Si pagas es posible que seas objeto de ataques posteriores pues, ya saben que estás dispuesto a pagar.
• Puede que te soliciten una cifra mayor una vez hayas pagado.
• Pagar fomenta el negocio de los ciberdelincuentes.

¿Debe denunciarse ante las Fuerzas y Cuerpos de Seguridad del Estado?

INCIBE recomienda denunciar el incidente para que se investigue el origen del delito. Así, se puede colaborar en las labores de prevención a otras entidades y en las acciones para capturar al ciberdelincuente[5]:

• Guardia civil – Grupo de delitos telemáticos
• Policía nacional – Brigada de Investigación Tecnológica (BIT)

¿Debe notificarse a algún organismo o autoridad de control? ¿Y a los interesados?

Además de reportarlo al centro de respuesta a incidente de ciberseguridad, si la incidencia afecta a datos de carácter personal, el responsable del tratamiento debe notificarlo a la autoridad de control competente, sin dilación indebida y, de ser posible, a más tardar, 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

La Guía para la gestión y notificación de brechas de seguridad de la AEPD, en su anterior versión, establecía una fórmula orientativa para la comunicación de violaciones de seguridad a la autoridad de control. En su nueva versión, no obstante, suprime dicha fórmula, y nos remite a las ‘Directrices 01/2021 de ejemplos sobre notificación de brechas de seguridad del Comité Europeo de Protección de Datos (CEPD)’[6], donde podemos encontrar ejemplos de brechas de seguridad y los factores a tener en cuenta para evaluar la necesidad de notificar a la autoridad de control competente.

En el caso de los interesados, la comunicación a estos será necesaria cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para sus derechos y libertades de las personas físicas. Para valorar si procede esta comunicación disponemos de la herramienta Comunica-Brecha RGPD de la AEPD[7], aunque esta ya ha señalado que el uso de esta herramienta no sustituye en ningún caso la necesaria valoración del nivel de riesgo por parte del responsable, que es quien mejor conoce los detalles del tratamiento de datos personales que realiza, las características de los sujetos de datos, las circunstancias de la brecha de seguridad y el resto de los factores que permiten obtener una valoración del riesgo acertada. También nos podemos apoyar en este caso en las Directrices del CEPD.

DIRECTRICES DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

De los diferentes procedimientos en los que la AEPD se ha pronunciado, en asuntos relacionados este tipo de incidentes, se desprende que una buena gestión de un incidente de seguridad originado por un ataque ransomware, conlleva que:

• De manera previa al incidente, la organización cuente con medidas para evitar el ataque o, al menos, minimizar el impacto.
• Se dispongan de protocolos de actuación para afrontar incidentes de este tipo.
• Con posterioridad al incidente, la organización aplique medidas de seguridad adicionales.
• La organización denuncie los hechos ante las Fuerzas y Cuerpos de Seguridad del Estado.
• Se genere documentación de todo el proceso de detección, contención, respuesta y se custodien las evidencias.
• Se realice un informe final sobre el incidente.
• Se notifique la brecha a quien corresponda, según la valoración del riesgo realizada.

Nerea San Martín

Equipo Govertis

[1] Ransomware. Una guía de aproximación para el empresario (INCIBE): https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ransomware.pdf

[2] Informes brechas de seguridad AEPD: https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/brechas-de-seguridad

[3] Medidas de seguridad contra el ransomware (CCN): https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2877-ccn-cert-ia-11-18-medidas-de-seguridad-contra-ransomware/file.html

[4] ‘Ransomware. Una Guía de aproximación para el empresario’: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ransomware.pdf

[5] Ayuda ransomware: https://www.incibe.es/protege-tu-empresa/herramientas/servicio-antiransomware

[6] Directrices 01/2021 de ejemplos sobre notificación de brechas de seguridad del Comité Europeo de Protección de Datos (CEPD):  https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-012021-examples-regarding-data-breach_es

[7] Comunica Brecha – RGPD (AEPD): https://www.aepd.es/es/guias-y-herramientas/herramientas/comunica-brecha-rgpd

Memoria AEPD 2020: El DPD como valor diferencial

La Agencia Española de Protección de Datos ha publicado recientemente su Memoria Anual de 2020, en la que se recogen las actividades más relevantes llevadas a cabo por la institución durante un año marcado por la pandemia, y en el que la AEPD ha empezado a mostrar mayor contundencia en la imposición de sanciones, cuya continuidad estamos observando en 2021 con multas tan gravosas como las recaídas a Caixabank o Vodafone, por citar solo dos ejemplos.

Uno de los apartados más interesantes en esta Memoria es el que hace referencias a “La agencia en cifras”, que permite obtener una visión global del “estado del arte”, así como observar determinados aspectos y tendencias de las cuales extraer conclusiones interesantes.

Queremos detenernos hoy en los datos relativos a la intervención del DPD ante las reclamaciones por incumplimientos de protección de datos, función esencial que le atribuye el RGPD y concreta la LOPD-GDD, cuya contribución a la tutela de este derecho fundamental y, consecuentemente, a la disminución de sanciones, se está demostrando capital.

Esta función mediadora trae causa en la articulación de la figura del DPD como punto de contacto con las autoridades de control y los interesados. El artículo 39 señala entre sus atribuciones la de “cooperar con la autoridad de control”. La LOPDGDD, por su parte, establece en su artículo 36 que el DPD “actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos”.

Así mismo, el artículo 38 del RGPD indica que “Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento”.

En base a esta posición que ocupa el DPD, la LOPDGDD concreta su participación en los supuestos de reclamaciones ante las autoridades de protección de datos. El artículo 37 destaca que ”Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos el afectado podrá, con carácter previo a la presentación de una reclamación contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, dirigirse al delegado de protección de datos de la entidad contra la que se reclame”. En este caso, “el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación”.

Es importante matizar aquí que, aunque la norma no lo precise, debe entenderse que esa decisión la adoptará el responsable o encargado, y que el delegado actuará, además de asesorando a los citados, como intermediario en la gestión de la misma.

En el supuesto en el que la reclamación se presente directamente ante ”la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al delegado de protección de datos a fin de que este responda en el plazo de un mes”.

La participación del DPD en los supuestos reseñados tiene lugar en la fase de admisión a trámite de las reclamaciones. Así se recoge en el artículo 65 de la LOPD-GDD:

1. Cuando se presentase ante la Agencia Española de Protección de Datos una reclamación, esta deberá evaluar su admisibilidad a trámite, de conformidad con las previsiones de este artículo.

(…)

4. Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica.

Por tanto, la participación del DPD puede dar lugar a que la reclamación no sea admitida a trámite, en tanto aporte información que contribuya a clarificar la situación, de manera que se pueda determinar que no existe infracción de la normativa de protección de datos, o bien se puedan corregir a tiempo los posibles incumplimientos y se adopten las medidas preventivas para evitar que se vuelvan a producir los hechos que dieron lugar a la reclamación. La inadmisión a trámite conduciría al archivo, por lo que ni siquiera se iniciarían las actuaciones previas de investigación, previas a una eventual apertura de procedimiento sancionador.

Volviendo a la Memoria de la AEPD, podemos comprobar que esta novedosa función del DPD no es puramente cosmética, y que su eficacia está más que demostrada, poniendo en valor la ventaja diferencial de contar con esta figura en una organización, más allá de que su nombramiento sea o no preceptivo.

Según los datos de 2020, y siguiendo la tendencia de 2019, casi el 80 % de las reclamaciones que se dieron traslado al responsable o encargado y al delegado de protección de datos acabaron archivadas.

Ilustración 1- Memoria AEPD 2020. Tipos de resoluciones

De las 4.396 reclamaciones que superaron la fase de análisis inicial que realiza la AEPD, 3.405 se resolvieron tras la fase de traslado. Esto no solo supone una mayor rapidez en la resolución de las reclamaciones, sino también una descarga de trabajo en la autoridad de control -para nada sobrada de efectivos-, y, por encima de todo, una minimización del riesgo de ser objeto de sanción, ya que esta vía de intermediación previa permite atajar a tiempo situaciones que pueden cronificarse y dar lugar a incumplimientos agravados y, por tanto, a sanciones más onerosas.

Siguiendo con la memoria, el relevante papel del DPD en su papel mediador se observa también en el estudio que la AEPD realiza de las reclamaciones relacionadas con la pandemia de COVID-19.

Ilustración 2 – Memoria AEPD 2020. Reclamaciones COVID-19

Pese a las múltiples noticias y situaciones acaecidas con la puesta en marcha de medidas excepcionales y la posible comisión de infracciones, en 2020 solo se incoaron 7 procedimientos sancionadores en relación con medidas de la COVID, lo que tiene relación directa con el papel relevante del DPD en la fase de traslado previa, la cual que se produjo en un total de 84 reclamaciones.

Continuando con la Memoria, cabe destacar aquí el papel relevante del DPD en las reclamaciones relacionadas con las brechas de seguridad. Es importante recordar que la notificación de brechas pueda dar lugar al inicio por parte de la autoridad de control de actuaciones previas de investigación, lo cual puede conllevar la apertura de procedimiento sancionador. La gestión del DPD en todo el proceso se antoja fundamental para el cumplimiento del principio de responsabilidad proactiva, tanto en la detección del incidente, como en su valoración y eventual notificación, así como en la puesta en marcha de medidas correctoras y preventivas.

La propia Guía de gestión de brechas de la AEPD señala que “En los casos en los que se haya designado un delegado de protección de datos (porque lo exija el RGPD o voluntariamente), éste ocupará un papel muy relevante liderando el plan de actuación en todos sus aspectos”.

Así queda de manifiesto en la Memoria, que señala que la AEPD “ha recibido y analizado 1.370 notificaciones de quiebras de seguridad en 2020, de las que sólo el 6% (81) se han remitido a Inspección al requerir de una investigación en profundidad”.

Por último, recordar que el papel del DPD en relación con la gestión de reclamaciones no se limita a la fase de admisión a trámite o a la gestión de incidentes de seguridad, sino que su participación abarca todas las fases del proceso, pudiendo realizar, entre otras, las siguientes tareas:

• Comunicar sin dilación la reclamación recibida a la entidad.
• Recabar antecedentes sobre los hechos que han podido ocasionar la reclamación. En su caso, mantener comunicación con la entidad, órgano o unidad administrativa implicado/s.
• En su caso y si las circunstancias del caso lo requieren, recabar información del Instructor de la AEPD o funcionario que lleve el asunto.
• Si las circunstancias del caso lo aconsejan, contactar directamente con el reclamante (o la entidad, organización o asociación sin ánimo de lucro que haya reclamado) para buscar una solución pactada a la reclamación, así como la renuncia a la presentación de una acción judicial de daños y perjuicios.
• Asesorar al responsable del tratamiento sobre las medidas correctoras y de mejora a implementar, en su caso.
• Asesorar al responsable del tratamiento sobre las medidas para evitar que se produzcan situaciones similares en el futuro.
• Asesorar al responsable del Tratamiento sobre el tipo de respuesta que se debe dar a la AEPD.
• Realizar un dictamen o informe sobre el contenido de la respuesta que finalmente va a realizar la entidad representada.
• Asesorar al responsable en la redacción de alegaciones y la posibilidad de presentar recursos.
• Presentar a la AEPD la respuesta a la reclamación, o las alegaciones o recursos, en nombre de la entidad representada.
• Asesorar y colaborar con instructor en las actuaciones previas de investigación.
• Realizar un seguimiento regular del asunto hasta su archivo o resolución.

La función mediadora del DPD en la gestión de reclamaciones -cuya eficacia se pone de manifiesto con la Memoria de la AEPD-, su papel destacado como interlocutor de los interesados, y su rol asesor y supervisor que permite dar trazabilidad a las medidas de cumplimiento adoptadas por las organizaciones, hacen que su figura emerja y se demuestre como un verdadero valor diferencial en las organizaciones.

Javier Villegas Flores

Lead Advisor at Govertis

Necesidad de formación en protección de datos

La idea de este artículo es encuadrar una de las medidas estrella para mitigar riesgos en los Análisis de Riesgos y en las Evaluaciones de Impacto de Protección de Datos dentro de las exigencias normativas del RGPD y la LOPDGD

Todos solemos recomendar la formación como medida transversal para mitigar riesgos y solemos recomendar a nuestros clientes que realicen formación y concienciación en materia de protección de datos y  seguridad de la información, pero ¿por qué, si no lo exige directamente el RGPD? ¿Cuál es su fundamento entonces?

Son varias las razones y se exponen a continuación:

1.- Medidas organizativas y técnicas

La necesidad de formación en materia de protección de datos se deduce de las medidas organizativas y técnicas que deben aplicar los Responsables y Encargados de Tratamiento.

El concepto de aplicación de medidas organizativas y técnicas está presente en varios artículos (Art. 24, art. 25 y art. 32 del RGPD)

Recordemos que ya no tenemos una enumeración de medidas de seguridad a implantar, sino que las mismas, se escogerán en función de un análisis de riesgos.

Tal como establece la Guía de Evaluación de Impacto de Protección de Datos de la Agencia Española de protección de Datos, en su anexo VI, se recomienda constantemente la formación como control para mitigar riesgos y, no solo formación en protección de datos, sino también en la seguridad y uso adecuado de las TIC.

2.- Principio de Responsabilidad Proactiva

El propio principio de Responsabilidad proactiva implica que el Responsable del Tratamiento será responsable del cumplimiento de lo dispuesto en RGPD y capaz de demostrarlo. El cumplimiento del RGPD no es algo exclusivo de la Alta Dirección, o de los departamentos de sistemas o jurídicos; sino que requiere una implicación de todo el personal con acceso a datos personales. Por ello, todo ese personal debe saber cuáles son sus obligaciones y, es aquí, donde la formación se convierte en un elemento vertebrador del cumplimiento de la normativa de protección de datos por parte de todo el personal.

3.- Políticas de Protección de Datos

El art. 24.2 del RGPD establece que “Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos”.

La adopción de políticas y normas internas dirigidas a los empleados, tanto con carácter general como focalizadas con relación a las funciones que desempeñen dentro de la empresa, jugará un papel decisivo en este objetivo.

Para ello será necesario comenzar con una correcta formación de todo el personal con acceso a datos

4.- Funciones del Delegado de protección de Datos (DPD)

El art. 39.2 del RGPD establece entre las funciones del DPD:

“Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”

Es decir, si entre las funciones del DPD está la concienciación y la formación del personal, esto implica que dicha obligación existe para los Responsables de Tratamiento, que en caso de tener designado un DPD, será asumida por éste.

5.- Derecho a la desconexión digital

Adicionalmente, hay que añadir que la LOPDGDD en su artículo 88.3 (Derecho a la desconexión digital en el ámbito laboral) establece una formación específica, en este caso, en desconexión digital:

3. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.

Venos otra vez, como dentro de las políticas dirigidas a los trabajadores, la formación es una parte esencial de la misma.

En conclusión, la formación es un elemento fundamental para el cumplimiento real del RGPD y se convierte en el eje vertebrador de su cumplimiento efectivo por parte de las organizaciones.

Elías Vallejo

Equipo Govertis