phone 915 752 750 email aec@aec.es

    Redes Sociales y Procesos de Selección

    16 julio, 2021 |by Blog AEC GOVERTIS | 0 Comments | GDPR Legal | , , , , ,

    Recientemente la Agencia Española de Protección de Datos (en adelante AEPD) ha publicado una nueva y esperada Guía sobre las Relaciones Laborales y su impacto en la protección de datos. Esta nueva Guía hace un análisis exhaustivo de cada uno de los tratamientos de datos que podrían darse en las relaciones laborales y como abordar cada uno de los mismos: base de legitimación, deber de información, plazos de conservación etc.

    Entre uno de los aspectos destacados de la Guía, la AEPD se ha pronunciado sobre cómo actuar en los procesos de selección respecto al acceso y uso de las redes sociales de los posibles candidatos a un puesto de trabajo. El objetivo de este artículo será conocer este apartado de la Guía para conocer los criterios de la autoridad de control y, de esta forma, dar pautas concretas de cómo deben actuar los responsables del tratamiento en este tema.

    ¿Puede acceder el empleador a las redes sociales de una persona candidata a un empleo?

    Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía sino cuenta para ello con una base de legitimación

    La posición de la AEPD sobre este punto es que la indagación en los perfiles de redes sociales de las personas candidatas a un empleo, sólo se justifica si está relacionada con fines profesionales, es decir, el tratamiento de los datos obtenidos por esta vía únicamente será posible cuando se demuestre que es necesario y pertinente, y por lo tanto, existe un interés legítimo suficiente para tratar estos datos. Por lo tanto, la empresa podría utilizar información de redes sociales como pudiera ser LinkedIn para evaluar la idoneidad del puesto de trabajo, pero, sin embargo, no estaría legitimado en revisar redes sociales como Facebook o Instagram destinadas a un uso más personal e íntimo.

    ¿Se debe informar a los interesados sobre estos extremos?

    La persona trabajadora tiene derecho a ser informada sobre ese tratamiento

    Por lo tanto, el responsable del tratamiento deberá encontrar un mecanismo adecuado para informar a los interesados sobre este tratamiento. Por ejemplo, podría incorporar el deber de información recogido en los arts. 13 y 14 del RGPD en el contenido de la publicación de la convocatoria, de modo transparente puede explicar que se comprobarán los perfiles en redes sociales profesionales para ver si cumple con los requisitos que se piden en la convocatoria, y siempre con fines profesionales.

    ¿Se puede solicitar amistad a un candidato de un puesto de trabajo?

    La empresa no está legitimada para solicitar <<amistad>> a personas candidatas para que estas, por otros medios, proporcionen acceso a los contenidos de sus perfiles

    Por lo tanto, en los casos en los que el interesado no tenga su perfil público, la empresa no estará legitimada para solicitar amistad a personas candidatas para que se pueda acceder al contenido de sus perfiles. Asimismo, la empresa tampoco está legitimada para solicitar a una persona trabajadora o candidata, a un empleo la información que éste comparta con otras personas a través de redes sociales.

    ¿Qué hacer con estos datos una vez finalizado el proceso de selección?

    Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento de los datos”.

    Por lo tanto, si la persona candidata no es contratada, una vez finalizado el proceso de selección, desaparece la base jurídica para el tratamiento de los datos, por lo que será necesario su consentimiento para un tratamiento futuro, salvo que el empleador pueda demostrar un interés legítimo. En caso contrario deberá destruir el curriculum y proceder a la supresión y bloqueo de los datos personales.

    Marcos Rubiales. 

    Equipo Govertis

    KEEP READING

    Obligaciones en la nueva Guía de Gestión del Riesgo y la Evaluación de Impacto en los tratamientos de datos personales

    7 julio, 2021 |by Blog AEC GOVERTIS | 0 Comments | GDPR Legal | , , , , , , ,

    La Agencia Española de Protección de Datos ha publicado la nueva Guía para la gestión del riesgo y evaluación de impacto en tratamiento de datos personales, cuyo objetivo es actualizar conforme a nuevos los nuevos criterios e interpretaciones de la AEPD, el Comité europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos y unificar las guías “Guía práctica de análisis de riesgo para el tratamiento de datos personales” y la “Guía práctica para la evaluación de impacto en la protección de datos personales” publicadas por la AEPD hace tres años.

    Esta Guía comienza explicando el concepto de riesgo, primero de forma genérica y luego focalizada en la protección de los datos personales, indicando que el RGPD da total libertad para la gestión del riesgo, ya que debe integrarse con el resto de los recursos de la organización de gestión de riesgos, políticas y gobernanza.

    Se especifica que la gestión del riesgo no puede, en ningún caso, sustituirse por el cumplimento normativo, o por una póliza de seguros que cubra la responsabilidad de la organización en caso de que haya una infracción de la normativa de protección de datos, sino que, ante cualquier tratamiento, la organización tiene adoptar medidas técnicas y organizativas que protejan los derechos y libertades de las personas, tanto a nivel individual como social y aunque el riesgo sea escaso. Por ello esta Guía indica que “Si una entidad pretende abordar un tratamiento y no tiene la capacidad para hacer la necesaria la gestión del riesgo, estará obligada a buscar algún tipo de ayuda, como recurrir a la consultoría externa, para realizarlo de la forma apropiada”, ya que el objetivo no es sólo poder actuar ante un hecho que ocasione un perjuicio para los derechos y libertades del interesado, sino haber implementado las medidas adecuadas para poder prevenirlo.  En Govertis podemos ayudarte con el cumplimiento de todas las obligaciones de la normativa de protección de datos.

    La Guía analiza las fases que debe tener un proceso de gestión del riesgo, haciendo hincapié en la importancia de detallar el tratamiento que se quiere llevar a cabo, describiendo su propósito, su naturaleza, su alcance y su contexto.

    Una nueva referencia que se hace en esta Guía, y que no se hacía en las anteriores de forma expresa, es la importancia que tiene la gestión de la seguridad de la información. En concreto se indica que la implementación en la organización de modelos de gestión, como el Sistema de Gestión de la Seguridad de la Información (SGSI) y de directrices como las normas ISO 27000 o el Esquema Nacional de Seguridad, además de políticas de información de la entidad y las políticas de seguridad, son medios para poder gestionar los riesgos de forma efectiva y eficaz y, de esta forma, poder considerar que los sistemas de información de la entidad cumplen con unos mínimos de seguridad que exigen estos modelos, directrices, estándares y políticas. Pero no es suficiente con esto, sino que las medidas de seguridad que se implementen en la organización tienen que revisarse continuamente dado que la actividad de tratamiento, y por ende el riesgo, puede evolucionar por diversos factores como un cambio en el contexto, factores externos, nuevas necesidades, la modificación de los medios tecnológicos utilizados etc.

    Otro punto importante que aparece en esta nueva Guía, es el concepto de la “Gobernanza de los riesgos para los derechos y libertades” relacionado con el cumplimiento del principio de responsabilidad proactiva en el que la organización debe implementar políticas de protección de datos que se apliquen de una forma efectiva, práctica y ejecutiva en toda la organización y no se reduzcan a una mera declaración de voluntad de compromiso. Estos documentos relativos a la gestión del riesgo han de estar documentados y deberán contener unos elementos mínimos descritos en la Guía.

    En el segundo capítulo se expone una metodología, en concreto unos mínimos, para la descripción del tratamiento, ya esto se considera el punto más importante para poder gestionar los riesgos de forma eficaz. Se propone realizar el estudio del tratamiento para realizar la gestión del riesgo sobre el mismo, hasta en tres niveles de detalle:

    • Estudio a alto nivel del tratamiento: en este nivel se ofrece una tabla que incluye la información mínima que se tiene que analizar para poder realizar un análisis del riesgo.
    • Análisis estructurado del tratamiento: en el caso de que el estudio del punto 1) no sea suficiente para gestionar el riesgo, es necesario que se realice un análisis estructurado del tratamiento, es decir, “identificar en el tratamiento las distintas operaciones que lo forman y la relación que existe entre ellas”.
    • Descripción del ciclo de vida de los datos: en caso de encontrarnos con tratamientos complejos, se deberá realizar asimismo este análisis que supone estudiar las distintas etapas de la vida de un conjunto o categorías de datos, desde que se procede a la recogida de los datos personales hasta su destrucción.

    Además, se introducen dos nuevos conceptos para el cálculo del nivel del riesgo cuando hay dos o más factores de riesgo que apunten a un determinado nivel de impacto, y cuando haya dos o más indicios que apunten a un determinado nivel de probabilidad: el coeficiente de impacto acumulado y el coeficiente de probabilidad acumulado.

    Al igual que la Guía de Evaluaciones de Impacto, la Guía expone una tabla de ejemplos de controles para afrontar los riesgos. Estos controles resultan muy útiles a la hora de determinar qué controles son los más adecuados en nuestro tratamiento.

    La tercera sección se reserva para explicar la Evaluación de Impacto: quien la realiza, en qué momento y las excepciones a su realización por no ser legalmente necesario, así como la excepción a su realización antes del inicio de las actividades de tratamiento, por ser necesaria la revisión y adaptación en el ciclo de vida de este. Centrándonos en esta última excepción, la pregunta lógica es: si antes de la entrada en aplicación del RGPD no tenía la obligación de hacer una Evaluación de Impacto sobre un tratamiento que ya venía realizando, ¿lo tengo que hacer ahora? La propia Guía contesta a esto afirmando que, como parte de las obligaciones de responsabilidad proactiva del responsable del tratamiento, es necesario que se realice esta Evaluación de Impacto si fuera necesaria.

    Además, se desarrolla la exigencia relativa a la evaluación de la necesidad y proporcionalidad del tratamiento, haciendo una ponderación del juicio de proporcionalidad, del juicio de necesidad y del juicio de proporcionalidad en sentido estricto. Es importante tener en cuenta que el hecho de realizar esta evaluación no sustituye a la realización de la Evaluación de Impacto, ya que el objetivo de ambas es diferente. Lo que si es cierto es que, si no se puede demostrar la necesidad y la proporcionalidad de un tratamiento de alto riesgo, no se recomienda continuar con la Evaluación de Impacto o plantear una consulta previa del artículo 36 RGPD.

    Un apunte que realiza la Guía, es que en los casos en los que se realice un análisis de necesidad, y la justificación se base en la exigencia de responder a una situación concreta de urgencia, el responsable tiene que vigilar que esta situación concreta de urgencia sigue estando vigente, ya que, en caso contrario, no estaría justificado seguir realizando este tratamiento.

    Por último, se aborda la cuestión de las consultas previas a la AEPD cuando, tras haber realizado una EIPD, el riesgo residual resultante podría poner en riesgo los derechos y libertades de los interesados.

    Como se puede observar, la AEPD ha querido compilar toda la información relativa a la gestión de los riesgos y las Evaluaciones de Impacto en una completa Guía.

    Si quieres aprender más sobre la gestión de los riesgos y la evaluación de impacto, o en refrendar tus habilidades, la AEC ofrece el siguiente curso de especialización para que puedas fortalecer tus conocimientos, Taller práctico de análisis de riesgos y evaluaciones de impacto en protección de datos. 

    Ana Vicente Cuesta

    Equipo Govertis.

    KEEP READING

    Mejorar la seguridad con una planificación estratégica

    1 julio, 2021 |by Blog AEC GOVERTIS | 0 Comments | GDPR Legal | , ,

    La seguridad de la información y su gestión desempeñan una función especialmente relevante y estratégica para muchas organizaciones. La transformación de las tecnologías y el avance con las comunicaciones ha permitido automatizar y mejorar las actividades de negocio convirtiéndose en unos de los ejes centrales que lo sustentan.

    Debido a la situación de pandemia, podemos destacar diferentes aspectos relevantes desde una posición tecnológica, por un lado, la aceleración de la transformación digital de las empresas para poder instaurar el teletrabajo, abordar la continuidad de negocio y continuar con la prestación de los servicios y, por otro lado, el aumento exponencial de ciberataques aprovechando la débil estrategia de seguridad de las organizaciones.

    Es una realidad, que las compañías destinan menos recursos de los que deberían en impulsar la ciberseguridad de manera proactiva. Extraña paradoja, considerando que España es el noveno país más atacado del mundo analizando los datos proporcionados por el mapa en tiempo real de ciberamenazas de Kaspersky y que constantemente, aparecen publicaciones de empresas que sufren fuertes ciberataques de gran impacto porque el cibercrimen es un negocio muy lucrativo, con una tendencia creciente en los últimos años debido a que obtienen muchos beneficios, con lo que consiguen evolucionar los ataques a medida y consiguen nuevos “modus operandi” más agresivos.

    Sin embargo, se sigue reduciendo el coste destinado a la mejora de seguridad quizás porque el campo de inversión es tan amplio que se pierde el foco de que aspectos concretos en seguridad se deben mejorar. Una posible manera de identificar las potenciales deficiencias de los sistemas de seguridad, sería invertir en la ejecución de un Plan Director de Seguridad, en adelante PDS.

    Los PDS tienen como objetivo analizar el estado de la seguridad y su correspondiente nivel de madurez de las medidas de seguridad implantadas para detectar las deficiencias y proponer una planificación estratégica de seguridad en el tiempo, teniendo en cuenta los objetivos de la empresa a través de proyectos para garantizar un nivel de seguridad más adecuado a las necesidades del negocio y con ello, reducir los riesgos a los que está expuesta la organización. Este plan va a marcar las prioridades, los responsables y los recursos que se van a emplear para realizar una mejora de la seguridad.

    Se destacan las siete fases principales para abordar el plan:

    • Identificar el alcance y los objetivos estratégicos de la empresa. El alcance determinará la magnitud de los trabajos y también cuál será el foco principal de la mejora tras la aplicación del PDS. En esta fase será necesario el apoyo de la Dirección para que el proyecto esté alineado con estrategia de la empresa y se pueda disponer de suficientes recursos para poder garantizar el éxito del PDS.
    • Identificar la situación actual mediante un análisis diferencial tomando como referencia un marco normativo de referencia, por ejemplo, para empresas privadas es muy recomendable seguir el estándar internacional ISO/IEC 27002 y para empresa pública en Esquema Nacional de Seguridad. La elección del marco de referencia será una decisión de Dirección sin verse influido los resultados del PDS. En esta evaluación inicial, se evaluarán aspectos técnicos, organizativos, regulatorios y normativos, entre otros y se identificará que controles o medidas de seguridad están implantados y el grado de madurez de estos.
    • Realizar un análisis de riesgos mediante una metodología conocida como puede ser la marcada por la norma ISO/IEC 27005. Este análisis nos mostrará los riesgos más relevantes de la entidad y se buscará un plan de tratamiento acorde a los resultados obtenidos.
    • Definir proyectos de Mejora de la Seguridad según los resultados que se hayan obtenido de los puntos anteriores, incluyendo para ello las tareas o acciones a realizar, que subsanen los hallazgos y riesgos detectados.
    • Clasificar y priorizar los proyectos. Una vez identificadas las acciones, iniciativas y proyectos, se deben clasificar y priorizar estableciendo propósitos a corto, medio y largo plazo.
    • Aprobar el plan director de seguridad. Este plan debe ser comprobado con los distintos departamentos que intervienen en los diferentes proyectos, de cara a comprobar si son viables las implementaciones, comprobar la mejor planificación para ellos, y también debe de ser revisado y aprobarlo por la Dirección de la organización.
    • Implantar los proyectos en el tiempo marcado.

    Siguiendo estas fases se obtiene el PDS, el cual marcará el camino personalizado a seguir para alcanzar el nivel de seguridad que la organización necesita, centrando los recursos y los esfuerzos en aquellos aspectos relevantes que han sido identificados a lo largo de las fases y que realmente necesitan una mejora de la seguridad.

    Amparo Romero

    Equipo Govertis

    [1] Plan Director de Seguridad

    [2] Ciberamenazas mapa en tiempo real

     

    KEEP READING

    Ecuador y su primera Ley Orgánica de Protección de Datos Personales

    16 junio, 2021 |by Blog AEC GOVERTIS | 0 Comments | GDPR Legal

    Introducción
    Luego de un arduo trabajo que inició en el año 2017 y que fue dirigido por la Dra. Lorena Naranjo Godoy en su calidad de Directora de la Dirección Nacional de Registro de Datos Públicos (DINARDAP) con la participación de entidades públicas, privadas y de la sociedad civil, desde mayo del 2021 el Ecuador cuenta con su primera Ley Orgánica de Protección de Datos Personales (LOPDP), una normativa que permitirá el desarrollo de la innovación y el uso de la tecnología considerando el tratamiento de los datos personales como su eje central de protección.

    La Constitución del Ecuador reconoce y garantiza en el artículo 66 numeral 19 a las personas: “El derecho a la protección de datos carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos personales requerirán la autorización del titular o el mandato de ley”, sin embargo, no se tenía una regulación de tipo específico, que permita garantizar el desarrollo de este derecho fundamental de los ecuatorianos y ecuatorianas.

    Resumen de antecedentes
    La LOPDP se presentó como una iniciativa de proyecto de ley el 19 de septiembre de 2019 por parte del entonces Presidente de la República del Ecuador Lic. Lenin Moreno, esto debido a las noticias de la mayor filtración de datos que había ocurrido en el Ecuador y que posiblemente involucró a ex funcionarios de Gobierno (Instituciones Públicas) de lo cual, hasta la fecha de esta publicación, se tiene conocimiento únicamente de una denuncia en fiscalía; una vez que el ex Presidente entregó el proyecto de ley este fue tratado al interior de la Comisión de Relaciones Internacionales y Movilidad Humana de la Asamblea Nacional, para el 10 de mayo de 2021, ser tratado su informe de segundo debate y ser aprobado por la Asamblea, finalmente la LOPDP fue sancionada por el mismo ex Presidente el 21 de Mayo de 2021.

    Estructura y breve introducción a la Ley Orgánica de Protección de Datos Personales

    A continuación, se describe la estructurada y los componentes que considero relevantes de la normativa.

    CAPÍTULO I: ÁMBITO DE APLICACIÓN INTEGRAL
    Está formado por 9 artículos, en este capítulo se describen componentes como el objeto y la finalidad de la LOPDP, se abordan temas como el ámbito de aplicación material y la territorialidad de la ley, los términos y definiciones de la ley, se señala también a los integrantes del sistema de protección de datos personales del Ecuador, y se abordan directivas conocidas como las bases de legitimación del tratamiento de datos personales, las cuales son el consentimiento y el interés legítimo, que si bien se constituyen como base de legitimación, contienen características especiales que debían abordarse por separado en la LOPDP.

    Uno de los aspectos que me gustaría resaltar es la incorporación del concepto de extraterritorialidad para el tratamiento de datos personales.

    CAPÍTULO II: PRINCIPIOS
    Tiene un único artículo pero en su desarrollo se contemplan 13 principios de la LOPD, que se constituyen en sí mismo en principios del tratamiento de datos personales, por ello desde el punto de vista técnico, al cual pertenezco, son los principios de Seguridad de Datos Personales y Responsabilidad Proactiva y Demostrada en los cuales se podrán desarrollar las habilidades de los profesionales en materia de Seguridad de la Información, con esto no quiero decir que es lo único, pero si, que se podría convertir en nuestro punto focal de participación.

    CAPÍTULO III: DERECHOS
    Mediante 14 artículos se detalla las relaciones entre ciudadanos y responsables del tratamiento de datos personales, regulando las vías de interacción que podremos hacer uso para lograr que los principios definidos en el capítulo anterior se puedan materializar.

    CAPÍTULO IV: CATEGORÍAS ESPECIALES DE DATOS
    Recordemos que esta ley busca proteger los datos de nosotros los ciudadanos, y que estos datos tienen un ciclo de vida en las empresas o instituciones a las cuales nosotros permitimos y entregamos esa información, este capítulo se conforma de 8 artículos y adicionalmente aborda esas características adicionales de datos que, en atención de su naturaleza, deben ser protegidos con un nivel adicional de cuidado ya que requieren de lo que podríamos llamar una tutela reforzada.

    CAPÍTULO V: TRANSFERENCIA O COMUNICACIÓN Y ACCESO A DATOS PERSONALES POR TERCEROS
    En este capítulo formado por 4 artículos se establecen las definiciones que permitirán, conforme al mundo interconectado en el que vivimos, la transferencia de datos personales a terceros claro está que las reglas están definidas y por lo tanto tendremos la capacidad identificar si nuestros datos se han proporcionado a un tercero siguiendo las definiciones de la LOPDP.

    CAPÍTULO VI: SEGURIDAD DE DATOS PERSONALES
    Como especialista en el área de Seguridad de la información me gustaría extender el detalle de este componente de la LOPDP que se forma de 10 artículos; debo resumir indicando que las medidas de control deben estar destinadas a fortalecer a las organizaciones procurando la protección de los datos en los pilares de Confidencialidad, Integridad y Disponibilidad identificando los riesgos a los que las organizaciones se pueden exponer y determinando tratamientos que permitan mantener el riesgo en niveles aceptables, sin duda el componente que da vida al tratamiento de datos personales, ya que la gestión continua del riesgo permitirá entender quién si y quien no, gestiona adecuadamente el riesgo.

    Otro de los componentes importantes de los artículos de este capítulo, es la responsabilidad de notificar los eventos que pueden causar variaciones en la seguridad de la información y que compromete datos de carácter personal.

    Finalmente reforzar los equipos de respuesta a incidentes de seguridad de la información, debo remarcar que en caso un evento que comprometa a los datos de carácter personal, las medidas de control implementadas para la respuesta serán consideradas atenuantes por ello es importante como se involucrará al responsable de protección de datos personales en la organización.

    CAPÍTULO VII: DEL RESPONSABLE Y EL DELEGADO DE PROTECCIÓN DE DATOS PERSONALES
    Un grupo de 5 artículos en los que se especifica los roles y responsabilidades en materia de protección de Datos Personales y se muestra la relación que existe entre los diferentes los roles, en esta sección que me atrevería a decir, recaen en el mayor responsable de las empresas, ya que son los mayores interesados en la prestación de los servicios, la recolección de los datos y desde ahora como resultado de entrada en vigor de la LOPDP en la protección de los datos de carácter personal que utilicen.

    En este grupo de artículos me gustaría resaltar adicionalmente el nuevo rol del Delegado de Protección de Datos Personales, que deberá ser implementado en las instituciones de la Administración Pública conforme a lo indicado en la siguiente cita del Art. 48, numeral 1 “Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República”, desde luego no serán los únicos ya que instituciones privadas, conforme al volumen de datos, la necesidad de control y el tipo de datos personales (especiales) deberán considerar tener o externalizar este rol en sus organizaciones.

    CAPÍTULO VIII: DE LA RESPONSABILIDAD PROACTIVA
    Considero no únicamente desde el punto de vista técnico y del control uno de los componentes importantes a reflexionar por los responsables del tratamiento de datos personales, este capítulo contiene 3 artículos, pero permite implementar la definición de mejora continua de la normativa de protección de datos personales, definiciones como la autorregulación permitirán que las organizaciones busquen implementaciones de normativas o estándares de referencia como la ISO/IEC 27701:2019, o que se fomente la confianza en el tratamiento de datos personales mediante “sellos” que se generarán por directivas de control mediante Entidades de Certificación.

    CAPÍTULO IX: TRANSFERENCIA O COMUNICACIÓN INTERNACIONAL DE DATOS PERSONALES
    Capítulo compuesto por 6 artículos y conforme lo había señalado anteriormente, esta normativa busca dar apertura al uso adecuado y el flujo de datos entre empresas nacionales con internacionales, estos apartados normativos específicamente definen los lineamientos para la transferencia internacional de datos de carácter personal, pero sustentando una base legal y ético de los involucrados.

    CAPÍTULO X: DE LOS REQUERIMIENTOS DIRECTOS Y DE LA GESTIÓN DEL PROCEDIMIENTO ADMINISTRATIVO
    Mediante 3 artículos la normativa presenta las vías con las que cuenta el Titular de Datos Personales, para de manera progresiva, hacer de uso de sus derechos.

    CAPÍTULO XI: MEDIDAS CORRECTIVAS, INFRACCIONES Y RÉGIMEN SANCIONATORIO
    Sección que considero generó algunos los principales y más interesantes debates en el tratamiento de proyecto de la LOPDP, este capítulo contiene 2 artículos los mismos que definen las multas o sanciones por el incumplimiento o tratamiento inadecuado de datos de carácter personal.

    El régimen entrará en vigor una vez que pase el periodo de 2 años, pero esto no implica que el resto de la LOPDP puede incumplirse en este periodo, por lo contrario, debe cumplirse todo lo demás, pero solo posterior a los 2 años la autoridad de control podrá sancionar por el incumplimiento en el tratamiento de datos personales.

    CAPÍTULO XII: AUTORIDAD DE PROTECCIÓN DE DATOS PERSONALES
    Finalmente 3 artículos que norman a la entidad que, con nivel de Superintendencia, tendrá la responsabilidad de dar vida a la LOPDP del Ecuador, se opta por el rol de superintendencia por ubicarse en la función de control, conforme la normativa del Ecuador y eso le da independencia suficiente para supervisar y controlar a entidades públicas y privadas.

    Como se puede apreciar, la primera y reciente LOPDP del Ecuador consta de 12 capítulos y 77 artículos que sin lugar a duda generarán un impacto positivo en el Ecuador, en la forma de hacer negocios y en la manera en las que las organizaciones utilizan los datos de carácter personal de los ecuatorianos.

    Jorge Guerrón Eras (Quito – Ecuador)

    Equipo Govertis

    KEEP READING

    Conociendo la propuesta de Reglamento de ePrivacy

    14 mayo, 2021 |by Blog AEC GOVERTIS | 0 Comments | GDPR Legal

    En el artículo Hacia un Reglamento para la protección de los datos personales en el sector de las comunicaciones electrónicas (e-Privacy) publicado en el Blog de GOVERTIS , os contábamos cómo se ha llegado a una posición común, dentro del seno de las instituciones europeas, para avanzar en la aprobación del Reglamento sobre la privacidad y las comunicaciones electrónicas ( conocido como e-Privacy) que derogará la directiva de ePrivacy existente, Directiva 2002/58/CE, así como cuáles son sus principales puntos.

    Aunque todavía está en fase de borrador y queda aún un largo recorrido hasta su aprobación (además, tras su publicación en el Diario Oficial de la U.E., comenzaría a aplicarse dos años después), por lo que el texto puede sufrir variaciones,  es hora de que vayamos conociendo poco a poco esta propuesta de e-Privacy .

    ¿Por qué un Reglamento sobre la privacidad y las comunicaciones electrónicas?

    El requerimiento de aprobación de un Reglamento  e-Privacy surge por la necesidad de atender los nuevos desarrollos tecnológicos y de mercado, como el uso generalizado actual de Voz sobre IP, servicios de mensajería y correo electrónico basados ​​en la web, y la aparición de nuevas técnicas, no reguladas por la Directiva 2002/58/CE, que permiten rastrear los comportamientos en línea de los usuarios finales,  tal como señala el propio Consejo Europeo.

    Teniendo en cuenta el alto grado de desarrollo de estas tecnologías en la última década, los avances en materia de telecomunicaciones y comunicaciones electrónicas, es necesario buscar un equilibrio entre la protección de la vida privada y el desarrollo de las nuevas tecnologías.

    ¿Cuál es el objeto del Reglamento  e-Privacy?

    El objeto del Reglamento e-Privacy es establecer normas relativas a la protección de los derechos y las libertades fundamentales de las personas físicas y jurídicas en el ámbito de la prestación y utilización de servicios de comunicaciones electrónicas. Con el Reglamento de Privacidad Electrónica, e-Privacy, la Unión Europea pretende reforzar la privacidad de los ciudadanos en Internet y regular la protección de los datos de un modo más estricto, por ejemplo, en el uso de dispositivos de almacenamiento (cookies) en sus terminales, regulando de forma más detallada su uso.

    ¿Cuál va a ser el ámbito de protección? 

    El e-Privacy protegerá tanto a personas físicas como a las personas jurídicas. En este sentido hay que tener en cuenta que las comunicaciones electrónicas contienen información, con datos personales, en ocasiones categorías especiales de datos, como por ejemplo información de salud o convicciones religiosas o filosóficas, y también pueden contener información confidencial, de gran importancia para las entidades por su valor económico o carácter secreto. Es por ello que, la protección abarca tanto a personas físicas como a jurídicas.

    ¿Qué impacto puede tener en el Reglamento (UE) 2016/679 (RGPD)?

    El Reglamento e-Privacy es una “lex specialis” en relación con el RGPD, precisándolo y completándolo en lo que respecta a los datos de comunicaciones electrónicas que se consideran datos personales. Ello supone que en el momento en que entre en vigor el e-Privacy, este prevalecerá, teniendo en cuenta que no supondrá reducir el nivel de protección que depara a las personas físicas el Reglamento (UE) 2016/679.

    Por otra parte, cabe indicar que a lo largo del borrador del Reglamento sobre la privacidad y las comunicaciones electrónicas nos encontramos con referencias al RGPD, así a título de ejemplo:

    • En relación a las definiciones aplicarán las recogidas en el RGPD.
    • En concreto en relación al consentimiento, señala que serán aplicables la definición y también las condiciones relativas al consentimiento previstas en el Es decir, la recogida del consentimiento deberá ser expreso, libre, informado e inequívoco. Prevé también la posibilidad de retirada el consentimiento conforme a lo previsto en el  RGPD.
    • El Reglamento se basa en el mecanismo de coherencia del Reglamento (UE) 2016/67. La autoridad o las autoridades de control independientes encargadas de supervisar la aplicación del RGPD también serán responsables de supervisar la aplicación del Reglamento e-Privacy.
    • En el caso de que se recojan datos personales se informará conforme al artículo 13 RGPD y se prevé la aplicación de medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado en relación con los riesgos, según lo establecido en el artículo 32 RGPD.

    Por último, comentar que el Reglamento sobre la privacidad y las comunicaciones electrónicas, será de aplicación directa a todos los estados miembros y una norma que deberemos integrar en nuestros sistemas de gestión. Por ello, iremos trasladando cualquier actualización del borrador y avance en su aprobación, así como conocimientos que podamos ir ya asentando.

    Nieves Chaveli

    Equipo Govertis

    KEEP READING

    Los reyes de los “dark patterns” en términos de privacidad: los banners de las cookies

    9 abril, 2021 |by Blog AEC GOVERTIS | 0 Comments | GDPR Legal

    Como se puede observar casi en cada sitio web que visitamos, los banners de las cookies están diseñados para que no te molestes en llegar más allá del “Acepto todas” o el botón de “OK”. En consecuencia, el proceso de prestación del consentimiento está concebido para que sea opaco, impráctico y que consuma tanto tu tiempo como para que tomes la decisión de hacer clic en “Aceptar”.

    En el caso de que te importe mínimamente tu privacidad, desafortunadamente vas a tener que pasar por un largo y tedioso proceso, saltando de un enlace a otro y al menú de configuración, siempre acompañado por un botón verde gigante de “acepto todas” por si desistes en el intento. Si quieres poner a prueba tu paciencia y habilidad para configurar tu privacidad, accede al juego frustrante sobre los banners RGPD, un irónico reto creado por el diseñador de servicios alemán Fred Wordie que cronometra cuánto tardas en rechazar todas las cookies[1].

    Resulta muy interesante la clasificación de las prácticas de diseño potencialmente engañosas que la CNIL desarrolla en su informe[2]. Las más utilizadas para la aceptación del uso de rastreadores son las siguientes:

    • “Improving the experience”: Usar el argumento de la personalización y la mejora de la experiencia de usuario para alentar a los usuarios a compartir más datos personales.
    • “Default sharing”: Pre-marcar las casillas y opciones que suponen compartir más datos personales.
    • “Blaming the individual”: Hacer que el usuario se sienta culpable por sus elecciones. Esto se usa muy a menudo por los proveedores de servicios cuyo modelo de negocio se basa esencialmente en la publicidad, cuando un usuario rechaza ser rastreado por cookies o usa un bloqueador de anuncios.
    • “Impenetrable wall”: Bloquear el acceso a un servicio usando una “cookie wall” o la creación de una cuenta cuando no es necesario para la funcionalidad del servicio (también llamado “take it or leave it” -o lo tomas o lo dejas-).
    • “Making it fastidious to adjust confidential settings”: Facilitar el consentimiento mediante una simple acción y hacer que la elección de una opción más respetuosa con nuestra protección de datos sea más larga y complicada. Por ejemplo, permitiendo continuar aceptando todas las opciones con un botón de “continuar” o “aceptar todas” mientras que las opciones y ajustes avanzados implican un tortuoso camino “scrolleando” y saltando de menú en menú.

    De acuerdo con el estudio “Do cookie banners respect my choice?” que analizó los diseños de los banners de cookies de 560 sitios webs, el 47% empujan a los usuarios hacia la aceptación de opciones pre-seleccionadas, mientras que el 38% de las webs no proporciona ningún medio para rechazar el consentimiento. También concluyó que el formato de prestación del consentimiento utiliza una semántica poco clara, lo que dificulta su interpretación[3].  Además, otro estudio llevado a cabo por investigadores de la Universidad de Aarhus (Dinamarca), el MIT (EE.UU) y el University College de Londres (Reino Unido), si la web no incluye un botón de rechazar las cookies en la primera ventana, sube un 23% el número de usuario que dan su consentimiento y si existe dicho botón, baja entre un 8 y un 20% el número de usuarios que acepta los archivos de seguimiento[4].

    Con toda esta información sobre la mesa, toca plantearse la pregunta que da sentido a este artículo:

    ¿Disponemos de los mecanismos suficientes para acabar con el uso extendido de los “dark patterns”?

    Solamente tenemos que mirar hacia nuestro querido RGPD.

    Los “dark patterns” suponen una amenaza para el concepto mismo de consentimiento dado por el RGPD: “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. El Considerando 32 también establece que el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

    La prestación de un consentimiento libre es un arma que tenemos los usuarios para proteger nuestros derechos, por lo que el abuso de técnicas de manipulación que nos empujan a la toma de decisiones contrarias a nuestros intereses no puede considerarse una prestación de consentimiento libre ni mucho menos informada en aquellos casos en los que se oculta, confunde o proporciona información sesgada.

    Además, para el tratamiento de los datos personales se requiere cumplir con ciertos principios de protección de datos, como el de limitación de la finalidad y el de minimización de datos, sin olvidarnos de los principios de protección de datos desde el diseño y por defecto.

    La observancia de la protección de datos desde el diseño supone que tanto la arquitectura de las aplicaciones y plataformas, como la UX (experiencia de usuario) habrían de diseñarse alineadas con la privacidad de los usuarios y de acuerdo con unos principios éticos desde el inicio y en todos los procesos donde existan flujos de datos personales. Por otro lado, la protección de datos por defecto requiere un alto nivel en la salvaguarda de la información personal de los consumidores, incluso si no renuncian activamente al tratamiento y procesamiento de sus datos personales[5].

     

    Los “dark patterns” ante la justicia

    Recientemente el Tribunal del Distrito de Rostock (Alemania) decidió en su sentencia ref. 3 O 762/19, que los banners de las cookies deben ser diseñados de tal manera que tanto la declinación como la aceptación del consentimiento sean presentadas de forma equivalente una al lado de la otra.

    Por el momento, EPIC (The Electronic Privacy Information Center), interpuso una reclamación[6] el pasado 23 de febrero de 2021 ante el Fiscal General de Washington D.C., alegando que Amazon utiliza ilícitamente “dark patterns” en la cancelación de su servicio de suscripción de Amazon Prime, obstaculizando deliberadamente esta decisión y continuando con el tratamiento y retención de los datos personales de sus usuarios.

    Y es que abandonar una plataforma o servicio premium puede ser una auténtica carrera de obstáculos.

    Precisamente en enero de este mismo año, el Consejo Noruego de Consumidores (Forbrukerrådet) publicó el informe “You can log out but you can never leave”[7] (ya citado con anterioridad) sobre cómo Amazon manipula a los consumidores para mantenerlos suscritos a Amazon Prime. Incluso elaboraron un breve vídeo[8] en el que se explica el proceso.

    Esta misma organización, junto con otras plataformas como noyb (capitaneada por Max Schrems), han presentado a comienzos de este mismo año una reclamación ante la Autoridad Noruega de Protección de Datos (Datatilsynet) contra Grindr, debido al uso de una serie de “dark patterns” (consentimiento forzado o take it or leave it) que implican la cesión indiscriminada de datos personales de los usuarios a terceros, entre los cuales se incluye la orientación sexual. La app de citas alega que ha reforzado sus mecanismos de consentimiento, pero la propuesta de sanción alcanza los 10 millones de euros -el 10% de su facturación global-, la mayor cantidad impuesta por dicha autoridad de control[9].

    ¿Supone esto que a partir de ahora vamos a ver más reclamaciones en las autoridades de control y tribunales europeos? Todo apunta a que va a ser así.

    Pero, en definitiva, proteger nuestra privacidad no debería ser un trabajo a tiempo completo que requiera un avanzado conocimiento de la materia. O lo que es lo mismo, “Privacy should not be an ‘advanced setting’ – it should be the default setting”[10].

     

    Lidia Bergua

    Equipo Govertis

     

    [1] Juego Cookie Consent Speed.Run: Fred Wordie en colaboración con Big Data Girl https://cookieconsentspeed.run/ (2021).

    [2] Shaping Choices in the Digital World: From dark patterns to data protection: the influence of ux/ui design on user empowerment. CNIL. (2019).

    [3] Do Cookie Banners Respect my Choice?: Measuring Legal Compliance of Banners from IAB Europe’s Transparency and Consent Framework. C. Matte, N. Bielova y C. Santos. (2020).

    [4] Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence: M. Nouwens, I. Liccardi, M. Veale, D. Karger y L. Kagal (2020).

    [5] “EDPS calls for workable technology which serves the interests of society”. Press Release EDPS. (2018)

    [6] Complaint and Request for Investigation, Injunction, and Other Relief Submitted by The Electronic Privacy Information Center (EPIC) In the Matter of Amazon.com, Inc. (2021).

    [7] YOU CAN LOG OUT, BUT YOU CAN NEVER LEAVE: How Amazon manipulates consumers to keep them subscribed to Amazon Prime: FORBRUKERRADET- Norwegian Consumer Council- (2021).

    [8] How Amazon manipulates customers to stay subscribed: https://www.youtube.com/watch?v=GpEQ4OWNO4Y (2021).

    [9] IAPP The Privacy Advisor Podcast: Finn Myrstad on privacy case against Grindr, ‘dark patterns’ https://iapp.org/news/a/finn-myrstad-on-privacy-case-against-grindr-dark-patterns/ (2021).

    [10] Privacy in the EU and US: Consumer experiences across three global platforms, jointly published by Heinrich-Böll-Stiftung Brussels European Union and the Transatlantic Consumer Dialogue (TACD), London, England. (2019).

    KEEP READING

    Los retos que supone la Directiva 2019/1937 para los expertos en protección de datos

    24 marzo, 2021 |by Blog AEC GOVERTIS | 0 Comments | GDPR Legal

    Nos encontramos a la espera de la transposición de la Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, que deberá hacerse antes del 17 de diciembre de este año. Su impacto será importante, y conviene anticiparse y prestar atención a algunas novedades que, desde luego, van a cambiar rutinas en los ámbitos empresarial, administrativo y profesional.

    En materia de privacidad y protección de datos, esta directiva va a suponer un importante reto para los que nos dedicamos a esta materia, así como, según es de esperar, un gran avance en el respeto real de las exigencias legales. Para los más apresurados, recomiendo especialmente la lectura de los considerandos (1), (3), (14), (36), (56), (74), (76), (82), (83), (84), (85), (91), (92), (93), (94) y (98). Son varios los aspectos sobre los que ya deberíamos estar reflexionando quienes profesionalmente nos dedicamos a este ámbito.

    1. a) En primer lugar, las infracciones en materia de protección de datos es una de las materias contempladas expresamente por la directiva dentro de su ámbito objetivo de aplicación. Cualquier infracción, mala práctica o práctica abusiva en esta materia puede dar lugar a una denuncia por parte del personal de la empresa a través de los canales internos, los externos, o incluso mediante una comunicación pública, sin temor a represalias. Piensen, por ejemplo, en las deficiencias advertidas por los empleados en el caso de que la empresa no las atienda debidamente; o en los defectos de seguridad de las redes y sistemas de información, servicios de computación en nube o servicios digitales de uso generalizado.
    2. b) En segundo lugar, los delegados de protección de datos o “responsables de privacidad” son expresamente mencionados como personas idóneas para ser designados responsables o integrantes del departamento encargado de la recepción y seguimiento de las denuncias efectuadas a través del canal interno, lo que abre un nuevo abanico de funciones de gran interés;
    3. c) En tercer lugar, la configuración y gestión de los canales internos (y también externos) de denuncia, en la medida en que a través de éstos se tratarán datos personales, han de ser objeto muy especialmente de un control de conformidad con las exigencias legales, habida cuenta de la gran importancia de la confidencialidad, tanto del denunciante, como también de las personas mencionadas en la denuncia. La recopilación de datos personales ha de ser vigilada, pues con toda lógica, y en virtud del principio de minimización, el art. 17 de la directiva establece que “no se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una denuncia específica o, si se recopilan por accidente, se eliminarán sin dilación indebida”. Igualmente, el registro, actas y grabación (en su caso) de denuncias (escritas o verbales) y de reuniones habidas con motivo de la misma, habrán de respetar la normativa de privacidad (art. 18 de la directiva).
    4. d) En cuarto lugar, la directiva prevé una obligación de formación profesional para el personal encargado de tratamiento de las denuncias, haciendo referencia expresa a la formación en materia de normas aplicables en materia de protección de datos.

    Ignoro si en el Ministerio de Justicia se está trabajando ya en la adaptación del Derecho español a esta directiva. Confiemos en que sí. El plazo empieza a apretar: 17 diciembre 2021. Mientras tanto, en el ámbito de las empresas, en particular las de más de 250 trabajadores (para las de 50 a 249 hay dos años más de margen), ya deberían estar preparándose protocolos y avisos legales, revisándose las cláusulas de confidencialidad en los contratos de trabajo, y diseñando los canales o procedimientos para la recepción, seguimiento y registro de las denuncias. El artículo 24 de la LOPDGDD 3/2018 ya nos da ciertas pautas de cómo ha de gestionarse el canal interno, aun cuando el mismo se limita a indicar la licitud de este tipo de canales, en vez de la obligatoriedad a la que vamos abocados.

    Nos queda mucho trabajo por hacer.

    Maite Sanz de Galdeano Arocena

    Equipo Govertis (Colaboradora)

    KEEP READING

    Transferencias internacionales de datos personales al Reino Unido tras el Brexit

    25 febrero, 2021 |by Blog AEC GOVERTIS | 0 Comments | GDPR Legal

    La salida del Reino Unido de la Unión Europea tiene implicaciones en protección de datos personales ya que pasa a ser considerado un tercer Estado y los flujos de datos hacia al reino Unido pasan a estar regulados por el régimen previsto para las transferencias internacionales de datos del RGPD y la LOPDGDD.

    El Reino Unido cuenta con tradición en la defensa de la protección de datos personales, cuanta con autoridad de control en protección de datos y legislación en la materia. Es por ello que, desde el primer momento todas las partes apostaron por una Declaración de nivel adecuado de protección para legalizar los flujos de datos personales de la Unión Europea hacia el Reino Unido.

    A continuación, indicaremos los pasos que se han ido tomando para lograr en un tiempo razonable este reconocimiento.

    El 31 de enero de 2020 tuvo lugar la salida del Reino Unido de la Unión Europea y comenzó a aplicarse el Acuerdo de Retirada, que estuvo en vigor hasta el 31 de diciembre de 2020.

    El Reino Unido ha dejado de ser miembro de la Unión Europea, pero según el Acuerdo de Retirada debe seguir aplicando el derecho de la Unión a todos los datos de interesados fuera del Reino Unido que se hayan tratado con anterioridad al fin del periodo transitorio. Ello implica que, a efectos de exportación de datos, la situación del Reino Unido sigue siendo equiparable a la de un Estado miembro.

    Las empresas que estén transfiriendo datos al Reino Unido pueden seguir haciéndolo del mismo modo que lo hacían hasta ahora y es posible iniciar nuevas transferencias con los mismos criterios aplicados hasta la fecha mientras esté en vigor el Acuerdo de Retirada.

    Las futuras relaciones entre la Unión Europea y el Reino Unido, también en materia de protección de datos, deberán establecerse en los acuerdos que comenzaron a negociarse a partir de la entrada en vigor del Acuerdo de Retirada.

    El propio Acuerdo de Retirada se refiere expresamente a que «la Comisión Europea iniciará lo antes posible, tras la retirada del Reino Unido, las evaluaciones respecto de dicho país.

    La autoridad de supervisión del Reino Unido ha seguido actuando como una autoridad europea más a todos los efectos en relación con los instrumentos de garantía para las transferencias internacionales de datos que el RGPD, así ha podido seguir actuando como autoridad principal a la que un grupo de empresas dirijan una solicitud de autorización de normas corporativas vinculantes (BCR, por sus siglas en inglés).

    La única diferencia es que la autoridad de supervisión del Reino Unido no ha podido participar como miembro con derecho a voto en las reuniones del Comité Europeo de Protección de Datos donde se validan las decisiones que sobre estos instrumentos prevean adoptar las autoridades de supervisión de los Estados Miembro.

    El conocido como acuerdo de Nochebuena de diciembre de 2020, ha establecido una prórroga de ese periodo transitorio de 4 meses prorrogable hasta 6 meses SIEMPRE Y CUANDO EL REINO UNIDO NO REALICE CAMBIOS SUSTANCIALES EN SU NORMATIVA!!!!!!!

    Con ello se pretende dar tiempo a la Comisión Europea para realizar los trámites necesarios que concluyan en una Resolución de Nivel adecuado de protección. Y es de suponer que en el corto plazo se vea la luz al final del túnel, puesto que el pasado 19 de febrero la Comisión Europea ha publicado dos borradores para declarar el nivel adecuado de protección del Reino Unido, uno bajo el RGPD y otro para la Directiva 2016/680.

    Y en estos momentos es en la coyuntura en la que nos encontramos. Deberemos estar atentos al desarrollo de los acontecimientos.

    Francisco Ramón González-Calero Manzanares
    Lead Advisor Internacional asuntos legales

    KEEP READING

    Novedades con la directiva NIS: una visión jurídica

    19 febrero, 2021 |by Blog AEC GOVERTIS | 0 Comments | GDPR Legal

    Dentro del Marco legal europeo contamos con la conocida como la Directiva NIS 1 , cuyo objetivo es dar respuesta efectiva a los incidentes de seguridad y sistemas de la información.

    Al tratarse de una Directiva su aplicación es armonizada, no homogénea o lo que es lo mismo, no tiene por qué haber una aplicación totalmente horizontal en todos los países de Europa, ¿Por qué?

    Porque las Directivas europeas, son un tipo de norma que establecen marcos comunes en toda la UE de mínimos, en este caso se ha garantizado unas exigencias mínimas en materia de seguridad. Todas las Directivas, deben transponerse en cada país para que sean aplicables (aunque si no se llegara a trasponer es posible su aplicación directa hasta que se haga).

    ¿Qué significa trasponer una norma? Que cada país aprobará una norma interna de acuerdo con su sistema legislativo, recogiendo al menos lo que establece la directiva (contenido mínimo).

    Hay que tener en cuenta que las Directivas son instrumentos legales más flexibles y quizás permiten llegar a acuerdos entre los estados miembros con más facilidad o rapidez, pero hace posible encontrar diferencias entre los distintos países siempre como mejora o generando un marco de seguridad más exigente.

    Por diferenciarlo, la otra posibilidad hubiera sido regular el contenido de la Directiva a través de un Reglamentos europeos, que son de eficacia directa y su aplicación no requiere de ninguna trasposición. En estos casos, en consenso europeo debe ser mayor, puesto que todos los países aplicarían la misma norma y que hay ponerse todos de

    Entonces, ¿En España ya tenemos una norma que ha traspuesto la Directiva NIS?

    SI, efectivamente, la Directiva NIS se ha transpuesto al ordenamiento jurídico mediante el Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información.

    El art. 25 de la Directiva NIS establecía el plazo máximo del 9 de mayo de 2018

    y nuestra ley es septiembre de 2018, por lo que nos pasamos el plazo para su trasposición (made in Spain).

    ¿Qué dice está norma?

    El Real Decreto-ley 12/2018 2 de seguridad de las redes y sistemas de información regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales. Su contenido recoge lo dispuesto en la Directiva, por su puesto, ya que hemos dicho que es una trasposición de la Directiva.

    Esta norma, desde una perspectiva integral, establece mecanismos que permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, y fija un marco institucional de cooperación que facilita la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea.

    Esta coordinación a nivel nacional y europeo es posible al provenir de una Directiva, que como indicábamos que obliga a generar un marco legal de mínimos en toda Europa.

    Y ¿esto es todo?

    No, también tenemos un nuevo RD Real Decreto 43/2021 *3 ,de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

    Pero entonces, ¿Por qué hay dos normas?

    Porque el Real Decreto 43/2021, de 26 de enero, es una norma que desarrolla reglamentariamente el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Por lo tanto, es un reglamento que desarrolla la norma que ha traspuesto la directiva, regulando la misma materia, pero con contenido distinto.

    En España, el Gobierno quedó habilitado para desarrollar reglamentariamente el RDL-12/2018 por la disposición final tercera, en lo relativo al marco estratégico e institucional de seguridad de las redes y sistemas de información, respecto del cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales y a la gestión de incidentes de seguridad.

    En los reglamentos normalmente se aterriza más el contenido de las obligaciones con aspectos más prácticos establecidas en la ley que desarrollan.

    ¿Qué nos aporta esta nueva norma?

    Este decreto, concreta los aspectos definidos por la Ley 12/2018 sobre las medidas necesarias para el cumplimiento de las obligaciones de seguridad por parte de los operadores de servicios esenciales entre los que se incluyen las infraestructuras críticas. Establece entre otros puntos, la obligatoriedad de designar un Responsable de Seguridad de la Información para los servicios esenciales, implantar la gestión de los riesgos para las redes y los sistemas de información de los servicios esenciales, aprobar la política de seguridad de las redes y los sistemas de los servicios esenciales y la adopción de las medidas a aplicar identificándolas en la declaración de aplicabilidad que debe ser suscrita por el RSI.

    El Real Decreto desarrolla también la obligación de notificación por parte de los operadores de servicios esenciales de los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, así como de los incidentes que puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales aun cuando no hayan tenido un efecto adverso real sobre aquéllos, por referencia a los niveles de impacto y peligrosidad, según sea el caso, previstos en la Instrucción Nacional de Notificación y de Gestión de Incidentes. Por este motivo, durante el 2020 se publicó la actualización de la Guía Nacional de Notificación y Gestión de Ciberincidentes que realiza una revisión y mejora de la clasificación/taxonomía de los ciberincidentes, impactos y umbrales de notificación y las métricas e indicadores de referencia. Por otro lado, el Centro de Respuesta a Incidentes de Seguridad del Instituto Nacional de Ciberseguridad (INCIBE-CERT) ha publicado como un anexo el procedimiento de gestión de ciberincidentes para el sector privado y la ciudadanía que ofrece directrices y mecanismos, referencias y canales para la notificación de ciberincidentes al INCIBE-CERT.

    Resumen de normas:

    La nueva estrategia de ciberseguridad de la UE, ¿Va a cambiar en algo?

    El 16 de diciembre de 2020 la Comisión Europea y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad presentaron la nueva estrategia de ciberseguridad de la UE *4. Asimismo, la Comisión presentó propuestas para abordar la resiliencia física y cibernética de las entidades y redes críticas: una Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión (Directiva NIS revisada o NIS 2), y una nueva Directiva sobre resiliencia de infraestructuras críticas. Cubren una amplia gama de sectores y tienen como objetivo abordar los riesgos actuales y futuros en línea y fuera de línea, desde ciberataques hasta delitos o desastres naturales, de una manera coherente y complementaria.

    Contiene propuestas concretas para iniciativas normativas, de inversión y políticas, en tres áreas de acción de la UE:
    • Resiliencia, soberanía tecnológica y liderazgo: Infraestructuras resilientes y servicios críticos, Asegurar la próxima generación de redes móviles de banda ancha, Internet de cosas seguras, …
    • Desarrollar la capacidad operativa para prevenir, disuadir y responder: Unidad Cibernética Conjunta, Afrontar la ciberdelincuencia, Caja de herramientas de ciber diplomacia de la UE, …
    • Promover un ciberespacio global y abierto mediante una mayor cooperación: Liderazgo de la UE en materia de estándares, normas y marcos en el ciberespacio, Cooperación con los asociados y la comunidad, Fortalecimiento de las capacidades globales para aumentar la resiliencia global.

    En este contexto, la Comisión Europea ha presentado una propuesta de directiva sobre la resiliencia de las infraestructuras críticas *5 que desarrollan servicios en sectores estratégicos. Con esta propuesta, la Comisión tiene la intención de crear un marco de gestión de todos los riesgos para apoyar a los Estados miembros a garantizar que las entidades críticas puedan prevenir, resistir y recuperarse de incidentes relevantes, independientemente de si son causados por causas naturales, accidentes, terrorismo, amenazas internas o emergencias de salud pública como la que el mundo enfrenta hoy en día.

    Entre las disposiciones destacables, se exigiría a las infraestructuras críticas que lleven a cabo sus propias evaluaciones de riesgos, adopten las medidas técnicas y organizativas adecuadas para aumentar la resiliencia y reporten incidentes a las autoridades nacionales. La Comisión también ha adoptado una propuesta para la revisión de la Directiva sobre las redes y los sistemas de información (NIS2)*6 , cuyo objetivo es garantizar una solidez cibernética en Europa. Con el fin de garantizar la alineación entre los dos instrumentos, todas las entidades críticas identificadas en virtud de la Directiva sobre resiliencia de las entidades críticas estarían sujetas a las obligaciones de ciber resiliencia en virtud de NIS2.

    Es curioso, como podemos comprobar, que tenemos que poner en práctica un RD recién salido del horno (enero 2021) en el mes de enero que afecta a una Directiva del 2016, pero Europa, obvio, en 2021 ya se está planteando dar un Giro legislativo. Habrá que estar atentos a los próximos acontecimientos e intentar adaptarnos antes posible la próxima vez.

    Equipo Govertis

    Javier Cao y Sandra Ausell

     

    1 VÉASE EUR-Lex – 32016L1148 – EN – EUR-Lex (europa.eu)

    2 VÉASE Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. (boe.es)

    3 VÉASE https://www.boe.es/eli/es/rd/2021/01/26/43

    4 Véase https://administracionelectronica.gob.es/pae_Home/Anio2020/Diciembre/Noticia-2020-12-17-Nueva-estrategia-ciberseguridad-UE.html

    5 Véase https://ec.europa.eu/home-affairs/sites/homeaffairs/Proposal_directive_resilience_critical_entities_en.pdf

    6 Véase https://ec.europa.eu/digital-single-market/en/news/proposal-directive-measures-high-common-level-cybersecurity-across-union

    KEEP READING

    Pautas o recomendaciones para impartir clases online en centros escolares

    11 febrero, 2021 |by Blog AEC GOVERTIS | 0 Comments | GDPR Legal

    Con motivo del cambio de perspectiva al que nos estamos enfrentado, en un mundo globalizado, es necesario adaptar nuestra metodología de trabajo a un sistema digital. Asimismo, a la hora de realizar actividades en centro educativos como la impartición de clases online es importante establecer pautas o recomendaciones que nos faciliten el cumplimiento de los artículos 24 y 32 del Reglamento Europeo de Protección de Datos (RGPD).

    Entre las medidas de seguridad que podrá adoptar el centro al convocar las reuniones es la verificación del listado de participantes a la formación. Por lo que, al inicio de la reunión, el organizador, o quien se acuerde con el centro educativo, se conectará a la actividad y procederá a la admisión de los asistentes de la sala de espera de la plataforma online y admitirá a aquellos previamente identificados en el listado del centro educativo.

    Además, para evitar el reenvío de una convocatoria por los asistentes, la plataforma online podrá avisar al organizador de la reunión que el usuario ha reenviado la convocatoria, así como configurar la convocatoria para que no se pueda conectar a la misma usuarios “anónimos”.

    En cuanto al cumplimiento de las obligaciones del deber de informar, se podrá articular una cláusula informativa en el correo electrónico de la convocatoria e incluir pautas o recomendaciones para los asistentes en relación con el desarrollo de las actividades formativas. Es importante resaltar que el centro educativo deberá informar de la actividad educativa y obtener la autorización de los alumnos y/o padres, madres y tutores para el uso de la imagen y voz de los asistentes a las clases. (arts. 13 y 14 RGPD y art. 11 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales LOPDGDD) y Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.

    Entre las pautas y recomendaciones a incluir en la convocatoria de la sesión para impartir actividades formativas se encuentran:

    • Prohibición de captar imágenes de terceros, ya sea del profesorado, ya sea de otros compañeros o compañeras durante la clase sin la correspondiente finalidad y autorización.
    • No compartir dichas imágenes o videos con terceros.
    • No copiar y compartir el contenido de la formación.
    • Se prohíbe la redirección del enlace por correo electrónico entre padres/madres y alumnos a terceros no destinatarios de la formación educativa.
    • Exención de responsabilidad de los centros educativos en caso de no seguirse las recomendaciones indicadas por padres/madres/alumnos.
    • Los usuarios deben tener especial cuidado al publicar imágenes y vídeos mediante apps y herramientas en nube para no poner en riesgo la intimidad de otras personas.
    • Se recomienda leer la información sobre el servicio (política de privacidad y condiciones de uso) antes de empezar a utilizar la plataforma educativa.
    • Al facilitar datos en cualquier ámbito (en cualquier tipo de aplicación, en el registro de usuarios, en los contenidos) evitar incorporar datos del domicilio de los menores y otros datos personales que puedan poner en peligro su seguridad.
    • Se debe evitar exponer la pantalla a la mirada de terceros. Si se trabaja habitualmente desde lugares públicos, es recomendable utilizar un filtro de privacidad para la pantalla.
    • Orientación apropiada de la cámara para evitar, principalmente, que puedan aparecer personas que conviven con el usuario, y recomendar su no acceso al entorno durante la realización de la actividad.
    • Deberá limitarse el acceso a la formación, pudiendo acceder solo el personal del centro educativo y limitando el acceso a los alumnos que sean destinarios de la formación.
    • No está permitido ni acceder ni intentar acceder a la cuenta de ningún otro usuario, ni suplantar su propia identidad o intentar hacerlo mientras usted se encuentre utilizando estos espacios o plataformas.

    Por último, en el supuesto que el centro escolar realice videograbación de la actividad educativa, tendrá en cuenta la proporcionalidad y la finalidad en el tratamiento, ya sea para identificar del alumno al inicio de la actividad educativa, ya sea para su uso posterior en la plataforma virtual del centro o para el uso de la evaluación por los profesores. El centro tendrá en cuenta seguir las Orientaciones de la AEPD sobre publicación de los documentos de identificación personal (disposición adicional 7ª LOPDGDD) en caso de publicación de los datos identificativos. Además, será importante determinar por el centro el plazo de conservación de las imágenes atendiendo al principio de minimización y proporcionalidad en protección de datos (art. 5 RGPD).

    Después de la realización de la actividad educativa a través de la plataforma, el centro escolar tendrá en cuenta la eliminación de la convocatoria para que los usuarios no puedan acceder posteriormente a la sesión terminada. Por lo que el organizador de la formación cerrará la sesión de la plataforma educativa elegida.

    En conclusión, con todas estas recomendaciones los centros educativos podrán realizar actividades formativas online garantizando en mayor medida el cumplimiento en la seguridad de la información y la protección de datos.

    José A. Rueda

    Equipo Govertis

    KEEP READING