Gestión de una fuga de información (II)

Ante el supuesto de que se produzca una fuga de información en la empresa, la gestión de la misma ha de seguir un plan de acción para evitar los efectos negativos del incidente.

Los puntos definidos a continuación, se adaptarán al escenario específico dependiendo de la gravedad del incidente y del contexto.

1ª Fase Inicial: El momento posterior a la detección del incidente es clave para reducir el impacto. Se debe informar internamente de la situación a todo el personal y dar a conocer el protocolo de actuación.

2ª Fase de lanzamiento: El gabinete de crisis, o en su caso, personal propio o externo, inicia el protocolo interno de gestión del incidente realizando acciones coordinadas.

3ª Fase de auditoría: Realización de una auditoría interna y externa para determinar el alcance de la publicación de la información extraída entre otros.

4ª Fase de evaluación: Actuar con agilidad y establecer una planificación detallada de las principales tareas para cortar la filtración y evitar nuevas fugas de información.

5ª Fase de mitigación: Aplicar todas las tareas del plan e informar a las autoridades competentes y principales afectados.

6ª Fase de seguimiento: Valorar y auditar los resultados del plan de acción.

Información sobre consentimiento para tratar datos personales de menores de edad

La AEPD en su página web a publicado una serie de documentos e infografías recogiendo diversos aspectos fundamentales del RGPD.

En este caso, en la sección de Guías y herramientas, encontramos una infografía relacionada con el consentimiento y el tratamiento de los datos personales de menores de edad. Los menores entre 14 a 18 años podrán otorgar el consentimiento por sí mismos, salvo que una norma específica exija la asistencia de los padres o tutores, por otro lado, para el tratamiento de los datos de menores de 14 años, el consentimiento será otorgado por su padres o tutores legales.

Estos serían los principales aspectos que el responsable ha de tener en cuenta para la obtención del consentimiento:

1º Antes de obtener el consentimiento tiene que proporcionar información básica (identidad, fines, destinatarios y ejercicio de derechos)

2º La solicitud del consentimiento se tiene que distinguir de los demás asuntos de una forma clara y de fácil acceso utilizando un lenguaje sencillo.

3º La prueba de la existencia del consentimiento le corresponde al responsable.

4º El interesado tendrá derecho a retirar su consentimiento en cualquier momento sin que afecte por ello al tratamiento de sus datos.

Web sancionada con 8.000 euros por no informar debidamente sobre las cookies

En la Resolución  de la AEPD  https://www.aepd.es/es/documento/ps-00385-2020.pdf, una web ha sido sancionada con 8.000 euros por incumplir lo dispuesto por la LSSICE  en el uso de las cookies.

Han sido varios los reclamantes que han denunciado ante la AEPD la falta de información sobre el uso de las cookies en las diferentes URLs de la entidad sancionada.

En el proceso de investigación sobre las diferentes URLs que llevó a cabo la AEPD se llegaron a las siguientes conclusiones:

1ª URL; Existe un gestor de cookies que permite aceptar y rechazar las cookies, pero no llega a ejecutarse correctamente, pues hay que aceptar todas para seguir navegando.  En la segunda capa informativa no se indican cuáles son las cookies utilizadas por la web. Sanción de 2.000 euros.

2ª, 3ª y 4ª URL; Se comprueba que se cargan cookies no necesarias sin realizar ninguna acción. No hay un banner informativo en la página principal de la web. Además, en la segunda capa informativa, aunque existe una información clara sobre el tipo de cookies utilizadas, no se ha incluido un gestor que permita rechazar las cookies. Sanción 6.000 euros.

Las cláusulas informativas y el deber de informar

Uno de los aspectos que regula la normativa en protección de datos es el deber que tienen los responsables de informar sobre la recogida y uso de los datos personales.

La información tiene que ser clara y de fácil entendimiento. El RGPD y nuestra LOPDGDD pretenden garantizar y proteger los derechos de los particulares cuando facilitan sus datos personales. Las cláusulas tienen que informar al menos, sobre los siguientes puntos, tal y como lo deja indicado el artículo 11 LOPDPGDD:

  • Quién es el responsable de los datos.
  • La finalidad del tratamiento.
  • Facilitar el medio para el ejercicio de los derechos de protección de datos.

Esta sería la información básica. Además de lo anterior, las cláusulas informativas tienen que indicar una dirección electrónica u otro medio que permita al interesado acceder de una forma sencilla e inmediata al resto de información.

En ocasiones, los datos personales que trata el responsable no los facilita directamente el interesado, sino que les son cedidos por otros. En este caso, la cláusula informativa deberá indicar, además, las categorías de datos y las fuentes de las que se obtuvieron.

Tipos de fuga de información y los escenarios posibles (I)

Las fugas de información son uno de los incidentes de seguridad más comunes que suceden en las empresas. Estas se producen cuando se pierde la confidencialidad de la información de la empresa y esta es accesible a terceras personas no autorizadas.

Estas fugas de información pueden ser involuntarias y no intencionadas, cuando, por ejemplo, se envía un correo a múltiples destinatarios sin copia oculta, o bien se pierde un dispositivo móvil o USB con información confidencial sin cifrar. Las fugas se consideran deliberadas cuando es un ciberdelincuente el que consigue acceder a los sistemas de la empresa, o bien, el conocido como insider, cuando se trata de un exempleado que pretende generar una pérdida de reputación.

¿Cuáles son los escenarios principales donde se dan estas fugas? La información se puede extraer de las siguientes formas:

  • Dispositivos móviles y de almacenamiento externo.
  • Correo electrónico
  • Redes inalámbricas no confiables
  • Aplicaciones en la nube o herramientas colaborativas
  • Redes sociales
  • Malware; troyanos, spyware, keyloggers
  • Credenciales de acceso inseguras

Consejos básicos para realizar reuniones online con privacidad y seguridad

En esta sección del boletín haremos referencia a las consultas que la AEPD ha ido resolviendo a través de la publicación de sus guías, así como otros artículos de interés editados por la AEPD en su página web.

En este caso, en la sección de innovación y tecnología, encontramos un documento de especial importancia para estos momentos, donde las  reuniones virtuales online se han convertido en  una constante habitual en las empresas. Estas pueden suponer un grave riesgo para la confidencialidad de los asistentes si no se tienen en cuenta precauciones básicas para su preparación. Estas reuniones pueden ser saboteadas, por antiguos compañeros de trabajo, o ciberdelincuentes.

En este documento se incluye una lista no exhaustiva para crear un espacio de trabajo eficaz y seguro.

  • Seguir las políticas establecidas por la empresa utilizando solamente el proveedor tecnológico aprobado.
  • Limitar la reutilización de los códigos/enlaces de acceso.
  • Utilizar una “sala de espera” para ir admitiendo a los participantes y habilitar una notificación para cuando se unan a la reunión.
  • Bloquear el acceso una vez que están todos los asistentes.
  • No grabar la reunión, en tal caso informar a los asistentes de la finalidad.

9.000 euros por publicar imágenes en una web sin el consentimiento de la afectada

En el procedimiento sancionador  https://www.aepd.es/es/documento/ps-00279-2020.pdf  se sanciona con una cuantiosa cantidad al  propietario de una URL por incumplir la normativa de protección de datos.

La reclamante solicitó al propietario de la web que suprimiera todos sus datos personales, lo que incluía también material fotográfico, puesto que, no contaba con su consentimiento. Una vez ejercido su derecho de supresión no obtuvo respuesta alguna, por lo que inicia la reclamación ante la AEPD. Además, en el escrito de su reclamación indica que la página web no cumplía con los requisitos de información que debe facilitar el responsable cuando recoge datos de carácter personal.

La AEPD notifica el acuerdo de inicio del procedimiento al reclamado, durante el plazo indicado no recibe ningún tipo de alegaciones por su parte, con lo cual, se convierte en propuesta de resolución.

La cantidad impuesta asciende a un total de 9.000 euros por infracción muy grave de los siguientes artículos del RGPD:

  •  5.000 euros por el incumplimiento del artículo 13 RGPD; el responsable de la página web no cumple con el deber de información en su política de privacidad.
  •  4.000 euros por el incumplimiento del artículo 6 RGPD; el responsable de la página web publica imágenes sin haber obtenido previamente el consentimiento del interesado.

Informar de las garantías en las transferencias internacionales

Uno de los principios fundamentales que el responsable de una empresa tiene que cumplir es la transparencia de la información en el tratamiento de los datos personales.

Este principio está relacionado con el derecho del interesado a obtener toda la información que sea relevante en relación con sus datos personales.

En los artículos 13 y 14 del RGPD se recogen todos los puntos que el responsable debe facilitar cuando trata datos personales. Además de indicar la identidad y datos de contacto del responsable, en su caso, del delegado de protección de datos, los fines del tratamiento y los destinatarios, el responsable está obligado también a informar de su intención de realizar transferencias internacionales de datos.

En el caso de que las transferencias estén basadas en garantías adecuadas, normas corporativas vinculantes o en los supuestos de las excepciones para situaciones específicas se tiene que dejar indicado lo siguiente:

  •  Copia de las garantías adecuadas
  •  Lugar en el que se hayan puesto a disposición, es decir, se ha de incluir en la información, una URL que permita al interesado acceder al documento que contiene dichas garantías.

Las fases principales de un ataque de ingeniería social

La mayoría de los ataques de ingeniería social que pude sufrir una empresa tiene la misma operativa. Conocer sus fases nos ayuda a prevenirlo puesto que lo vamos a poder identificar a tiempo para actuar con diligencia.

El ciclo de vida de este tipo de ataque consiste en tres fases:

1ª Fase de reconocimiento: Esta fase conocida también como footprinting consiste en recabar toda la información posible de las potenciales victimas del fraude, por ejemplo, números de teléfono, nombres de dominio, correo electrónico, etc…

2ª Fase de manipulación: La manipulación psicológica es clave en este tipo de fraudes. Así por ejemplo hacer creer que existe una determinada urgencia en una operación muy importante que ha costado mucho conseguir, actuar rápidamente para no perder un servicio. Lo que trata el ciberdelincuente es establecer una relación de confianza utilizando nombres de dominios falsos o suplantando la identidad de una persona u organización conocidas.

3ª Fase final del ata  que: Una vez obtenido el objetivo el ciberdelincuente tratará que el fraude no sea descubierto, puesto que así la extorsión puede continuar durante más tiempo y el impacto será mayor para la empresa.

¿Cuándo es posible la grabación de imágenes en el ámbito educativo?

En esta sección del boletín haremos referencia a las consultas que la AEPD ha ido resolviendo a través de la publicación de sus guías sectoriales.https://www.tudecideseninternet.es/aepd/images/guias/GuiaCentros/GuiaCentrosEducativos.pdf

En este caso, se trata de dar respuesta a la legitimación del tratamiento de la grabación de imágenes de alumnos/as y profesores/as en los centros educativos.

Habría que distinguir entre la toma de imágenes como parte de la función educativa, en estos casos, estaría legitimado en el cumplimiento de la normativa propia y no precisaría de consentimiento.

Así, por ejemplo, tal y como indica la guía, los profesores en el desarrollo de la programación y enseñanza de las áreas, materias y módulos, puede precisar la realización de ejercicios que impliquen la grabación de imágenes, las cuáles solamente han de estar disponibles para las partes interesadas, es decir, alumnos/as, padres o tutores y el personal docente correspondiente. En ningún caso, se podría difundir de forma de forma abierta en internet, sin el consentimiento de los interesados.

Por otro lado, también es posible la toma de imágenes del alumnado en determinados eventos desarrollados en el entorno escolar con la única finalidad de que los padres puedan acceder a ella. Este acceso debería llevarse a cabo en un entorno seguro, que exigiera la previa identificación y autenticación de los interesados involucrados.