Autor: AdmEkateko

En el caso de que una empresa haya sufrido alguna de las diferentes tipologías de brechas de seguridad que indicábamos en el boletín pasado, tales como; brechas de confidencialidad, brechas de integridad y/o brechas de disponibilidad, ha de cumplir con las siguientes obligaciones recogidas en el RGPD. Es el responsable el que tiene que llevarlas a cabo, salvo que, en el contrato de acceso a datos se haya dispuesto que lo gestione el encargado de tratamiento.

1º Se notificará a la autoridad competente, en el plazo de 72 horas desde su conocimiento, siempre y cuando suponga un riesgo para los derechos y libertades de los afectados.

2º Si no se notifica en el plazo de 72 horas, habría que indicar los motivos de la dilación. En el caso de que no pueda facilitar la información simultáneamente, ésta se entregará de forma gradual sin dilación indebida.

3º La notificación ha de tener un contenido mínimo, tal y como indica el art. 33.3 del RGPD;

Además de todas esas acciones, el RGPD hace referencia a la obligación que tiene el responsable de documentar cualquier brecha ocurrida en su empresa aunque no sea preciso notificarla a la autoridad competente.

Durante este insólito 2020, los ataques más frecuentes han sido los siguientes:

1º Ransomware; A través del cual se pretende cifrar la información para pedir luego un rescate. El medio más frecuente ha sido el phishing, suplantando la identidad de diferentes instituciones como; OMS, Ministerio de trabajo, Servicio Público de Empleo(..)

La última versión es que primero exfiltran la información antes de cifrarla pidiendo un rescate a la empresa amenazando con publicarla sino lo realizan.

2º Robo de credenciales; El modo de proceder también ha sido el phishing, así obtienen las credenciales de los usuarios y acceden a sus cuentas bancarias y servicios en la nube. Por ejemplo, el robo de credenciales de Microsoft 365 les permite configurar palabras clave que se reenvían a una cuenta de correo con la finalidad de preparar un fraude al CEO.

3º Ataques a escritorios remotos; Debido a la situación actual de pandemia y la necesidad del teletrabajo, muchas empresas publicaron los escritorios remotos de los empleados en Internet, sin una seguridad adicional como puede ser una VPN.

4º Fraudes al CEO; la situación de teletrabajo ha hecho que exista un mayor aislamiento del personal, con lo cual han aumentado los casos de suplantación del Director General.

La AEPD en su guía sectorial “Protección de datos y administración de fincas” recoge con carácter general conceptos y cuestiones básicas de la normativa de protección de datos. Por otro lado, contempla también tratamientos específicos que frecuentemente llevan a cabo las comunidades de propietarios.

Uno de estos supuestos específicos es el de la videovigilancia en la comunidades de propietarios. Cuando una comunidad pretenda llevar a cabo la instalación de videocámaras ha de tener en cuenta el siguiente requisito que se recoge en el art. 17.3 de la Ley de Propiedad Horizontal;

Se necesita un voto favorable de las tres quintas partes del total de propietarios que, a su vez, representen las tres quintas partes de las cuotas de participación.

Además, se recomienda que en el acuerdo alcanzado en la Junta se reflejen las características del sistema de videovigilancia, el número de cámaras y el espacio captado. En cuanto al espacio captado este no podrá captar imágenes de las zonas que no sean consideras comunes, ni imágenes de terrenos y viviendas colindantes.

El acceso a las imágenes solamente podrá realizarse por las personas que hayan sido designadas por la comunidad de propietarios y el sistema de grabación se ubicará en un lugar vigilado o de acceso restringido. En ningún caso será accesible a los vecinos mediante canal de televisión comunitaria.

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00185-2020.pdf se sanciona a un comercio online al no garantizar la confidencialidad de los datos personales de los clientes.

Los hechos reclamados tienen lugar cuando una usuaria del comercio reclamado accede a su cuenta y los datos personales que le aparecen no son los suyos sino los de otros clientes. Al ponerse en contacto con el comercio no obtiene respuesta, por lo que presentó una reclamación ante la AEPD.

En el proceso de investigación, la AEPD solicita a la reclamada que le envíe en el plazo de un mes la siguiente información:

1. La decisión adoptada.
2. Acreditación de la respuesta al ejercicio de derechos.
3. Informe sobre las causas que han motivado la incidencia.
4. Informe sobre las medidas adoptadas para evitar situaciones similares.

No se recibió contestación alguna por parte del comercio online, por lo que fue sancionado con 1.000 euros por vulnerar el art.5 de la LOPDGDD del deber de confidencialidad, ya que, expuso a la vista de terceros datos personales de otros usuarios y con una sanción de 2.000 euros por la infracción del el art. 32 del RGPD por no aplicar debidamente las medidas técnicas y organizativas adecuadas para garantizar la seguridad del tratamiento.

El responsable y encargado del tratamiento están obligados por la norma, así lo dice el art. 32 del RGPD, a garantizar un nivel de seguridad adecuados para evitar en la medida de lo posible las brechas de seguridad que supongan un riesgo para los datos personales tratados por ellos.

En este sentido, es importante que se lleve a cabo un análisis de riesgos que permita analizar el nivel de seguridad y la determinación de cuáles son las medidas técnicas y organizativas adecuadas, para que, en el caso de que se produzca una brecha de seguridad, el responsable y/o encargado del tratamiento sean capaces de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

¿A qué tipo de brechas de seguridad de datos personales tenemos que hacer frente?

• Brecha de confidencialidad: en aquellos casos en que no se tiene autorización para acceder a la información. La gravedad depende del alcance de la divulgación.
• Brecha de integridad: se modifica la información original y se sustituye por otra causando un perjuicio al afectado.
• Brecha de disponibilidad: no se puede acceder los datos originales cuando sea necesario.

La figura del delegado de protección de datos (DPD) se está convirtiendo en relevante para muchas entidades, ya que les aporta seguridad y garantía del cumplimento de la normativa.

Para que el DPD pueda realizar sus funciones con éxito, el responsable y encargado del tratamiento tienen que garantizar los siguientes aspectos recogidos en el art.38 del RGPD;

1º Participar de forma adecuada y oportuna en las cuestiones relativas a la protección de datos personales. En este sentido, el Comité Europeo de protección de datos aconseja que, se invite al DPD a participar con regularidad en las reuniones con los cuadros directivos altos y medios.

2º Respaldar al DPD en todas sus funciones facilitando los recursos necesarios para su desempeño. Así como el acceso a los datos personales y operaciones de tratamiento.

3º Garantizar la independencia del DPD. No podrá recibir ninguna instrucción en lo que respecta al desempeño de sus funciones. Siguiendo con las recomendaciones del Comité Europeo, la opinión del DPD deberá tenerse siempre debidamente en cuenta, para ello, en caso de desacuerdo, sería conveniente documentar los motivos por los que no se sigue el consejo del DPD.

4º Evitar el conflicto de intereses con otras funciones desempeñadas por el DPD.

El Gabinete Jurídico de la APED https://www.aepd.es/sites/default/files/2019-09/informe-juridico-rgpd-grabacion-de-imagenes-y-voz-proporcionalidad.pdf responde con este informe a la duda planteada por un Ayuntamiento sobre la licitud de incorporar un sistema de videovigilancia con fines de “Seguridad y control de acceso a edificios” “y control de presencia de empleados” que grabase las imágenes y la voz.

En este sentido hay que considerar que tanto la imagen como la voz de la persona es un dato personal y por lo tanto supone un tratamiento que debe protegerse conforme a la normativa de protección de datos.

En relación con la instalación de sistemas de videocámaras deberá respetar el principio de proporcionalidad, valorando así, adoptar medios menos intrusivos, y que sea ponderada derivándose más beneficios que perjuicios para el interés general. Aplicando, además, el principio de minimización de datos de forma que estos sean adecuados pertinentes y limitados en relación con los fines para los que son tratados.

El Gabinete Jurídico indica en el informe que la legitimación de la videovigilancia por razones de seguridad no implica necesariamente la legitimación de la grabación de la voz, puesto que las grabaciones indiscriminadas de voz y conversaciones de los empleados y público en general que accede al edificio resultarían incompatibles con el principio de proporcionalidad.

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00185-2020.pdf se sanciona a un autónomo con  una multa de 3.000 euros por incumplimiento de su página web.

La reclamante presenta una denuncia ante la AEPD puesto que en la página web, a través de la cual se pueden adquirir juegos de placa de matrícula, es necesario facilitar datos personales tales como, nombre y apellidos, DNI, matrícula del vehículo y nº de bastidor no existían medidas de seguridad ya que se accedía sin protocolo de seguridad “htpp” y tampoco había ninguna política de privacidad. La reclamante intentó ponerse en contacto con el titular de la web sin conseguirlo.

La AEPD en el proceso de investigación constató las siguientes deficiencias:

1º Protocolo de seguridad; Sanción1.000 euros. Incumplimiento art. 32 RGPD. El acceso a la página se hacía con protocolo “http”, lo que facilitaba que otros usuarios pudieran interceptar la información.

2º Política de privacidad; Sanción 1.000 euros. Incumplimiento art. 13 RGPD. La página hacía referencia a la antigua normativa (Ley 15/1999 de Protección de datos de carácter personal).

3º Política de cookies; Sanción 1.000 euros. Incumplimiento art.22.2 LSSI. No existe banner informativo de primera capa ni mecanismo que permita rechazarlas en la segunda capa informativa.

Será necesario designar un representante en aquellos supuestos en los que un responsable o encargado del tratamiento no se encuentre establecido en la Unión Europea y las actividades del tratamiento estén relacionadas con:

• La oferta de bienes o servicios a dichos interesados en la Unión, aunque no se requiera pago por ellos.
• El control de su comportamiento, cuando tiene lugar en la Unión Europea.

¿Cómo se regula la relación con ese representante? Lo primero que se tiene que determinar es la ubicación del representante. Este tiene que estar establecido en uno de los Estados miembros en que se encuentren los interesados sobre los que se realizan las actividades anteriores. Además, debe ser designado expresamente por mandato escrito para que actúe en nombre del responsable o encargado, respecto de todas las obligaciones que les son exigidas en la normativa de protección de datos.

Al representante se le puede encomendar que atienda junto al responsable o encargado del tratamiento las consultas, o bien que lo haga en su lugar. Las autoridades de control le podrán imponer las medidas establecidas en el RGPD, así como sancionarle de forma solidaria junto con el responsable o encargado del tratamiento.

En la página web de la AEPD en el apartado de áreas de actuación/reclamación de telecomunicaciones, podemos encontrar un listado de los diferentes organismos públicos con competencia en la materia  ante los cuales reclamar. Estos organismos son: Secretaria de Estado de Digitalización e Inteligencia Artificial (SEAD), Agencia Española de Protección de Datos (AEPD), Organismos de Consumo.

Nos centraremos en las competencias que en esta materia tiene la AEPD. En el caso de que estemos ante alguno de estos supuestos, podremos reclamar ante este organismo.

1º Denuncias por contratación irregular o fraudulenta:

•  Alta irregular o fraudulenta.
•  Facturación por un servicio, por el cual solicitó la baja.

2º Denuncias por deudas derivadas de servicios de telecomunicaciones:

•  Inclusión o mantenimiento en tratamientos de solvencia patrimonial en diferentes supuestos, como es el caso de una deuda con más de 6 años de antigüedad, o bien una deuda en la que no se haya requerido previamente el pago.

3º Otras competencias en relación con el servicio de telecomunicaciones:

•  Acceso online, desde una zona restringida para clientes, a datos de otros clientes.
•  Publicación en guías de abonados tras solicitar la exclusión.