Blog

Cumplir con las medidas de seguridad del tratamiento

El tratamiento de los datos personales de las personas físicas a las que se aplica el RGPD requiere que se haga con unas medidas técnicas y organizativas que garanticen una adecuada seguridad incluyendo la confidencialidad de los datos.

A lo largo de la lectura del RGPD y de sus considerandos, encontramos muchas referencias a esa obligación, por parte del responsable, de mantener la seguridad aplicando medidas técnicas y organizativas adecuadas. Ahora cabe preguntarse, cómo puede conocer la entidad cuáles son esas medidas.

Lo primero que se tiene que realizar es un exhaustivo análisis de los riesgos que ese tratamiento puede ocasionar. Para ello tenemos que definir los activos involucrados en el proceso de tratamiento de datos, sus vulnerabilidades y las amenazas a las que se encuentran expuestos. El responsable tiene que aplicar unas medidas adecuadas, según el resultado de la probabilidad de que ocurran las amenazas y el daño que producirían.

En el art.32 del RGPD se recoge un listado de medidas que han de aplicarse. La seudonimización, el cifrado de datos personales, una evaluación periódica de la eficacia de las medidas y la capacidad de garantizar la confidencialidad y recuperación de los datos, entre otras.

¿Tienen los responsables que seguir notificando a la AEPD las brechas de seguridad durante el estado de alarma?

Recientemente se publicaba en nuestro País el Real Decreto 463/2020 que establecía en España el estado de alarma para combatir la situación de Pandemia originada por el COVID-19. En la disposición adicional tercera de este decreto, se indica lo siguiente “se suspenden términos y se interrumpen los plazos para la tramitación de los procedimientos de las entidades del sector público”.

¿Se supone entonces que los responsables y encargados del tratamiento de datos tienen que suspender las comunicaciones de brechas de seguridad ocurridas durante este plazo de tiempo?

La respuesta sería negativa. En este caso en concreto no afecta esa suspensión. Al contrario, es ahora más que nunca, cuando las entidades deben de mostrar su lado más proactivo y poner todos los medios que tengan a su alcance para hacer frente a los peligros y amenazas que puedan ocasionar ciberataques en nuestra entidad. Según la AEPD, las notificaciones de las brechas de seguridad proporcionan información que permiten a las Autoridades de Control y los ciudadanos aplicar las medidas necesarias, generando confianza en el uso de la nuevas tecnologías y seguridad de la información.

En el caso de que la brecha de seguridad no cumpla los criterios para su notificación a la AEPD tenemos que registrarla en el registro de incidencias y aplicar las medidas que sean necesarias.

Campañas de phishing sobre el COVID-19

Mientras dure la situación de alerta los ciberdelincuentes aprovecharán para lanzar ataques de phishing y de todo tipo para sacar provecho.

El modus operandi será siempre muy similar: los ciberdelincuentes tratarán de suplantar organizaciones legítimas con información relevante sobre el COVID-19 como el Ministerio de Sanidad, una Consejería de Sanidad de una Comunidad Autónoma, Fuerzas del Orden, Organizaciones Internacionales, simulando prestar ayuda y consejo, o incluso fingiendo ser la empresa en la que trabajas. Lo harán a través de mensajería instantánea como WhatsApp o Telegram y también a través de emails. En la mayoría de los casos te pedirán que abras un archivo con urgencia o sigas un enlace de internet para obtener la información.

Si se sigue el enlace y se descarga y ejecuta un archivo adjunto, se tratará de algún tipo de malware que permita a los ciberdelincuentes tomar el control de tu dispositivo, acceder a tu información y datos personales e incluso cifrar esos datos.

Los enlaces de internet incluidos en estos mensajes o correos electrónicos también te pueden llevar a páginas web que suplantan la identidad de otras organizaciones para robar tus credenciales de acceso a un servicio u otra información personal, por ejemplo, tu número de la seguridad social, los datos bancarios para el pago de un test de coronavirus, etc.

Sigue las siguientes recomendaciones:

  • Mantente informado mediante fuentes oficiales y confiables, acudiendo directamente a las webs de las instituciones o medios de comunicación, nunca a través de un enlace proporcionado en un mensaje o en un email.
  • Verifica la dirección de correo electrónico remitente del mensaje y también el enlace web al que te remite el mensaje. A veces, resulta obvio que la dirección web no es legítima, pero otras veces los ciberdelincuentes son capaces de crear enlaces que se parecen mucho a las direcciones legítimas.
  • Ten cuidado con las solicitudes de datos personales a través de webs a las que has llegado siguiendo un enlace contenido en un mensaje o correo electrónico. Mejor accede directamente a la web de esa organización.

Informe sobre el tratamiento de datos en relación con el COVID-19

En este informe la AEPD da respuesta a la legitimación de los tratamientos de datos de salud en relación con el COVID-19. https://www.aepd.es/es/documento/2020-0017.pdf

El RGPD en su considerando (46) recoge que, en situaciones excepcionales, como una pandemia, la base jurídica de tratamientos puede ser múltiple. Partiendo de la exigencia del reglamento, para el tratamiento de los datos de salud, no basta una base jurídica, sino que además ha de existir una circunstancia que levante la prohibición del tratamiento, siendo éstas las siguientes:

1º Entre el empleador y empleado cumplimiento de obligaciones y derechos en el ámbito del Derecho laboral y de la seguridad y protección social, según lo dispuesto en la normativa de prevención de Riesgos Laborales. No solamente debe velar por la prevención el empleador, sino también el trabajador. En el ámbito de la situación actual del COVID-19 supone que el trabajador debe informar a su empleador si sospecha de contacto con el virus, con el objetivo de salvaguardar su salud y la de los demás trabajadores del centro de trabajo.

2º El tratamiento es necesario por razones de un interés público esencial y un interés público en el ámbito de la salud pública como protección frente a amenazas transfronterizas.3ºEs necesario para realizar un diagnóstico medico o asistencia de tipo sanitario y gestión de los sistemas de asistencia sanitaria y social.

Los comercios electrónicos que no cumplen con la normativa son sancionados por la AEPD

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00469-2019.pdf instruido por la AEPD, se sanciona al responsable del comercio electrónico SOLO EMBRAGUE, S.L. por no cumplir con los requisitos establecidos en la normativa que regula el comercio electrónico, la Ley34/2002, de 11 de julio,  de Servicios de la Sociedad de la Información y Comercio Electrónico, conocida como (LSSI) y los requisitos del RGPD.

El reclamante, un particular que accedió a la página web para solicitar un presupuesto, reclama ante la AEPD que el titular de la página web recaba datos personales a través de un formulario de contacto, sin que en ningún apartado se pueda acceder a la política de privacidad y conocer quién es el responsable del tratamiento. Por tanto,se vulnera el cumplimiento del deber de informar del art.13 del RGPD. La multa en este aspecto ascendió a 1.500 euros.

Por otro lado, tampoco cumplía con la información requerida en la LSSI, puesto que no existía ningún banner que informara de la utilización de cookies, ni tampoco links que redirigieran a una política de cookies. Esta infracción es tipificada como leve en el artículo 38.4 g de la LSSI, pudiendo ser sancionada con una multa de hasta 30.000€. En esta ocasión la sanción impuesta fue de 1.500 euros, teniendo en cuenta la intencionalidad y el plazo de tiempo de la infracción.

Los Principios de Protección de datos

Todas y cada una de las actuaciones que lleva a cabo el responsable respecto del tratamiento de los datos personales se tienen que realizar teniendo en cuenta lo dispuesto en la normativa y, en especial, cumpliendo los principios de protección de datos.

¿Cómo se deben tratar entonces los datos personales por los responsables y encargados de tratamiento?Se han de tratar de forma lícita, leal y transparente en relación con el interesado, este sería el principio de licitud, lealtad y transparencia, dando una información adecuada. Los fines para los que se recojan tendrán que ser determinados y explícitos y además no se pondrán utilizar para otros diferentes, este es el principio de limitación de la finalidad. El principio de minimización requiere que los datos recogidos sean los adecuados, pertinentes y limitados a lo necesario para el cumplimiento de los fines. Por ejemplo, en un formulario de potenciales clientes, no solicitaremos más datos que los necesarios para enviar información. Los datos tienen que ser exactos y si fuera necesario actualizarlos. Además, se tienen que mantener sólo durante un plazo de tiempo determinado necesario para los fines del tratamiento. Todo ello, garantizando al interesado una total integridad y confidencialidad de sus datos.

¿Cómo se tienen que realizar las transferencias de datos al Reino Unido?

Tras la salida del Reino Unido de la Unión Europea el pasado 31 de enero, se nos plantea la duda de si es posible seguir realizando las transferencias de datos personales con las mismas garantías que se estaban aplicando hasta ahora.

Según el Acuerdo de Retirada que tendrá vigor hasta el día 31 de diciembre, no se consideran transferencias a terceros países por lo que no será necesario utilizar ninguno de los instrumentos que recoger el RGPD.

Ahora bien, ¿qué ocurrirá cuando finalice el periodo transitorio? Habrá que esperar a los acuerdos que puedan darse en esta materia de protección de datos. En el comunicado emitido por el gobierno, parece que la opción que puede resultar más adecuada y previsible es que la Comisión Europea adopte una “decisión de adecuación”.

La Comisión Europa evaluará el ordenamiento jurídico y la práctica en materia de protección de datos, en esta fase podrá negociar la introducción de cambios normativos. En el caso de que se llevará a cabo la declaración de adecuación mediante la decisión de la Comisión, el envío de datos al Reino Unido se realizará sin ningún otro tipo de requisito formal. En la página de la AEPD en el apartado de transferencias a terceros países y organizaciones internacionales están recogidos todos los países que cuentan con esa decisión de adecuación.

Recibo del consentimiento: Una herramienta de transparencia y responsabilidad proactiva

El consentimiento debe ser “libre, específico, informado e inequívoco”, tal y como se describe en las Directrices sobre el consentimiento en el sentido del Reglamento 2016/679. Además, debe ofrecerse control al interesado sobre el mismo y darle la posibilidad de aceptar o rechazar los términos bajo los que se presta. El sujeto de datos debe conocer una información mínima, previa a la prestación del consentimiento, que resulta crucial para que pueda tomar una decisión válida y claramente informada. Esta información se establece en el artículo 13 del RGPD, entre la que se encuentra la identidad del responsable, el propósito de cada operación del tratamiento para la que consiente, el tipo de datos que se van a recoger y posteriormente utilizar, si se van tomar o no decisiones basadas únicamente en el tratamiento automatizado de los datos, posibles riesgos si se producen transferencias internacionales y la existencia del derecho a retirar el consentimiento prestado y de los mecanismos para hacerlo.

Esta información muchas veces se presta ‘escondida’ en largas políticas de privacidad asociadas a la aplicación o servicio prestado y que, acumuladas en el tiempo y vinculadas a diferentes tratamientos de distintos responsables, conducen al interesado a la pérdida de control de sus datos, quién los tiene y para qué finalidad, limitando, en consecuencia, ese derecho antes mencionado.

Por otro lado, de acuerdo con artículo 7 del Reglamento, cuando el tratamiento se realice amparado en el consentimiento, este debe poder ser verificable debiendo el responsable ser capaz de poder demostrar que el interesado lo prestó de manera válida. El RGPD no establece un mecanismo en concreto sobre cómo el responsable debe ser capaz de probar que ha obtenido un consentimiento válido, teniendo libertad para implementar la forma de obtención y registro que más se adapte a los procesos de la organización, pero, al menos, debe poder acreditar quién otorgó el consentimiento, cuándo, cómo y para qué, así como la información que se le suministró en el momento de obtenerlo. Esa obligación subsiste en tanto que se siga realizando el tratamiento de los datos personales bajo las condiciones iniciales en que los datos fueron recabados y debe ser verificable en caso de auditoría o inspección.

De ahí que resulte de interés la implementación de herramientas que ofrezcan garantías a los distintos intervinientes en el proceso de consentimiento y les permitan gestionar este en torno al tratamiento de los datos personales que se está realizando.

Informe del estudio y análisis sobre políticas de privacidad en Internet

En el siguiente informe elaborado por la AEPDhttps://www.aepd.es/sites/default/files/2019-09/informe-politicas-de-privacidad-adaptacion-RGPD.pdf, se pretende hacer un estudio del cumplimiento del deber de informar en el entorno online en los sectores de hoteles, transporte, comercio electrónico y seguros. Se han revisado las políticas de privacidad y formularios de recogida de datos personales.

En conclusión, se destaca en el informe que en general, los documentos que se detallan son demasiado extensos y no facilitan al usuario medio que finalice su lectura, además, las bases que legitiman el tratamiento en ocasiones no son adecuadas, ya que se encuadran en un interés legítimo cuando en realidad no es así.

En el informe podemos encontrar una serie de recomendaciones para cumplir debidamente con el principio de transparencia, así entre otros aspectos, se indican pautas para facilitar la información sobre las finalidades del tratamiento. Casi todas las políticas de privacidad analizadas son muy extensas en su redacción y no permiten una fácil lectura. La AEPD, recomienda agrupar las finalidades por categorías, para ello da una serie de ejemplos (prestación del servicio, comunicaciones comerciales, cumplimiento de obligaciones legales entre otras). Habría que evitar una enumeración demasiado extensa. Al final del informe, con carácter general, se dan indicaciones para la presentación de la información.

Una página web sancionada por incumplir el deber de informar

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00423-2019.pdf, instruido por la AEPD, se sanciona a la entidad de MYMOVILES EUROPA 2000, S.L.(en adelante el reclamado) por no tener indicado en el aviso legal de su página web la identidad y además, carecer de políticas de privacidad.

El reclamante presentó un escrito ante la AEPD en el que dejaba constancia de que la página web de la entidad reclamada no estaba cumpliendo debidamente con el deber de informar, ya que, a pesar de tener un formulario de recogida de datos no facilitaba ningún documento en el que se informara al interesado sobre quién era el responsable, la finalidad o legitimación del tratamiento, entre otros aspectos que deben de recoger las políticas de privacidad. En el escrito de reclamación se aportaba como prueba la captura de pantalla del aviso legal de la web y de los términos y condiciones de la misma.

La AEPD inició los trámites oportunos de investigación previa para el esclarecimiento de los hechos. En el periodo de alegaciones no recibió contestación alguna por parte del reclamado. La falta de información a los interesados supone un incumplimiento del art.13 del RGPD y del principio de transparencia, ésta se considera una infracción leve. La multa administrativa que finalmente impuso la AEPD alcanzó los 1.500 euros, ya que se aplicaron los criterios de graduación tales como que no se habían obtenido beneficios directos.