Dispositivos IoT: limitaciones en el ejercicio de derechos

Publicado en Blog
by
Martes, 24 Marzo 2020
Visto 385 veces

La sociedad en la que vivimos posee un marcado carácter tecnológico, y por consiguiente los avances en las nuevas tecnologías son habituales protagonistas en los paneles de actualidad.

Es en este contexto de transformación digital en el que aparecen los dispositivos IoT, siglas con las que se hace referencia al “Internet of Things”, un concepto que se refiere a la interconexión digital de objetos comunes a través de internet y cuya irrupción en la sociedad supone, por su naturaleza, un cambio de enfoque a la hora entender nuestro entorno. Durante este 2020, se esperan alrededor de 20.400 millones de dispositivos conectados, y se prevé que, en los próximos años, en la mayoría de los países, más de la mitad de la población activa tendrá una ocupación que de una forma u otra dependerá de la informática.

Todo ello constituye un arma de doble filo, pues si bien trae consigo mejoras en la eficiencia, así como un incremento en la participación de las personas, a su vez supone un reto: el de afrontar las nuevas amenazas, especialmente aquellas con incidencia sobre la privacidad de las personas.

Los dispositivos IoT funcionan como canal de entrada y salida de datos empleados para definir comportamientos y usuarios tipo, lo cual pone de manifiesto que la parte del IoT relativa a las tecnologías de identificación es la que parece elevar al máximo exponente los riesgos para la privacidad de los usuarios, pues permite que a través de la conexión entre dispositivos se cree una única identidad de usuario, un único perfil personalizado elaborado en base al comportamiento del usuario y las deducciones que de ese comportamiento los dispositivos inteligentes vinculados entre sí puedan extraer.

Son herramientas inteligentes que hacen posible que las empresas que tienen acceso a los datos recabados por los IoT vinculados a un perfil de usuario, puedan utilizarlos para fines distintos para los que inicialmente fueron recabados, encontrándose el interesado en una situación de vulnerabilidad y desconocimiento absoluta en relación al alcance del tratamiento. Es por esto que, de acuerdo con el RGPD, como normativa vigente y aplicable en la materia, la seguridad de la información y la privacidad de los usuarios debería ser una de las principales preocupaciones de cualquier proyecto IoT.

Por desgracia, el aumento en la seguridad en el marco de desarrollo de cualquier proyecto es directamente proporcional al incremento en costes y complejidad, por lo que si bien es cierto que, con la norma en la mano, el funcionamiento adecuado y regulado de los dispositivos IoT pasaría por un sistema con la capacidad de gestión suficiente para llevar a cabo un buen uso de la información, siendo capaz de recoger solamente aquella que resulte necesaria para la finalidad establecida, almacenarla de forma segura y hacer un análisis de la misma, no siempre es así.

El enfoque de la normativa se encuentra claramente direccionado hacia la idea de “la soberanía del usuario sobre sus datos”, esto es, la máxima de control del interesado (que en este caso es el usuario del dispositivo) sobre sus datos de carácter personal; sin embargo, y teniendo en cuenta todo lo anterior, ¿sabemos todo lo necesario sobre el uso que se hace de nuestros datos cuando utilizamos este tipo de dispositivos?

Capítulo III Medidas de seguridad. Cuando la copia de seguridad no es suficiente: protección reforzada a través del cifrado.

Publicado en Blog
by
Miércoles, 18 Marzo 2020
Visto 390 veces

La copia de seguridad, en la actualidad conocida como Backup, es un procedimiento esencial para la protección de los activos de información de carácter confidencial e interna para toda entidad y, por consiguiente, es uno de los principales objetivos de los delincuentes informáticos. Toda entidad necesita proteger los datos que son objeto de tratamiento, específicamente las categorías especiales de datos, a saber: ideología, religión, origen racial o étnico, afiliación sindical, filosofía y opiniones políticas, orientación sexual, datos biométricos o genéticos y datos relativos a la salud. Así, aquellas entidades que realicen un tratamiento de datos de carácter personal deben reforzar la seguridad de sus sistemas de protección, almacenamiento y recuperación de los datos, principal activo en el tráfico mercantil en la actualidad en que se fundamenta el desarrollo del negocio.

La copia de seguridad se incluye dentro de la Política de seguridad de la entidad, y es mucho más que una simple duplicación de la información alojada en los sistemas de información corporativos. Así, el primer paso para ejecutar una protección reforzada en los sistemas de copia de seguridad de la entidad consiste en diseñar una estrategia de copia de seguridad en función del tipo y cantidad de activos información objeto del tratamiento.

A continuación, cabe señalar que la política de copia de seguridad deberá fundamentarse en el cumplimiento de la normativa de protección de datos personales conforme a la legislación vigente, a saber: el RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE]; y la normativa de adaptación al marco normativo comunitario en el ordenamiento jurídico nacional a través de la LOPDGDD (Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales). Asimismo, a partir de la cantidad de los archivos almacenados y la heterogénea categorización de los datos de carácter personal, así como el coste del servicio de almacenamiento, corresponderá a la entidad la determinación del tipo de copia de seguridad de mayor conveniencia. A este respecto, la anterior legislación vigente en materia de protección de datos personales, tomando como referencia el art. 32 RGPD, nos obliga a garantizar la seguridad de los datos personales objeto de tratamiento; en este caso, consistente en realizar periódicamente una copia de seguridad así como el establecimiento de un procedimiento específico de protección, verificación y pronta recuperación de los datos almacenados.

A este respecto, tomamos como referencia un artículo anterior de este blog sobre la importancia de realizar copias de seguridad a nivel corporativo. En esta línea, de conformidad con la Guía para la realización de copias de seguridad del Instituto Nacional de Ciberseguridad (INCIBE), se recomienda realizar una copia de seguridad incremental con carácter diario y copias de seguridad totales como mínimo una vez a la semana; a continuación, se realizará una copia de seguridad mensual con la inclusión de todas las actualizaciones pertinentes. El contenido de estas copias totales de seguridad deberá almacenarse, por lo general, por el periodo de un año, salvo disposición en contrario de lo establecido por la legislación de aplicación en función del sector profesional en que radique objeto social.

Es importante aclarar que la determinación del tipo de copia de seguridad deberá realizarse atendiendo a los criterios de accesibilidad, confidencialidad y coste de almacenamiento. Concretamente, se recomienda realizar periódicamente una copia de seguridad completa que garantice el alojamiento externo de los datos que presentan un mayor riesgo de pérdida de activos para la corporación ante un incidente de seguridad. A este respecto, la elección de un servicio de almacenamiento externo es crucial para garantizar la seguridad y la confidencialidad de los datos, que son el principal activo en el tráfico mercantil actual.

Dicho lo anterior, el hecho de contar con una copia de seguridad no garantiza una total protección frente a nuevas amenazas, y es necesario implementar medidas concretas para la protección de la propia copia de seguridad. Asimismo, la protección de copias de seguridad es un requisito imprescindible que se incluye dentro de las funciones de supervisión, videovigilancia y control relativos al cumplimento normativo en materia de protección de datos, necesarios para estar en capacidad de demostrar tal cumplimiento, en los supuestos de que se produzca una brecha de seguridad a nivel corporativo o bien un supuesto ilícito en nombre o por cuenta de la entidad.

Entre los principales procedimientos para la protección de las copias de seguridad a nivel corporativo cabe destacar las siguientes:

Página 13 de 169

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal