No cabe duda de que el correo electrónico se ha convertido en una herramienta de comunicación y de gestión básica e imprescindible en el día a día de la mayoría de las empresas, pues aporta grandes ventajas en cuanto a la accesibilidad, rapidez y disponibilidad de la información, entre otras.

Cierto es por otra parte, que se ha convertido en una de las fuentes más comunes de ciberataques; por lo que es muy importante que, a nivel organizativo e interno de las entidades, además de establecerse una política acerca de su uso, se conciencie a quienes utilizan las cuentas de correo para enviar y recibir información, es decir, a los empleados.  

Desde organismos como la Oficina de Seguridad del Internauta (OSI) o el Instituto Nacional de Ciberseguridad (INCIBE) se elabora con frecuencia material útil en materia de ciberseguridad. En relación con el uso del correo electrónico, por ejemplo (ver aquí), hay que destacar como buenas prácticas las siguientes:

- No abrir correos electrónicos de remitentes desconocidos con documentos adjuntos y tener cuidado al hacer clic en los enlaces incluidos en este tipo de correos.

- Instalar aplicaciones antimalware y activar los filtros antispam.

- Usar siempre contraseñas que sean seguras.

- Evitar utilizar el correo electrónico desde sitios públicos.

- Cifrar el correo electrónico al enviar información confidencial o sensible.

- No publicar direcciones de correo electrónico en la web de la empresa ni en sus redes sociales.

- Nunca responder al correo basura (spam).

- Desactivar el HTML en las cuentas de correo críticas.

- Utilizar la copia oculta o copia de carbón (BCC o CCO) cuando se envíen direcciones a múltiples destinatarios.

Y es esta última práctica en la que vamos a centrar el contenido de esta publicación con motivo de una de las últimas resoluciones (PS/00322/2020) de la Agencia Española de Protección de Datos (AEPD) basada en la reclamación interpuesta por un interesado, al recibir un correo electrónico de un despacho de abogados sin copia oculta en el que aparecían las direcciones de decenas de destinatarios a los que se les informaba sobre el estado de bloqueo de sus cuentas bancarias, incluida la suya.

Como ya hemos hablado en otras ocasiones, (ver publicación), una dirección de correo electrónico se considera dato de carácter personal siempre que identifique directamente a la persona titular de la cuenta, o bien ésta pueda ser fácilmente identificable sin que suponga un esfuerzo desproporcionado en caso de que, por ejemplo, la dirección aparezca junto con otros datos que permitan la identifica­ción o por el propio contenido del mensaje, etc. y en cuyo caso se ha de respetar la normativa aplicable:

En el caso que nos ocupa, la AEPD ha sancionado al despacho con una multa por importe de 10.000 euros, que más tarde, como veremos a continuación, se ha visto reducida a 6.000 euros por pago voluntario.

Pero ¿Qué es lo que tiene en cuenta la AEPD a la hora de sancionar?

Se inicia procedimiento sancionador por parte de nuestra autoridad de control, al considerar el denunciante que se ha producido un ataque a su intimidad por estar visible su dirección de correo electrónico junto a la del resto de los destinatarios.

Además, en esta última ocasión, primeramente, se requirió al despacho para que en el plazo de un mes remitiese a la AEPD información sobre la respuesta que se dio al afectado por los hechos denunciados, las causas que motivaron la incidencia, así como las medidas que se hubieran adoptado. Sin embargo, la entidad reclamada no contestó en el plazo señalado.

La Agencia Española de Protección de Datos (AEPD), además de tener potestad sancionadora en caso de que se infrinja lo dispuesto en el Reglamento Europeo de Protección de Datos (RGPD) y en la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales (LOPDGDD); también le corresponde la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (LSSI).

La LSSI entra en vigor hace ya casi dos décadas, concretamente en el año 2002, y ha ido sufriendo en el tiempo una serie de modificaciones de muy diversa índole en su articulado y, especialmente si nos centramos en uno de sus artículos más importantes en la materia que nos ataña, esto es el artículo 22, referido a los derechos de los destinatarios de los servicios.

En 2012, a raíz de la publicación del Real Decreto Ley 13/2012, “se exige el consentimiento del usuario sobre los archivos o programas informáticos que almacenan información en el equipo de usuario y permiten que se acceda a ésta (las cookies)”; pues con su uso pueden desvelarse aspectos de la esfera privada de los usuarios y adquiere importancia que estos estén informados y dispongan de mecanismos que les permitan preservar su privacidad.

Por otra parte, con la entrada en vigor de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, se configura la redacción del apartado segundo del artículo 22:

  • Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, siempre que se cuente con su consentimiento y tras haberles facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos.
  • Cuando sea técnicamente posible y eficaz, el consentimiento para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Hasta la aprobación del RGPD era válido obtener el consentimiento tácito del interesado a través de la inacción del mismo, siempre y cuando se hubiera informado con carácter previo. Sin embargo, tal y como analizamos en una de nuestras publicaciones de este blog (ver aquí), ante el nuevo escenario en el que nos encontrábamos con el cambio normativo en materia de protección de datos personales, la AEPD publicaba con fecha 8 de noviembre de 2019 una Guía sobre el uso de las cookies (la Guía), con el fin de ofrecer ciertas orientaciones, partiendo de la base de que el consentimiento ahora debe ser recabado mediante una clara acción afirmativa, manifestación de voluntad libre, específica, informada e inequívoca del interesado.

También, en línea de lo expuesto en la Guía, la forma más sencilla para el suministro de la información y la obtención del consentimiento por parte del usuario para la instalación de las cookies es la llamada “información en dos capas”.

Atendiendo a las Directrices sobre consentimiento modificadas en mayo de 2020 por el Comité Europeo de Protección de Datos (CEPD), esta Guía ha sido actualizada y adaptada por la AEPD en julio de 2020, estableciéndose nuevos criterios al respecto.

NUEVOS CRITERIOS

  1. En cuanto a la validez de la fórmula “seguir navegando” como forma de prestar el consentimiento por parte de los usuarios, el Comité considera que no constituye, en ninguna circunstancia, una forma válida de prestar el consentimiento, en la medida en que tales acciones pueden ser difíciles de distinguir de otras actividades o interacciones del usuario.
  1. Respecto a la opción de utilizar los conocidos como “muros de cookies”, esto es, de limitar el acceso a determinados servicios o contenidos sólo a los usuarios que acepten el uso de cookies, el Comité ha precisado que, para que el consentimiento pueda considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no debe estar condicionado a que el usuario consienta el uso de cookies.

No podrán entonces utilizarse “muros de cookies" que no ofrezcan una alternativa al consentimiento. Este criterio es aún más relevante en aquellos supuestos en los que la denegación de acceso impediría el ejercicio de un derecho legalmente reconocido al usuario.

  1. No obstante, puede haber determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al usuario y se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies.

Conviene aclarar que, en ningún caso es o será lícito que el servicio lo ofrezca una entidad ajena.

La AEPD emitía su primera resolución sancionadora por una infracción del artículo 22.2 LSSI en el año 2014 (ver aquí), y desde entonces, no hemos parado de ver y analizar resoluciones relacionadas y que sin duda han ido sentando jurisprudencia en la materia.

De hecho, una de las resoluciones más impactantes y trascendentes, y que hoy analizamos en el presente blog, ha sido dictada por la AEPD el pasado mes de octubre a la conocida aerolínea española, IBERIA, por infringirse el artículo 22.2 LSSI. En este caso, además, la entidad se enfrenta por ello a la máxima sanción económica prevista en el artículo 39.1c de la LSSI: 30.000 euros. (ver resolución)

Muchas veces “lo barato sale caro”. Y sino, que se lo digan al dueño de un locutorio donde se ofrecía tanto el servicio de realización de llamadas telefónicas, como el de utilización de ordenadores con acceso a Internet. Dicho locutorio fue intervenido en una inspección realizada por los agentes de la Guardia Civil, al detectarse que los ordenadores que allí se encontraban para prestar sus servicios a los clientes, tenían instalado el sistema operativo Windows XP e incluso alguno de ellos tenía instalada la aplicación ofimática Office, la cual permite el uso de programas como, por ejemplo, Word y Excel; y, que sin embargo, ninguno contaba ni con licencia de explotación comercial ni de uso profesional, habiéndose, en consecuencia, obtenido éstos de forma fraudulenta (“piratas”).

Debemos de partir de la base de que una licencia es el instrumento legal por el cual, el proveedor del servicio concede a los usuarios los derechos de uso o explotación del software, incluyendo una serie de prohibiciones y limitaciones, que tienen como objeto impedir la comercialización del mayor número de copias del software.

En nuestro país es la Ley 1/1996 de la Propiedad Intelectual (LPI), la que reconoce, en los artículos 17 y ss., que corresponde al autor, esto es en este caso al proveedor del software, el ejercicio exclusivo de los derechos de explotación en cualquier forma y, en especial, los derechos de reproducción, distribución, comunicación pública y transformación, que no podrán ser realizadas sin su autorización, salvo en los casos que prevé la propia LPI.

Además de los derechos anteriormente descritos, que la LPI reconoce al proveedor del software, en su Título VII se determina el régimen jurídico en relación con los derechos de autor sobre los programas de ordenador.

En aplicación de lo expuesto anteriormente y volviendo al hecho concreto que estamos analizando, sobre este caso resolvía el Juzgado de lo Penal nº1 de Cuenca, en noviembre de 2019, condenando al titular de la entidad como autor de un delito contra la propiedad intelectual tipificado en el artículo 270.1 del Código Penal (C.P.) a la pena de seis meses de prisión y una multa de 1800 euros, al entender que se necesita por cada ordenador y cada programa instalado, una licencia de explotación comercial y una licencia de uso profesional.

Así, el artículo 270.1 establece que: Será castigado con la pena de prisión de seis meses a cuatro años y multa de doce a veinticuatro meses el que, con ánimo de obtener un beneficio económico directo o indirecto y en perjuicio de tercero, reproduzca, plagie, distribuya, comunique públicamente o de cualquier otro modo explote económicamente, en todo o en parte, una obra o prestación literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios”.

El acusado, por su parte, interpuso recurso de apelación contra la mencionada sentencia, sosteniendo un pretendido error en la valoración de la prueba practicada, puesto que, si bien admitía la presencia de ordenadores dotados de programas informáticos no obtenidos de forma lícita, consideraba, a su vez, que faltaban algunos de los elementos que configuran la conducta tipificada en artículo del C.P. anteriormente mencionado, como: no haber sido los programas instalados por él, ya que adquirió el locutorio mediante traspaso y los ordenadores ya formaban parte del anterior negocio, desconocer que esos programas carecían de cobertura legal y mucho menos que fueran destinados al uso comercial por terceros, mediando el ánimo de lucro con su actividad.

Sin embargo, la Audiencia Provincial de Cuenca (APCU), órgano competente para resolver el recurso en segunda instancia, se ha pronunciado recientemente (ver aquí la sentencia), desestimando el recurso y considerando inadmisible el desconocimiento que alega el acusado respecto a la obligatoriedad de solicitar las licencias, cuando se ha demostrado que fue asesorado por un gestor durante el traspaso del locutorio en relación a la idoneidad de comprar las licencias de las que es titular la conocida multinacional Microsoft, y más aún cuando se trata de la adquisición un negocio del que forman parte unos ordenadores puestos a disposición del público, dándoles un aprovechamiento lucrativo.

En este sentido, cabe analizar los elementos objetivos y subjetivos que integran la figura delictiva del artículo 270.1 CP:

Hay bromas que pueden salir caras, y, sino que se lo digan a la empresa titular de la conocida app de realización de bromas telefónicas JUASAPP.

Esta aplicación, que aún se puede descargar, se hizo muy popular en 2014, y permite a cualquier tercero escoger de entre un listado una broma, en formato de archivo de audio pregrabado vía telefónica, para que sea enviada al número de destino seleccionado por dicho usuario, pudiendo mantener el anonimato de la persona que gasta la broma.

Una vez realizada la broma, la aplicación ofrece la posibilidad de generar el fichero de grabación de la misma, de manera que el usuario pueda posteriormente reproducir, descargar y compartir el fichero de audio que contiene la grabación.

Algunas de estas bromas consistían, por citar algunos ejemplos, en alertar a una madre de un incidente en el comedor del colegio de su hijo, acusar a una persona de robar la luz, hacerse pasar por una asesoría jurídica en relación con una multa de tráfico, etc.

No todos los receptores de dichas bromas encontraron “la gracia” en estos hechos, sino que los denunciaron ante la Agencia Española de Protección de Datos (AEPD), manifestando que habían visto vulnerada su intimidad.

La AEPD, vistas las denuncias presentadas acordó iniciar varios procedimientos sancionadores, dictando finalmente resolución sobre los mismos  (ver aquí), e imponía a la entidad una sanción de 7.500 euros por considerar infringidos ciertos preceptos de la ya derogada Ley Orgánica 15/1999 de Protección de datos de carácter personal (LOPD).

Dicha resolución fue recurrida por los denunciantes llegando tanto a la Audiencia Nacional, (AN) que confirmaba la sanción impuesta en su Sentencia de 29 de noviembre de 2018, como al Tribunal Supremo (TS), que igualmente ratificaba el pasado mes de junio la resolución dictada en su día por la AEPD en su Sentencia STS 1771/2020.

El TS se centra ahora en dar respuesta a las tres alegaciones planteadas por la entidad titular de la app en sus recursos:

  1. Que la actividad desarrollada mediante JUASAPP se limita a proporcionar un medio de ocio a los particulares en el ámbito personal o doméstico.

Según la entidad, el hecho de gastar una broma es una actividad personal, y ellos actúan como simples mediadores entre el "abromado" y la persona que quiere gastar la broma contratada a través de esa app, poniendo a su disposición los medios, pero no usando la información para ningún otro fin que prestar el servicio contratado por el cliente y si la grabación se difunde, es por decisión del usuario que ha gastado la broma.

Hace unos días, todos nos hacíamos eco por distintos medios, de que el presidente de la conocida cadena de supermercados MERCADONA, comunicaba la decisión de la compañía de implementar en cuarenta de sus tiendas de España, un sistema de detección anticipada en las cámaras de acceso de las tiendas basado en el uso de tecnologías de reconocimiento facial, con el fin de reforzar la seguridad tanto de los clientes como de los propios trabajadores, evitando que se produzcan robos en los locales e impidiendo el acceso de ciertas personas.

En concreto, este sistema es capaz de captar durante 0,3 segundos los rostros, cotejarlos con ficheros de imágenes y detectar la entrada de personas con sentencias firmes y medida cautelar de orden de alejamiento en vigor contra la cadena de supermercados o contra alguno de sus empleados; y una vez detectada la infracción y tras haberse contrastado que se trata de esa persona, se lo notifica a las Fuerzas y Cuerpos de Seguridad del Estado.

No cabe duda de la polémica que ha suscitado esta decisión, ya no solo por el impacto que tiene sobre la privacidad de las personas y que analizaremos en este artículo, sino porque, además, el proveedor del sistema utilizado y por tanto encargado del tratamiento, es AnyVision, una entidad israelí líder mundial de plataformas de reconocimiento facial, que se ha visto involucrada en varios escándalos recientes, tales como que su tecnología ha sido utilizada para identificar y vigilar a ciudadanos palestinos en Cisjordania.

Ya hemos analizado recientemente en este blog ciertas técnicas de reconocimiento facial. En concreto, las técnicas proctoring para la realización de los exámenes online o los sistemas de videovigilancia con reconocimiento facial, donde la Agencia Española de Protección de Datos (AEPD) ha emitido informes sobre aquellas cuestiones que generaban ciertas dudas.

Sin embargo, y si bien es cierto que la AEPD ya ha iniciado una investigación de oficio, la única información que tenemos por ahora, es la que proporciona la propia entidad a través de sus redes sociales, la información básica que aparece reflejada en los carteles informativos que han sido colocados en la entrada de cada uno de los establecimientos, y su propia Política de Privacidad ubicada en la web de la compañía, donde se proporciona la información adicional. De estas vías, podemos extraer la siguiente información:

- Existe un tratamiento de datos biométricos en aquellas tiendas de España donde esté implantado el sistema de detección anticipada.

- La finalidad del tratamiento consiste en poder llevar a cabo las actuaciones precisas para proteger los intereses vitales de los clientes cuando así sea necesario, o el cumplimiento de las resoluciones judiciales y las medidas en ellas acordadas.

- Estos datos serán tratados por razones de interés público con las consiguientes consideraciones previstas por la normativa de protección de datos.

- Los datos que recoge el sistema se tratan y se custodian durante el tiempo imprescindible para dar cumplimiento a las medidas judicialmente de aquellas personas condenadas a dicha orden de alejamiento.

De todas formas, los datos recogidos accesoriamente para cumplir con esta finalidad permanecerán en el servidor únicamente en el proceso de comprobación, que como decíamos al inicio, es de unas décimas de segundo. Una vez realizada esta comprobación procede a destruirse definitivamente.

- Estas imágenes o perfiles faciales biométricos únicamente se tratan a nivel interno por la entidad, siendo exclusivamente comunicadas a las Fuerzas y Cuerpos de Seguridad del Estado para proteger la seguridad de los clientes y trabajadores y el cumplimiento de las medidas decretadas judicialmente.

Ahora bien, ¿es esto suficiente para considerar que es lícita la implementación de estos sistemas de detección anticipada?

En primer lugar, debemos de partir de que se entiende por técnica de reconocimiento facial, toda tecnología que permite la identificación de una persona mediante el análisis de las características biométricas de su rostro.

De la detección del rostro de las personas en las cámaras, se extraen una serie de características que conforman un patrón biométrico facial que se coteja con información ya existente en ciertas bases de datos y se obtiene un porcentaje de similitud con la persona que se identifica para después tomar una decisión.

Aunque, por ejemplo, ya se está trabajando también esta técnica con un proyecto piloto en algún aeropuerto de España que consiste en que través del reconocimiento facial, se cruza el filtro de seguridad y se permite embarcar de forma más ágil; sin embargo, este caso que estamos analizando se trata de la primera experiencia masiva de implementación de esta técnica llevada a cabo en nuestro país.

En segundo lugar, ahondando en el tratamiento en cuestión, debemos aclarar que el rostro de una persona, en virtud del artículo 4 del Reglamento General de Protección de Datos (RGPD), se considera un dato de carácter personal, pues nos permite identificar a una persona física.

Fue en los años 80 cuando salió al mercado el primer teléfono móvil analógico de la mano de Motorola, suponiendo toda una revolución, ya que por aquel entonces poder comunicarse desde cualquier lugar y sin cables era algo inédito. Desde entonces, la telefonía móvil ha sufrido un proceso de desarrollo en forma de generaciones, que ha ido coincidiendo en el tiempo con cada una de las décadas.

En cada generación, se han ido descubriendo nuevas funcionalidades, y a su vez, han ido apareciendo nuevas amenazas y riesgos para la privacidad de las personas:

  • La generación 1G (principios de la década de 1980) primaba la funcionalidad, sin tener en cuenta la privacidad.
  • La generación 2G (1991), permitió enviar mensajes de texto a través de los terminales de los usuarios. En esta generación ya se introducen técnicas de cifrado en las comunicaciones que mejoran la confidencialidad, aunque por contra, se sufren los primeros ataques de SPAM y de interceptación de comunicaciones.
  • La generación 3G (2000): aparecen los primeros dispositivos con funcionalidades multimedia. Estos teléfonos también trajeron las primeras vulnerabilidades por código malicioso o de localización por GPS.
  • La generación 4G: (2010) permitía acceso de alta velocidad a Internet, y se implementaron técnicas de cifrado más robustas. Sin embargo, su utilización masiva supuso un aumento de amenazas.
  • La generación 5G se espera que sea el gran canal de comunicaciones de esta década. Desde 2016 se están haciendo pruebas con tecnología 5G en varios países de América, mientras que en Europa llegó para quedarse a principios de 2019.

Las mejoras que 5G ofrece a los usuarios son principalmente tres:

  • Mayor velocidad de transferencia: el 5G permite navegar hasta diez veces más rápido que las actuales ofertas de fibra óptica del mercado. A esta velocidad se podrá, por ejemplo, descargar una película completa en cuestión de segundos.
  • Baja latencia en las comunicaciones: es el tiempo que transcurre desde que se inicia el envío de un mensaje y llega el primer bit a destino. Ese tiempo podría reducirse a 5 milisegundos, un período casi imperceptible, pero que nos permitirá conectarnos prácticamente en tiempo real.
  • Mayor capacidad de conexión: permite aumentar exponencialmente el número de dispositivos conectados en tiempo real.

Estas características propician el despliegue de aplicaciones multimedia o de realidad aumentada que requieren respuestas en tiempo real, así como el despunte definitivo del llamado Internet de las cosas (IoT).

Para poner en marcha las redes 5G, se está planificando una renovación sin precedentes en la historia más reciente de la tecnología móvil. En este sentido, cabe destacar tres características que hacen que hablemos de la tecnología 5G como un cambio de paradigma en la concepción de las redes de comunicaciones móviles: virtualización, edge computing, y localización.

VIRTUALIZACIÓN

La virtualización supone que la conexión de los dispositivos se gestione directamente por sus fabricantes o proveedores de servicio a través de una SIM integrada (eSIM) y conectada a una slice de red o red virtual.

La red core, estará dividida en lo que se conocen como network slices, que permiten establecer redes lógicas, con funciones de red propias, sobre una única infraestructura física de telecomunicaciones, con parámetros configurados específicamente para dar respuesta a distintos requisitos de cada aplicación.

Esto sirve para gestionar el registro, acceso y movilidad de los dispositivos de usuario, su geolocalización y la posible interceptación legal de las comunicaciones por los Cuerpos y Fuerzas de Seguridad del Estado.

En la práctica, supondría por ejemplo que los usuarios no tuviesen que gestionar la conexión con el operador, ni introducir una SIM en el dispositivo porque esa función de control es llevada a cabo por los fabricantes o proveedores.

Es inevitable pensar en el fuerte impacto que tiene la virtualización en la privacidad de las personas, sobre todo en relación con el filtrado de datos entre funciones compartidas entre distintos slices.

El ser humano es un ser social por naturaleza y, por tanto, tiene la necesidad de comunicarse, de ser escuchado y de interactuar con los demás.

La crisis sanitaria a la que nos enfrentamos en estos momentos nos ha obligado a vivir una situación excepcional sin precedentes en nuestros hábitos y, entre otras cosas, nos obliga a permanecer confinados en nuestros hogares.

Para podernos relacionar con las personas que se encuentran fuera de nuestro entorno, somos muchos los que recurrimos a las nuevas tecnologías y, concretamente, ha habido un notable despunte en el uso de aquellas que permiten que nos veamos y nos escuchemos en tiempo real: las videollamadas y, si se trata de reuniones con grupos de personas, las videoconferencias.

Además de la utilidad que se le está dando en el ámbito doméstico, se extiende el uso de las videollamadas o videoconferencias en el ámbito laboral, puesto que, como ya mencionamos en nuestra anterior publicación (ver aquí), dentro de las medidas excepcionales a adoptar por las empresas, que  se  establecen  en  el Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 , se  encuentra promover la modalidad del  trabajo  a  distancia o teletrabajo en aquellos sectores,  empresas  o  puestos  de  trabajo  en  las  que  no  estuviera aún  prevista.

Las videoconferencias en el marco laboral, sólo precisan de una perfecta coordinación en el tiempo de todos los asistentes, y permiten compartir de forma sencilla conocimientos y diferentes puntos de vista, sin importar la logística ni el lugar en el que se encuentren los trabajadores; permiten discutir los proyectos corporativos en curso, tomar decisiones en grupo, obtener un feedback instantáneo, compartir documentos de trabajo, disponer de herramientas tales como un chat o una pizarra virtual mediante la cual se pueden realizar presentaciones de la misma forma que si estuviésemos en una sala de exposiciones

Igualmente, no sólo sirven para establecer comunicaciones internas, sino que dependiendo del sector en el que nos encontremos, muchas veces se hace necesario contactar por esta vía con clientes, proveedores, socios, alumnos, etc.

En todas ellas, además de seguir las pautas y recomendaciones genéricas para teletrabajar que hemos ido aportando a lo largo de los anteriores capítulos, conviene extremar la seguridad para prevenir la intrusión y garantizar la confidencialidad de las conversaciones y de la información que tratamos en ellas, puesto que en estos días, debido al incremento de usuarios de estos servicios, la red de los hogares se ha convertido en un objetivo más atractivo que antes para los ciberdelincuentes, y, tanto el contenido de las conferencias como las grabaciones de las mismas o las herramientas de apoyo que se utilizan, podrían estar expuestas a las siguientes amenazas:

  • Aquellas que son inherentes a las redes inalámbricas e internet.
  • Aquellas que tienen como causa una configuración descuidada o errónea de las sesiones de videoconferencia.
  • Aquellas que están asociadas a las carencias de seguridad de las propias herramientas o servicios de videoconferencia.

Y es en este último punto donde vamos a detenernos. ¿Son seguras las aplicaciones de videoconferencia? El mercado actual ofrece multitud de herramientas y plataformas que ofrecen servicios de videoconferencias: gratuitas o de pago; videoconferencias tradicionales, que utilizan equipos físicos o un software instalado en ordenadores personales; videoconferencias en la nube, etc.

Las nuevas tecnologías, han hecho posible que manejemos y rentabilicemos mejor la información para el desarrollo de nuestras empresas, pero también ha aumentado la exposición a nuevas amenazas, que facilitan la fuga de información.

Por este motivo, las empresas deben proteger la información de la que disponen y mantener su confidencialidad, disponibilidad e integridad, mediante medidas preventivas que sirvan para proteger tanto la propia información como los soportes donde se almacena, durante todo su ciclo de vida, desde su creación hasta su destrucción. De esta forma, se evita el robo, la manipulación y las posibles fugas de información.

Puede parecer sencillo mantener a salvo esa información cuando permanece en el disco duro de un ordenador de mesa al que solo una persona tiene acceso. Sin embargo, la cosa se complica si se trata de ordenadores portátiles o unidades USB que, por su tamaño o sus características de movilidad, pueden extraviarse o ser robadas; o si por determinadas circunstancias, la información se envía a un tercero mediante correo electrónico, se almacena en carpetas compartidas o en la nube, etc.

Siendo el cifrado de datos aún una asignatura pendiente para muchas empresas, vamos a dedicar ésta y las siguientes publicaciones de este blog a indicar qué pautas se deben seguir para proteger con seguridad los archivos, siempre desde una perspectiva de practicidad y utilidad para las empresas.

Como ya nos hemos referido en otras ocasiones, el artículo 32 del Reglamento General Europeo de Protección de Datos (RGPD) hace referencia a la seguridad del tratamiento de los datos: “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya”.

Además, “se tendrán particularmente en cuenta los riesgos del tratamiento, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

De todas formas, si bien es cierto que las medidas de seguridad deben adaptarse a las características concretas de cada empresa, el propio Instituto Nacional de Ciberseguridad (INCIBE) considera que existen una serie de medidas que deben aplicarse independientemente de su tamaño o actividad:

  1. Control de acceso a la información: Se debe permitir el acceso a la información únicamente a aquellos empleados que la necesitan.
  2. Actualizaciones de seguridad: Las aplicaciones y sistemas deben estar correctamente actualizados a sus últimas versiones, y con todos los parches de seguridad que distribuyen los fabricantes.
  3. Copias de seguridad:  En otra publicación de este blog (ver aquí), ya analizamos el por qué es tan importante realizar copias de seguridad periódicas de los datos relevantes y aplicaciones de la empresa.
  4. Cifrado de información y utilización de contraseñas robustas: Es necesario proteger accesos no deseado a la información mediante el cifrado de esta, de los soportes que los almacenan y de las comunicaciones donde la transmitimos. Esto cobra mayor importancia cuando se hace uso de soportes de almacenamiento externos, dispositivos móviles y conexiones a redes inseguras como wifis públicas.

No hace mucho, analizamos en una de nuestras publicaciones (ver aquí) una reciente resolución de la Agencia Española de Protección de Datos (AEPD) por la que se sanciona por infracción del mencionado artículo 32, a una entidad que había sufrido una brecha de seguridad consistente, en la pérdida de seis pendrives sin cifrar, que contenían datos personales de aproximadamente once mil personas.

No es la primera vez que nos referimos en este blog al tratamiento de datos personales relativo a la inclusión de tales datos en ficheros de solvencia patrimonial o sistemas de información crediticia por incumplimiento de obligaciones dinerarias, financieras o de crédito. De hecho, en una de nuestras publicaciones (ver aquí) analizábamos cuáles son los requisitos para que la inclusión de una deuda sea lícita; que recordemos, en virtud del artículo 20 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) son entre otros:

  • Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta.
  • Que los datos se refieran a deudas ciertas, vencidas y exigibles, que haya resultado impagadas, y respecto de las cuales no se haya entablado reclamación judicial, arbitral o administrativa.
  • Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, y que una vez se haya procedido a la inclusión se le notifique y se le informe de la posibilidad de ejercitar sus derechos.
  • Que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde el vencimiento de la deuda.
  • Que los datos únicamente puedan ser consultados si se mantiene una relación contractual con el afectado que implica el abono de una cuantía pecuniaria o se solicite la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica. Si se denegase la celebración del contrato, quien haya consultado el sistema debe informar al afectado del resultado de dicha consulta.

Además, corresponde a la entidad acreedora garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda y que, por ende, se ha respetado el principio de licitud respecto al tratamiento de los datos de carácter personal que exige que el responsable del tratamiento acredite que ha actuado con la diligencia correspondiente para demostrar que la deuda es cierta, vencida y exigible; respondiendo de su inexistencia o inexactitud.

Y es este supuesto de hecho, el objeto de la sanción impuesta por la Agencia Española de Protección de Datos (AEPD) a una conocida entidad distribuidora de cosméticos en su reciente Resolución del Procedimiento sancionador N.º: PS/00159/2019 iniciado el 24 de abril de 2019, por infringir lo dispuesto en el artículo 6.1 del Reglamento Europeo de Protección de Datos (RGPD), al incluir los datos personales de una de sus distribuidoras que, supuestamente había realizado un pedido online cuyo abono estaba pendiente, en el fichero de solvencia patrimonial Asnef, sin haber previamente comprobado su identidad y cuando en realidad se estaba falseando el proceso de contratación, empleando un tercero de forma fraudulenta la identidad de la denunciante.

Llegados a este punto, cabe analizar dos puntos clave:

  1. ¿Contaba la entidad con base legitimadora suficiente para tratar los datos personales de su distribuidora?

Dentro de las distintas bases que legitiman la licitud de un tratamiento que reconoce el RGPD en su artículo 6.1, podría en este caso encajar si se cumpliera alguna de estas tres condiciones:

El derecho de acceso se puede definir como aquel que tienen las personas a obtener información sobre el tratamiento de sus datos personales. Se trata por tanto de un derecho personalísimo, que solo puede ser ejercitado el propio interesado y cuyo ejercicio queda previsto tanto en el artículo 15 del Reglamento General Europeo de Protección de Datos (RGPD) como en el artículo 13 de la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

Ahora bien, ¿se puede tener acceso a los datos de los fallecidos?

Sobre esta cuestión, se ha pronunciado recientemente la Agencia Vasca de Protección de Datos (AVPD), en su Dictamen N.º D19-008.

En primer lugar, tal y como ya hemos comentado en alguna ocasión en este blog (ver aquí), los tratamientos de datos de las personas fallecidas están fuera del ámbito de aplicación de la normativa de protección de datos de carácter personal.  Esto es así en virtud del artículo 32 del Código Civil por el cual el fallecimiento de una persona determina la extinción de su personalidad civil, y dicha exclusión se recoge en el Considerando 27 del RGPD y en el artículo 2 de la LOPDGDD.

En esta misma línea cabe citar la Sentencia del Tribunal Constitucional 292/2000 de 30 de noviembre, en la que afirma que, “si el derecho fundamental a la protección de datos ha de ser considerado como el derecho del individuo a decidir sobre la posibilidad de que un tercero pueda conocer y tratar la información que le es propia, es evidente que dicho derecho desaparece por la muerte de las personas, porque los tratamientos de datos personas fallecidas no podrían considerarse comprendidos dentro del ámbito de aplicación de la Ley”.

La exclusión expresa del mencionado artículo 2 LOPDGDD, se realiza sin perjuicio de lo establecido en el artículo 3, el cual dispone por su parte, que las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, podrán solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión, salvo cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.

Por otra parte, en virtud del artículo 12.5 RGPD “cuando las leyes aplicables a determinados tratamientos establezcan un régimen especial que afecte al ejercicio de los derechos, se estará a lo dispuesto en aquellas”.

Y es sobre este punto sobre el cual versa el Dictamen emitido por la AVPD en su Dictamen al resolver una consulta sobre el acceso a la Historia Clínica de las personas fallecidas por parte de sus familiares al ponerse en tela de juicio la posible controversia entre dos normas aplicables:

Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica

Su artículo 18.4 dispone que:

  • Sólo se facilitará el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite.
  • En todo caso, el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes y no se facilitará información que afecte a la intimidad del fallecido, que perjudique a terceros, ni tampoco las anotaciones subjetivas de los profesionales.

Página 1 de 4

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal