La sociedad en la que vivimos posee un marcado carácter tecnológico, y por consiguiente los avances en las nuevas tecnologías son habituales protagonistas en los paneles de actualidad.

Es en este contexto de transformación digital en el que aparecen los dispositivos IoT, siglas con las que se hace referencia al “Internet of Things”, un concepto que se refiere a la interconexión digital de objetos comunes a través de internet y cuya irrupción en la sociedad supone, por su naturaleza, un cambio de enfoque a la hora entender nuestro entorno. Durante este 2020, se esperan alrededor de 20.400 millones de dispositivos conectados, y se prevé que, en los próximos años, en la mayoría de los países, más de la mitad de la población activa tendrá una ocupación que de una forma u otra dependerá de la informática.

Todo ello constituye un arma de doble filo, pues si bien trae consigo mejoras en la eficiencia, así como un incremento en la participación de las personas, a su vez supone un reto: el de afrontar las nuevas amenazas, especialmente aquellas con incidencia sobre la privacidad de las personas.

Los dispositivos IoT funcionan como canal de entrada y salida de datos empleados para definir comportamientos y usuarios tipo, lo cual pone de manifiesto que la parte del IoT relativa a las tecnologías de identificación es la que parece elevar al máximo exponente los riesgos para la privacidad de los usuarios, pues permite que a través de la conexión entre dispositivos se cree una única identidad de usuario, un único perfil personalizado elaborado en base al comportamiento del usuario y las deducciones que de ese comportamiento los dispositivos inteligentes vinculados entre sí puedan extraer.

Son herramientas inteligentes que hacen posible que las empresas que tienen acceso a los datos recabados por los IoT vinculados a un perfil de usuario, puedan utilizarlos para fines distintos para los que inicialmente fueron recabados, encontrándose el interesado en una situación de vulnerabilidad y desconocimiento absoluta en relación al alcance del tratamiento. Es por esto que, de acuerdo con el RGPD, como normativa vigente y aplicable en la materia, la seguridad de la información y la privacidad de los usuarios debería ser una de las principales preocupaciones de cualquier proyecto IoT.

Por desgracia, el aumento en la seguridad en el marco de desarrollo de cualquier proyecto es directamente proporcional al incremento en costes y complejidad, por lo que si bien es cierto que, con la norma en la mano, el funcionamiento adecuado y regulado de los dispositivos IoT pasaría por un sistema con la capacidad de gestión suficiente para llevar a cabo un buen uso de la información, siendo capaz de recoger solamente aquella que resulte necesaria para la finalidad establecida, almacenarla de forma segura y hacer un análisis de la misma, no siempre es así.

El enfoque de la normativa se encuentra claramente direccionado hacia la idea de “la soberanía del usuario sobre sus datos”, esto es, la máxima de control del interesado (que en este caso es el usuario del dispositivo) sobre sus datos de carácter personal; sin embargo, y teniendo en cuenta todo lo anterior, ¿sabemos todo lo necesario sobre el uso que se hace de nuestros datos cuando utilizamos este tipo de dispositivos?

Publicado en Blog

El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado el pasado mes de julio (ST TJUE 29.07.19) al respecto. En dicha resolución se ha determinado por parte de la sala que tanto el administrador de un sitio web en el que se incluya el botón “me gusta” de Facebook (o cualquier otra red), como el de la propia red social serán considerados como responsables del tratamiento.

El origen del objeto de la Sentencia surge cuando Fashion ID, empresa dedicada a la venta online de prendas de vestir, decide insertar en su propia página web el famoso botón “me gusta” de la conocida red social Facebook. Este simple hecho, y que vemos en otras muchas páginas web, implica la transmisión de datos del visitante, a dicha red, sin mediar conocimiento ni previo consentimiento por parte del usuario. Ante esta situación, la Asociación de utilidad pública de defensa de los intereses de los consumidores (Verbraucherzentrale NRW,) decidió ejercitar una acción de cesación contra Fashion ID, con el objetivo de que se dejase de realizar la transmisión de datos personales de los visitantes de su sitio web, sin previo consentimiento y sin informarles.

Antes de analizar en profundidad la resolución definiremos tanto la figura de responsable como la de encargado del tratamiento, art.4 RGPD:

  • Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
  • Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Una vez determinadas las figuras que podrían darse en este caso, nos puede surgir la siguiente pregunta: ¿por qué el TJUE considera que tanto Fashion ID como Facebook son responsables del tratamiento?

Publicado en Blog
Miércoles, 08 Marzo 2017 16:34

La consulta previa en el RGPD

El Reglamento General Europeo habilita la posibilidad de que los responsables consultemos a la autoridad de control competente antes de proceder a un tratamiento de datos, si como resultado de la realización de una evaluación de impacto, se muestra que el tratamiento entrañará un alto riesgo si no se toman las medidas necesarias para mitigar dicho riesgo.

El artículo 36.2 del RGPD establece que cuando la autoridad de control considere que el tratamiento previsto podría infringir el RGPD debido, principalmente, a que el responsable no ha identificado o mitigado suficientemente el riesgo. La autoridad de control deberá, en un plazo máximo de ocho semanas desde que se formula la consulta, asesorar por escrito al responsable y al encargado, si procede, en el caso en concreto.

Asimismo, la norma europea lista la información que se deberá facilitar a la autoridad de control para que resuelva convenientemente:

Publicado en Blog

Siguiendo con nuestro análisis de esta nueva obligación de RGPD, como ya comentábamos la semana pasada, el RGPD nos proporciona una lista indicativa de supuestos en que se considera que los tratamientos conllevan un alto riesgo. La AEPD por su parte, deberá elaborar listas con los tipos de operaciones de tratamiento que requieran una evaluación de impacto.

Por otro lado, el RGPD habilita la posibilidad para que las autoridades de control puedan establecer y publicar listas con los tipos de tratamiento que no requieren de una evaluación de impacto.

Sin embargo, como bien indica nuestra Agencia, la existencia de estos listados no excluye el que los responsables deban realizar el correspondiente análisis de riesgo, que vimos cuando hablamos de las medidas de seguridad, y en caso de que concluyan que existe un alto riesgo para los derechos y libertades de los interesados, lleven a cabo una evaluación de impacto, aun cuando el tratamiento en cuestión no esté incluido en ninguna de las dos listas mencionadas.

El RGPD establece un contenido mínimo que deberán incluir las evaluaciones de impacto (art.35.7):

Publicado en Blog

La obligación de realizar una evaluación de impacto relativa a la protección de datos (EIPD) es, sin duda, una de las novedades destacadas en el Reglamento General de Protección de Datos.

En diferentes considerandos y de forma específica en el artículo 35 del RGPD encontramos su regulación.

La obligación nace en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas. El responsable del tratamiento, con carácter previo a la puesta en marcha de aquellos tratamientos, debe realizar una evaluación de impacto que analice, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

El resultado de la evaluación deberá tenerse en cuenta para que el responsable aplique las medidas adecuadas con el fin de demostrar que el tratamiento de los datos personales es conforme con el RGPD.

Será posible realizar una única EIPD para varios tratamientos similares que entrañen altos riesgos también similares.

Publicado en Blog

Esta misma semana os hablábamos de una de las novedades del RGPD, la notificación de violaciones de seguridad a las autoridades de control competentes, por parte tanto de los responsables del tratamiento como de los encargados.

La norma europea no se limita a exigir lo anteriormente mencionado, sino que en su artículo 34 establece la obligación del responsable del tratamiento de comunicar las violaciones de seguridad de los datos a los propios afectados/ interesados, cuando la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas.

La comunicación dirigida al interesado deberá realizarse mediante un lenguaje claro y sencillo, y deberá contener como mínimo:

Publicado en Blog

Una novedad del Reglamento General de Protección de Datos es la obligación de que todo responsable de tratamiento debe notificar las violaciones de seguridad tanto a la autoridad de control competente (art.33 RGPD) como a los interesados/afectados (Art.34 RGPD).

Actualmente, la Directiva 2002/58/CE establece la obligación de notificar las quiebras de seguridad sólo respecto de los proveedores de servicios de comunicaciones electrónicas disponibles para el público, obligación incorporada al Derecho español por la reforma del artículo 34 de la Ley General de Telecomunicaciones. Para ello la AEPD tiene establecido un sistema de notificación de quiebras de seguridad a través de su Sede Electrónica.

La norma europea define violación de la seguridad de los datos personales, como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

La obligación recogida en el RGPD consiste en que el responsable del tratamiento, ante cualquier violación de seguridad, deberá notificarla ante la autoridad competente de su país. Una vez más el RGPD recurre al término sin dilación indebida para indicar el plazo de notificación, estableciendo un máximo de 72 horas desde que se tuvo constancia de la violación. Si se realiza la notificación pasadas esas 72 horas, la misma deberá ir acompañada de la justificación del retraso.

Publicado en Blog
Martes, 31 Enero 2017 12:07

Medidas de seguridad en el RGPD

A pesar de que todavía nos pueda parecer que para mayo 2018 falta “mucho” tiempo, (fecha de aplicación RGPD), debemos empezar a pensar ya en “modo” Reglamento, ya que consideramos que es algo imprescindible si queremos que la adaptación al mismo, se haga de forma gradual y efectiva.

En el artículo de hoy os hablaremos del tipo de medidas de seguridad que a tenor del RGPD se deben implementar.

En el Título VIII del actual RDLOPD 1720/2007 se determinan con detalle y de forma exhaustiva las medidas de seguridad que deben aplicarse según el tipo de datos objeto de tratamiento.

Sin embargo, en el RGPD se establece que tanto responsables como encargados de tratamiento deberán de establecer las medidas técnicas y organizativas necesarias para garantizar un nivel adecuado de seguridad. Para ello dice el RGPD (art.32.2) que se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos. Todo ello se detectará en el análisis previo que se debe realizar.

Como se detalla en la Guía del RGPD para responsables de tratamiento publicada por la AEPD hace escasos días, todos los responsables de tratamiento deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas de seguridad deben aplicar y cómo deben hacerlo. Este análisis variará en función de:

Publicado en Blog

Ya habéis podido observar, a través de los diferentes artículos que semanalmente vamos publicando con el análisis pormenorizado del Reglamento General de Protección de Datos, que la norma europea está llena de novedades bien en forma de principios, derechos u obligaciones que debemos empezar ya a tomar conciencia de las mismas, para que nuestra adaptación al RGPD se realice de forma adecuada.

En el presente artículo hablaremos de los <corresponsables> nueva figura que encontramos en el artículo 26 del RGPD.

A pesar de que el RGPD no define a los corresponsables como tal en su artículo 4, el mencionado artículo 26 nos da las pautas para entender cuándo estaremos ante un corresponsable, es decir: “cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento”. Realmente lo que hace el RGPD es dar un nombre a algo que ya veníamos aplicando.

Pero además la norma europea nos indica qué obligaciones deberán cumplir los corresponsables, esto es, deberán:

Publicado en Blog
Viernes, 23 Diciembre 2016 09:10

El Responsable del Tratamiento en el RGPD

Como ya analizamos de forma detallada en un anterior artículo de nuestro blog, esencia del RGPD es el principio de responsabilidad proactiva del responsable del tratamiento, pues además de estar obligado a cumplir con todas las medidas que se recogen a lo largo del texto, debe ser capaz de demostrar dicho cumplimiento.

Hasta ahora, podemos entender que la exigencia es no infringir la normativa, pero el Reglamento va un paso más allá, ya que no considera suficiente el hecho de no incumplir sino que su línea de cumplimiento sienta las bases en prevenir los incumplimientos.

La responsabilidad por parte del responsable del tratamiento viene determinada en el art. 24 del RGPD donde indica que está obligado a aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar la conformidad de las actividades de tratamiento con el Reglamento, incluida la eficacia de las medidas.

Esto es (tal y como ha manifestado la AEPD), el Reglamento entiende que actuar sólo cuando ya se ha producido una infracción no es suficiente como estrategia, toda vez que esa infracción puede causar daños a los interesados en ocasiones muy difíciles de compensar o reparar.

Por ello, será la adopción de políticas internas y aplicación de medidas que cumplan los principios de protección de datos desde el diseño y por defecto las que sirvan para demostrar y garantizar el cumplimiento. El Reglamento nos ayuda y dispone a lo largo de su texto una serie de medidas, de las que hablaremos y analizaremos detalladamente, como son:

Publicado en Blog
Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal