Desde este pasado lunes 10 de agosto ya está disponible en nuestro país la aplicación Radar COVID, diseñada por la Secretaria de Estado de Digitalización de Inteligencia Artificial, y cuya descarga puede realizarse tanto a través de dispositivos IOS como Android. No obstante, no será hasta el 15 de septiembre de este año cuando se produzca el despliegue nacional. 

A través del presente artículo vamos a tratar de analizar la aplicación desde la óptica del derecho fundamental a la protección de datos, reconocido en el artículo 18.4 de la Constitución Española, con la finalidad de conocer el grado de injerencia que el uso de la aplicación pudiera llegar a significar en nuestra privacidad.  

En primer lugar, y para ir entrando en materia: ¿EN QUÉ CONSISTE LA APLICACIÓN Y CUÁL ES SU FINALIDAD?

Radar COVID es una aplicación de alerta de contagios cuya finalidad es notificar a aquellas personas que se la hayan descargado, que han estado expuestos y en contacto con otros usuarios que hayan dado positivos en test COVID, mediante el envío del código de diagnóstico COVID a través de la propia app, facilitado y acreditado debidamente por las autoridades sanitarias.

                                                   

Además, debemos indicar que, tal y como se recoge en la propia Política de Privacidad del aplicativo, “Estas claves remitidas al servidor no permiten la identificación directa de los usuarios y son necesarias para garantizar el correcto funcionamiento del sistema de alerta de contagios.”

Ahora bien, ¿QUÉ DATOS VA A RECABAR LA APLICACIÓN DE SUS USUARIOS?

Una de las principales preocupaciones entre la población era el que la aplicación recabase de manera obligatoria datos de carácter personal.

A diferencia de otros aplicativos, como la aplicación oficial de autodiagnóstico AsistenciaCOVID-19 (puede consultar el artículo de nuestro Blog en el que explicamos su funcionamiento haciendo clic aquí) la cual sí recababa datos de carácter personal,  como el nombre, apellidos, número de teléfono, DNI, dirección, fecha de nacimiento y datos de salud relacionados con los síntomas experimentados, así como los datos de género y geolocalización (éstos últimos con carácter opcional), la aplicación Radar COVID no almacena ni realiza ningún tratamiento de datos de carácter personal de sus usuarios.

Los únicos datos que la app va a procesar de los usuarios que hayan dado positivos en los test COVID serían los siguientes:

Publicado en Blog
Lunes, 22 Junio 2020 16:57

Wifi-tracking y protección de datos.

Cada vez más, percibimos como algo corriente ser objeto de seguimiento o rastreo mientras navegamos por internet o usamos nuestros dispositivos conectados, con el fin de que diferentes entidades puedan recopilar información acerca de nosotros, y de este modo poder elaborar perfiles, analizar comportamientos, o monetizar la información recopilada, para la posterior realización de acciones de mercadotecnia.

El uso de estos sistemas está más que instaurado desde hace años, y es por ello por lo que, aunque todavía nos genere cierta inquietud la precisión de los anuncios de publicidad en nuestra navegación por internet, la realidad es que ya no sorprende a ningún usuario.

Dentro de los diferentes métodos de seguimiento, tal vez el ámbito más conocido resulte precisamente el de web tracking, como mecanismo de rastreo dirigido a la identificación de dispositivos, navegadores y herramientas que utilizamos comúnmente los usuarios de internet.

Sin embargo, hace ya algunos años que, sin necesidad de navegar en la red, podemos ser objeto de seguimiento o rastreo, con el simple hecho de visitar determinados comercios o tiendas físicas, gracias al wifi-tracking.

Aunque se trata de un método que ya fue empleado por alguna empresa estadounidense en el año 2013 (como la cadena de moda Nordstrom, tal y como se hacía eco ese año el propio New York Times), y en España lleva unos años instaurado, es ahora cuando se ha formulado una consulta ante la Agencia Española de Protección de Datos (AEPD), acerca de si este sistema de seguimiento de usuarios se encuentra sujeto al ámbito de aplicación de la normativa en materia de protección de datos. La autoridad de control española se ha pronunciado sobre ello en su Informe Jurídico 0017/2019, que ahora analizamos en esta publicación.

Con carácter previo a profundizar en los fundamentos de la AEPD, consideramos conveniente exponer de forma breve, en qué consiste el Wi-Fi tracking.

El Wi-Fi tracking se refiere a los sistemas capaces de detectar las señales que periódicamente emiten los dispositivos electrónicos equipados con tecnología Wi-Fi y utilizar esta información para conocer de forma estadística o agregada la presencia o los flujos de dispositivos en diferentes localizaciones.

Si en un espacio determinado, como puede ser un comercio, se instalan rastreadores Wi-Fi, estos permitirán recoger y registrar la señal única que cada teléfono envía en la búsqueda de una red Wi-Fi (Dirección MAC), y usar esa información para el seguimiento del cliente a través de una zona para construir un perfil en torno a sus hábitos de compra. Por ejemplo, podría registrarse el tiempo que el dispositivo de un cliente ha esperado en la línea de caja, a qué hora ha entrado y salido, o qué zonas de la tienda ha visitado.

Situado ya el funcionamiento de este método de seguimiento, comenzamos con las cuestiones que la AEPD aborda para dar respuesta a la consulta objeto del Informe:

¿Un sistema de Wi-Fi tracking, implica un tratamiento de datos personales?

Publicado en Blog

La copia de seguridad, en la actualidad conocida como Backup, es un procedimiento esencial para la protección de los activos de información de carácter confidencial e interna para toda entidad y, por consiguiente, es uno de los principales objetivos de los delincuentes informáticos. Toda entidad necesita proteger los datos que son objeto de tratamiento, específicamente las categorías especiales de datos, a saber: ideología, religión, origen racial o étnico, afiliación sindical, filosofía y opiniones políticas, orientación sexual, datos biométricos o genéticos y datos relativos a la salud. Así, aquellas entidades que realicen un tratamiento de datos de carácter personal deben reforzar la seguridad de sus sistemas de protección, almacenamiento y recuperación de los datos, principal activo en el tráfico mercantil en la actualidad en que se fundamenta el desarrollo del negocio.

La copia de seguridad se incluye dentro de la Política de seguridad de la entidad, y es mucho más que una simple duplicación de la información alojada en los sistemas de información corporativos. Así, el primer paso para ejecutar una protección reforzada en los sistemas de copia de seguridad de la entidad consiste en diseñar una estrategia de copia de seguridad en función del tipo y cantidad de activos información objeto del tratamiento.

A continuación, cabe señalar que la política de copia de seguridad deberá fundamentarse en el cumplimiento de la normativa de protección de datos personales conforme a la legislación vigente, a saber: el RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE]; y la normativa de adaptación al marco normativo comunitario en el ordenamiento jurídico nacional a través de la LOPDGDD (Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales). Asimismo, a partir de la cantidad de los archivos almacenados y la heterogénea categorización de los datos de carácter personal, así como el coste del servicio de almacenamiento, corresponderá a la entidad la determinación del tipo de copia de seguridad de mayor conveniencia. A este respecto, la anterior legislación vigente en materia de protección de datos personales, tomando como referencia el art. 32 RGPD, nos obliga a garantizar la seguridad de los datos personales objeto de tratamiento; en este caso, consistente en realizar periódicamente una copia de seguridad así como el establecimiento de un procedimiento específico de protección, verificación y pronta recuperación de los datos almacenados.

A este respecto, tomamos como referencia un artículo anterior de este blog sobre la importancia de realizar copias de seguridad a nivel corporativo. En esta línea, de conformidad con la Guía para la realización de copias de seguridad del Instituto Nacional de Ciberseguridad (INCIBE), se recomienda realizar una copia de seguridad incremental con carácter diario y copias de seguridad totales como mínimo una vez a la semana; a continuación, se realizará una copia de seguridad mensual con la inclusión de todas las actualizaciones pertinentes. El contenido de estas copias totales de seguridad deberá almacenarse, por lo general, por el periodo de un año, salvo disposición en contrario de lo establecido por la legislación de aplicación en función del sector profesional en que radique objeto social.

Es importante aclarar que la determinación del tipo de copia de seguridad deberá realizarse atendiendo a los criterios de accesibilidad, confidencialidad y coste de almacenamiento. Concretamente, se recomienda realizar periódicamente una copia de seguridad completa que garantice el alojamiento externo de los datos que presentan un mayor riesgo de pérdida de activos para la corporación ante un incidente de seguridad. A este respecto, la elección de un servicio de almacenamiento externo es crucial para garantizar la seguridad y la confidencialidad de los datos, que son el principal activo en el tráfico mercantil actual.

Dicho lo anterior, el hecho de contar con una copia de seguridad no garantiza una total protección frente a nuevas amenazas, y es necesario implementar medidas concretas para la protección de la propia copia de seguridad. Asimismo, la protección de copias de seguridad es un requisito imprescindible que se incluye dentro de las funciones de supervisión, videovigilancia y control relativos al cumplimento normativo en materia de protección de datos, necesarios para estar en capacidad de demostrar tal cumplimiento, en los supuestos de que se produzca una brecha de seguridad a nivel corporativo o bien un supuesto ilícito en nombre o por cuenta de la entidad.

Entre los principales procedimientos para la protección de las copias de seguridad a nivel corporativo cabe destacar las siguientes:

Publicado en Blog
Miércoles, 04 Diciembre 2019 14:01

ANONIMIZACION DE DATOS PERSONALES

Cada día nos encontramos con más noticias alertando de grandes pérdidas de información, que dejan al descubierto una gran volumen de datos de carácter personal. Los datos personales se han convertido en un recurso muy importante para la toma de decisiones de las empresas. Por tanto, es ahora cuando más y mejor se deben proteger, adquiriendo gran importancia la denominada anonimización.

1. ¿Qué es anonimizar?

Anonimizar es un proceso por el cual se desvincula un dato de interés de un dato personal, hasta el punto que la identificación personal, a partir del dato anonimizado, no resulte posible.

La Agencia Española de Protección de Datos, en su guía de Orientaciones y garantías en los procedimientos de anonimización de datos, nos da un poco más de luz,  indicando que la finalidad primordial del proceso de anonimización es eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados manteniendo la veracidad de los resultados del tratamiento de los mismos, y que además de evitar la identificación de las personas, deben garantizar que cualquier operación o tratamiento que pueda ser realizado con posterioridad no conlleve una distorsión de los datos reales.

En el proceso de anonimización se deberá producir la ruptura de la cadena de identificación de las personas. Esta cadena se compone de microdatos o datos de identificación directa y de datos de identificación indirecta. Los microdatos permiten la identificación directa de las personas y los datos de identificación indirecta son datos cruzados de la misma o de diferentes fuentes que pueden permitir la reidentificación de las personas, como la información de otras bases de datos del mismo u otro responsable, de las redes sociales, buscadores, blogs, etc.

2. Principios básicos para realizar un proceso de anonimización

Existen una serie de principios que debemos de tener en cuenta a la hora de realizar este proceso.

- Principio de privacidad por defecto: Los procesos de anonimización se deben de enfocar desde el concepto de protección de datos desde el diseño, lo que significa que los requisitos de privacidad serán tenidos en cuenta desde las etapas iniciales del diseño del sistema o proyecto anonimización y mantenerse durante todo el ciclo de vida.

- Proactividad: Este principio está muy ligado al anterior, la protección de la privacidad es el primer objetivo de la anonimización y su gestión debe realizarse de forma proactiva. Una vez que se inicia un proyecto se debe contar con la privacidad del mismo, no debemos de pensar en ello a posteriori ya que podría llegar a dificultar mucho la tarea y haría que se elevaran los riesgos.

- Principio de privacidad objetiva: En un proceso de anonimización siempre debemos de contar con que existirá un riesgo residual de reidentificación de los datos que debe de asumir el responsable del tratamiento.

- Principio de plena funcionalidad: Siempre deberemos de tener cuenta la utilidad final de los datos anonimizados. En la medida de lo posible, debemos de garantizar la inexistencia de distorsión con relación a los datos no anonimizados. De esta manera, garantizaremos la utilidad de los datos anonimizados.

- Principio de privacidad en el ciclo de vida de la información: Las medidas que garantizan la privacidad deben de aplicarse durante el ciclo completo de vida de la información partiendo de la información sin anonimizar. Eliminaremos todos los datos identificativos que no sean necesarios y que no fuera posible anonimizar.

- Principio de información y formación: Todas las personas implicadas en el proceso de anonimización deben de tener la adecuada información y formación sobre sus obligaciones.

3. Protocolo de actuación

Publicado en Blog

Continuando con el estudio de las situaciones específicas contempladas en el Reglamento General de Protección de Datos (en adelante RGPD), a lo largo de esta publicación, abordaremos el análisis del artículo 89 relativo a las “Garantías y excepción aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos”.

Este precepto del RGPD contempla por una parte las garantías específicas que deben aplicarse a estos tratamientos de datos, y por otro lado las excepciones a principios y derechos básicos recogidos en la nueva norma europea, así como en el Proyecto de Ley Orgánica de Protección de Datos (en adelante PLOPD).

¿Cuáles son entonces las garantías adecuadas a implementar en el tratamiento con fines de archivo en interés público, investigación científica o histórica, y/o estadísticos?

A tenor de lo establecido en el RGPD debemos tener en consideración las siguientes:

- Disponer e implementar las medidas técnicas y organizativas que garanticen el respeto al principio de minimización de los datos personales, como por ejemplo la seudonimización (artículo 89.1 del RGPD).

- El tratamiento ulterior de datos personales con los fines anteriormente mencionados solamente se efectuará cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (considerando 156 del RGPD).

- Posibilidad de establecer procedimientos específicos para que los interesados ejerzan sus derechos en materia de protección de datos, si resulta adecuado a la luz de los fines perseguidos por el tratamiento específico (considerando 156 del RGPD).

Por otra parte, en lo que respecta a las excepciones a principios y derechos básicos que aplican a estos tratamientos de datos, el RGPD recoge a lo largo de su articulado y considerandos las que a continuación se exponen:

Publicado en Blog
Martes, 31 Enero 2017 12:07

Medidas de seguridad en el RGPD

A pesar de que todavía nos pueda parecer que para mayo 2018 falta “mucho” tiempo, (fecha de aplicación RGPD), debemos empezar a pensar ya en “modo” Reglamento, ya que consideramos que es algo imprescindible si queremos que la adaptación al mismo, se haga de forma gradual y efectiva.

En el artículo de hoy os hablaremos del tipo de medidas de seguridad que a tenor del RGPD se deben implementar.

En el Título VIII del actual RDLOPD 1720/2007 se determinan con detalle y de forma exhaustiva las medidas de seguridad que deben aplicarse según el tipo de datos objeto de tratamiento.

Sin embargo, en el RGPD se establece que tanto responsables como encargados de tratamiento deberán de establecer las medidas técnicas y organizativas necesarias para garantizar un nivel adecuado de seguridad. Para ello dice el RGPD (art.32.2) que se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos. Todo ello se detectará en el análisis previo que se debe realizar.

Como se detalla en la Guía del RGPD para responsables de tratamiento publicada por la AEPD hace escasos días, todos los responsables de tratamiento deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas de seguridad deben aplicar y cómo deben hacerlo. Este análisis variará en función de:

Publicado en Blog

Siguiendo con el análisis del RGPD, hoy nos centramos en unas de las novedades introducidas por la norma europea y que consideramos realmente importante, hablamos del requisito de establecer una protección de datos desde el diseño y por defecto.

Este nuevo requisito regulado en el artículo 25 y en los considerandos 78 y 108 del RGPD, viene a significar la adopción, por parte de los responsables del tratamiento, de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del Reglamento.

Estas medidas deberán establecerse de forma previa al efectivo tratamiento y mantenerse durante el efectivo tratamiento de datos de carácter personal, para ello se deberá analizar en cada caso en concreto cuál es el estado de la técnica disponible en la entidad en cuestión, el coste de la aplicación de dichas medidas, así como el ámbito, contexto y fines del tratamiento, atendiendo al mismo tiempo a los posibles riesgos y gravedad que entraña el mismo.

El RGPD nos indica algunas de las medidas apropiadas que deberemos llevar a cabo, como son:

Publicado en Blog

En el artículo de hoy nos centraremos en:

1. El principio de minimización de datos -

Art. 5.1 c)” Los datos personales serán: (...) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.

También sobre este principio la norma europea establece limitaciones y aclaraciones para su correcta aplicación, como por ejemplo:

- En el considerando 156 se establece que “para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica, histórica o fines estadísticos, además de ser un tratamiento supeditado a unas garantías adecuadas para los derechos y libertades del interesado de conformidad con el presente Reglamento, dichas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos.” Es decir, el tratamiento ulterior de datos personales con los fines descritos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita. 

A este respecto en el artículo 89 del RGPD se especifica aún más indicando que: “tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados (...)”.

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal