El viernes dedicamos nuestra publicación al análisis de las técnicas de proctoring y el conflicto que se puede llegar a crear entre los métodos de control en los exámenes online y la protección de datos de carácter personal.

Justamente ese mismo día, la Agencia Española de Protección de Datos (AEPD) hizo público el Informe N/REF: 0036/2020 en el que analiza la utilización del reconocimiento facial para realizar exámenes online.

Siendo el criterio plasmado en nuestra publicación se encuentra en la línea de lo expuesto por la AEPD, debemos de tener presente que este es un tema que genera cierta duda y alerta, y es por ello por lo que consideramos oportuno recoger algunos de los principales criterios establecidos por la AEPD en el mencionado Informe, en aras de completar lo ya indicado en nuestra publicación acerca de las técnicas proctoring.

La AEPD, como ya ha hecho en otros informes relacionados con la COVID-19, vuelve a partir de la base fundamental de que el derecho fundamental a la protección de datos personales no ha visto suspendido como consecuencia de la pandemia y de la declaración del estado de alarma,  y por lo tanto, todo tratamiento de datos personales deberá respetar este derecho fundamental ajustándose para ello a la normativa vigente en materia de protección de datos, esto es, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Así, aunque el informe se centra en el análisis jurídico del uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online, antes desarrollar tal análisis, trata otro tipo de cuestiones respecto de las que la AEPD ya se pronunció en su Informe 36/2019 sobre tratamiento de datos en universidades, como por ejemplo la publicación de las calificaciones de los alumnos. 

Pero ¿cuál es la respuesta que da la AEPD a la consulta planteada?

Publicado en Blog
Martes, 05 Mayo 2020 14:05

BLOCKCHAIN y PROTECCIÓN DE DATOS

En el presente artículo se trae a colación el análisis de aspectos concretos de privacidad y protección de datos aplicados a una de las tecnologías disruptivas que está llamada a ser uno de los mayores cambios sistémicos de nuestros tiempos y cuya perspectiva de uso futuro arroja las cotas de expectativas más altas del panorama global. Ésta nos es otra que la tecnología BLOCKCHAIN o cadena de bloques.

He de indicar al lector que se requiere unas nociones básicas de en qué consiste la tecnología BLOCKCHAIN y sus principales características, ya que el análisis que se realiza en el presente artículo trata de los datos que son necesarios introducir en la BLOCKCHAIN y su consideración como dato de carácter personal.

No obstante, se facilita un breve resumen de lo que es BLOCKCHAIN y sus principales características:

El concepto presenta diversas definiciones posibles, pudiendo decirse que se trata de una tecnología de registro distribuido de información, replicada en tiempo -real- en miles de ordenadores conectados, cuyos datos entran en este registro a través de un complejo sistema de autenticación basado en criptografía asimétrica utilizando claves públicas y privadas para garantizar la correcta (evitando el doble gasto) y segura anotación de las transacciones. Este método de cifrado asegura la confidencialidad de la información ya que lo que se graba en esta cadena de bloque es un hash que resume una entrada de información.

La cadena de bloques está apoyada en tecnología peer to peer y por tanto compartida por múltiples nodos, en la que se registran bloques de información. Son sus características principales el Consenso, Trazabilidad e Inmutabilidad. Estas características garantizan que para que una transacción/anotación se valide deberá ser consensuada por todos los participantes, dichos participantes podrán conocer el origen y verificar el historial de toda anotación, no se podrá manipular la información registrada por parte de los participantes.

Establecidas esta premisa previa sobre concepto y característica de la tecnología BLOCKCHAIN paso a compartir el ejercicio práctico sobre el que gira este artículo, una labor necesaria y cuasi obligatorio para aquellas personas u organizaciones que estén decididas a implementar procesos de tratamiento de datos personales utilizando la referida cadena de bloques.

Los aspectos más conceptuales y de preparación van a ser muy importante para una implementación con garantías de la BLOCKCHAIN en los procesos de negocio de la organización. Para ello, será necesario tener en cuenta los principios de privacidad por diseño y por defecto, que nos obligarán a adoptar medidas de minimización de riesgos para la privacidad, adoptando medidas desde el diseño del producto/servicio y su aplicación en el estado conceptual del mismo.

Lo primero que se debe determinar en el proceso de implementación de una BLOCKCHAIN es si se tratan datos personales o no dentro de la cadena de bloques que se esté implementando. No siempre son datos personales los introducidos en la cadena de bloques.

Así, según el Reglamento (UE) 679/2916 General de Protección de Datos (RGPD), artículo 4.1 define como dato personal:

Publicado en Blog

La introducción de nuevos sistemas de procesamiento de los activos de información a nivel corporativo plantea siempre un nuevo desafío para los responsables de seguridad de sistemas de la entidad y, en especial, para los responsables de los sistemas de vigilancia, supervisión y control del cumplimiento normativo en materia de protección de datos personales. Por ello, con carácter previo a la introducción de toda tecnología de procesamiento de información a nivel empresarial debe contar una evaluación específica para la determinación de los posibles riesgos y el impacto de la nueva tecnología digital en la seguridad de los datos personales a cargo de la entidad. Así, la Inteligencia Artificial se reconoce como una parte esencial del tratamiento de datos personales y, por consiguiente, toda empresa que desee incorporar soluciones de IA para el tratamiento automatizado de los activos de información deberá cumplir con las disposiciones normativas que incluye el RGPD a efectos de garantizar el cumplimiento normativo en materia de protección de datos personales, ya sea en calidad de responsable o encargado del tratamiento de datos personales en que se incluye una solución de Inteligencia Artificial.

De acuerdo a la Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial que comenzábamos a analizar en nuestro anterior artículo, cabe recordar que la responsabilidad por el tratamiento de datos personales que incorpora Inteligencia Artificial, tiene lugar a lo largo de cada una de las etapas que conforman el ciclo de vida de un componente de IA, a saber: desarrollo, validación, despliegue, inferencia, decisión y evolución. En ningún caso cabe trasladar la responsabilidad en materia de protección de datos personal al sistema automatizado o a la solución de Inteligencia Artificial de aplicación.

A este respecto, en conformidad del art. 24 RGPD, se considerará responsable del tratamiento toda aquella empresa que establezca la finalidad de la recopilación y el tratamiento de datos personales, comercialice un recurso o producto componente de IA que incluya datos personales, la empresa que efectúa tal tratamiento, así como aquella empresa que tome decisiones automatizadas sobre los interesados conforme a la finalidad establecida y toda aquella decisión sobre la evolución de la solución de IA a partir de los datos personales recolectados. Por su parte, de acuerdo al art. 28 RGPD, se considerará encargado toda aquella empresa contratada para efectuar el tratamiento de datos personales o bien ponga a disposición del responsable un modelo de servicio para su explotación en que se incluyan datos personales de los interesados, usuarios finales o clientes.

Publicado en Blog

Hoy, acceder a Internet se ha convertido en una parte esencial de nuestra vida diaria. Desde una edad temprana, los niños viven en un entorno digital y crecen utilizando una amplia gama de dispositivos interconectados para diversas actividades (aprendizaje, entretenimiento, comunicación con familiares y amigos, pasatiempos, etc.). A pesar de los beneficios que nos está aportando a día de hoy la conectividad a internet, desde que comenzamos el confinamiento ha aumentado considerablemente el tiempo que los menores pasan conectados y en muchos casos sin la supervisión de un adulto.

Debemos ser conscientes de que existen una serie de riesgos que no podemos olvidar, especialmente en los colectivos más vulnerables como es el caso de los menores, y no es casual que en estos tiempos que corren, hayan aumentado considerablemente los delitos que se cometen vía Internet y redes sociales, precisamente por esa mayor dedicación a las nuevas tecnologías durante este confinamiento. 

Uno de los riesgos más importantes es la exposición de los menores a contenido inapropiado como imágenes de índole sexual, violentas, sobre juego y apuestas, etc. Esta exposición puede producir importantes efectos negativos sobre los menores, que van desde daños emocionales o psicológicos hasta el establecimiento de conductas peligrosas y socialmente inapropiadas o daños para su salud física.

Por lo tanto, si bien el acceso a Internet debe ser tomado como una gran oportunidad para el desarrollo de los menores, no sólo los padres o tutores deben tomar medidas para protegerlos de las amenazas del entorno digital al igual que se hace en el mundo físico, la industria también ha de proporcionar en este sentido herramientas para ayudar a salvaguardar su intimidad y bienestar.

La Agencia Española de Protección de Datos (AEPD) ha elaborado recientemente una nota técnica sobre protección del menor en Internet, que tiene como objetivo poner de manifiesto el daño que puede producirse a un menor cuando accede a contenido no adecuado para su edad.

Si bien es cierto que esta nota técnica está dirigida principalmente a padres y tutores de menores que desean fomentar un uso seguro de la tecnología, en este post nos vamos a centrar especialmente en las recomendaciones dirigidas a entidades y desarrolladores de herramientas de protección del menor. Dichas entidades deben aplicar las medidas técnicas y organizativas necesarias para proteger los derechos y libertades de los menores, así como las implicaciones de privacidad de las mismas y consejos en cuanto a su uso responsable.

Entre las distintas opciones que pone el mercado a disposición de padres y tutores, para controlar y limitar la exposición de los menores a contenido inapropiado, nos encontramos las aplicaciones de control parental, que ofrecen los propios desarrolladores de sistemas operativos, operadores de telefonía y otras empresas. Adicionalmente al final de este post incluimos una tabla de análisis comparativo de las principales herramientas de control parental que existen actualmente en la industria.

¿Qué entendemos por controles parentales?

Los controles parentales son herramientas que permiten a los padres o tutores poner límites a la actividad en línea de un menor y por lo tanto mitigar los riesgos de que el menor puede estar expuesto.

¿Por qué son importantes?

Son importantes porque pueden ser utilizados para apoyar a los padres en la protección y promoción de los mejores intereses de sus hijos, un papel reconocido en la propia Convención de los derechos del niño firmado en 1989 (en adelante CDN). Sin embargo, debemos valorar también el impacto sobre el derecho del menor a su propia privacidad tal y como se reconoce en el artículo 16 de la CDN. El hecho de que los menores estén sujetos a un bloqueo excesivo puede resultar contraproducente -por lo que es importante mantener abierta la posibilidad de desbloquear contenido a petición del menor- y estar abierto a acordar con ellos los filtros y restricciones, entre otras medidas.

Estas herramientas de control parental resultan muy útiles para vigilar y controlar la actividad de nuestros menores en Internet, pero deben ser utilizadas como medidas de seguridad complementarias y no como herramientas de reemplazo a las labores de formación y concienciación que debemos mantener con nuestros hijos en materia de ciberseguridad consideradas fundamentales para educarles, guiarles y apoyarles en el uso seguro de Internet.

¿Qué funcionalidades ofrecen las herramientas de control parental?

Publicado en Blog

A raíz de la situación actual de nuestro país surgen distintas controversias en lo que respecta a la protección de datos. Tras la aprobación de la Orden ministerial SND/297/2020, de 27 de marzo (en adelante Orden ministerial u Orden), se han hecho virales noticias en las que se ha hablado de dos polémicas principalmente: en primer lugar, qué dicha Orden derogaba la normativa en materia de protección de datos durante el estado de alarma y, en segundo lugar, que la APP ASISTENCIACOVID-19 tendría geolocalizados y controlados en todo momento a los ciudadanos españoles. Es por este motivo por lo que hemos considerado necesario dedicar un artículo en nuestro Blog para realizar determinadas aclaraciones al respecto.

¿Qué finalidad tiene la Orden ministerial?

Nos encontramos ante una norma de rango reglamentario que puede emanar de cualquiera de los ministros del Gobierno de España, en este caso en concreto del Ministerio de Sanidad. Tal y como podemos encontrar en la exposición de motivos de la mencionada Orden, su principal finalidad es «proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública».

Para conseguir dicha finalidad lo que se va a intentar es contar con información real sobre la movilidad de las personas en los días de confinamiento que estamos atravesando en la actualidad:

  • El Instituto Nacional de Estadística (INE) está realizando un estudio impulsado por la Orden ministerial con DATAcovid. En relación con este estudio, el escollo a nivel protección de datos, podría surgir en definir cómo y  cuándo se van a tratar estos datos para conseguir información de los ciudadanos, pero en este caso concreto, en la orden se aclara que solamente: emplea datos de posicionamiento de los dispositivos móviles, anónimos y agregados, proporcionados directamente por los operadores y eliminando cualquier información personal, sin identificar ni realizar seguimientos de números de teléfono o titulares de forma individual”.A este respecto, merece la pena recordar que en octubre de 2019 el INE utilizó la misma técnica para realizar un estudio sobre cuántos ciudadanos se mueven de un municipio dormitorio a una ciudad; qué número de personas trabaja en el mismo barrio donde vive o en uno distinto; de dónde viene la gente que trabaja en una zona, o cómo fluctúa la población en un recuadro a lo largo del día. En esta ocasión también fue criticada la utilización del posicionamiento en los teléfonos móviles, pero a posteriori se pudo comprobar que se cumplía con todas las garantías normativas en materia de protección de datos por parte del INE.
  • Asimismo, el gobierno ha impulsado una App denominada AsistenciaCOVID-19, disponible por el momento en las siguientes Comunidades Autónomas: Canarias, Cantabria, Castilla-La Mancha, Extremadura y Principado de Asturias.Como hemos comentado en la introducción del presente artículo, esta aplicación ha sido muy criticada en los medios de por el uso de la geolocalización de los ciudadanos, diciéndose que el acceso al GPS de los teléfonos móviles sería “conditio sine qua non” para utilizar la App. Valoraremos más adelante este hecho.

¿Cómo puede afectar esto al derecho fundamental a la protección de datos?

Pues bien, a pesar de que como indicábamos anteriormente, ha habido noticias en las que se indicaba que esto podría afectar a la normativa en materia de protección de datos y por tanto a nuestro derecho fundamental reconocido en el artículo 18.4 de Constitución Española (CE), en la Orden no se establece ninguna excepción al derecho fundamental ni a la normativa. Tanto es así, que en la propia Orden se indica expresamente que será de aplicación:

El Reglamento General de Protección de Datos (RGPD).

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

El hecho de que se haya podido llegar a pensar que se derogaba la normativa en materia de protección de datos, puedehaber sido consecuencia de un error interpretativo/lectura, tanto por la propia denominacion del Reglamento (UE) 2016/679 que deroga la Directiva 95/46/CE, como el no haber un “punto y aparte” ha creado confusión en lecturas rápidas.

Además, el Ministerio de Sanidad ha comunicado que, para hacer cumplir dicha Orden, velará por llevar a cabo los criterios interpretativos dados por la Agencia Española de Protección de Datos. En este sentido, contamos con muchos comunicados en la página web de la AEPD tratando estas cuestiones, pero el más vinculado al tema actual es el Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus.

Deberemos distinguir el análisis del impacto en materia de protección de datos,como derecho fundamental ,en cada uno de los puntos indicados:

Publicado en Blog

En un intento por constituir máquinas inteligentes capaces de emular las formas de razonamiento y el comportamiento de los seres humanos, allá por 1956, John McCarthy acuñaría, por primera vez en la historia, el término de Artificial Intelligence o Inteligencia Artificial. En líneas generales, la Inteligencia Artificial (IA) se refiere a un sistema combinado de algoritmos dirigido a la toma de decisiones automáticas y la conformación de secuencias programadas para la resolución de problemas prácticos con un nivel de eficacia superior a toda capacidad humana gracias a la capacidad de procesamiento de los sistemas automatizados en que se fundamenta esta nueva tecnología digital. En suma, consiste en el diseño y ejecución de un sistema de razonamiento lógico que, a partir del potencial de la programación computacional, se planifican respuestas predeterminadas para la resolución de problema de orden práctico en la vida diaria. En esta línea, el Informe de la Comisión Europea Inteligencia Artificial para Europea, ya destacó unos días antes de que fuera de plena aplicación el nuevo Reglamento General de Protección de Datos que la implementación de la IA destaca, entre otros factores, por la diversidad de formas en que puede implementarse esta nueva tecnología, pues puede basarse en el desarrollo de un sistema operativo o software de un determinado producto comercial, hasta consistir en el diseño y ejecución de complejos sistemas hardware a través de dispositivos inteligentes como robots o aplicaciones de dispositivos domésticos que nos acompañan diariamente.

Así, la Inteligencia Artificial en su aplicación al sector empresarial se consolida como una herramienta imprescindible que permite la monitorización de sistemas operativos para la resolución de todo tipo de problemas cotidianos que no por ello resultan de menor complejidad. Concretamente, la implementación de la Inteligencia artificial en la empresa permite, entre otras funciones, el diseño y ejecución de modelos de predicción de la rentabilidad de un sistema o producto; la prevención del fraude y porcentaje de impagos a partir del comportamiento y características de los operadores y clientes, la personalización de líneas de negocio y productos a partir de las características del cliente.

Publicado en Blog

Cada vez son más las empresas en nuestro país que están empezando a implantar el sistema de teletrabajo, consistente en dotar al empleado de la posibilidad de trabajar en su domicilio o en el lugar elegido libremente por éste, sin la necesidad de acudir de manera presencial al centro de trabajo en la empresa.

Los beneficios que este modo de trabajo puede llegar a proporcionar tanto al empleador como a la propia empresa son numerosos, dotando, por una parte, al trabajador de una mayor flexibilidad de horario, así como permitirle una mejor conciliación de la vida profesional y familiar, y, por otra parte, la empresa podrá ver reducidos sus costes en infraestructuras e instalaciones, así como un mayor acceso a la colaboración con profesionales altamente cualificados que no pudieran aceptar el trabajar diariamente en una oficina.

Si bien es cierto que el sistema de teletrabajo todavía no se encuentra instaurado de manera generalizada en nuestro país, desde el último trimestre del pasado año 2019, las cifras se han visto incrementadas respecto a las de años anteriores, llegando a alcanzar el número de personas ocupadas que realizan teletrabajo un total de 1’5 millones, lo que equivale a un 7’9% de la población total ocupada, según nos indica el informe de “The Adecco Group Institute”

El marco normativo regulador del teletrabajo en nuestro país lo encontramos en el artículo 13 del Estatuto de los Trabajadores, que recoge las siguientes cuestiones:

  • Define el concepto de teletrabajo, indicando que el acuerdo por el que se establezca el mismo deberá formalizarse por escrito.
  • Iguala los derechos de los trabajadores a distancia con los trabajadores que realicen su trabajado en el centro de trabajo de la empresa, salvo excepciones.
  • Determina la obligación del empleador a establecer los medios necesarios para que los trabajadores tengan asegurado el acceso a la formación profesional para el desarrollo efectivo del empleo, con el fin de favorecer su promoción profesional.
  • Indica los derechos de los trabajadores a distancia a una adecuada protección en materia de seguridad, en base a lo establecido en la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, y su normativa de desarrollo.

También nos parece importante señalar lo establecido en la Ley 3/2012, de 6 de julio, de medidas urgentes para la reforma del mercado laboral en relación con el teletrabajo, que, si bien no procede a establecer ningún tipo de regulación, sí considera importante darle cabida, con el fin de promover nuevas formas de desarrollar la actividad laboral. Además, entiende que el teletrabajo esuna particular forma de organización del trabajo que encaja perfectamente en el modelo productivo y económico que se persigue, al favorecer la flexibilidad de las empresas en la organización del trabajo, incrementar las oportunidades de empleo y optimizar la relación entre tiempo de trabajo y vida personal y familiar.”

A raíz del estado de alarma ocasionado por la crisis sanitaria en la que nos encontramos actualmente, el Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 también entra a regular en su artículo 5 el trabajo a distancia o teletrabajo, indicando, en primer lugar, su carácter preferente. El mencionado artículo señala una serie de cuestiones que consideramos relevantes destacar:

Publicado en Blog

La sociedad en la que vivimos posee un marcado carácter tecnológico, y por consiguiente los avances en las nuevas tecnologías son habituales protagonistas en los paneles de actualidad.

Es en este contexto de transformación digital en el que aparecen los dispositivos IoT, siglas con las que se hace referencia al “Internet of Things”, un concepto que se refiere a la interconexión digital de objetos comunes a través de internet y cuya irrupción en la sociedad supone, por su naturaleza, un cambio de enfoque a la hora entender nuestro entorno. Durante este 2020, se esperan alrededor de 20.400 millones de dispositivos conectados, y se prevé que, en los próximos años, en la mayoría de los países, más de la mitad de la población activa tendrá una ocupación que de una forma u otra dependerá de la informática.

Todo ello constituye un arma de doble filo, pues si bien trae consigo mejoras en la eficiencia, así como un incremento en la participación de las personas, a su vez supone un reto: el de afrontar las nuevas amenazas, especialmente aquellas con incidencia sobre la privacidad de las personas.

Los dispositivos IoT funcionan como canal de entrada y salida de datos empleados para definir comportamientos y usuarios tipo, lo cual pone de manifiesto que la parte del IoT relativa a las tecnologías de identificación es la que parece elevar al máximo exponente los riesgos para la privacidad de los usuarios, pues permite que a través de la conexión entre dispositivos se cree una única identidad de usuario, un único perfil personalizado elaborado en base al comportamiento del usuario y las deducciones que de ese comportamiento los dispositivos inteligentes vinculados entre sí puedan extraer.

Son herramientas inteligentes que hacen posible que las empresas que tienen acceso a los datos recabados por los IoT vinculados a un perfil de usuario, puedan utilizarlos para fines distintos para los que inicialmente fueron recabados, encontrándose el interesado en una situación de vulnerabilidad y desconocimiento absoluta en relación al alcance del tratamiento. Es por esto que, de acuerdo con el RGPD, como normativa vigente y aplicable en la materia, la seguridad de la información y la privacidad de los usuarios debería ser una de las principales preocupaciones de cualquier proyecto IoT.

Por desgracia, el aumento en la seguridad en el marco de desarrollo de cualquier proyecto es directamente proporcional al incremento en costes y complejidad, por lo que si bien es cierto que, con la norma en la mano, el funcionamiento adecuado y regulado de los dispositivos IoT pasaría por un sistema con la capacidad de gestión suficiente para llevar a cabo un buen uso de la información, siendo capaz de recoger solamente aquella que resulte necesaria para la finalidad establecida, almacenarla de forma segura y hacer un análisis de la misma, no siempre es así.

El enfoque de la normativa se encuentra claramente direccionado hacia la idea de “la soberanía del usuario sobre sus datos”, esto es, la máxima de control del interesado (que en este caso es el usuario del dispositivo) sobre sus datos de carácter personal; sin embargo, y teniendo en cuenta todo lo anterior, ¿sabemos todo lo necesario sobre el uso que se hace de nuestros datos cuando utilizamos este tipo de dispositivos?

Publicado en Blog

La copia de seguridad, en la actualidad conocida como Backup, es un procedimiento esencial para la protección de los activos de información de carácter confidencial e interna para toda entidad y, por consiguiente, es uno de los principales objetivos de los delincuentes informáticos. Toda entidad necesita proteger los datos que son objeto de tratamiento, específicamente las categorías especiales de datos, a saber: ideología, religión, origen racial o étnico, afiliación sindical, filosofía y opiniones políticas, orientación sexual, datos biométricos o genéticos y datos relativos a la salud. Así, aquellas entidades que realicen un tratamiento de datos de carácter personal deben reforzar la seguridad de sus sistemas de protección, almacenamiento y recuperación de los datos, principal activo en el tráfico mercantil en la actualidad en que se fundamenta el desarrollo del negocio.

La copia de seguridad se incluye dentro de la Política de seguridad de la entidad, y es mucho más que una simple duplicación de la información alojada en los sistemas de información corporativos. Así, el primer paso para ejecutar una protección reforzada en los sistemas de copia de seguridad de la entidad consiste en diseñar una estrategia de copia de seguridad en función del tipo y cantidad de activos información objeto del tratamiento.

A continuación, cabe señalar que la política de copia de seguridad deberá fundamentarse en el cumplimiento de la normativa de protección de datos personales conforme a la legislación vigente, a saber: el RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE]; y la normativa de adaptación al marco normativo comunitario en el ordenamiento jurídico nacional a través de la LOPDGDD (Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales). Asimismo, a partir de la cantidad de los archivos almacenados y la heterogénea categorización de los datos de carácter personal, así como el coste del servicio de almacenamiento, corresponderá a la entidad la determinación del tipo de copia de seguridad de mayor conveniencia. A este respecto, la anterior legislación vigente en materia de protección de datos personales, tomando como referencia el art. 32 RGPD, nos obliga a garantizar la seguridad de los datos personales objeto de tratamiento; en este caso, consistente en realizar periódicamente una copia de seguridad así como el establecimiento de un procedimiento específico de protección, verificación y pronta recuperación de los datos almacenados.

A este respecto, tomamos como referencia un artículo anterior de este blog sobre la importancia de realizar copias de seguridad a nivel corporativo. En esta línea, de conformidad con la Guía para la realización de copias de seguridad del Instituto Nacional de Ciberseguridad (INCIBE), se recomienda realizar una copia de seguridad incremental con carácter diario y copias de seguridad totales como mínimo una vez a la semana; a continuación, se realizará una copia de seguridad mensual con la inclusión de todas las actualizaciones pertinentes. El contenido de estas copias totales de seguridad deberá almacenarse, por lo general, por el periodo de un año, salvo disposición en contrario de lo establecido por la legislación de aplicación en función del sector profesional en que radique objeto social.

Es importante aclarar que la determinación del tipo de copia de seguridad deberá realizarse atendiendo a los criterios de accesibilidad, confidencialidad y coste de almacenamiento. Concretamente, se recomienda realizar periódicamente una copia de seguridad completa que garantice el alojamiento externo de los datos que presentan un mayor riesgo de pérdida de activos para la corporación ante un incidente de seguridad. A este respecto, la elección de un servicio de almacenamiento externo es crucial para garantizar la seguridad y la confidencialidad de los datos, que son el principal activo en el tráfico mercantil actual.

Dicho lo anterior, el hecho de contar con una copia de seguridad no garantiza una total protección frente a nuevas amenazas, y es necesario implementar medidas concretas para la protección de la propia copia de seguridad. Asimismo, la protección de copias de seguridad es un requisito imprescindible que se incluye dentro de las funciones de supervisión, videovigilancia y control relativos al cumplimento normativo en materia de protección de datos, necesarios para estar en capacidad de demostrar tal cumplimiento, en los supuestos de que se produzca una brecha de seguridad a nivel corporativo o bien un supuesto ilícito en nombre o por cuenta de la entidad.

Entre los principales procedimientos para la protección de las copias de seguridad a nivel corporativo cabe destacar las siguientes:

Publicado en Blog

Todos, como titulares de nuestros datos de carácter personal gozamos de determinados derechos que nos otorga la normativa en materia de protección de datos personales, esto es, el Reglamento Europeo de Protección de Datos (RGPD), y la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y garantía de los Derechos Digitales. Hasta la llegada del RGPD teníamos claros los célebres y por todos conocidos derechos ARCO (acceso, rectificación, cancelación y oposición), sus implicaciones y alcance en la práctica, cómo ejercitarlos y en qué sentido dar respuesta a los interesados. De hecho, lo más probable es que también como ciudadanos, en alguna ocasión, hayamos solicitado a algún responsable del tratamiento (como por ejemplo alguna compañía telefónica, empresas que nos envían publicidad entre otras muchas), que “dejase de utilizar y borrase todos nuestros datos”, amenazando incluso con interponer una denuncia ante la AEPD en caso de no atender a tal solicitud.

No obstante, desde la llegada del nuevo marco normativo europeo en esta materia, nos encontramos con nuevos derechos, que, aunque el RGPD explica y regula en sus artículos 15 a 23, como bien hemos analizado en este Blog (ver aquí, aquí, aquí, o aquí), todavía generan ciertas dudas, principalmente en lo que respecta a la interpretación de la norma y su aplicación práctica.

Entre los nuevos derechos introducidos por el RGPD se encuentran la limitación, oposición a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles, y la portabilidad.

Precisamente hemos podido comprobar a nivel práctico cómo se materializa uno de estos derechos, ya que hace unas semanas, la AEPD emitía una resolución acerca del derecho a la portabilidad, que ella misma considera como un precedente que amplía el derecho de portabilidad.

¿Sobre qué versa esta resolución exactamente?

Todo se inició con la presentación por parte de la reclamante, de un ejercicio del derecho de portabilidad de los datos, ante la conocida compañía Telefónica de España, S.A.U. (en adelante Telefónica). Ante tal solicitud, Telefónica proporcionó a la reclamante los datos que esta había facilitado de “forma activa” a la compañía: Nombre y apellidos, DNI, teléfono, dirección, correo electrónico y datos bancarios.

Sin embargo, de la revisión de la política de privacidad de la página web de Telefónica, la reclamante tuvo constancia de que se trataban e incluían otras categorías de datos personales que, en la respuesta a su ejercicio de derecho de portabilidad, no se incorporaban:

  • Datos de Productos o Servicios Movistar.
  • Datos de consumos en Movistar+.
  • Datos de tráfico.
  • Datos de visitas web.
  • Datos de localización.

Así, tras no haber considerado satisfecha su solicitud al no recibir la totalidad de la información personal que Telefónica almacena, la reclamante interpone ante la AEPD una reclamación.

En primera instancia, la AEPD no admite a trámite la reclamación mencionada, sino que es ante el recurso potestativo de reposición que la reclamante interpone, cuando la AEPD emite la resolución R/00552/2019, objeto de análisis en este artículo.

¿En qué sentido resuelve la AEPD?

Publicado en Blog
Página 2 de 17

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal