A lo largo de esta última década, es cada vez más común, la proliferación de aplicaciones y plataformas de mensajería rápida, que ha terminado derivándose en la utilización de las mismas para realizar videollamadas debido sobre todo a su comodidad y rapidez, más aún acentuada debido a la situación que vivimos en estos momentos, tanto a nivel profesional como su uso particular. Todas las compañías punteras dentro de las redes sociales tales como Facebook, Instagram, o nuevas startups creadas como partytime, jitsimeet entre otras. Las cuales compiten por ser cada vez más atractivas y por lo tanto más populares con estos fines. Para no perder esa carrera y competitividad, deben ser cada vez más fáciles en su uso, más prácticas, más atractivas y sobre todo y lo más importante más seguras. Y por ello, entre sus funciones principales se debe encontrar la garantizar al usuario que la aplicación o plataforma es inexpugnable.

Objetivos como eliminar las brechas de seguridad, evitar la pérdida de datos, la cesión de datos sin consentimiento entre otros, evitar el acceso a datos de carácter personal no autorizados por el usuario, es el santo grial de las empresas, actualmente no hay ninguna mensajería rápida en este caso que estamos hablando las dedicadas a videollamadas que garantice el 100% de seguridad, con lo cual estamos a expensas de que se realice un seguimiento a las mismas y una rápida respuesta en caso de fallos de seguridad algo de lo que por ejemplo Facebook no puede presumir, pero como todo, a medida que van surgiendo los problemas se van encontrando soluciones, que puede que sea la segunda premisa que valoramos los usuarios en estas empresas, ya que muchas veces no es posible ser proactivo porque en muchos casos es imposible atender a todas las fisuras que pueden darse, pues ser reactivo y dar soluciones rápidas. Para lo cual las aplicaciones para empezar en sus políticas ya van avisando de los datos a los que acceden y a los que no, pues es obligatorio darlo a conocer.

En cuanto a las plataformas más utilizadas, en el ámbito empresarial, aparte de Teams de Windows, se están utilizando otras recientes como Zoom, relativamente nueva y Skype que es la pionera de las plataformas en realización de videollamadas, Slack también considerada una plataforma segura para uso empresarial, muchas de ellas, incluyen opciones para configurar la seguridad, prevenir accesos fraudulentos, bloquear reuniones una vez sus participantes ya estén en ella y así evitar el acceso de intrusos, la configuración de seguridad predeterminada, herramientas para identificar dispositivos de los participantes entre otros.

Publicado en Blog

La pandemia COVID-19 ha supuesto un antes y un después en nuestra realidad social y económica. Tras unos meses en los que nuestra forma de vida se frenó en seco, la sociedad va retomando, poco a poco y conforme a las pautas marcadas por las autoridades competentes al respecto, la “normalidad”. Una nueva normalidad en la que entra en juego un elemento, hasta ahora impensable para muchos, la contención de una pandemia; concretamente, la COVID-19.

En el contexto de mantener la continuidad de la actividad productiva con las garantías sanitarias suficientes y respetando los protocolos de salud pública establecidos por las autoridades sanitarias competentes, las entidades, atendiendo a su situación práctica, deben instaurar medidas que eviten la propagación del virus y garanticen, a su vez, la seguridad de sus empleados, clientes y proveedores.

Así, una de las medidas que más notoriedad ha tenido, entre todas las previstas, es el uso de dispositivos de medición de la temperatura corporal, tales como cámaras térmicas, dispositivos estáticos…etc., que permiten medir, controlar y, en su caso, registrar la temperatura corporal de las personas tanto en los accesos a establecimientos abiertos al público como, sobre todo, a centros de trabajo.

Si esta medida ha alcanzado una cierta popularidad, es por la significativa alarma que ha causado, tanto a nivel social, por el posible impacto que puede suponer en la privacidad de los ciudadanos, cómo de cara a los profesionales de la privacidad entre quienes se han generado diferentes corrientes de pensamiento sobre la aplicabilidad, en este contexto, de la normativa en materia de protección de datos.

Debemos de partir de la base de que, a día de hoy, y a fecha de publicación de este artículo, no existe un criterio unánime a este respecto ni por parte de las autoridades sanitarias, ni desde la propia Agencia Española de Protección de Datos, (en adelante AEPD) acerca de este extremo.

Si bien es cierto que, el pasado 30 de abril, la AEPD emitía comunicado acerca de la aplicación de estas medidas de contención, en la práctica, este puede llegar a resultar un tanto confuso por no discernir los diferentes escenarios en los que dichas medidas pueden resultar de aplicación. Y lo cierto es que, no se puede aplicar la misma teoría para todos ellos.

En derecho no hay criterios absolutos y es por ello por lo que, en la situación que analizamos en este artículo, hemos de discernir un conjunto de escenarios en los que esta medida de contención resultaría de aplicación, siendo, algunos de ellos, más óptimos desde el punto de vista de protección de datos, que otros.

TOMA DE TEMPERATURA EN COMERCIOS, CENTROS DE RESTAURACION Y DEMÁS ZONAS DE ACCESO PÚBLICO CON AFORO LIMITADO.

1. La primera situación es que la medición de temperatura corporal se realice a través de sistemas que no identifiquen a personas físicas. ¿Cuáles existen y cómo funcionan? A pesar de la amplia variedad que, en una sociedad tecnológica como la actual, podemos encontrarnos, nos centramos en los siguientes dos sistemas:

a. Las cámaras termográficas, que ofrecen una imagen en la que se puede controlar en tiempo real las radiaciones de calor que emanan de un cuerpo. Así, y sin captar la imagen física de la persona, estos sistemas se ocupan de 'pintar' una imagen con esa radiación, invisible al ojo humano.
b. Los termómetros infrarrojos que detectan, a distancia, la temperatura corporal del cliente que accede a nuestras instalaciones.

La peculiaridad de este primer escenario es que, independientemente del sistema escogido, no se procedería a registrar la información de aquellos interesados que accedan a los diferentes espacios, si no, sencillamente, se tomaría su temperatura. Si bien es cierto que la fiebre es un dato de carácter personal, lo es en tanto en cuanto vaya vinculada a una persona física identificada o identificable y se deje un registro de dicha información.

Consecuentemente, si no hay una identificación del afectado ni tampoco se registra la información obtenida sobre el mismo, no existiría un tratamiento de datos de carácter personal en sentido estricto, ni sería, consecuentemente, de aplicación la normativa de protección de datos actualmente vigente, esto es, el Reglamento General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante LOPDGDD).

Son muchas las voces contrarias a esta teoría, que destacan que la denegación de la entrada a un interesado a un espacio por no superar el control de temperatura puede conllevar que terceros conozcan de este extremo, derivando en un impacto para la persona afectada como consecuencia del ámbito público en el que este se realiza.

No obstante, no podemos olvidar que este impacto afectaría a la esfera social de la persona, pero, en ningún caso, a las obligaciones que, en materia de protección de datos, pudiese llegar a tener la entidad pues, como hemos indicado al principio de este escenario, no identificar al afectado, ni registrar la información relativa a su persona no conlleva un tratamiento de datos de carácter personal.

No obstante, lo anteriormente indicado no es óbice para que como entidad cumplamos con una serie de buenas prácticas desde un punto de vista de transparencia, tales como la colocación de un cartel que avise a los interesados de que estamos llevando a cabo un control de temperatura para la contención de la COVID-19, pero sin que se lleve a cabo un registro de aquella información que obtengan ni se vincule a su persona.

2. Cuestión, claramente diferente, sería que esos sistemas de medición sí que identificasen al interesado y registrasen la información que, de su persona, se va a recabar. En este escenario, volvemos a hacer referencia a dos sistemas de medición concretos:

a. Las cámaras térmicas que, no sólo recojan un mapa de calor del usuario si no que, además, vayan acompañadas de un reconocimiento facial como pueden realizar las cámaras de videovigilancia al uso.
b. Los termómetros infrarrojos que detectan, a distancia, la temperatura corporal del cliente que accede a nuestras instalaciones; acompañados, a su vez, de un registro, de datos, como pueden ser nombres y apellidos, o cualquier otro que permita la identificación de quién accede a las instalaciones.

En este segundo escenario, sí nos encontraríamos ante un tratamiento de datos de carácter personal atendiendo a la definición que de tal concepto se da en el artículo 4.2 del RGPD, un tratamiento de datos de carácter personal se refiere a cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación…(…).

Nos parece oportuno recordar, en este punto, que si hablamos de tratamiento de datos, se ha de entender la fiebre como un dato de salud, especialmente protegido, por lo que, para que dicho tratamiento resulte válido, este ha de poder ampararse en alguna de las bases legitimadoras del artículo 6 del RGPD en relación con su artículo 9. Así, atendiendo a los criterios emanados por la AEPD, el tratamiento resulta necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (6.1.c y 9.2 letra b), concretamente:

Publicado en Blog

No pretendo dar respuestas absolutas a un tema complejo y que en parte requiere de un conocimiento y ciertas valoraciones a nivel técnico, pero si compartir mi opinión y mis dudas con relación al nuevo apunte estrella indicado por la AEPD en el último informe emitido relativo a la utilización de técnicas de reconocimiento facial en la realización de pruebas de evaluación online (Informe N/REF: 0036/2020).

Parece que la AEPD, aunque sin concretar nada, nos deja abierto para el debate ciertas consideraciones que implicarían cambios sustanciales en el tratamiento dado a los datos biométricos bajo la óptica del RGPD. Desde esta perspectiva de generación de debate se podría decir que se agradece, aunque también siembra ciertas dudas sobre todos los profesionales que nos dedicamos día a día a la interpretación de la normativa de protección de datos. Veamos en concreto a que nos estamos refiriendo y que es lo que la AEPD comenta en su informe:

"Al objeto de aclarar las dudas interpretativas que surgen respecto a la consideración de los datos biométricos como categorías especiales de datos puede acudirse a la distinción entre identificación biométrica y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas:

Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno)."

A raíz de la distinción establecida por el Grupo del artículo 29, la AEPD introduce lo siguiente:

Publicado en Blog
Martes, 05 Mayo 2020 14:05

BLOCKCHAIN y PROTECCIÓN DE DATOS

En el presente artículo se trae a colación el análisis de aspectos concretos de privacidad y protección de datos aplicados a una de las tecnologías disruptivas que está llamada a ser uno de los mayores cambios sistémicos de nuestros tiempos y cuya perspectiva de uso futuro arroja las cotas de expectativas más altas del panorama global. Ésta nos es otra que la tecnología BLOCKCHAIN o cadena de bloques.

He de indicar al lector que se requiere unas nociones básicas de en qué consiste la tecnología BLOCKCHAIN y sus principales características, ya que el análisis que se realiza en el presente artículo trata de los datos que son necesarios introducir en la BLOCKCHAIN y su consideración como dato de carácter personal.

No obstante, se facilita un breve resumen de lo que es BLOCKCHAIN y sus principales características:

El concepto presenta diversas definiciones posibles, pudiendo decirse que se trata de una tecnología de registro distribuido de información, replicada en tiempo -real- en miles de ordenadores conectados, cuyos datos entran en este registro a través de un complejo sistema de autenticación basado en criptografía asimétrica utilizando claves públicas y privadas para garantizar la correcta (evitando el doble gasto) y segura anotación de las transacciones. Este método de cifrado asegura la confidencialidad de la información ya que lo que se graba en esta cadena de bloque es un hash que resume una entrada de información.

La cadena de bloques está apoyada en tecnología peer to peer y por tanto compartida por múltiples nodos, en la que se registran bloques de información. Son sus características principales el Consenso, Trazabilidad e Inmutabilidad. Estas características garantizan que para que una transacción/anotación se valide deberá ser consensuada por todos los participantes, dichos participantes podrán conocer el origen y verificar el historial de toda anotación, no se podrá manipular la información registrada por parte de los participantes.

Establecidas esta premisa previa sobre concepto y característica de la tecnología BLOCKCHAIN paso a compartir el ejercicio práctico sobre el que gira este artículo, una labor necesaria y cuasi obligatorio para aquellas personas u organizaciones que estén decididas a implementar procesos de tratamiento de datos personales utilizando la referida cadena de bloques.

Los aspectos más conceptuales y de preparación van a ser muy importante para una implementación con garantías de la BLOCKCHAIN en los procesos de negocio de la organización. Para ello, será necesario tener en cuenta los principios de privacidad por diseño y por defecto, que nos obligarán a adoptar medidas de minimización de riesgos para la privacidad, adoptando medidas desde el diseño del producto/servicio y su aplicación en el estado conceptual del mismo.

Lo primero que se debe determinar en el proceso de implementación de una BLOCKCHAIN es si se tratan datos personales o no dentro de la cadena de bloques que se esté implementando. No siempre son datos personales los introducidos en la cadena de bloques.

Así, según el Reglamento (UE) 679/2916 General de Protección de Datos (RGPD), artículo 4.1 define como dato personal:

Publicado en Blog
Lunes, 18 Noviembre 2013 07:23

RGPD y Nueva L.O.P.D.

Legislación

Enlaces a normativa

Reforma de 2018 de las normas de protección de datos de la UE

RGPD

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

 Corrección de errores del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

 Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Ley

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (vigente en aquellos artículos que no contradigan el RGPD)

Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos

 

Sociedad de la información y telecomunicaciones

Ley 9/2014, de 9 de mayo, General de Telecomunicaciones

 

(Reglamento de desarrollo de la antigua LOPD)

Real Decreto1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 (vigente en aquellos artículos que no contradigan el RGPD)

(*) Real Decreto 195/2000, de 11 de febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados.

(*) Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal.

Versión en inglés del Real Decreto 994/1999

Real Decreto 156/1996, de 2 de febrero, por el que se modifica el Estatuto de la Agencia Española de Protección de Datos.

(*) Real Decreto 1332/94, de 20 de junio, por el que se desarrollan algunos preceptos de la Ley Orgánica.

Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos

(*) Normas derogadas a la entrada en vigor del Real Decreto 1720/2007, de 21 de diciembre.

Normas de carácter reglamentario

 

Resoluciones:

Resolución de 8 de septiembre de 2006, de la Agencia Española de Protección de Datos, por la que se corrigen errores en las Resoluciones de 12 de julio de 2006, por las que se crea el Registro Telemático y se aprueban los formularios electrónicos para inscribir los ficheros en el Registro General de Protección de Datos.

Resolución de 1 de septiembre de 2006, de la Agencia Española de Protección de Datos, por la que se determina la información que contiene el Catálogo de ficheros inscritos en el Registro General de Protección de Datos.

Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se crea el Registro Telemático de la Agencia Española de Protección de Datos.

Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático.

Resolución de 22 de junio de 2001, de la Subsecretaría de Justicia, que concreta el plazo para la implantación de medidas de seguridad de nivel alto.

Resolución de 30 de mayo de 2000, de la APD, por la que se aprueban los modelos normalizados en soporte papel, magnético y telemático, para la inscripción de los ficheros.

Instrucciones:

Instrucción 1/2006, de 12 de diciembre, de la Agencia Española de Protección de Datos sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Descarga de Modelos.

Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones.

Instrucción 1/2000, de 1 de diciembre, de la APD, relativa a las normas por las que se rigen los movimientos internacionales de datos.

Instrucción 1/1998, de 19 de enero, de la APD, relativa al ejercicio de los derechos de acceso rectificación y cancelación.

Instrucción 2/1996, de 1 de marzo, de la APD, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los casinos y salas de bingo.

Instrucción 1/1996, de 1 de marzo, de la APD, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios.

Instrucción 2/1995, de 4 de mayo, de la APD, sobre garantía de los datos personales recabados en la contratación de seguro de vida de forma conjunta con un préstamo hipotecario o personal.

Instrucción 1/1995 de 1 de marzo de la APD relativa a prestación de servicios de información sobre solvencia patrimonial y crédito.

 

 

Publicado en Producto

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal