soporte@profesionalesrgpd.com

Pyme

Tipos de fuga de información y los escenarios posibles (I)

Las fugas de información son uno de los incidentes de seguridad más comunes que suceden en las empresas. Estas se producen cuando se pierde la confidencialidad de la información de la empresa y esta es accesible a terceras personas no autorizadas.

Estas fugas de información pueden ser involuntarias y no intencionadas, cuando, por ejemplo, se envía un correo a múltiples destinatarios sin copia oculta, o bien se pierde un dispositivo móvil o USB con información confidencial sin cifrar. Las fugas se consideran deliberadas cuando es un ciberdelincuente el que consigue acceder a los sistemas de la empresa, o bien, el conocido como insider, cuando se trata de un exempleado que pretende generar una pérdida de reputación.

¿Cuáles son los escenarios principales donde se dan estas fugas? La información se puede extraer de las siguientes formas:
•Dispositivos móviles y de almacenamiento externo.
•Correo electrónico
•Redes inalámbricas no confiables
•Aplicaciones en la nube o herramientas colaborativas
•Redes sociales
•Malware; troyanos, spyware, keyloggers
•Credenciales de acceso inseguras

IMPORTANTE
En el caso de ser víctima de una fuga de información o cualquier otra amenaza es recomendable interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.

Consejos básicos para realizar reuniones online con privacidad y seguridad

En esta sección del boletín haremos referencia a las consultas que la AEPD ha ido resolviendo a través de la publicación de sus guías, así como otros artículos de interés editados por la AEPD en su página web.

En este caso, en la sección de innovación y tecnología, encontramos un documento de especial importancia para estos momentos, donde las reuniones virtuales online se han convertido en una constante habitual en las empresas. Estas pueden suponer un grave riesgo para la confidencialidad de los asistentes si no se tienen en cuenta precauciones básicas para su preparación. Estas reuniones pueden ser saboteadas, por antiguos compañeros de trabajo, o ciberdelincuentes.

En este documento se incluye una lista no exhaustiva para crear un espacio de trabajo eficaz y seguro.
•Seguir las políticas establecidas por la empresa utilizando solamente el proveedor tecnológico aprobado.
•Limitar la reutilización de los códigos/enlaces de acceso.
•Utilizar una “sala de espera” para ir admitiendo a los participantes y habilitar una notificación para cuando se unan a la reunión.
•Bloquear el acceso una vez que están todos los asistentes.
•No grabar la reunión, en tal caso informar a los asistentes de la finalidad.

IMPORTANTE

Durante la reunión desactive el micrófono y la cámara cuando no sea necesaria, en particular, si se realiza alguna acción fuera del foco de la cámara.

¿Qué es un dato personal y como se regula en el RGPD?

Si vamos a hablar de que es un dato personal, tenemos que tener muy de cerca la definición del RGPD o Reglamento General de Protección de Datos. Como Abogados en Almería expertos en Protección de Datos a la hora de diseñar planes personalizados de protección de datos para empresas, vemos que muchos de ellos no terminan de tener claro que es un dato personal y sobre todo que sucede cuando se hace un tramatamiento manual o automatizado de datos personales.

¿Qué es el RGPD?

El RGPD son las siglas en español de la normativa denominada Reglamento General de Protección de Datos aprobada por el Parlamento Europeo y que entró en vigor en Mayo de 2018. Al ser un texto legal europeo, si buscas información sobre él deberás hacerlo con su nombre en inglés. RDPG o General Data Protection Regulation.El RGPD es un texto de mínimos de obliga a todos los estados mediante una norma uniforme o común para todos los estados miembros de la Unión Europea y que a la vez obliga a todas las empresas que operen en Europa.La finalidad del RGPD es proteger a los ciudadanos europeos garantizando una serie de derechos relacionados con la privacidad de la información y su acceso por terceros.

¿Qué es un dato personal y como se regula en el RGPD?

Como te deciamanos antes, Un dato personal o dato privado es cualquier dato directo o que combinado con otro pueda predecir el comportamiento o gustos de una persona concreta. Esta seria nuestra definición como despacho de abogados a grosso modo.

Existen algunos problemas de precisión en la traducción de datos personales del inglés al español que suponemos que se incluirán en la nueva normativa española. Ya que las palabras personales, privadas y confidenciales son conceptos que en español admiten bastantes matices a los que como abogados de protección de datos hemos dado bastantes vueltas al aplicarlos en los protocolos de protección de datos que estamos aplicando en empresas y blog. Es decir, se obliga a que las empresas que combinen datos de usuarios, por ejemplo aquellas que acumulan datos sobre tus compras (bancos) o los sitios que visitas (Buscadores) indiquen que van a hacer con ellos y con qué empresas lo van a combina.

¿Te imaginas que Google y el Banco Santander combinasen que páginas visitas, donde vives y cuanto gastas y se lo vendieran a otra empresa y tuvieras mañana un comercial de una empresa de informática en la puerta de tu casa porque sabe que estás pensando en comprar un ordenador? Es precisamente eso lo que se quiere evitar. Se busca avisar al usuario de forma previa sobre que va a ocurrir cuando suministre sus datos.

De otra, algunas empresas usan la huella dactilar, la firma electrónica, nos piden fotografías de nuestra cara para identificarnos… ¿Os imagináis que puede suceder si esos datos acaban en el mercado negro?

El RGPD hace especial referencia a datos personales como nombres, direcciones, información financiera, direcciones IP, contraseñas, datos de identificación biométrica, datos de ubicación, publicaciones, fotos,…

9.000 euros por publicar imágenes en una web sin el consentimiento de la afectada

En el procedimiento sancionador https://www.aepd.es/es/documento/ps-00279-2020.pdf se sanciona con una cuantiosa cantidad al propietario de una URL por incumplir la normativa de protección de datos.

La reclamante solicitó al propietario de la web que suprimiera todos sus datos personales, lo que incluía también material fotográfico, puesto que, no contaba con su consentimiento. Una vez ejercido su derecho de supresión no obtuvo respuesta alguna, por lo que inicia la reclamación ante la AEPD. Además, en el escrito de su reclamación indica que la página web no cumplía con los requisitos de información que debe facilitar el responsable cuando recoge datos de carácter personal.

La AEPD notifica el acuerdo de inicio del procedimiento al reclamado, durante el plazo indicado no recibe ningún tipo de alegaciones por su parte, con lo cual, se convierte en propuesta de resolución.

La cantidad impuesta asciende a un total de 9.000 euros por infracción muy grave de los siguientes artículos del RGPD:
•5000 euros por el incumplimiento del artículo 13 RGPD; el responsable de la página web no cumple con el deber de información en su política de privacidad.
•4000 euros por el incumplimiento del artículo 6 RGPD; el responsable de la página web publica imágenes sin haber obtenido previamente el consentimiento del interesado.

IMPORTANTE

Los agravantes que se han tenido en cuenta en esta resolución han sido la acción negligente no intencional y los datos personales afectados (básicos-imagen).

¿Qué supone la implantación del RGPD?

•Deberá adaptar todos los contratos suscritos a los nuevos requisitos del Reglamento General de Protección de Datos (RGPD).

•Deberá elaborar un Registro de Actividades del Tratamiento (RAT), que contenga datos relativos a la finalidades del tratamiento, la descripción de categorías de los interesados…

•Deberá facilitar a los interesados el ejercicio de sus derechos y lo procedimientos y las formas para ello deben ser visibles, accesibles y sencillos.

•Deberá realizar una valoración de riesgo de los tratamientos de datos que realicen, a fin de establecer qué medidas deben aplicar y cómo deben hacerlo.

•Debe adoptar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD.

•En los casos en los que corresponda: nombrar a un Delegado de Protección de Datos, que asumirá las funciones de coordinar y controlar el cumplimiento del RGPD.

Ventajas para la empresa

Mejora la seguridad y la gestión de la empresa
Aumenta el valor reputacional de la compañía
Ofrece mayor confianza a sus clientes
Supone una ventaja competitiva y diferenciadora
Genera seguridad

Multa de 15.000€ a una comunidad de propietarios por parte de la AEPD

La Agencia Española de Protección de Datos (AEPD) ha sancionado a una comunidad de propietarios por publicar las actas de una reunión con datos personales sin anonimizar en los ascensores de la finca.

La multa se da en el seno del procedimiento sancionador nº 00378/2019 de la AEPD, abierto por infracción del Reglamento General de Protección de Datos (RGPD) a raíz de la denuncia de uno de los vecinos ante este órgano.

El acta de la Junta que se expuso públicamente en los ascensores del edificio contenía datos personales de todos los asistentes y representados de la reunión (a razón de nombre, apellidos, pisos y puerta), indicando piso y puerta de los vecinos implicados en cada tema tratado en la asamblea.

Destaca la importancia de la exposición pública del informe debido a que el acta contenía una comunicación sobre el inicio de acciones legales contra algunos de los vecinos de esta Comunidad por tema de obras irregulares (especificando también los datos personales de los afectados).

Fue uno de los 215 vecinos de la Comunidad el que se percató de que los hechos suponían una infracción en materia de protección de datos e interpuso una reclamación ante la AEPD. La respuesta de la Comunidad al requerimiento de la Agencia fue que la publicación en los ascensores de la finca se debía a un anhelo de ser garantistas y de que todos los vecinos fuesen conocedores de la información sin que pudiesen alegar posteriormente una falta de notificación.

Finalmente, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por infracción del Artículo 5.1.f) del RGPD, que rige los principios de integridad y confidencialidad de los datos personales.

La multa constituye la sanción máxima alcanzable en este sentido, ya que cuenta con los agravantes tipificados en el artículo 83.2 b) y g) del RGPD que suponen que en el presente caso estamos acción negligente no intencional, pero significativa y que además se encuentran afectados identificadores personales básicos.

Es necesario el cuidado del cumplimiento de la normativa en materia de Protección de Datos en el entorno de las comunidades de propietarios ya que hay que tener en cuenta que la propia comunidad es considerada como “responsable del tratamiento de los datos”, la figura reconocida por el RGDP que dispone del máximo compromiso en el uso que otorga a los datos personales de los propietarios.