Acerca de D_mas_I

Derecho Tecnologías de la Información y Comunicación (TIC) y Protección de Datos de Carácter Personal. Miembro de ENATIC (Asociación de Expertos Nacionales de la Abogacía TIC) de APEP (Asociación Profesional Española de Privacidad) y socio promotor fundador de ANPhacket (Asociación Nacional de Profesionales del hacking ético) de la que es Secretario y Asesor Jurídico.

ISO, ISACA y RGPD: cóctel de seguridad con protección de datos

Esta entrada ha sido preparada por Mario J. Aranda Otero, abogado que comienza su andadura profesional en los ámbitos de protección de datos y ciberseguridad.

– Información al lector – Tiempo aproximado de lectura: 7 minutos

ISO, ISACA Y RGPD: un buen cóctel de seguridad.

¿Qué es ISO?

Todos los profesionales que hemos empezado en estas nuevas áreas del Derecho no hemos topado con la palabra ISO. Al principio no le solemos dar mayor importancia. Seguimos caminando erguidos hacía delante como si la cosa no fuese con nosotros: tenemos mucho campo que estudiar, tampoco será tan importante, pensamos. Pero, más tarde que temprano, nos damos cuenta que ya no podemos eludir la pregunta: ¿Qué es eso de la ISO? Ya no existe alternativa, y no me queda más remedio que ser valiente y enfrentarse a ella. Y os extrañaría saber que el momento más adecuado para saber (qué demonios o qué puñetas) es una ISO es a la hora de profundizar en el RGPD (el Reglamento General de Protección de Datos, de ese seguro que sí habréis oído, hablar ¿verdad?)

La ISO tiene una doble cara, por un lado, es una Organización y por otro, son normas.

Sigue leyendo

Veracrypt: cifrado bueno, bonito y barato

¿Qué es el cifrado?

Es un proceso que consiste en transformar mediante un sistema de cifrado un texto legible en uno ininteligible, hasta que por la aplicación del método de descifrado (suele ser una contraseña) vuelve a convertir el texto en legible.

Este proceso se emplea como método de seguridad en el transporte o comunicación de información. La característica de la información que salvaguarda es la confidencialidad, entendida ésta como la imposibilidad de que alguien que no esté autorizado pueda acceder a la misma.

¿Cuándo es necesario cifrar la información? Si somos empresarios o profesionales ¿Cuándo es obligatorio? ¿Es un proceso complicado de realizar? ¿Se necesita un software que implique un coste?

Sigue leyendo

Ya pasó la tormenta RGPD del 25 de mayo ¿y ahora qué?

– Información al lector – Tiempo aproximado de lectura: 10 minutos

Artículo publicado en “Calle de Letrados” revista oficial del Ilustre Colegio de Abogados de Córdoba tras la Jornada sobre Abogacía y el RGPD.

Ya ha pasado la emblemática fecha del 25 de mayo de 2018. El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (y por el que se deroga la Directiva 95/46/CE de la que trae causa nuestra Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) el RGPD, está plenamente en vigor desde esa fecha tan señalada (y recordada, mencionada, referida, etc …) del 25 de mayo de 2018. Ya ha pasado el tsunami arrollador de correos electrónicos solicitando el consentimiento expreso y notificando los cambios en las políticas de privacidad …Parecía que no existía normativa sobre privacidad ni protección de datos antes de esa fecha y es una legislación que data del año 1.992 con nuestra Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal.

Qué saber sobre esta normativa

Las características de dicha norma al tratarse de un Reglamento (no una Directiva que requiere de trasposición al Ordenamiento jurídico mediante su desarrollo) es que es una norma de alcance general y obligatoria en todos sus elementos, con inclusión directa en el ordenamiento jurídico interno de cada Estado miembro, no es necesario para su integración y aplicación un texto nacional del Estado miembro, garantiza un nivel uniforme, equivalente, coherente y homogéneo, concede una posibilidad de ampliación normativa en situaciones específicas de tratamiento (por ejemplo libertad de expresión o en el ámbito laboral) y lo más importante, convierte en inaplicable cualquier precepto de cualquier norma nacional que lo contradiga.

Esta normativa convivirá hasta la publicación de la nueva LOPD española, que complemente a la normativa europea (que al día de la fecha está en fase de proyecto de ley) con la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y con el resto de normas que regulen la privacidad y la protección de datos de carácter personal.

Qué cambios esenciales nos trae dicha normativa

Resumamos de forma elemental los grandes cambios:

  • Se ha clausurado el Registro General de Protección de Datos de la Agencia Española de Protección de Datos por lo que ya no existe la obligación de declarar los ficheros a dicho Registro.
  • Se eliminan las categorías de datos y de niveles de protección (nivel básico, medio y alto)
  • Se prescinden de las listas de medidas de seguridad predefinidas y preestablecidas (por ejemplo, las relacionadas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD)

Estas novedades derivan de la correcta comprensión entre “Fichero” y “Tratamiento” que ya figuraba en la Directiva 95/46/CE (y que la LOPD ignoró modificando incorrectamente la concepción automatizada de la LORTAD creando figuras tan misteriosas como el responsable del fichero) y que el RGPD nos obliga de forma directa ahora:

Artículo 2 Ámbito de aplicación material

  1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

Por eso toda concepción basada en la “estática del dato” choca frontalmente con la “dinámica del tratamiento” pues el fichero siempre ha sido y será un conjunto de datos:

Artículo 4.6) «Fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.”

y el tratamiento las operaciones que se realizaban con esos datos:

Artículo 4.2) “«Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.”

sirviendo la normativa para proteger los derechos de las personas físicas con ocasión de su tratamiento y no para proteger los datos.

Otros cambios son:

  • libertad de forma para documentar y desarrollar las medidas de seguridad que se deben diseñar e implementar.
  • la exigencia de acreditar el cumplimiento de todo lo en él establecido, pues sigue la pauta del compliance para instaurar la cultura del cumplimiento y de la responsabilidad proactiva: no se puede esperar a que las incidencias ocurran sino que hay que realizar todo lo posible para que no aparezcan.

Qué debemos hacer cómo abogados en nuestros despachos profesionales

Entiendo que lo más adecuado para realizar una correcta adaptación a la normativa de protección de datos en nuestros despachos es ir por una serie de fases.

FASE I – ANÁLISIS

En la primera fase lo principal es analizar tras una detallada observación cuáles son los datos que tratamos y de qué forma. Esta información es la base para las posteriores fases.

Describir la actividad desarrollada

Hemos de delimitar que servicios prestamos: asesoramiento, forense, elaboración de nóminas, etc … Puede de servir de pauta los siguientes ítems:

  • Qué actividad o actividades desarrollo
  • Qué datos trato
  • De quién son esos datos
  • Para qué trato los datos
  • De qué forma y con qué medios trato los datos

Con los datos obtenidos en la fase anterior podemos pasar al siguiente punto que consiste en elaborar el registro de actividades que sustituye a los anteriores ficheros.

Elaborar el Registro de Actividades

Si no tenemos delimitadas las actividades que desarrollamos no podremos continuar con el resto de exigencias normativas. Por ello fíjate bien en:

  • Ficheros asignados
  • Finalidad o finalidades
  • Inicio y finalización del tratamiento
  • Categorías de interesados y datos
  • Comunicaciones y cesiones
  • Transferencias internacionales

Cuando ya tengamos configurado el registro de actividades podemos ver cuál es el riesgo que soporta y entraña cada tratamiento, y lo podremos delimitar con el punto siguiente.

Análisis de riesgos y/o evaluación de impacto

  • Localizar posibles amenazas (quién o qué puede ser el causante y cuándo y cómo puede realizarlo)
  • Comprender posibles daños (qué puede sufrir daño y qué perjuicio puede producirse)
  • Identificar el riesgo (calcular la probabilidad de ocurrencia y medir la intensidad del daño)

El riesgo se define como la probabilidad de que una amenaza se materialice y de la magnitud que ese daño pueda producir. Por ejemplo, los riesgos pueden ser:

  • No informar de sus derechos al interesado
  • Recabar datos erróneos normales o sensibles
  • No verificar la veracidad
  • Carecer de legitimación para el tratamiento
  • Medidas de seguridad insuficientes
  • Etc …

 

Si no vamos a desarrollar nuestro propias normas y medidas de seguridad sino que vamos a encomendar esta labor a otro profesional (preferentemente abogado, no admitáis solamente empresas informáticas que se limitarán a las medidas de seguridad del dato y no de las consecuencias sobre los derechos de los interesados del tratamiento sobre sus datos personales) aseguraros que realizan un adecuado análisis de riesgos con las herramientas adecuadas.

 

FASE II – DEFINICIÓN DE POLÍTICAS

Cuando ya sepamos que tratamientos realizamos y que riesgos se soportan (el tratamiento, en su vertiente de integridad, disponibilidad y confidencialidad) y qué riesgos pueden provocar (a los derechos y libertades de los interesados) podemos definir las diferentes políticas que rijan nuestra actividad profesional.

Estas serían unas pautas para su definición y redacción:

Política de tratamiento

  • Determinar la base jurídica del tratamiento (consentimiento, ejecución de contrato y cumplimiento de obligaciones legales)
  • Concretar las finalidades perseguidas
  • Configurar cláusulas de confidencialidad
  • Comprobar los principios de tratamiento (licitud, minimización, conservación y exactitud)

Aquí perfilamos las finalidades, comprobamos que los principios se aplican y podemos configurar las correspondientes cláusulas de confidencialidad.

Política de información

  • Delimitar los derechos del interesado
  • Determinar la información previa a los interesados
  • Configurar las cláusulas informativas necesarias y su contenido
  • Definir políticas de privacidad (por ejemplo, en la web)

Aquí delimitamos todos los derechos de los interesados (nuestros clientes). Esta información siempre será necesaria con independencia de que no haya que solicitar el consentimiento expreso para tratar los datos, ya que nuestra base de legitimación del tratamiento deriva del cumplimiento de un contrato y del cumplimiento de obligaciones legales (artículo 6.1 letras b y c del RGPD).

Política de seguridad

  • Definir la privacy by design adoptada
  • Definir la privacy by default adoptada
  • Delimitar el alcance de las medidas que garanticen la integridad, disponibilidad y confidencialidad
  • Delimitar el alcance de vulnerabilidad y la garantía de resiliencia del sistema

Con esta política se consigue, tal como exige la nueva reglamentación, que la privacidad se mantenga desde el principio en cada una de las actividades que desarrollemos así como que la información se conserve de forma adecuada y que no accedan a ellas personas no autorizadas o terceros.

FASE III – ADAPTACIÓN e IMPLEMENTACIÓN

  • Definir las medidas organizativas mediante las oportunas normas, reglas y protocolos
  • Implementar la medidas técnicas adecuadas en desarrollo de las medidas organizativas definidas
  • Redactar y cumplimentar la documentación necesaria (cláusulas y contratos)
  • Insertar cláusulas informativas donde procedan

En esta fase se diseñan todas las medidas que sean necesarias. Por ejemplo: Conservación de la información, que garantiza la integridad y disponibilidad, periodo de realización, programas que se emplean, etc …

También el desarrollo de cada uno de los textos legales que correspondan.

Las tareas que tenemos pendientes después son:

I – CONTROLES PERIÓDICOS DE VERIFICACIÓN

  • Implementar un Registro de Incidencias
  • Analizar periódicamente las incidencias
  • Analizar periódicamente las medidas organizativas
  • Comprobar periódicamente las medidas técnicas
  • Monitorizar los recursos susceptibles de adolecer de vulnerabilidades

El motivo es la comprobación permanente que el sistema funciona. Ello solamente es posible con dichos controles que nos dirán si hay que modificar o cambiar algo de nuestras medidas de seguridad y en su caso de las políticas aplicables.

II – NOTIFICACIONES Y COMUNICACIONES de violaciones de seguridad

  • En supuesto de materializarse alguna amenaza valorar si ha existido una violación de seguridad y su alcance
  • Notificar la violación de seguridad a la AEPD (en el plazo de 72 horas) y comunicarla al interesado, en su caso, sin dilación indebida.
  • Adoptar medidas para subsanar la falta de seguridad y mitigar posibles efectos negativos
  • Documentarlo todo

Esta es otra gran novedad. Todos estamos interconectados y se exige que cualquier brecha de seguridad que afecte a los derechos de los interesados se notifique a la AEPD y en su caso a los interesados, subsanando los efectos negativos producidos y realizando todo lo posible para que no vuelva a suceder.

Esta medida se puede evitar si no da lugar a la vulneración de los derechos de los interesados, por ejemplo manteniendo cifrada nuestra información (hay programas gratuitos que lo realizan de forma sencilla: si hay un robo o de información pero los datos están cifrados no existe perjuicio alguno ya que son ininteligibles y no se ocasiona ningún perjuicio a la privacidad del interesado).

III – ATENDER DERECHOS DE LOS INTERESADOS

  • Admitir las solicitudes de acceso, rectificación, cancelación, oposición, supresión, limitación de tratamiento y la posible portabilidad de los datos a otro abogado en caso de venia.
  • Valorar las peticiones
  • Estimar o desestimar la petición realizada
  • Contestar al interesado

Este apartado es esencialmente tal como estaba previsto en la normativa anterior, añadiendo la peculiaridad de la portabilidad de los datos (si figuran en formato informático) y la limitación del tratamiento de los mismos en los supuestos de solicitud de borrado o cancelación de los mismos por solicitud del interesado del mantenimiento de los mismos hasta la resolución de dichas solicitudes de borrado y cancelación.

Por último recuerda

La privacidad y protección de datos de nuestros clientes es importante por nuestra imagen y prestigio, también por las obligaciones deontológicas que nos obligan a ello, y no por las posibles sanciones que pueden imponer (hasta diez millones de euros por infracciones leves y hasta veinte millones de euros por infracciones graves).

Novedades RGPD: ¿Por qué le llaman fichero cuando quieren decir tratamiento?

Novedades RGPD: ¿Por qué le llamaban FICHERO cuando querían decir TRATAMIENTO?

– Información al lector – Tiempo aproximado de lectura: 10 minutos

Una de las grandes novedades del nuevo marco regulatorio ha sido el cierre del Registro General de Protección de Datos, donde se inscribían los ficheros. ¿Por qué?

Siempre insisto, sobre todo cuando imparto formación, en el grave problema de coordinación entre el Derecho y la informática, y cómo la técnica siempre va por delante (muy muy muy por delante) de la regulación normativa de las nuevas realidades que configuran la sociedad de la información, y lo más preocupante, casi siempre cuando por fin la norma alcanza a la realidad tecnológica no realiza correctamente su labor, precisamente por la falta de conocimientos puramente técnicos. La tragedia, es que el propio legislador, al ignorar conceptos técnicos (muchas veces básicos y elementales) yerra en su labor normativa.

Se  comenta que la nueva regulación en protección de datos ha cambiado su eje o centro desde el fichero al tratamiento, pero la realidad es que ahora, al aplicar directamente la normativa europea al entorno estatal español, es cuando se hace como se tenía que hacer y de forma correcta: siempre la normativa (desde la Directiva 95/46) ha estado centrada en el tratamiento, y el responsable del fichero, el Registro de General de Protección de Datos donde se inscribían los ficheros, y la propia concepción de lo que era un fichero, han sido “inventos” españoles.

Sigue leyendo

Y la firma digital se hizo imprimible y convivió entre los documentos …

– Información al lector – Tiempo aproximado de lectura: 2 minutos

Ya conocemos el proceso de firmar digitalmente que consiste en incorporar un certificado digital a un documento digitalizado, por ejemplo, un archivo en formato PDF con nuestro DNI electrónico. El proceso de firmado digital se puede realizar con cualquier firmador de escritorio, por ejemplo con el  Adobe Acrobat Reader. Puedes leer nuestra entrada de blog en la que explicábamos como realizar una firma digital más profesional.

Si el documento solamente se firma digitalmente ¿tiene validez si imprimimos en papel dicho documento?

Sigue leyendo

RGPD: La irreductible aldea de la Unión Europea defensora de la Privacidad

– Información al lector – Tiempo aproximado de lectura: 5 minutos

“Estamos en el año 2016. Toda Europa está ocupada por los gigantes de Internet, que han establecido bases incluso en los centros académicos. ¿Toda? ¡No! una aldea poblada por irreductibles defensores de la Privacidad resiste todavía y siempre al invasor. Cuentan con una poción mágica que otorga una fuerza extraordinaria a los titulares de los datos de carácter personal … el RGPD”

Irreductible_UE-Privacidad

La Unión Europea se ha erigido en una defensora a ultranza de la privacidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (el RGPD). Pero ¿cómo se defenderá del Imperio Google y de las grandes compañías que comercian con los datos personales?

Sigue leyendo

¿La documentación exigida por el RGPD es “facilita”?

– Información al lector – Tiempo aproximado de lectura: 5 minutos

La entrada en vigor del Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) que será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro aplicable a partir del 25 de mayo de 2018, hará que cambie toda la documentación necesaria para el cumplimiento de lo en él establecido.

La Agencia Española de Protección de Datos (AEPD) ha puesto a disposición de los responsables del tratamiento una herramienta que proporciona parte de la documentación que exige el RGPD con su herramienta FACILITA

Sigue leyendo

Ciberbullying: no es una cosa sólo de niños

– Información al lector – Tiempo aproximado de lectura: 5 minutos

¿Qué podemos entender por ciberbullying? Es el ciberacoso en el ámbito escolar. Y es triste y denunciable que exista el acoso y violencia en un sitio donde solamente deberían existir estudio y risas. Podemos leer artículos y libros, estudiar y analizar estadisticas y gráficas, pero este rap (banda sonora de una fantástica iniciativa de Mediaset España junto con el Gobierno de Aragón con la colaboración de @langui_oficial) te explicará una dura realidad, a la vez que propone una solución para ser #valientes

Escucha su letra …

https://www.sebuscanvalientes.com/

¿Qué soluciones existen? ¿Cuáles son viables? ¿Cómo deben actuar los profesores, los alumnos y los padres? ¿Cómo debe reaccionar la sociedad ante esta triste realidad?

Sigue leyendo