1º El defacement: este ataque actúa sobre la apariencia visual de una página. Se reemplaza el sitio web alojado por uno propio, con el fin de cargar malware o eliminar archivos esenciales del servidor o dañar la imagen del comercio online. La mejor prevención en estos casos es incorporar una política de actualizaciones, una política de contraseñas seguras y realizar copias de seguridad periódicas.

2º Ataque de denegación de servicio: se puede bloquear la web y paralizar toda la actividad comercial. Para prevenir este tipo de ataques la entidad deberá aplicar elementos de protección perimetral.

3º Bloqueo de acceso al panel de control de la página web o servidor donde está alojado el comercio online.

4º Infección por malware cuando se utiliza en la página web software desactualizado o con vulneraciones no parcheadas.

Las recomendaciones para prevenir estos tipos de ataques entre otras, sería mantener actualizados los sistemas, realizar auditorías periódicas de seguridad y practicar la técnica de egosurfing que nos permite detectar campañas de suplantación a las entidades.

IMPORTANTE

La concienciación del personal laboral en materia de seguridad es una medida muy potente de seguridad.

La entrada ¿Ciberataques que puedo sufrir si tengo un comercio online? se publicó primero en Adaptación RGPD.

Hoy en día, en el que estamos inmersos en la era de la digitalización, muchas de nuestras actividades laborales se desarrollan utilizando todo tipo de dispositivos digitales, tales como ordenadores portátiles, tabletas, teléfonos inteligentes y wearables. Se hace necesario que los empleadores establezcan criterios claros de utilización de estos dispositivos digitales según los usos sociales y los derechos reconocidos constitucionalmente.

A través de las políticas de utilización de dispositivos digitales, que toda empresa debería tener actualizada y revisada, se podría facilitar la información al personal laboral a cerca de los criterios de utilización. Facilitar esta información es un deber a cumplir por parte de la empresa.

El empleador podrá acceder al contenido derivado del uso de esos dispositivos digitales. La finalidad será el control del cumplimiento de las obligaciones laborales o estatutarias y garantizar la integridad de los dispositivos digitales.

IMPORTANTE

Cuando en los dispositivos digitales se permita un uso con fines privados se establecerán claramente los periodos de uso como garantía de la privacidad de la persona trabajadora.

La entrada Derechos digitales en el ámbito laboral. Derecho a la intimidad se publicó primero en Adaptación RGPD.

En la fecha de 26 de marzo de 2018, la AEDP inicia un procedimiento sancionador a Don A.A.A, médico pediatra, por el envío de unas imágenes de pacientes y datos personales a su expareja sentimental, que es la que interpone la reclamación.

La denunciante aporta en la demanda un acta notarial con fecha 3 de febrero de 2017 de transcripción de los mensajes telefónicos de las imágenes enviadas, aportando también las fotografías y el video enviado. En sus alegaciones, el profesional médico manifiesta que la que ha incumplido el deber de confidencialidad es su expareja, ya que él realizó el envío de dichas imágenes en lo que se define como ámbito doméstico.

La AEPD determina que D.A.A.A, como responsable del tratamiento de las imágenes de sus pacientes, debería haber obtenido su consentimiento para poder enviar esas imágenes a terceros. Además, se ha incumplido el deber de secreto profesional, puesto que tenía que haber preservado de su ámbito social, laboral y familiar la confidencialidad de sus pacientes. La multa ascendió a 6.000 euros, no hubo posibilidad de apercibimiento por tratarse de imágenes de menores.

IMPORTANTE

El tratamiento de los datos sin el consentimiento de los interesados supone una grave vulneración al derecho fundamental de la protección de datos.

El responsable del tratamiento debe obtener y probar que ha obtenido el consentimiento de los interesados.

La entrada Sancionado un profesional médico por incumplir con el principio de confidencialidad y deber de secreto se publicó primero en Adaptación RGPD.

En el artículo 17 del RGPD se regulan los supuestos en los está obligado a su supresión:

1. a) Los datos ya no son necesarios para los fines por los que se recogieron.
2. b) Cuando el interesado retira su consentimiento y el tratamiento de los datos personales no tenga otra base legal.
3. c) El interesado se opone a su tratamiento.
4. d) Los datos personales se han obtenido de forma ilícita.
5. e) Cuando los datos se obtienen de un menor en relación con la oferta de servicios en Internet.

Ahora bien, no siempre que al responsable le solicitan suprimir los datos personales ha de borrarlos. Es el caso, por ejemplo, de un periódico que publica un hecho noticiable, en el que se puede ver perjudicado un personaje público, no tiene que suprimir los datos personales, ya que está ejerciendo su derecho a la libertad de expresión e información. Tampoco se suprimirán cuando los datos sean necesarios para la formulación, ejercicio o defensa de reclamaciones o bien, existe una obligación legal que exige su conservación durante un plazo determinado de tiempo.

La entrada ¿Se deben borrar siempre los datos cuando lo solicite el interesado? se publicó primero en Adaptación RGPD.

La AEPD ha publicado en su blog un documento en el que recoge todos los artículos y menciones que hace el RGPD sobre el cifrado de datos. En el considerando 83, se menciona expresamente: “A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado”

También se encuentran referencias al cifrado en el art. 6 de la “Licitud del Tratamiento” como una garantía adecuada en el caso de que el responsable utilizara los datos para un fin distinto de aquel para el que se recogieron. Es decir, podrá utilizarlos con un fin distinto siempre y cuando tengan en cuenta garantías adecuadas como el cifrado o la seudonimización.

En la sección de Seguridad de los datos personales, una de las medidas técnicas apropiadas para garantizar un nivel de seguridad adecuado al riesgo es el cifrado de datos personales. En el caso de que el responsable haya utilizado esta medida de seguridad y se produzca una violación de datos personales no tendría que comunicárselo al interesado.

La AEPD determina que el cifrado es una de las garantías adecuadas para el tratamiento del riesgo, particularmente, cuando la comunicación se realice a través de Internet.

IMPORTANTE

Con la utilización del cifrado no se elimina la naturaleza de dato de carácter personal.

La información cifrada no debe considerarse como información anonimizada.

La entrada El cifrado de datos en el RGPD. Medida de seguridad en la protección de datos se publicó primero en Adaptación RGPD.

IMPORTANTE
El interesado tiene derecho a usar sus datos, ya sea por sí mismo o cuando otro responsable del tratamiento, los trata.

La entrada En qué consiste el Derecho a la Portabilidad se publicó primero en Adaptación RGPD.

IMPORTANTE
El art 5.1.d) del RGPD, dispone que “Los datos personales serán exactos y, si fuera necesario, actualizados”

La entrada Telefónica sancionada por vulnerar el art 5.1.d del RGPD se publicó primero en Adaptación RGPD.

El RGPD lo que dispone es que, siempre y cuando esos incidentes de seguridad supongan un riesgo para los derechos y las libertades de las personas físicas, se tienen que notificar, a más tardar en el plazo de 72hrs desde su conocimiento. Aunque parezca que las brechas de seguridad solamente afecten a grandes empresas, estas pueden ocurrir en cualquier entidad independientemente de su tamaño.

En la guía de la AEPD sobre gestión y notificación de brechas de seguridad, a modo orientativo, encontramos en su anexo III un modelo que puede servir de referencia para tomar la decisión de notificar a la autoridad de control. El cálculo del posible riesgo se obtiene de tres parámetros: volumen, tipología de datos e impacto. Cada uno de ellos está valorado con un rango. Así, por ejemplo, en el caso de que el riesgo de valor cuantitativo esté en un umbral superior a 20 (más o menos) y coincidan dos circunstancias cualitativas, habría que notificarla a la autoridad.

IMPORTANTE

La comunicación se realizará presentando el formulario de notificación de incidentes de seguridad de datos personales. Se puede encontrar en la sede electrónica de la AEPD.

La entrada ¿Cuándo y cómo notificar las brechas de seguridad? (II) se publicó primero en Adaptación RGPD.

Una de las consultas que se plantean es si resulta conforme a la normativa en materia de protección de datos compartir información, entre distintos profesionales de distintos ámbitos y administraciones, para realizar la labor de seguimiento. En este sentido, la legitimación la encontramos en la ley 27/2003, reguladora de la orden de protección de las víctimas de violencia doméstica, en la que se dice que: “en caso de adoptarse una orden de protección por el Juez, las Administraciones públicas tomarán medidas que garanticen la protección de seguridad o de asistencia social, jurídica, sanitaria, psicológica y para ello se  establecerá un sistema integrado de coordinación administrativa, que garantice la agilidad de las comunicaciones.

Otra de las cuestiones planteadas se refería al cumplimiento de los estándares de seguridad (nivel alto) en relación con el contenido y recorrido de los datos personales de las víctimas de violencia de género. En este caso, la AEPD indica que, en el RGPD, no se establece un elenco de medidas de seguridad específicas, sino que, en virtud del principio de responsabilidad activa, el responsable tendrá que determinar las medidas técnicas y organizativas concretas, en base al análisis de riesgos previamente realizado.

IMPORTANTE

Las medidas de seguridad se aplicarán teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, contexto y fines del tratamiento

La entrada ¿Se puede compartir información entre profesionales de distintos ámbitos y administraciones? se publicó primero en Adaptación RGPD.

El art.34.9 del Estatuto de los Trabajadores nos indica que: La empresa garantizará el registro diario de jornada, que deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora, sin perjuicio de la flexibilidad horaria que se establece en este artículo.

Los sistemas que pueden utilizar las entidades para el cumplimiento de esta obligación legal podrán ser muy variados, desde sistemas manuales, analógicos o digitales. En todos ellos, la legitimación para el tratamiento de los datos personales no será el consentimiento del personal, sino la obligación que le viene impuesta al empleador por este artículo 34.9 del ET.

Si se utilizaran registros basados en sistemas de geolocalización o bien, sistemas en los que se recoge la huella digital, el responsable del tratamiento tiene el deber de informar previamente al personal antes de su incorporación, tal y como nos lo exige la LOPDPGDD en su art.90, que regula el Derecho a la intimidad ante la utilización de estos sistemas. Además, el responsable tendrá que garantizar unas medidas mínimas de seguridad y minimización de datos y realizar una evaluación de impacto en caso de ser necesaria.

IMPORTANTE

Los registros se conservarán durante un plazo de cuatro años, se pueden poner a disposición del trabajador y los representantes legales y también a la Inspección de Trabajo y Seguridad Social.

La entrada ¿Cómo incorporar el registro de jornada laboral y cumplir con la normativa de protección de datos? se publicó primero en Adaptación RGPD.