La seudonimización se puede realizar de diferentes formas, como por ejemplo:

– Sustituir los nombres y apellidos por iniciales o códigos alfanuméricos.
– Enmascarar o eliminar parte de los números de identificación, como el DNI o el NIF.
– Aplicar algoritmos de cifrado o hash a los datos, de forma que solo se puedan recuperar con una clave o un código.
– Agrupar o categorizar los datos, reduciendo el nivel de detalle o precisión.

La seudonimización no es lo mismo que la anonimización, ya que esta última implica que los datos no se puedan relacionar con ninguna persona, ni siquiera con una clave o un código. La anonimización es más difícil de conseguir y suele implicar una pérdida de información o utilidad de los datos.

La seudonimización es una medida de seguridad que ayuda a cumplir con la normativa de protección de datos, como el Reglamento General de Protección de Datos (RGPD) o la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). Estas normas establecen que los datos personales deben tratarse de forma lícita, leal y transparente, respetando los principios de minimización, exactitud, limitación del plazo de conservación y responsabilidad proactiva.

Para realizar una seudonimización correctamente, es importante tener en cuenta los siguientes aspectos:

– La seudonimización debe aplicarse tanto a los datos almacenados como a los transmitidos o compartidos con terceros.
– La seudonimización debe ser proporcional al riesgo y al objetivo del tratamiento de los datos. No se debe seudonimizar más de lo necesario ni menos de lo adecuado.
– La seudonimización debe ser reversible, es decir, que se pueda recuperar la identidad de las personas cuando sea necesario, por ejemplo, para fines legales o contractuales.
– La seudonimización debe garantizar la calidad y la integridad de los datos, evitando errores, inconsistencias o pérdidas de información.
– La seudonimización debe documentarse y registrarse, indicando los métodos utilizados, las claves o códigos empleados y las personas autorizadas para acceder a los datos.

La seudonimización es una herramienta útil para proteger los datos personales, pero no es suficiente por sí sola. También es necesario aplicar otras medidas de seguridad, como el control de accesos, la encriptación, el borrado seguro o la evaluación de impacto. Además, es imprescindible informar a las personas afectadas sobre el tratamiento de sus datos y obtener su consentimiento cuando sea necesario.

La entrada La seudonimización en la protección de datos se publicó primero en Adaptación RGPD.

¿Qué tipo de brechas de seguridad de datos personales se tienen que hacer frente? Es muy importante conocer la tipología y a qué dimensiones de la seguridad de los datos personales ha afectado la brecha.

1. A) Brecha de confidencialidad: aquellos casos en que no se tiene autorización para acceder a la información, revelación no autorizada o accidental de los datos personales.
2. B) Brecha de integridad: cuando se modifica la información original y se sustituye por otra causando un perjuicio al afectado.
3. C) Brecha de disponibilidad: se produce una pérdida de acceso accidental o no autorizada a los datos personales o bien se produce su destrucción.

IMPORTANTE
El responsable del tratamiento debe comunicar a la AEPD en el plazo máximo de 72hrs las brechas de seguridad que supongan un riesgo para los derechos y libertades de las personas.

La entrada La seguridad de los datos personales (II) se publicó primero en Adaptación RGPD.

Según el artículo 32 del RGPD, el responsable y el encargado del tratamiento deben tener en cuenta los siguientes parámetros para realizar un análisis de seguridad:

– El estado de la técnica: se refiere al grado de desarrollo alcanzado por las tecnologías disponibles en el mercado que permiten proteger los datos personales frente a amenazas conocidas o previsibles.
– Los costes de aplicación: se refiere al esfuerzo económico y humano que supone implantar las medidas de seguridad, teniendo en cuenta los recursos disponibles y el beneficio esperado.
– La naturaleza, el alcance, el contexto y los fines del tratamiento: se refiere a las características específicas del tratamiento que se realiza, como el tipo y la cantidad de datos personales, las categorías de interesados, las finalidades perseguidas, el entorno en el que se desarrolla, etc.
– Los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas: se refiere al impacto potencial que puede tener una violación de la seguridad sobre los derechos y libertades fundamentales de los interesados, como el derecho a la intimidad, a la identidad, a la no discriminación, etc.

Para realizar un análisis de seguridad, se recomienda seguir los siguientes pasos:

– Realizar un inventario de activos: consiste en identificar y describir todos los elementos que intervienen en el tratamiento de datos personales, como equipos informáticos, dispositivos móviles, soportes físicos, aplicaciones, redes, etc.
– Identificar los riesgos: consiste en determinar las amenazas y vulnerabilidades que pueden afectar a cada activo, así como las fuentes y los agentes que pueden originarlas o aprovecharlas.
– Evaluar los riesgos: consiste en estimar la probabilidad y la gravedad de que se materialicen los riesgos identificados, teniendo en cuenta las medidas de seguridad existentes y el nivel de exposición de los datos personales.
– Gestionar los riesgos: consiste en seleccionar e implementar las medidas de seguridad más adecuadas para reducir o eliminar los riesgos evaluados, así como establecer mecanismos de control y seguimiento para verificar su eficacia.

La Agencia Española de Protección de Datos (AEPD) ofrece indicaciones y herramientas para ayudar en el análisis de seguridad, como la guía sobre gestión de riesgo y evaluación de impacto en tratamientos de datos personales , el programa Facilita_RGPD o el Esquema Nacional de Seguridad.

Adaptación RGPD ofrecemos un sistema de análisis de seguridad y vulnerabilidad totalmente guiado y personalizado.

La entrada En que consiste un análisis de seguridad RGPD se publicó primero en Adaptación RGPD.

Los dispositivos Lot domóticos están evolucionando de forma constante orientados a ofrecernos servicios cada vez más confortables que se pueden controlar desde las Apps instaladas en nuestros móviles o bien, integrados en asistentes de voz. Así, por ejemplo, los sensores de temperatura y humedad, controladores de climatización y centralitas de alarma, entre otros.

Un dispositivo de LoT genera gran cantidad de datos que son tratados y enviados por distintos servicios en Internet. El riesgo es mayor cuánto es mayor el número de servicios que tratan estos datos personales. Así como, cuando utilizamos una App distinta en la que debemos registrarnos para cada fabricante.

Los dispositivos como mirillas digitales o cerraduras que se controlan desde la Apps implican el tratamiento de imágenes, video, audio e información sobre los hábitos de las personas, que podrían ser utilizadas para la generación de perfiles y diversas finalidades adicionales.

Las personas que adquieran este tipo de dispositivos deben adoptar una actitud crítica hacia las garantías de privacidad. Además, los fabricantes deben aplicar medidas de protección de datos por defecto y desde el diseño.

IMPORTANTE

El usuario/a de IoT debe cambiar las contraseñas predeterminadas de los dispositivos para evitar ataques de denegación de servicio DDoS y de acceso ilícito.

La entrada Internet de las cosas (IoT): Domótica. Internet de las Cosas: riesgos y recomendaciones (III) se publicó primero en Adaptación RGPD.

Algunos de los riesgos para la privacidad son los siguientes:

• El dispositivo no distingue quién es el usuario, por lo que puede captar y almacenar imágenes de familiares e invitados.
• El fabricante del dispositivo, los desarrolladores de software y prestadores de servicios podrían tener acceso a datos y tratarlos para finalidades posteriores.
• Cuando no estamos interactuando directamente con el dispositivo, éste puede continuar capturando y tratando datos personales.

Las principales recomendaciones recogidas en la infografía son:

• Revisar y configurar las preferencias y opciones de privacidad y seguridad.
• Informarse de las políticas de privacidad y revisar periódicamente las opciones de privacidad y seguridad.
• Cambiar el usuario y contraseña que venga establecido por defecto.
• Comprobar que el dispositivo se pueda desconectar cuando no se está utilizando.
• Borrar los datos que pueda contener el dispositivo antes de ponerlo a la venta o reciclarlo.

IMPORTANTE

En el uso de IoT se debería poder otorgar el consentimiento solamente para las finalidades que se ajusten a tus preferencias y necesidades.

La entrada Internet de las cosas (IoT): recomendaciones para el uso seguro del Internet de las cosas (II) se publicó primero en Adaptación RGPD.

• El protocolo HTTPS (Hyper Text Transfer Protocol Secure). Se trata de un protocolo que incrementa el nivel de seguridad de las páginas web.
• Los certificados SSL (Secure Sockets Layer) garantizan la autentificación, confidencialidad e integridad de los datos. Para conseguirlo el navegador cifrará esos datos.
• El protocolo SET (Secure Electronic Transaction). En este caso, se requiere de la instalación de un software tanto por parte del vendedor como del comprador. Permite hacer una transacción segura con independencia del tipo de red utilizada en la conexión.

El proceso de pago es una de las operaciones más sensibles en el comercio electrónico, por lo que se recomienda la utilización del requerimiento del código CVV (card verifictaion value) de las tarjetas. Con este código nos garantizamos que el ciberdelincuente que solamente tenga el número de la tarjeta no pueda utilizarla de forma fraudulenta. Otro mecanismo de verificación recomendado es el que permite comprobar que la dirección de facturación coincide con la dirección archivada en el banco emisor de la tarjeta de crédito.

IMPORTANTE

Transmitir seguridad en el comercio electrónico garantiza el aumento de la cartera de clientes.

La entrada La seguridad en el comercio electrónico: medidas de ciberseguridad. Protocolos de seguridad se publicó primero en Adaptación RGPD.

1. Antes de facilitar los datos personales se debe analizar quién es el responsable que los está pidiendo y la finalidad.
2. Cualquier información que te identifique o pueda permitir que alguien lo haga es un dato personal, como, por ejemplo, nombre y apellido, correo electrónico o la dirección
3. No se debe facilitar información personal de terceros, salvo que te hayan dado su consentimiento, o bien seas el tutor o representante legal.
4. Dar más información de la necesaria puede resultar perjudicial, tu privacidad e identidad se pueden ver comprometidas.
5. Podemos ser víctima de extorsión o chantaje cuando facilitamos información que no es necesaria para la finalidad del tratamiento.

Existen excepciones en los que no se requiere el consentimiento para el tratamiento de datos personales, tales como, para proteger intereses vitales y cuando exista una ley que lo habilite.

IMPORTANTE

El responsable del tratamiento debe facilitar la información sobre el tratamiento de los datos personales, entre otros, la finalidad, la cesión y el plazo de conservación de los datos.

La entrada Privacidad y seguridad en Internet: ¿tengo obligación de dar mis datos cuando me lo piden? se publicó primero en Adaptación RGPD.