BRECHA 002 – Ciberataque con acceso a datos

En esta segunda entrega de GDPR Brechas analizamos una resolución de la AEPD relativa a un ciberataque a la infraestructura de la empresa con acceso no autorizado a una base de datos y posible extracción de registros de determinados campos de la tabla de usuarios.

Puedes ver el vídeo completo de esta brecha y descargar el PDF de cada uno de los casos analizados y participar en el debate en: https://www.campus-ribas.com/p/brechas-de-seguridad

GDPR Brechas es un espacio para el análisis de las brechas de seguridad que han sido objeto de resolución por las autoridades de control. 

ACCESO AL PROYECTO GDPR BRECHAS

Puedes participar en el proyecto accediendo a la sección GDPR Brechas en Campus Ribas:

https://www.campus-ribas.com/p/brechas-de-seguridad

En dicha sección podrás ver los vídeos explicativos del proyecto y de cada uno de los casos que se vayan publicando.

También podrás descargar la ficha de cada caso en formato PDF.

En el apartado de comentarios podrás manifestar tu opinión sobre cada caso y sobre cada resolución.

GDPR Hack 03 – ¿La huella dactilar es siempre un dato biométrico?

En este hack analizamos los puntos de referencia obtenidos en la capa de datos de una huella dactilar y planteamos si en todos los casos se puede afirmar que se cumple el requisito de la identificación única del interesado previsto en la definición de dato biométrico del artículo 4.14 del RGPD.

Si quieres conocer las distintas interpretaciones de la cuestión planteada, participar en el debate y posicionarte a favor de alguna de las alternativas, puedes hacerlo en https://www.campus-ribas.com/p/gdpr-hacks

COMENTARIOS

Puedes realizar tus aportaciones y apoyar una de las alternativas en la sección de comentarios de GDPR Hacks en Campus Ribas. Las opiniones pueden ir acompañadas de fundamentación jurídica o de los criterios que te han llevado a tomar partido por la alternativa escogida.

Acceso a GDPR Hacks

https://www.campus-ribas.com/p/gdpr-hacks

Acceso a Campus Ribas

https://www.campus-ribas.com

BRECHA 001 – Datos compartidos por WhatsApp en una cadena de supermercados

Primera entrega de GDPR Brechas.

GDPR Brechas es un espacio para el análisis de las brechas de seguridad que han sido objeto de resolución por las autoridades de control. Puedes ver el vídeo completo de esta brecha y descargar el PDF de cada uno de los casos analizados y participar en el debate en: https://www.campus-ribas.com/p/brechas-de-seguridad


ACCESO AL PROYECTO GDPR BRECHAS

Puedes participar en el proyecto accediendo a la sección GDPR Brechas en Campus Ribas:

https://www.campus-ribas.com/p/brechas-de-seguridad

En dicha sección podrás ver los vídeos explicativos del proyecto y de cada uno de los casos que se vayan publicando.

También podrás descargar la ficha de cada caso en formato PDF.

En el apartado de comentarios podrás manifestar tu opinión sobre cada caso y sobre cada resolución.

Invitación a participar en el proyecto GDPR Brechas

Origen del proyecto

El análisis de las resoluciones de las autoridades de control relativas a violaciones de la seguridad de los datos se inició en mayo de 2019, al cumplirse el primer año de aplicación efectiva del RGPD. La presentación de las primeras conclusiones del estudio tuvo lugar en un webinar sobre brechas de seguridad que organizó Thomson Reuters en 24 de octubre de 2019.

Objetivos del proyecto

Los objetivos del análisis de las resoluciones son los siguientes:

  1. Identificar las principales causas de las brechas notificadas.
  2. Identificar el origen más habitual: autores o responsables.
  3. Valorar la implicación de los proveedores o encargados del tratamiento.
  4. Identificar las medidas previas al incidente que la autoridad de control ha valorado.
  5. Identificar las medidas posteriores al incidente que la autoridad de control ha valorado.
  6. Identificar los argumentos utilizados para fundamentar el archivo o la sanción.
  7. Aprovechar el conocimiento obtenido para la prevención de futuras brechas.
  8. Ir más allá de una auditoría de seguridad basada en un modelo teórico.
  9. Reducir los efectos de una brecha en el caso de no poder evitarla.
  10. Generar pruebas que permitan acreditar la diligencia de la empresa.
  11. Evitar sanciones e indemnizaciones de daños y perjuicios a los afectados.

Referencias a los casos analizados

Las referencias a los casos analizados se limitan al número de expediente, con el fin de evitar cualquier mención a la empresa que ha tenido el incidente de seguridad.

Las valoraciones y los comentarios constituyen únicamente un análisis jurídico y técnico.

No se valora la gestión de la empresa ni de sus responsables.

ACCESO AL PROYECTO GDPR BRECHAS

Puedes participar en el proyecto accediendo a la sección GDPR Brechas en Campus Ribas:

https://www.campus-ribas.com/p/brechas-de-seguridad

En dicha sección podrás ver los vídeos explicativos del proyecto y de cada uno de los casos que se vayan publicando.

También podrás descargar la ficha de cada caso en formato PDF.

En el apartado de comentarios podrás manifestar tu opinión sobre cada caso y sobre cada resolución.

GDPR Hack 02 – Periodicidad de las auditorías GDPR

  PLANTEAMIENTOS Planteamiento 1 – Proyecto inicial incompleto
  1. La mayor parte de los proyectos de adecuación al RGPD se planificaron para acabar el 25 de mayo de 2018.
  2. La prioridad de cumplir el plazo hizo que algunos proyectos no profundizasen en algunos puntos críticos.
  3. La idea era completar el proyecto posteriormente, pero muchas empresas no lo han hecho.
Planteamiento 2 – Información inicial escasa
  1. Una parte de las guías de las autoridades de control se publicaron tras la finalización del proyecto.
  2. El nivel de detalle y concreción del RGPD es escaso en algunos puntos.
  3. Las empresas no dispusieron durante el proyecto de tanta información como la existente en la actualidad.
Planteamiento 3 – Cultura de auditoría
  1. Las grandes empresas realizan auditorías de riesgos cada año.
  2. Los riesgos derivados del RGPD han sido incluidos por Auditoría Interna en las auditorías anuales.
  3. El alcance de estas auditorías hasta ahora ha sido limitado.
Planteamiento 4 – Criterio del legislador
  1. El RGPD menciona las auditorías al hablar de las funciones del DPO pero no establece plazos.
  2. El RGPD también habla de las auditorías a los encargados del tratamiento pero tampoco establece plazos.
  3. El legislador español estableció una periodicidad máxima de dos años en la normativa anterior.
Planteamiento 5 – Cambios constantes en el modelo de datos y en las finalidades
  1. El modelo de datos (la estructura de campos) de los tratamientos cambian constantemente.
  2. También pueden producirse cambios en las finalidades de los tratamientos.
  3. El registro de tratamientos queda desactualizado muy rápidamente.
  4. El principio de privacidad desde el diseño y por defecto exige realizar verificaciones periódicas.
  5. El principio de responsabilidad proactiva exige realizar verificaciones periódicas del cumplimiento.
Cuestión planteada ¿Cuál es la periodicidad más adecuada de las auditorías GDPR? Interpretación 1 – Auditoría anual El RGPD exige la realización de verificaciones periódicas. El modelo de datos y las finalidades de los tratamientos están sujetos a cambios constantes. El registro de actividades de tratamiento se desactualiza rápidamente. Es aconsejable realizar una auditoría cada año. Interpretación 2 – Auditoría bienal Es suficiente realizar una auditoría cada dos años. Interpretación 3 – Auditoría mixta Se pueden revisar cada año los elementos más afectados por los cambios y realizar una auditoría en profundidad cada dos años. Interpretación 4 – Auditoría continuada Las tareas de revisión se pueden repartir a lo largo del año con verificaciones mensuales de un tratamiento grupo de tratamientos, de un departamento o de un grupo de controles. COMENTARIOS Puedes realizar tus aportaciones y apoyar una de las dos alternativas en la sección de comentarios de GDPR Hacks en Campus Ribas. Las opiniones pueden ir acompañadas de fundamentación jurídica o de los criterios que te han llevado a tomar partido por la alternativa escogida. Acceso a Campus Ribas https://www.campus-ribas.com Acceso a GDPR Hacks https://www.campus-ribas.com/p/gdpr-hacks

GDPR Hack 01 – ¿Quien puede lo más puede lo menos?

PLanteamientos

Planteamiento 1 – Categorías especiales de datos

El artículo 9.1 del GDPR establece la prohibición del tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

Planteamiento 2 – Datos que el interesado ha hecho manifiestamente públicos

El apartado e) del artículo 9.2 establece que la prohibición del apartado 1 no será de aplicación cuando el tratamiento se refiera a datos personales que el interesado ha hecho manifiestamente públicos.

Planteamiento 3 – Principio “Quién puede lo más puede lo menos”

El principio “Quien puede lo más puede lo menos” (Qui potest minus, potest plus) ha sido reconocido en diversas sentencias del Tribunal Supremo. Una de las más recientes es las sentencias de la Sala de lo Social de fecha 24-09-2015, en la que se establece que: “esa fundamentación no es acertada y debe rechazarse porque así lo impone el principio de derecho que establece “quien puede lo más puede lo menos”. En efecto, el principio “qui potest plus, potest minus”, que viene del derecho romano, obliga a entender que quien está facultado para negociar un convenio colectivo, también puede pactar una modificación parcial del mismo”.

Cuestión planteada

De acuerdo con el principio “Quien puede lo más puede lo menos”, ¿la excepción establecida en el apartado e) del artículo 9.2 para el tratamiento de los datos sensibles que el interesado haya hecho manifiestamente públicos es también aplicable a las restantes categorías de datos? En otras palabras, si puedo tratar con una base jurídica distinta del consentimiento de un interesado los datos relativos a una ideología política con la que el interesado ha manifestado afinidad en Twitter, ¿puedo tratar también con una base jurídica distinta del consentimiento la dirección postal que un interesado ha publicado en Instagram?

Interpretación 01

Sí. La excepción establecida en el apartado e) del artículo 9.2 para el tratamiento de los datos sensibles que el interesado haya hecho manifiestamente públicos es también aplicable a las restantes categorías de datos.

Interpretación 02

No. La excepción establecida en el apartado e) del artículo 9.2 para el tratamiento de los datos sensibles que el interesado haya hecho manifiestamente públicos sólo es aplicable a las categorías especiales de datos.

COMENTARIOS

Puedes realizar tus aportaciones y apoyar una de las dos alternativas en la sección de comentarios de GDPR Hacks en Campus Ribas. Las opiniones pueden ir acompañadas de fundamentación jurídica o de los criterios que te han llevado a tomar partido por la alternativa escogida.

Acceso a Campus Ribas

https://www.campus-ribas.com

Acceso a GDPR Hacks

https://www.campus-ribas.com/p/gdpr-hacks

Presentación de la iniciativa GDPR hacks

Origen de la idea

La iniciativa GDPR Hacks surge a causa de la falta de concreción de algunos puntos del GDPR y la diversidad de interpretaciones que ello ha originado.

Las guías de las autoridades de control han sido de gran ayuda para esclarecer cuestiones controvertidas y aportar más detalle a una regulación que en algunos casos puede ser demasiado genérica.

Esta labor de unificación de criterios no ha llegado todavía a zonas que permanecen inexploradas por la doctrina, por las guías y por las resoluciones.

No se trata únicamente de una cuestión cultural ni de la falta de encaje del derecho anglosajón y el derecho continental. La complejidad de la materia y su trascendencia económica exigen una mayor exactitud en algunos puntos de la norma.

Ante la opción de que un mismo precepto pueda tener varias interpretaciones, las altas cuantías de las sanciones del GDPR han hecho que, en muchos casos, los responsables del tratamiento hayan escogido la opción más conservadora. Ese exceso de prudencia ha provocado una pérdida de competitividad en las empresas europeas y, en algunos casos evidentes como el de la interpretación del consentimiento, ha generado pérdida de negocio y un impacto en el PIB acumulado de la UE que nunca llegaremos a conocer.

Sin ningún afán de alterar el sentido de la norma ni la intención original del legislador, GDPR Hacks es un espacio para la reflexión y el análisis de las distintas interpretaciones que puede admitir un artículo o un concepto del GDPR, con el fin de encontrar la más acorde y coherente con el hilo argumental del Reglamento y con cada escenario concreto.

¿Qué es un GDPR Hack?

El concepto GDPR Hack puede incluir, por lo tanto, una gran variedad de opciones:

  1. Un análisis de las distintas interpretaciones que pueden existir sobre una determinada materia.
  2. Un espacio para la reflexión y el debate sobre dichas interpretaciones.
  3. Una invitación a plantear una alternativa a las interpretaciones derivadas más de una inercia que de una reflexión profunda.
  4. Una oportunidad para identificar situaciones en las que hemos sido excesivamente prudentes o conservadores en la interpretación de un precepto al que el legislador, en realidad, había dado otro sentido.
  5. Una forma más eficiente y fácil de cumplir una obligación, dentro de la legalidad, o de crear una evidencia de cumplimiento.
  6. Un reto para la creatividad.
  7. Una nueva visión sobre cuestiones obvias que tal vez no se han tenido en cuenta.
  8. Una nueva conclusión obtenida por inferencia tras el análisis conjunto de varios preceptos. O la detección de una contradicción.
  9. Una exploración conjunta sobre cuestiones que las guías de las autoridades de control no han resuelto todavía.
  10. Una nueva oportunidad para los considerandos, que complementan y explican los preceptos del Reglamento.

¿Qué no es un GDPR Hack?

Un GDPR Hack no es, ni pretende ser, una forma de reingeniería jurídica orientada a alterar el criterio del legislador con la finalidad de alcanzar objetivos que, no siendo los propios de la norma analizada, podrían equivaler a una infracción de la misma.

Debe tenerse en cuenta que los actos realizados al amparo del texto de una norma que persigan un resultado prohibido por el ordenamiento jurídico, o contrario a él, se considerarán ejecutados en fraude de ley y no impedirán la debida aplicación de la norma que se hubiere tratado de eludir.

Un GDPR Hack simplemente plantea dos interpretaciones alternativas que ayuden a formar un criterio sobre aspectos complejos, controvertidos o inexplorados de una norma compleja como el GDPR.

Ya que el usuario es el que toma partido a favor de una de las dos alternativas, un GDPR Hack no lleva implícito ningún tipo de asesoramiento ni recomendación por parte de Campus Ribas.

Un GDPR Hack es un ejercicio dialéctico que puede ayudar a la toma de decisiones, pero no puede ser la única base para la interpretación del GDPR, ya que su aplicación en una organización exige asesoramiento profesional especializado.

Vídeo de presentación

Ver vídeo de presentación en YouTube

Enlace a Campus Ribas

http://www.campus-ribas.com