Resolución AEPD – Actuación negligente del interesado en el uso de sus claves

La AEPD ha publicado una resolución en la que aparece como indicador de un uso no diligente de sus claves por parte del cliente su aparición en el sitio web haveibeenpwned.com, que ofrece un servicio gratuito que permite a cualquier usuario comprobar si su dirección de correo electrónico figura en estas listas, y por lo tanto, si sus claves han quedado comprometidas y debe cambiarlas de inmediato.

En la resolución se reproduce la alegación de que el reclamante es un exponente de escasa diligencia en la gestión y custodia de sus credenciales, ya que su historial de claves expuestas en brechas de seguridad se inicia en 2008 y llega hasta 2019, y el éxito de la suplantación de identidad confirma que durante todo este tiempo el reclamante no ha cambiado las claves de acceso reiteradamente comprometidas.

También se indica que los hechos ocurridos en relación con la cuenta del usuario reclamante coinciden plenamente con el patrón de actuación habitual de los ciberdelincuentes que utilizan los datos comercializados en el mercado negro de países de la Europa del Este como Ucrania para suplantar la identidad de sus víctimas y realizar compras fraudulentas. En este caso concreto, vemos que el ciberataque se realiza desde Ucrania y que aprovecha la actuación negligente del reclamante, al utilizar reiteradamente la misma clave en distintos servicios que fueron afectados por una brecha de seguridad que dejó expuestas sus credenciales.

¿Cómo configurar tu tiempo de descanso?

Creo firmemente que si no desconectas es porque no quieres.

Si estuvieses en una zona sin cobertura estarías realmente desconectado, ¿no? En este post explico algo que debería incluirse en la formación prevista en el artículo 88 de la LOPDGDD, ya que no todos los usuarios conocen la existencia de estas funciones.

Considero que es mucho más fácil que yo me desconecte que obligar a mis compañeros a averiguar si tengo derecho a estar desconectado cuando quieran enviarme un mensaje. Porque mi tiempo de descanso puede coincidir con su tiempo de trabajo.

Estas instrucciones van dirigidas a los usuarios de iOS, pero me consta que Android cuenta con funciones parecidas.

Función «No molestar»

En esta pantalla de los ajustes del sistema se puede configurar un periodo de tiempo en el que se silenciarán las llamadas y las notificaciones.

Se pueden establecer excepciones para determinadas personas.

También se pueden establecer excepciones para llamadas repetidas. Si se trata de un asunto urgente y alguien llama dos veces en menos de tres minutos, podemos configurar el sistema para que la llamada entre y no se silencie.

Tiempo de inactividad o de descanso

También podemos programar nuestro tiempo de descanso y personalizarlo para cada día de la semana.

Durante este periodo de tiempo sólo estarán disponibles las aplicaciones seleccionadas, pudiendo bloquear las aplicaciones corporativas.

Otras restricciones

También se pueden configurar las siguientes restricciones:

  1. Límite de uso por aplicación.
  2. Límite de comunicación para los contactos corporativos.

De esta manera, si mañana fuese un día especial y decidiese tomármelo como día de vacaciones, no tengo que esperar ni exigir que mis compañeros lo sepan y dejen de enviarme mensajes. Simplemente me desconecto del trabajo con alguna de estas funciones y ya leeré al día siguiente lo que me hayan enviado.

¿Quién debe desconectar, el remitente o el destinatario?

Ayer publiqué en LinkedIn y en Twitter un ejemplo de pie de mensaje orientado a comunicar al destinatario de un mensaje que el remitente no esperaba respuesta del destinatario hasta el momento en que éste pudiese, dentro de su jornada laboral.

La idea era que el destinatario no se sintiese obligado a contestar si recibía el mensaje durante su tiempo de descanso.

En el debate que se generó tras la publicación, volvieron a plantearse las posiciones que hay sobre la materia, y que resumo a continuación:

  1. Es el remitente el que debe preocuparse de que el remitente no reciba el mensaje en su periodo de descanso.
  2. Es el destinatario el que tiene que desconectarse y no leer los mensajes que pueda recibir durante su periodo de descanso, ya que el remitente no está obligado a conocer los periodos de descanso de todos sus destinatarios.

En ningún momento se planteó la posibilidad de que sea la empresa la que desconecte al remitente y al destinatario, ya que eso es, sencillamente, una aberración.

Las conclusiones teóricas a las que llegué tras el debate, son las mismas que plasmé en el curso gratuito sobre teletrabajo que publicamos hace unos meses en Campus Ribas:

  1. El texto del artículo 88 de la LOPDGDD no determina la forma en que se puede ejercitar este derecho.
  2. Establece que las modalidades de ejercicio del derecho a la desconexión digital atenderán a la naturaleza y objeto de la relación laboral.
  3. Estas modalidades se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores.
  4. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos.
  5. En esta política se definirán las modalidades de ejercicio del derecho a la desconexión.
  6. También se definirán las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.
  7. La prevención de la fatiga informática, igual que el control horario, depende finalmente del momento en que cada uno encienda y apague el dispositivo que le mantiene conectado a la empresa.

Las conclusiones prácticas serían las siguientes:

  1. El remitente puede programar la entrega del mensaje de manera que el remitente lo reciba dentro de su horario laboral.
  2. El problema es que no todas las aplicaciones corporativas permiten programar la entrega del mensaje de manera fácil.
  3. Incluso en las organizaciones más pequeñas es difícil asegurar al 100% que los destinatarios de un mensaje están plenamente operativos, ya que hay turnos de trabajo y de vacaciones, tiempos de descanso, días de libre disposición, bajas por enfermedad, compañeros de viaje en países con otros husos horarios.
  4. En las grandes organizaciones es una tarea imposible asegurar que un envío a varios destinatarios no va a llegar a alguno de ellos en su tiempo de descanso.

En cambio, es mucho más fácil que la persona que entra en un tiempo de descanso se desconecte temporalmente de la empresa.

Porque si se trata de reducir mi fatiga informática, lo que voy a hacer va a ser desconectarme de los demás, y no que los demás se desconecten de mí. Porque pueden no saber que estoy descansado. Por eso existe la función «no molestar».

Y para desconectar tengo varias opciones:

  1. Apagar el dispositivo.
  2. Bloquear las aplicaciones corporativas.
  3. Leer los mensajes corporativos y no contestarlos.

El ejemplo de pie de mensaje iba dirigido a los que optan por esta tercera alternativa.

En cualquier caso, entiendo que la tercera opción es la menos recomendable, ya que no acaba con el estrés ni con la fatiga informática. Nadie se preocupa por lo que no conoce, por lo que lo mejor es desconectar del todo y activar la auto respuesta: «Estoy en mi tiempo de descanso. Contestaré cuando vuelva a estar operativo». También puedes tener la sangre fría del directivo inglés que supo que su fábrica se estaba quemando un domingo por la mañana en pleno partido de golf y dijo «Qué disgusto voy a tener mañana cuando me entere».

El derecho de desconexión es justamente poder aislarme o no contestar sin que haya consecuencias negativas para mí.

Los que no podemos controlar la generación de ideas un domingo por la mañana, cuando la niebla de la batalla de los días laborables se ha disipado y tienes episodios temporales de aparente lucidez, también tenemos derecho a expresarnos en ese momento. Claro que podemos dejar el mensaje como borrador o programar el envío para el lunes, pero seguro que alguno de los destinatarios, tiene fiesta ese día o está de baja. Prefiero pensar que si realmente está descansando, habrá apagado el dispositivo.

Lo contrario es parecido a la respuesta surrealista del que se enfada porque le llamamos cuando está en plena reunión con un cliente. Si está en una reunión con un cliente, ¿por qué contesta?

El ejemplo de pie de mensaje era el siguiente: “He escrito este mensaje de acuerdo con mis horarios y criterios de organización del tiempo. Si lo recibes durante tu periodo de descanso, te confirmo que no espero que me respondas ahora, sino cuando puedas, dentro de tu horario laboral”.

Acceso al curso gratuito de teletrabajo en Campus Ribas

La fórmula del interés legítimo

En este artículo explico el modelo de ponderación del interés legítimo que aplica nuestro despacho y que considero adecuada a los criterios manifestados por la AEPD en sus últimas resoluciones, que suscribo parcialmente. Espero que sea de utilidad.

Inseguridad jurídica

El proceso habitual de concreción de los conceptos ambiguos o indeterminados acostumbra a ser lineal:

  1. El poder legislativo crea la ambigüedad.
  2. Las empresas realizan una interpretación.
  3. Los interesados realizan otra interpretación.
  4. El poder ejecutivo realiza otra interpretación.
  5. El poder judicial acaba con la ambigüedad (no siempre).
  6. El poder legislativo rectifica (no siempre).

Este camino deberán seguirlo conceptos indeterminados del RGPD como «gran escala», «observación sistemática» o «interés legítimo», entre otros.

La existencia de tantos preceptos sujetos a varias interpretaciones fue lo que nos llevó a crear el foro GDPR Hacks como sandbox o lugar de experimentación y debate sobre conceptos indeterminados.

En el caso concreto del interés legítimo, la falta de concreción de este concepto está empezando a costar dinero a las empresas españolas y se configura como una importante fuente de inseguridad jurídica.

Ello es especialmente preocupante cuando todas las puertas de las restantes bases jurídicas se han ido cerrando y el interés legítimo se ha convertido en el último trozo de madera flotante al que asirse:

  1. El consentimiento en muchas situaciones no es libre, está condicionado o es insuficiente.
  2. La ejecución del contrato se limita a tratamientos necesarios y estrictamente relacionados con la prestación principal.
  3. La obligación legal tiene que provenir de una norma con rango de ley.
  4. El interés público también.

Si en muchos tratamientos la única base jurídica posible es el interés legítimo, ¿por qué no lo concretamos de una vez y dejamos de jugar al gato y al ratón o al ensayo – error?

Beneficios y perjuicios

Mi propuesta en este ámbito consiste en aplicar un modelo de ponderación muy sencillo que se basa en comprobar si pesan más los beneficios o los perjuicios.

La AEPD ha dejado claro en sus últimas resoluciones que el interés legítimo no es lo mismo que la finalidad del tratamiento y que tiene que suponer un beneficio para el responsable del tratamiento. A ese beneficio se contrapone el riesgo o el perjuicio que el tratamiento puede generar para los intereses y derechos del interesado, ya que lo que más pesa para el interesado no es el derecho en sí mismo, si no el riesgo de perderlo o de verlo limitado.

El derecho de una parte se corresponde con una obligación de la otra. De la misma manera, el beneficio de una parte también se puede corresponder con un perjuicio o un riesgo para la otra. Aunque el objetivo es que todos ganen.

En conclusión: tanto podemos ponderar intereses y derechos como beneficios y perjuicios de todas las partes implicadas.

Partes implicadas

En la fórmula de la ponderación tradicional sólo se tiene en cuenta al responsable del tratamiento y al interesado, olvidando a otras partes que pueden quedar afectadas por el tratamiento, a las que debemos llamar a la causa porque tienen intereses en ella, como en los casos de litisconsorcio necesario.

Así lo establece el artículo 6.1.f al añadir en la ecuación el interés legítimo de un tercero.

Ello nos obliga a tener en cuenta a todos los grupos de interés que pueden resultar beneficiados o perjudicados por el tratamiento. 

En los dos supuestos clásicos relativos a la prevención del fraude y a la seguridad de la red, previstos en los considerandos 47 y 49 del RGPD, es evidente que el beneficiario no es únicamente el responsable del tratamiento, sino también todos los grupos de interés que esperan que las transacciones y las comunicaciones sean seguras, y que su dinero y sus datos no estén en peligro. 

Modelo matemático

No podemos reducir la ponderación del interés legítimo a una fórmula matemática, porque la cuantificación de las variables que participan en ella siempre estarán cargadas de subjetividad. 

Pero una fórmula matemática puede ayudarnos a representar gráficamente la balanza en la que deberemos pesar esas variables y ver hacia dónde se decanta.

La fórmula que surge de la interpretación literal del artículo 6.1.f del RGPD es la siguiente:

P = (ILR + ILT) – (II + DI)

En ella, la ponderación (P) tiene en cuenta la suma del interés legítimo del responsable del tratamiento (ILR) y el de un tercero (ILT), a la que resta los intereses y derechos del interesado (II + DI).

El resultado de esta fórmula debe ser positivo. En caso contrario la base del interés legítimo no puede ser aplicada.

Pero ¿cómo calculamos el valor de los intereses y los derechos de los interesados? Si son algo positivo para el interesado no pueden restar. De ahí la utilidad de valorar el impacto en esos derechos como variable a restar. Exactamente igual que en el modelo matemático de una evaluación de impacto o en el modelo matemático que sigue la AEPD en la herramienta Comunica Brecha RGPD, que calcula si una brecha de seguridad debe ser comunicada a los interesados o no.

Si a ello unimos las conclusiones de los apartados anteriores en relación al carácter bilateral o sinalagmático de los beneficios y los perjuicios para todas las partes afectadas por el tratamiento, la fórmula que propongo es la siguiente:

P = (BR + BT + BI) – (RI + PI + PT)

En ella, la ponderación (P) tiene en cuenta la suma del beneficio obtenido o esperado por el responsable del tratamiento (BR), por un tercero (BT) y por el propio interesado (BI), a la que resta los riesgos y perjuicios que el tratamiento puede generar para el interesado (RI + PI) o incluso para terceros (PT).

Hoja Excel de ponderación del interés legítimo

En la imagen que encabeza este artículo puede verse un ejemplo de tabla realizada con Excel, en la que hemos representado dos columnas.

En la columna de la izquierda relacionamos y cuantificamos los beneficios que el tratamiento va a generar para los siguientes actores:

  1. El responsable del tratamiento.
  2. El interesado.
  3. Otros grupos de interés o terceros como la sociedad, el mercado, los clientes, los proveedores o los trabajadores del responsable del tratamiento.

En la columna de la derecha relacionaremos y cuantificaremos los perjuicios y los riesgos que el tratamiento puede generar para los derechos y libertades del interesado y para los restantes actores relacionados en el apartado anterior.

La suma de los valores de cada columna permitirá finalizar la ponderación, al comprobar si el valor total de la columna de la izquierda es superior al de la columna de la derecha.

Aunque el modelo matemático es en sí mismo objetivo, el problema surge en el momento en que asignamos un valor a cada variable, ya que es obvio que el responsable del tratamiento tenderá a asignar un mayor valor a los beneficios que a los perjuicios, lo que equivaldrá a realizar una ponderación claramente escorada a su favor.

Cómo eliminar la subjetividad

Una forma de eliminar la subjetividad de la ponderación es aplicar el trámite previsto en el artículo 35.9 del RGPD para las evaluaciones de impacto y consultar al interesado o a sus representantes.

Se puede considerar representante en este caso a una entidad de defienda los intereses de un colectivo determinado de consumidores o usuarios. En el ámbito académico a los delegados de clase. En el ámbito laboral, a los representantes de los trabajadores.

En algunos casos esa consulta puede quedar sustituida por el principio de obviedad o incluso de notoriedad de la más que probable respuesta. Por ejemplo, en el caso de la prevención del fraude o de la seguridad de una red de telecomunicaciones no parece necesario preguntar a los usuarios si tienen interés en la seguridad de su dinero o de sus datos. El legislador ha presumido ese interés en los considerandos 47 y 49 del RGPD.

Otra forma de reducir la subjetividad es solicitar un informe o una valoración a un experto independiente o a una entidad que no esté vinculada a las partes implicadas en el tratamiento ni contaminada por los intereses que se ponderan.

Y el más adecuado al principio de responsabilidad proactiva es el ejercicio del derecho de oposición por parte del interesado.

El derecho de oposición como indicador de la opinión del interesado

En la ponderación del interés legítimo no hay una suplantación del interesado, sino una valoración de los intereses de las partes implicadas, que es justamente lo que el legislador nos exige al realizar la ponderación del interés legítimo.

En la política de privacidad y en las cláusulas contractuales el responsable del tratamiento informa al interesado del resultado de la ponderación, indicando que tiene interés legítimo para realizar el tratamiento y el interesado tiene el derecho a oponerse a esa ponderación ejerciendo el derecho de oposición al tratamiento.

La forma más eficiente de valorar la opinión del interesado consiste en informarle del tratamiento, del interés legítimo en el que éste se basa y del derecho oposición que le asiste.

El número de solicitudes de ejercicio del derecho siempre ha sido un indicador de la opinión del interesado en relación al tratamiento, de manera que un número alto de solicitudes obliga al responsable a realizar correcciones inmediatas en el tratamiento y en la base de legitimación.

Transcurridos casi 30 años de protección de datos en España, no podemos seguir alegando cuestiones culturales para justificar la intervención de la autoridad de control en el ejercicio de ponderación del interés legítimo. Si los interesados en general no se oponen a un tratamiento en pleno 2021, ¿es porque no conocen que pueden oponerse a él, porque no conocen el riesgo que genera o porqué les da igual?

Después de 30 años es posible que haya interesados que no conozcan sus derechos, por eso se les informa. La cuestión es que la autoridad de control puede considerar que no se les ha informado adecuadamente. Por eso es necesario realizar una buena ponderación del interés legítimo e informar correctamente al interesado.

Pero el acto de la ponderación es intrínsecamente privado y lo que verá el interesado es el resultado de la misma, sin perjuicio de que el responsable del tratamiento desee realizar un ejercicio de transparencia y publicar la tabla de ponderación.

En un mercado tan maduro como el español, si los interesados han sido correctamente informados, la ausencia de solicitudes de ejercicio del derecho de oposición debería ser un indicador suficiente para acreditar que la aplicación del interés legítimo a un tratamiento concreto se ha hecho de forma adecuada.

Sobre la anécdota de las felicitaciones

Siempre digo que el compliance nos dejó sin regalos de Navidad y la protección de datos nos dejará sin felicitaciones. Pero no por el imperio de la ley, sino por criterios desacertados.

Si una empresa considera que es una buena práctica comunicar sus mejores deseos para el nuevo año a sus clientes, es lógico que presuma que sus clientes tienen una expectativa razonable de recibir esta felicitación, porque es una costumbre arraigada. Cualquier notario, por exigente que fuese, accedería a realizar un acta de notoriedad de la existencia de esta costumbre, por lo que debería reconocerse que el criterio aplicado es objetivo.

Si alguien quiere romper esta tradición y autoexcluirse del colectivo de destinatarios de esos buenos deseos, el mecanismo específicamente diseñado para ello es el ejercicio del derecho de oposición. Pero por defecto, dejad que nos felicitemos, que hay pocas ocasiones hoy en día para hacerlo.

No se desplaza al interesado de la ponderación del interés legítimo porque el RGPD no ha previsto que esté en ella. El RGPD establece que el responsable debe valorar los intereses de las partes implicadas, y ya que puede equivocarse en la valoración, por eso se ha incluido el derecho de oposición como garantía posterior al momento de informar del tratamiento.

Modelo de hoja Excel de ponderación del interés legítimo

En el sandbox GDPR Hacks de Campus Ribas hemos incluido la hoja Excel comentada en este artículo, que permite realizar la ponderación del interés legítimo. Será bienvenida cualquier aportación o comentario en el foro de debate. También recopilaremos en GDPR Docs las hojas Excel relativas a escenarios de ponderación del interés legítimo en tratamientos concretos.

Esta Excel es un documento importante, ya que constituye una evidencia del esfuerzo de ponderación realizado por el responsable del tratamiento antes de aplicar el interés legítimo como base de legitimación, y por ello debe conservarse en el repositorio de evidencias de la empresa.

El principio de obviedad y las sanciones a BBVA y CaixaBank

La década de los 80 sirvió a los jueces españoles para buscar el justo equilibrio entre el respeto de los derechos fundamentales de los imputados en causas penales y la investigación de los presuntos delitos cometidos.

Los primeros pasos de la joven Constitución de 1978 sirvieron de ensayo para unos jueces que tuvieron que adecuarse de forma acelerada al nuevo marco constitucional con el temor a ser tachados de conservadores por la parte más progresista de la doctrina.

No es de extrañar que los primeros autos y sentencias no encontrasen el equilibrio buscado y decantasen excesivamente la balanza a favor del reo, situación a la que le dimos todos la bienvenida después de tantos años, aunque poco a poco nos diésemos cuenta de que no era sostenible en el tiempo.

Algo parecido está pasando con la protección de datos.

La década de los años 20 del siglo XXI debe servir a las autoridades de control europeas para encontrar el justo equilibrio entre los derechos del interesado y los derechos del responsable del tratamiento.

El RGPD, igual que la Constitución española en los 80, todavía está empezando a andar y de estos primeros pasos depende que la protección de datos se convierta en un elemento más del mapa de obligaciones a cumplir o en un obstáculo para la actividad empresarial.

Un punto del RGPD en el que debemos encontrar con urgencia el justo equilibrio reside en la cantidad y la calidad de la información sobre el tratamiento que debe suministrarse al interesado.

El artículo 12 del RGPD exige que la información se facilite de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Pero las dos últimas resoluciones de la AEPD que sancionan al BBVA y a CaixaBank, ponen el listón del detalle de la información en una posición que nos aleja de la concisión, la inteligibilidad, la accesibilidad, la claridad y la sencillez.

Porque podemos hablar con un lenguaje claro y cercano: «Registraremos la forma en que utilizas nuestro servicios para conocerte mejor, personalizarlos y adaptarlos a tus preferencias» o con un lenguaje más técnico y menos accesible: «Registraremos en nuestro CRM los parámetros generados en el uso de los productos de financiación y de inversión con el fin de determinar tu solvencia económica, el nivel de aversión al riesgo, scoring, rentabilidad, fidelidad y mora, con el fin de asegurar un nivel alto de coincidencia entre estos datos y los productos de financiación y de inversión que te podamos ofrecer».

La cantidad y la calidad de la información a suministrar van asociadas a un concepto que acuñé hace años, al que llamo el principio de obviedad. Este principio defiende la idea de que no es necesario informar de los detalles del tratamiento que resultan obvios para el interesado.

Por ejemplo, si un proveedor me envía regularmente un mensaje de correo electrónico con su factura no espero ver un texto informativo al final del mensaje diciendo que tiene mi dirección de correo electrónico y que la está utilizando para enviarme un mensaje que escribirá en un ordenador portátil, introduciendo mi dirección en una aplicación de correo electrónico, haciendo posteriormente clic en un botón que ordenará a la aplicación el tratamiento de la dirección de correo electrónico para enviar el mensaje. Es además innecesario indicar que el mensaje se fragmentará en diversos paquetes IP, y que como fruto de esta conversión, que también es un tratamiento, cada paquete sabrá dónde tiene que ir, y pasará por múltiples servidores y rúters hasta llegar a mi proveedor de Internet, que recopilará los paquetes IP, recompondrá el mensaje y lo dejará en mi buzón de entrada.

Tampoco le informo de que es posible que imprima la factura en la que aparecen sus datos personales.

No se suministra esta información porque es obvio que todo esto va a pasar y el interesado ya lo sabe, lo intuye o no le interesa tener ese nivel de detalle.

Lo más cercano al principio de obviedad, aunque no coincida plenamente, lo encontramos en los artículos 13 y 14 del RGPD, que exoneran al responsable del tratamiento de todas sus obligaciones de información cuando el interesado ya disponga de la información.

El artículo 13.4 indica concretamente que las disposiciones de los apartados 1, 2 y 3 (el resto del artículo) no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.

El artículo 4.2 del RGPD define el concepto tratamiento como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

¿Cuántos contratos, políticas de privacidad, condiciones generales de contratación y textos informativos informan con carácter exhaustivo de todos los tratamientos que tendrán lugar durante el ciclo de vida de un dato?

¿En alguno de estos textos se informa, por ejemplo, del proceso de imprimir?

¿Por qué razón? ¿Porque tenemos que ser concisos, por un olvido o porque es obvio que alguna vez imprimiremos?

Lo mismo sucede al informar de los datos a tratar. Si un interesado cumplimenta un formulario con 25 campos, ¿es necesario informarle dos veces de que disponemos de esos datos? Vamos a informarle de la finalidad y de la necesidad de tratar esos datos pero no vamos a repetir con todo detalle que tenemos los datos que el interesado acaba de introducir en el formulario porque es obvio, el interesado ya dispone de esta información y sería un insulto para su inteligencia.

Aunque por cuestiones de cultura de prevención de riesgos podría ser posible en EEUU, en Europa no podemos imaginar un ascensor en el que cada botón numérico tenga al lado una leyenda sobre su función: «Pulse este botón con el número 1 si desea ir a la planta 1. Pulse este botón con el número 2 si desea ir a la planta número 2». ¿Quién no sentiría que están tratándolo de inútil en un ascensor como éste?

La obviedad, como el interés legítimo, responde a criterios subjetivos, evidentemente. Lo que es obvio para uno no lo es para otro. Pero hay detalles del tratamiento que forman parte de la cultura y de los usos de cada sector, del umbral de percepción creado justamente por la protección de datos por defecto. Y se pueden acreditar.

Debe llegar el momento en que se alcance un justo equilibrio entre la información que el interesado debe recibir y el detalle que el responsable del tratamiento debe suministrar de forma concisa y clara. Y las autoridades de control tienen un importante papel en normalizar este proceso para que no sea un obstáculo para la actividad empresarial.

Al mismo tiempo, el nivel de madurez y de experiencia se incrementará en el responsable del tratamiento y en el interesado, de manera que el proceso de información se irá adaptando y haciéndose natural. Tan natural como la información que nos suministra el bar que conoce perfectamente nuestras rutinas y preferencias: «¿El café como siempre?».

RIESGOS 2021

Si deseas colaborar en el ranking de riesgos de 2021 sólo tienes que indicar los tres principales riesgos que consideras que las empresas de un sector determinado deben tener en cuenta en 2021.

También puedes indicar riesgos transversales para todos los sectores.

Esta iniciativa se enmarca en el proyecto Mapa de riesgos 2021 de Campus Ribas y tiene como objetivo identificar los principales riesgos de cada sector en 2021.

Los riesgos deben pertenecer a las siguientes categorías de riesgo:

  1. Riesgos de negocio que pueden generar riesgos de cumplimiento.
  2. Riesgos de cumplimiento que pueden generar riesgos de negocio.

Los riesgos se pueden comunicar a través de los siguientes canales:

  1. Post ”Ranking de riesgos 2021” de Xavier Ribas en LinkedIn.
  2. Tweet ”Ranking de riesgos 2021” de Xavier Ribas en Twitter.
  3. Mensaje de correo electrónico a xavier.ribas@ribastic.com.

Muchas gracias por participar.

Cifrado de datos en tránsito por EEUU – Opinión del CEPD

El punto 84 de las recomendaciones del CEPD relativas a las medidas adicionales a aplicar a las transferencias a terceros países, especialmente a EEUU, toca el delicado tema del enrutamiento.

En este punto 84 se describe el escenario cotidiano del responsable del tratamiento que envía datos personales a través de internet, a un país que garantiza una adecuada protección, siguiendo una ruta que pasa por un tercer país como EEUU.

Todos sabemos que la función de los rúters es la de encaminar paquetes IP a través de una red en la que el camino más rápido no es necesariamente el más corto. De manera parecida a las calles y las carreteras, Internet también tiene sus horas punta, en las que es más rápido utilizar rutas alternativas que son más largas que la ruta directa al destino propuesto.

En el artículo titulado «Qué ruta sigue un correo que enviamos de Jaén a Madrid» se explica muy bien cómo se establece una ruta en Internet, y cómo puede darse el caso muy habitual de que el mensaje siga la ruta Jaén-Estados Unidos-Reino Unido-Madrid.

El punto 84 de las recomendaciones del CEPD reconoce la posibilidad de que los datos transmitidos a través de Internet sean encaminados a través de un país que no suministre una protección equivalente. La probabilidad de que este país sea EEUU es muy alta, dado el control que las empresas norteamericanas tienen sobre la infraestructura de transporte de Internet.

El CEPD analiza el cifrado de la capa transporte como una posible solución, pero recomienda que los protocolos de cifrado utilizados sean de última generación y que proporcionen una protección eficaz contra los ataques activos y pasivos que las autoridades públicas del tercer país puedan realizar con los recursos conocidos que tienen a su disposición.

El descifrado de los datos sólo debe ser posible fuera del tercer país en cuestión.

Las partes implicadas en la comunicación deben acordar el uso de una autoridad certificadora de clave pública o de una infraestructura confiables.

Deben utilizarse medidas específicas de protección de última generación contra los ataques activos y pasivos contra el cifrado de la capa de transporte.

En caso de que el cifrado de la capa transporte no proporcione por sí misma la seguridad adecuada debido a las vulnerabilidades de la infraestructura o el software utilizado, los datos personales también deben ser cifrados de extremo a extremo en la capa de aplicación usando métodos de cifrado de última generación.

Debe utilizarse un algoritmo de cifrado y parametrización (longitud de la clave, simetría de la clave y restantes elementos operativos) que sean conformes con el estado del arte y que puedan considerarse robustos contra un análisis criptográfico llevado a cabo por las autoridades públicas del tercer país, teniendo en cuenta los recursos y capacidades técnicas  disponibles para ellas. Por ejemplo, la potencia de proceso para ataques de fuerza bruta.

La potencia de cifrado debe ser adecuada para el período de tiempo específico durante el cual debe preservarse la confidencialidad de los datos personales cifrados.

El algoritmo de cifrado debe aplicarse mediante programas informáticos debidamente mantenidos cuya conformidad con la especificación del algoritmo elegido se ha verificado, por ejemplo, mediante certificación.

El exportador de los datos tiene que verificar que no existan puertas traseras en el hardware y en el software utilizado.

Las claves deben ser gestionadas de manera fiable (generadas, administradas, almacenadas, si procede, vinculadas a la identidad del destinatario previsto, y revocadas), por el exportador o por una entidad en la que éste confía bajo una jurisdicción que ofrece un nivel de protección esencialmente equivalente.

Si se cumplen todos estos requisitos, el CEPD considera que el cifrado de la capa de transporte, si es necesario en combinación con el cifrado del contenido de extremo a extremo, proporciona una medida adicional eficaz.

Otra medida interesante, a pesar de sus limitaciones, es la configuración del enrutamiento por parte del exportador de los datos. Ejemplo en Gmail.

Teniendo en cuenta estas recomendaciones y el hecho de que un simple correo electrónico enviado de Europa a Europa puede contener datos personales que viajen por rúters y segmentos de la red controlados por terceros países como EEUU, cabe preguntarse si las administraciones públicas europeas, las autoridades de control e incluso los activistas que más han luchado contra las transferencias sin garantías adecuadas a EEUU, están aplicando estas medidas.

IINFORMACIÓN ADICIONAL

Seguridad de la capa de transporte.
Capa de aplicación.
Cifrado de extremo a extremo.
Configuración del enrutamiento en Gmail.
Cifrado del correo electrónico con S/MIMEE en Gmail.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Cifrado de datos almacenados en un servidor en EEUU – Opinión del CEPD

En las recomendaciones sobre transferencias a terceros países el CEPD menciona el cifrado de datos como una medida técnica adecuada para complementar las medidas del artículo 46 del RGPD. Esta medida es especialmente útil en el casos de las transferencias a EEUU.

El CEPD distingue entre los datos que se encuentran almacenados en un servidor controlado por una empresa norteamericana y los que se encuentran en tránsito y van a pasar por un tercer país.

Los requisitos para los primeros son los siguientes.

Cifrado de datos almacenados

1. El cifrado de los datos debe realizarse con un sistema de cifrado fuerte antes del envío de los datos.

2. Debe utilizarse un algoritmo de cifrado y parametrización (longitud de la clave, simetría de la clave y restantes elementos operativos) que sean conformes con el estado del arte y que puedan considerarse robustos contra un análisis criptográfico llevado a cabo por las autoridades públicas del país de destino, teniendo en cuenta los recursos y capacidades técnicas  disponibles para ellas. Por ejemplo, la potencia de proceso para ataques de fuerza bruta.

3. La potencia de cifrado debe ser adecuada para el período de tiempo específico durante el cual debe preservarse la confidencialidad de los datos personales cifrados.

4. El algoritmo de cifrado debe aplicarse mediante programas informáticos debidamente mantenidos cuya conformidad con la especificación del algoritmo elegido se ha verificado, por ejemplo, mediante certificación.

5. Las claves deben gestionarse de manera fiable (se generan, administran, almacenan y se revocan).

6. Las claves deben conservarse únicamente bajo el control del exportador de datos.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.

Cuarto paso para transferir datos a terceros países según el CEPD

El Comité Europeo de Protección de Datos menciona las siguientes acciones a realizar en sus recomendaciones sobre la cuarta fase en materia de transferencias a terceros países, especialmente a EEUU.

4.1 Identificar las medidas aplicables a cada caso.

4.2 Verificar la eficacia potencial a cada caso de las medidas identificadas.

4.3 Seleccionar las medidas contractuales, técnicas u organizativas más adecuadas.

4.4 Tener en cuenta que las medidas contractuales y organizativas no impedirán el acceso de las agencias de inteligencia a los datos en la mayoría de los casos.

4.5 Lista de factores a tener en cuenta a la hora de seleccionar las medidas adicionales a aplicar:

  • Formato de los datos a transferir.
  • Categoría de datos.
  • Duración y complejidad del tratamiento.
  • Número de actores implicados en el tratamiento.
  • Transferencias sucesivas al mismo país o a otros terceros países.

4.6 Ejemplos de medidas técnicas válidas

  • Cifrado de datos almacenados.
  • Cifrado de datos en tránsito.
  • Seudonimización.
  • Fragmentación – Tratamiento dividido entre varios encargados.
  • Destinatario protegido.

4.7 Ejemplos de medidas técnicas insuficientes

  • Servicios de cloud computing en los que el proveedor necesita tener acceso en claro a los datos para poder prestar el servicio.
  • Servicios de cloud computing o de hosting en los que el proveedor tiene acceso a la clave de cifrado.
  • Acceso de remoto del proveedor a un servidor en el EEE del responsable del tratamiento europeo.

En sucesivos artículos hablaremos de las medidas contractuales y organizativas.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.