Practicas habitualmente deporte y llevas algún tiempo buscando un dispositivo para poder valorar tu rendimiento físico y mejorar en tus entrenamientos. Finalmente, has decidido adquirir un modelo de última generación que, además de medir tu actividad deportiva, te ofrece la posibilidad de medir tu actividad física general y tu actividad diaria. Cuando lo enciendes por primera vez, compruebas que apenas te facilita la hora, la fecha y algunas funciones básicas. Tienes que conectarlo a internet y registrarte en la web del fabricante para poder disponer de otras funcionalidades y, para registrarte en la web del fabricante, completas un formulario con tus datos personales añadiendo una dirección de email.

Así, sales a con tu nuevo dispositivo a montar en bicicleta por el campo, seleccionas la modalidad ciclismo de montaña para medir tu actividad y te pones en marcha. Durante el recorrido tienes un pequeño pinchazo que hace que uno de tus neumáticos pierda aire; paras a reponer aire en tres ocasiones a intervalos de unos diez minutos y finalmente llegas a casa. El dispositivo ha registrado tu actividad tal y como deseabas, lo sincronizas con tu teléfono móvil, y este refleja la información de tu actividad y también en la web del fabricante. Puedes ver tu recorrido, tus pulsaciones y todo tipo de información.

Han transcurrido unas horas desde el final de tu entrenamiento, te relajas y entras en un conocido portal de vídeos. Los primeros videos que observas te indican cómo reparar un pinchazo. Ojeas otras páginas web, que muestran publicidad sobre neumáticos para bicicletas de montaña.

Es la denominada Internet de las Cosas o IoT (acrónimo de Internet of Things). El fabricante de tu dispositivo tiene perfiladas las actividades que realizas y saca conclusiones sobre los posibles productos que vas a necesitar en función de determinados parámetros que registrados por el dispositivo. En este caso, el algoritmo utilizado determina que cuando practicas la modalidad deportiva “ciclismo de montaña” y realizas paradas breves a determinados intervalos es muy probable que hayas tenido un pinchazo y lógicamente estás interesado en buscar una solución. Durante unos días verás publicidad relacionada con tu problema cuando una web te identifica y, en este caso, los productos relacionados con tu actividad deportiva como neumáticos u otros componentes van a acompañarte durante algún tiempo mientras navegas.

Cada vez es mayor el número de dispositivos que nos rodea y que obtienen información sobre nuestra persona, sobre nuestros hábitos de vida y de consumo. Smartphones, pulseras de actividad, relojes, frigoríficos, televisores, dispositivos multimedia, vehículos conectados, viviendas conectadas, aspiradores, etc. Los fabricantes de estos dispositivos obtienen beneficios a cambio de la información personal que obtienen del usuario, y la publicidad es una de ellas. Puedes encontrar más información en esteDictamen del Grupo de Autoridades europeas de Protección de Datos sobre Internet de las cosas.

Si bien esta parece ser la tendencia del mercado y puede ser cada vez más complejo proteger nuestra información personal, existen algunas pautas que nos pueden ayudar a controlar el uso que se hace de la misma.

Sería bueno añadir la privacidad a los criterios con los que adquirimos un determinado producto o servicio; leer toda la información que nos facilita el fabricante antes de adquirir un producto, leer las cláusulas de privacidad antes de registrar nuestro producto y, en especial, prestar atención a la información que se nos facilita acerca de nuestros derechos y la manera en la que podemos ejercerlos.

También puede ocurrir que algunas de las funcionalidades de nuestro nuevo producto no sean necesarias para nosotros o, al menos, que no lo sean todo el tiempo. Finalmente, cuando nos registramos en la web de un fabricante, es recomendable tener en cuenta las opciones de configuración que nos ofrece, y en especial todas aquellas que permitan al fabricante hacer públicas o compartir con terceros nuestra información personal.

La existencia del riesgo es inherente a cualquier actividad humana y, por lo tanto, su diversidad es tan variada como las actividades que se realizan: laborales, de salud, financieras, ambientales, de seguridad de la información o los riesgos en los tratamientos de datos personales. El análisis de riesgos es una herramienta que permite realizar una valoración objetiva de los mismos y las posibles medidas que podemos utilizar para mitigarlo.

El enfoque de riesgos en protección de datos tiene al menos dos vertientes:

La orientada a determinar las medidas de seguridad técnicas y organizativas para proteger los datos personales
Los riesgos para los derechos y libertades de las personas

La primera de estas dos vertientes existe desde hace tiempo y está demostrada su eficacia en el contexto de las medidas de seguridad de la información, ya que permite a los responsables modular las medidas de seguridad y encontrar un equilibrio razonable entre lo que se pretende proteger (el activo) y el esfuerzo empleado en ello. No obstante, en este caso hablamos de riesgos para el propio responsable y no para el interesado o el titular de los datos.

Cuando hablamos de riesgos para los derechos y libertades de las personas, tenemos que tener en cuenta la necesidad de cuantificar tanto las consecuencias tangibles como las intangibles. En algunos casos el tratamiento de datos puede tener  consecuencias negativas para las personasque pueden afectar a sus derechos o a sus libertades. Ejemplos de estas consecuencias negativas pueden ser la marginación, la exclusión social, las dificultades para acceder a un puesto de trabajo, problemas para contratar determinados servicios, etc.

En un tratamiento de datos personales, los riesgos para el interesado son principalmente los que puedan afectar a sus derechos y libertades. Ello se traslada al  

Reglamento General de Proteccin de Datos

 (aplicable el 25 de mayo de 2018) en varias formas:

La protección de datos desde el diseño
La protección de datos por defecto
Las evaluaciones de impacto.

Estas interpretaciones del riesgo implican la necesidad de utilizar una metodología de análisis de riesgos. En este sentido,  la Agencia está ultimando una Guía de análisis de riesgo que se publicará en breve junto a un catálogo de cumplimiento normativo.

En la práctica, el análisis de riesgos es un estudio metódico y sistemático en el que se utilizan métricas que ayudan a cuantificar comprensivamente el grado de riesgo. Para llevar a cabo este estudio es necesario utilizar una metodología que nos ayudará a trazar los niveles de riesgo aceptables en cada caso, ya que sin la ayuda de una metodología no podrá realizarse un análisis de riesgo de forma objetiva. Estas metodologías pueden venir del sector corporativo o de negocio, del mundo normativo (ISO) o de las propias Administraciones como es el caso de la metodología de análisis de riesgos  MAGERIT.

La suma de los posibles riesgos de una organización constituye lo que podríamos llamar su mapa de riesgos. Cada tratamiento de datos personales y cada organización tendrán su propio mapa, ya que el mismo tratamiento puede tener diferente mapa en función de la organización o el espacio físico en el que tenga lugar.

El mapa de riesgos no es estático, con frecuencia puede estar asociado a la tecnología y, por lo tanto, evolucionar. El catálogo o mapa de riesgos debe de estar realimentado con el resultado de cambios y experiencias de la organización (incidencias, actualizaciones de infraestructura, cambios normativos, etc.) A cada riesgo, siempre que sea posible, se le asociará al menos una salvaguarda y, por lo tanto, existirá un mapa de riesgos y otro de salvaguardas. En la práctica esta actualización es un ciclo o proceso de mejora continua que nos garantiza la puesta al día.

Ciclo de mejora continua

Este ciclo de mejora continua para el análisis de riesgos se puede resumir en cuatro fases según se muestra en el siguiente gráfico:

La fase del diseño del marco de trabajo está orientada a estructurar el análisis de riesgos dentro de una organización, teniendo en cuenta el contexto específico y las medidas organizativas necesarias para articular los procesos de análisis de riesgos.

La segunda fase está encaminada a la  gestión del riesgo en línea con los objetivos que se hubieran planteado en la fase anterior. La auditoría o revisión deberá mostrar con evidencias los resultados de las salvaguardas que se hayan puesto en marcha según el diseño de la política de riesgos que se haya realizado en la fase inicial. En general se trata de abordar de forma objetiva y repetible el posible desfase entre los objetivos iniciales y los resultados obtenidos o, dicho en términos de análisis de riesgos, valorar si tras la gestión del riesgo el valor residual es aceptable y por lo tanto se encuentra dentro de los objetivos del marco de trabajo. Finalmente, en base a los resultados se debe intentar mejorar el diseño del marco de trabajo, técnicamente es lo que se denomina ciclo PDCA (Plan, Do, Check, Act- Planificar, Hacer, Verificar, Actuar) o ciclo de mejora continua de un sistema, en este caso, el sistema de análisis de riesgos de una organización.

Además de la metodología MAGERIT antes mencionada, existen en el mercado estándares y normas que pueden ser tenidas en cuenta para la realización de análisis de riesgos, por ejemplo las normas ISO 31OOO y 31010 para el análisis y la gestión del riesgo o la norma ISO 27005 para los riesgos de la seguridad de la información.

Fases

Teniendo en cuenta las normas mencionadas, algunas de las fases que podrían ser tenidas en cuenta para implementar una política de riesgos son:

COMUNICACIÓN: involucrar a toda la organización, identificar riesgos y probabilidades de que los mismos se materialicen, establecer prioridades y objetivos, concienciación y formación del personal.
CONTEXTO: definir el marco en el que se desarrolla la política de análisis de riesgos teniendo en cuenta normativas aplicables, riesgos aceptables y el mapa de elementos implicados en los tratamientos de datos personales (activos).
IDENTIFICAR RIESGOS: elaboración del mapa de riesgos de la organización, cuantificar posibles daños.
ANALIZAR Y EVALUAR EL RIESGO: mediante escalas cuantitativas o cualitativas se establecen valores objetivos para cada riesgo.
GESTIONAR EL RIESGO: determinar para cada riesgo las salvaguardas aplicables teniendo en cuenta la relación costo-beneficio que pueda existir en cada caso.
SEGUIMIENTO DEL RIESGO: auditorías, informes, incorporación de activos, en general cualquier cambio que implique una modificación del riesgo y sus salvaguardas correspondientes.

El análisis de riesgos en el RGPD forma parte del  principio de responsabilidad proactiva (accountability) por el que los responsables deben siempre estar en condiciones de demostrar la licitud de los tratamientos y permite la adecuación particularizada de cada tratamiento a sus circunstancias específicas, es decir, permite elaborar un mapa de riesgos y salvaguardas adecuados a cada tratamiento concreto teniendo en cuenta los riesgos para los derechos y libertades de las personas y los riesgos para la seguridad de la información.

Supongamos que se quiere acometer el desarrollo de un nuevo sistema informático en una organización, bien para actualizar uno existente, o bien cubrir una nueva área de negocio. Puesto que ya se sabe que va a haber tratamiento de datos personales, desde el minuto uno la dirección es consciente de que el recién nombrado Delegado de Protección de Datos (DPD) debe participar en el proyecto de una forma activa. ¿Cómo? ¿Deberá el DPD trabajar con los técnicos del departamento TIC, deberá permanecer en el plano funcional o teórico, o tal vez deberá asumir un rol horizontal similar al del responsable de calidad? ¿En qué etapas del desarrollo del sistema de información debe implicarse más, y de qué manera? ¿Será capaz de entenderse con la documentación técnica generada en el proyecto, con los consultores de las empresas y con los operadores y clientes?

En esta serie de artículos vamos a profundizar sobre  

El delegado de protección de datos en las Administraciones Públicas

 cuando se construyen sistemas de información en las organizaciones estudiando cómo participa en cada una de las etapas del ciclo de vida. En la primera entrega nos centraremos el en la planificación de los sistemas de la organización, y en próximos capítulos abordaremos las demás fases.

¿Quién es el DPD?

El  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD) introduce la figura del delegado de protección de datos o DPD en su sección IV (artículos 37 al 39). En el artículo 37.5 se indica que su designación se producirá atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones establecidas en el artículo 39. Y en el artículo 39.1 se enumeran las funciones concretas asociadas a este rol, que básicamente se refieren a informar, asesorar y supervisar, cooperar y consultar, y ser punto de contacto en su organización en lo relativo a la protección de datos.

Más allá del Reglamento, el Grupo de Trabajo del Artículo 29 ha profundizado sobre las funciones del delegado en el documento  Directrices sobre los delegados de la protección de datos (DPD), donde aparecen además algunas de las obligaciones de las organizaciones hacia sus DPD.

También, si queremos profundizar en las funciones del DPD, es posible encontrar una descripción detallada, en este caso en las administraciones públicas, en el documento 

Funciones del DPD en las AAPP

Por último, las organizaciones están buscando cuál es perfil ideal para un DPD, y la Agencia Española de Protección de Datos ha presentado en colaboración con la Entidad Nacional de Acreditación (ENAC)  su esquema de certificación para los candidatos.

¿Cómo es la vida de los sistemas de información?

El ciclo de vida del software es un proceso definido en el que a través de múltiples etapas se regula la concepción, el desarrollo y la operación de los sistemas informáticos. Al ser tan variados los tipos de sistemas software que existen y las tecnologías que los sustentan, son muchas las metodologías que se han descrito para que una organización desarrolle y supervise la vida de sus sistemas de información.

Por ejemplo, es común partir de una planificación a alto nivel de los sistemas informáticos, que sirve para alinear el trabajo y de los recursos TIC con el resto de la organización. Como resultado de esa visión estratégica o plan de sistemas de información, las organizaciones van desarrollando nuevos programas, y modificando o retirando los existentes. Cada vez que se acomete el desarrollo de un sistema nuevo, se comienza con un  estudio de viabilidad para determinar la mejor forma de satisfacer la necesidad planteada. Una vez que se ha alcanzado una solución viable se procede al  desarrollo propiamente dicho del sistema, que a su vez suele estructurarse en fases de  análisis, diseño, construcción e implantación. Cuando el nuevo sistema ya está construido, probado, aceptado, y tanto los usuarios como los procedimientos de operación están preparados, comienza la  fase de mantenimiento y operación, o vida útil del sistema, que se prolongará hasta su  retirada.

Esta ‘biografía’ de un sistema informático puede tomar muchas formas y distintos nombres, algunos de ellos estandarizados. Por ejemplo,  la metodología Métrica3 que se emplea como referencia en las administraciones públicas españolas, y contempla unas fases similares a las vistas, que a su vez son las del estándar internacional ISO/IEC 12207 (Information Technology – Software Life Cycle Processes).

¿Qué hace un DPD en el Plan de Sistemas de Información?

El Plan de Sistemas de Información de una organización tiene como propósito establecer un marco de referencia para los sistemas, para que su desarrollo y evolución sea coherente, y a la vez esté alineado con los objetivos estratégicos de la organización. Su forma y contenido puede ser muy variada, pero básicamente hay:

Un análisis. El análisis es la ‘fotografía aérea’ de la situación actual tanto desde el punto de vista técnico de los sistemas que existen, como desde el punto de vista de los servicios que la organización presta. Este apartado respondería a la pregunta de ¿A qué se dedica nuestra organización y con qué sistemas de información cuenta?, seguida de ¿Cuáles son en esta situación los principales puntos fuertes, débiles, amenazas y oportunidades?
Una arquitectura. A partir de este análisis de la actualidad el plan pretende avanzar en cómo deben ser los sistemas informáticos del futuro, y cómo van a relacionarse entre sí y con el resto del mundo. En este sentido es muy importante que el Plan de Sistemas defina, cuál va a ser la arquitectura de la información en la organización, donde deben encajar los sistemas nuevos que se desarrollen.
Unos proyectos. El siguiente o siguientes capítulos del Plan describirán desde un punto de vista funcional los proyectos que van a acometerse dentro de este plan para desarrollar y modificar sistemas de información en la organización, definiendo unas prioridades. Los proyectos a acometer en el próximo año requerirán un mayor nivel de detalle, puesto que será preciso pensar en personas concretas y en el presupuesto económico para ponerlos en marcha.

El Plan, por ser un documento estratégico de la organización, precisa de una  implicación activa de sus máximos responsables, que aportan ideas, prioridades, le dan visibilidad y le muestran su apoyo. Es común que este apoyo se escenifique como una presentación interna a los mandos intermedios o a toda la organización cuando se redacta por primera vez y cuando se revisa cada año.

El DPD debe participar en la elaboración de este Plan de Sistemas, asesorando e informando de las obligaciones que impone el RGPD en el tratamiento de datos personales. La propia organización debe promover esta participación para que  el DPD se involucre desde las fases más tempranas en todas las cuestiones relativas a la protección de datos, ayudando a crear también una cultura de la protección de datos en la organización.

Por un lado, la participación del DPD en la fase de análisis del Plan va a servir al DPD para conocer los procesos de la organización y cómo están cubiertos desde el punto de vista de los sistemas de información. De este análisis de alto nivel se puede saber en qué actividades y en qué sistemas de la organización se están tratando datos personales, y de esa forma concretar el alcance de la labor del DPD. Imaginemos una organización que cuenta con cinco sistemas de información principales, pero sólo dos trabajan con datos personales de clientes, proveedores o empleados. Esta limitación del alcance de la función del DPD es importante, puesto que permitirá a la organización establecer incluso directrices o programas de protección de datos sobre cuándo debe consultarse al DPD.

La fase de definición de una arquitectura de sistemas puede ser una buena ocasión para establecer requisitos globales para todos los sistemas que tratan datos personales, como son los relativos a la protección de datos desde el diseño y la protección de datos por defecto (art. 25 del RGPD). En esta arquitectura global, el DPD podrá asesorar a la organización sobre temas delicados como la transferencia internacional de datos, y comprobar que en este encaje global de los sistemas presentes y futuros se han tenido en cuenta labores que tendrán que realizarse en el día a día, como la auditoría de datos personales o el ejercicio de derechos por parte de sus usuarios.

Es importante que la parte del Plan dedicada a la lista de proyectos a acometer identifique desde el principio en cuáles de ellos se van a tratar datos personales. El DPD tendrá que estar presente en ellos y avisar de que  puede ser preciso realizar evaluaciones de impacto en algunos de los tratamientos. Hará falta que participe directamente en muchas de las reuniones especialmente en las primeras fases del desarrollo, y además precisará de recursos económicos, infraestructura e incluso personal durante todo el ciclo de vida de los nuevos sistemas que es el momento de presupuestar.

En esta cuarta entrega del examen de apps vamos a poner el foco en los datos personales que guardan de nosotros las apps de nuestro teléfono o tableta. De esta manera completaremos los contenidos publicados en este blog sobre  las tiendas de aplicaciones,  los permisos, y  los términos y condiciones.

¿Cuánto saben las aplicaciones de nosotros? Si consideramos que el teléfono es un dispositivo que nos acompaña día y noche, en el trabajo y en el ocio, y que además potencialmente puede ver, oír, grabar, y participar en nuestras conversaciones, podemos pensar que mucho. Afortunadamente, como vimos en el capítulo dedicado a  los permisos, el sistema operativo se encarga de que cada app acceda solamente a los datos y a los ‘sentidos’ del teléfono que hemos permitido al instalarla o configurarla.

Aun así,  son muchas las cosas que una app sencilla, como un juego o un portal de una tienda online puede saber: por ejemplo, la posición geográfica desde donde la usamos o desde donde actualiza sus datos, gracias al GPS, a las redes wifi o al 3g; nuestros hábitos horarios o de calendario por los momentos en que la usamos; las amistades con las que comparto partidas o envío ofertas; mi cuenta de correo, mis alias o mi contraseña, que puede estar compartida con otras aplicaciones; e incluso imágenes o vídeos para los que he dado permiso de acceso.

Una vez tratados los datos que una app puede aprender de nosotros podríamos preguntarnos qué hace con ellos o dónde los guarda. Las apps utilizan parcelas aisladas de la memoria de nuestro teléfono o tarjeta para guardar información, pero también hablan con sus servidores para muchas tareas. A veces este diálogo con el servidor forma parte de la propia funcionalidad, y es que la app nos muestra datos elaborados fuera de ella, como los mapas del tiempo; otras veces la app no necesitaría comunicarse con su servidor para su función pero nos ofrece una dimensión social de compartir datos con otros usuarios: citas, partidas de juegos, alertas o mensajes; en ocasiones simplemente se conecta para enseñarme anuncios, y otras veces simplemente no sabemos para qué se está conectando. El diálogo de la app de nuestro teléfono con su servidor se realiza a través de internet, y puede estar encriptado para que un tercero que analiza el tráfico no sepa lo que se están diciendo. En estas condiciones, es muy fácil que salga información personal desde nuestro teléfono a un servidor en la nube.

Con nuestros datos personales en un servidor ajeno, técnicamente es muy poco lo que podemos hacer por protegerlos, y debemos confiar en  los términos y condiciones que en su día acordamos con el proveedor para instalar la aplicación. En el mejor de los casos, la empresa o el desarrollador que mantiene la aplicación será un proveedor responsable que ofrece un servicio, cuida tanto las aplicaciones como los servidores, y obtiene un beneficio de los usuarios o los anunciantes. El peor escenario podría ser el de una organización que emplea o vende los datos almacenados en sus servidores para otros fines distintos de los que declara; que oculta las brechas de seguridad y los robos de datos de los mismos, o simplemente que cesa su actividad y apaga las máquinas sin dar explicaciones.

Nunca podremos estar seguros al cien por cien de todas las aplicaciones, de que el sistema operativo de nuestro teléfono no tiene vulnerabilidades y de que nuestras comunicaciones son seguras, pero hay algunos consejos que nos pueden ayudar a minimizar el riesgo:

El  consejo ‘extremo’ debe estar presente: si no quieres que tu teléfono sepa algo de ti, no se lo cuentes. Siempre hay un riesgo mínimo de que una foto, un contacto o un dato cualquiera en un teléfono inteligente acabe en un servidor de un tercero en la nube.
Pensando en el robo de datos, el segundo consejo sería no dar pistas a un posible atacante de cuáles son nuestros datos más valiosos: usar apodos para personas y lugares importantes, usar números y nombres de contactos falsos para guardar pines y contraseñas, etcétera. Lo que queremos es que los datos del teléfono no sean suficientes para que alguien distinto de nosotros los aproveche. En esta misma categoría, para los servicios delicados, como las compras o la banca online, debemos usar las apps oficiales y actualizadas, no dejar que el sistema recuerde las contraseñas, y cerrar siempre las sesiones al acabar.
Como uno de los riesgos más comunes es la  pérdida o el robo del aparato, trabajemos esa amenaza en los dos sentidos: que los datos del teléfono sean inaccesibles para un tercero, poniendo una contraseña para acceder a ellos; y que dispongamos de una copia de seguridad actualizada en casa, o en un servidor de confianza y sepamos que esa copia se puede recuperar (esta segunda parte no siempre se contempla).
Por último, para proteger nuestro entorno, enseñemos  hábitos seguros a los que están a nuestro lado. Aunque esta recomendación parece más bien solidaria, alberga también un propósito de autodefensa, puesto que la información que las personas que nos rodean tienen de nosotros es mucha, y a veces puede verse comprometida fácilmente.

Una guía fácil de leer con recomendaciones para proteger nuestros datos es la elaborada por la Agencia Española de Protección de Datos junto con el INCIBE. Está disponible en la  

Guía sobre la privacidad y la seguridad en internet

.