IoT (III) Domótica. Internet de las Cosas: riesgos y recomendaciones

IoT (III) Domótica. Internet de las Cosas: riesgos y recomendaciones
rperezm
Vie, 05/21/2021

21 de Mayo de 2021

Cada vez es más habitual encontrar elementos del hogar que se han transformado en dispositivos inteligentes con conectividad a Internet. Tanto es así, que es habitual ver este tipo de dispositivos en los catálogos de tiendas de muebles e incluso supermercados, incorporándose a los hogares rápidamente. Por ello, es necesario prestar atención y entender los riesgos para la privacidad que podrían implicar, y que se ven incrementados cuando se hace un uso inadecuado.

La gama de dispositivos IoT domóticos está evolucionando constantemente. De forma continua surgen nuevos productos orientados a proporcionar servicios más confortables en el hogar, que pueden manejarse desde Apps instalas en dispositivos móviles o integrados en asistentes de voz.

El IoT supone una evolución de la domótica tradicional, en la que los dispositivos incorporan una capa de inteligencia y conectividad que permite que se adapten mejor a las necesidades domésticas. Algunos ejemplos son persianas motorizadas, sensores de temperatura y humedad, controladores de climatización, bombillas inteligentes, cerraduras electrónicas, interruptores o centralitas de alarma.  

La mayoría de estos dispositivos están diseñados para que su gestión o uso precise conectividad a Internet y acceso a servicios en la nube. Los riesgos para la privacidad que se derivan van más allá de los problemas de seguridad. Este modelo de IoT supone la comunicación y gestión de datos personales por terceros, y el tratamiento de datos personales adicionales, como son metadatos de comunicación.

Un dispositivo IoT genera una gran cantidad de datos que son enviados y tratados por distintos servicios en Internet para satisfacer las solicitudes de los usuarios. Sin embargo, podrían utilizarse para muchas otras finalidades, como por ejemplo la elaboración de perfiles de comportamiento. De esta forma, el riesgo para los ciudadanos es mayor cuanto mayor es el número de servicios que tratan estos datos personales. Es más, la integración de dispositivos de distintos fabricantes podría aumentar dicho riesgo, por ejemplo, cuando se ha de utilizar una App distinta en la que hay que registrarse para cada fabricante.

Un ejemplo de materialización del riesgo, en este caso debido a una brecha de seguridad, ocurrió en 2016 cuando se produjo el ataque DDoS más dañino de la historia debido a la falta de actualizaciones de seguridad en estos dispositivos. Otros ejemplos podrían ser el secuestro de los dispositivos del hogar y su control por parte de terceros o las brechas de datos personales.

Dispositivos como mirillas o cerraduras que se controlan desde Apps instaladas en móviles implica el tratamiento de imágenes, vídeo, audio e información sobre los hábitos de las personas. Esta información, junto con otros datos de las personas, puede utilizarse para la generación de perfiles y diversas finalidades adicionales.

Los dispositivos inteligentes implementan distintas formas de conectividad. Las más habituales son:

  • Conexión distribuida: los dispositivos se conectan directamente a un router wifi, que realiza la función de gateway hacia la nube del fabricante, gestionado mediante su propia App. La conexión es individual, utilizando protocolos como HTTP o HTTPS. Ejemplos de estos dispositivos suelen ser las cámaras IP, algunos enchufes inteligentes o mirillas electrónicas.
  • Conexión centralizada: los dispositivos se conectan a través de un hub o gateway que centraliza las comunicaciones, siendo dicho hub el único dispositivo que se conecta a Internet directamente. En este caso las comunicaciones suelen utilizar protocolos inalámbricos específicos de domótica como Zigbee y Z-wave, y en menor medida Bluetooth.
IoT III (blog)- Conexión distribuida
IoT III (blog)- Conexión distribuida

 

IoT III (blog)- Conexión centralizada
IoT III (blog)- Conexión centralizada

Dada la diversidad de opciones disponibles, es habitual que en una misma vivienda se incorporen dispositivos de diferentes fabricantes, lo que produce una mezcla heterogénea de las configuraciones anteriores.

En un futuro inmediato se espera la adopción masiva de dispositivos IoT conectados, a través de 5G, a la nube del fabricante, y a la que se deberá acceder a través de una App. Esta nueva forma de conectar los dispositivos IoT podría suponer nuevos riesgos para la privacidad de las personas. Puede obtener más información sobre los riesgos de 5G en la Nota Técnica: Introducción a las tecnologías 5G y sus riesgos para la privacidad.

IoT III (blog)- Conexión IoT a través de 5G
IoT III (blog)- Conexión IoT a través de 5G

A nivel de comunicaciones internas en los dispositivos domóticos, tanto Zigbee como Z-Wave son los estándares más utilizados por los diferentes fabricantes, incluso algunos dispositivos incorporan ambas tecnologías. Estos protocolos también suelen estar incluidos como una funcionalidad en altavoces inteligentes o SmartTVs permitiendo su integración completa con el resto de dispositivos IoT del hogar. Zigbee y Zwave cuentan con bastantes años de uso y evolución, pero no están libres de vulnerabilidades, malas implementaciones o configuraciones.

Zigbee es un estándar abierto ideado para que los dispositivos consuman poca energía. Dicho estándar Minimiza los envíos de información, pasando la mayoría del tiempo en estado latente captando datos, y permite disponer de hasta 65.000 dispositivos como sensores de temperatura, de puertas o ventanas que con una simple pila de botón puede dar servicio durante años. También existen otros dispositivos como enchufes inteligentes, motores de puertas o bombillas que utilizan este protocolo a través de la red eléctrica. Los dispositivos de nuestro hogar conforman una red Zigbee. Opera a 2,4GHz intercambiando información con el gateway. La cobertura inalámbrica es de hasta 20 metros. Además, los dispositivos conectados a la red eléctrica funcionan como repetidores para los dispositivos de batería.

Z-Wave es un estándar propietario similar a Zigbee. Algunas diferencias son el número de dispositivos en una red que pasa a 232, la frecuencia para Europa es 868MHz y la cobertura inalámbrica es de hasta 100 metros de distancia. También cuenta con una arquitectura en la que los dispositivos enchufados a la red eléctrica dan servicio a los dispositivos de batería.

Es importante que las personas tomen conciencia de que los dispositivos inteligentes son algo más que un electrodoméstico tradicional. Van a interactuar en la realización de las labores cotidianas de las personas realizando un gran número de tratamientos de datos. A la hora de adquirirlos debe adoptarse una actitud crítica y exigente hacia las garantías de privacidad. El criterio de selección no solo ha de basarse en el precio o las características principales que se ofertan. El usuario debe comprobar que ofrezcan las suficientes garantías sobre sus datos personales.

Los fabricantes y desarrolladores deben aplicar medidas de protección de datos por defecto y desde el diseño. Los tratamientos que realicen deben ser de acuerdo con los principios del RGPD, prestando especial atención a la seguridad de los tratamientos, las posibles transferencias internacionales de datos, la transparencia en las finalidades para las que se tratarán los datos personales, la elaboración de perfiles y las decisiones automáticas individualizadas. En particular, debe evitarse el uso de protocolos que utilizan claves de cifrado por defecto, y que son públicas, o la posibilidad de añadir dispositivos a la red de forma automática, sin control del interesado.

Puede ampliar información sobre protección de datos y privacidad en Internet en el sitio web Innovación y Tecnología de esta Agencia, así como en nuestro blog:

 

HTTPS: Cifrado en la web

HTTPS: Cifrado en la web
scabellosp
Mar, 04/20/2021

20 de Abril de 2021

En la actualidad, la mayoría de los sitios web utilizan HTTPS por defecto y se ha convertido en una herramienta indispensable para la privacidad, ya que permite el cifrado de las comunicaciones extremo a extremo

En la gran mayoría de ocasiones que se navega por Internet a través de un navegador web o una app en un dispositivo móvil, se utilizan conexiones cifradas mediante el protocolo de comunicaciones HTTPS (HyperText Transfer Protocol Secure o HTTP sobre TLS). Esta técnica se aplicó inicialmente para asegurar las comunicaciones en medios de pago o banca online. En la actualidad, la mayoría de los sitios web utilizan HTTPS por defecto y se ha convertido en una herramienta indispensable para la privacidad, ya que permite el cifrado de las comunicaciones extremo a extremo, es decir, entre las dos partes que se comunican.

HTTP (Hypertext Transfer Protocol) es el protocolo usado en Internet para las comunicaciones entre los navegadores o Apps y los servidores web. Creado en la década de 1990 y actualizado en el 2000, en su configuración original no contaba con medidas que aseguraran la confidencialidad de las comunicaciones, al igual que todos los protocolos creados en esa época. Una forma de resolver esta carencia es a través de la tecnología de VPN (red privada virtual) que permite tunelizar y cifrar estos protocolos inseguros a través de herramientas de terceros.

Una actualización de HTTP, publicada en 2015 y conocida como HTTP2, sí tenía en cuenta el cifrado de las comunicaciones de extremo a extremo, pero de forma opcional. La versión HTTP3, publicada recientemente, entre otras mejoras, incluye el cifrado de las comunicaciones como una medida obligatoria. De momento, representa sólo el 7% de uso en Internet, pero se espera una adopción muy rápida de este protocolo ya que contribuirá positivamente a la privacidad en Internet.  

En paralelo a la evolución de HTTP, y para suplir las carencias originales de HTTP, la empresa Netscape desarrolló el protocolo SSL (Secure Socket Layer), un añadido para trabajar con HTTP, que permite realizar el cifrado de la información transmitida y asegurar tanto la integridad como la confidencialidad.
Adoptado como estándar de facto en el cifrado de las comunicaciones en Internet a través de integración con HTTP, SSL ha pasado a denominarse TLS (Transport Layer Security). TLS 1.0 se implementó en 1999 y, posteriormente, para hacer frente a diferentes problemas de seguridad, ha tenido varias actualizaciones. En la actualidad se encuentra en la versión TLS1.3 que es el estándar usado por la nueva versión HTTP3.

Las aplicaciones de HTTP sobre TLS, o HTTPS, proporciona confidencialidad e integridad en las comunicaciones, y autenticidad en cuanto a que podemos confirmar que accedemos al servidor escrito en la barra de direcciones del navegador. Sin embargo, no hay que olvidar que existen ataques como el phishing. Dichos ataques incluyen un enlace que redirige a un dominio fraudulento, con una dirección engañosa, incluso con un certificado válido para ese dominio. Estos ataques pretenden obtener datos personales con finalidades no legítimas suplantando la web de la entidad legítima.

Para asegurar la compatibilidad con herramientas no actualizadas, los sitios web suelen permitir conexiones con protocolos que no incorporan garantías adecuadas. Desde los organismos de ciberseguridad no se recomienda usar versiones anteriores a TLS1.2 por considerarse inseguros. Los administradores de los sitios web deberán configurar los servidores para que sólo acepten las últimas versiones de TLS. Además, también es recomendable realizar comprobaciones de las vulnerabilidades de TLS. Para ello, los usuarios pueden emplear herramientas, ya sean online o instalables de forma local, como testssl.sh que permiten auditar la seguridad de nuestro servidor respecto al uso de HTTPS.

Los usuarios pueden cerciorarse de no usar protocolos inseguros en nuestros navegadores. A continuación, se proporcionan pautas de configuración para los navegadores más comunes:

Chrome/Edge
Para Chrome/Edge en las propiedades de internet, en las opciones avanzadas desmarcando las versiones más antiguas.

TLS

Firefox
En firefox escribiendo about:config, buscar tls (3 se refiere a TLS1.2 y 4 a TLS1.3)

Firefox

Con estas configuraciones se evita el acceso a una página web con versiones de cifrado que no proporcionan el mismo nivel de seguridad a nuestras comunicaciones que TLS 1.2 o TLS 1.3.

Actualmente la mayoría de los navegadores avisan al usuario cuando se está utilizando una conexión considerada como insegura. Por ejemplo, véase en las siguientes figuras la comparación entre la advertencia del navegador al utilizar TLS 1.3 (segura) o TLS 1.0 (insegura).

Información
Detalles técnicos
Conexión segura por defecto.
blog https cifrado 5
blog https cifrado 6
Conexión no segura (forzando cifrado débil en el navegador).

Puede obtener más información en el sitio web Innovación y Tecnología de esta Agencia, así como en nuestro blog:

 

Diez consejos para certificarse como DPD según el esquema de la Agencia

Diez consejos para certificarse como DPD según el esquema de la Agencia
dortega
Mar, 12/25/2018

25 de Diciembre de 2018

La certificación aporta valor añadido al profesional de la privacidad y proporciona seguridad y confianza a las empresas que lo vayan a contratar

1.     La AEPD ha aprobado un Esquema de certificación en colaboración con la Entidad Nacional de Acreditación (ENAC) y con el asesoramiento técnico de 23 entidades y organizaciones entre los que se encuentran representantes de sectores y asociaciones profesionales, empresariales, universidades y Administraciones Públicas.

2.     La certificación no es una exigencia para poder ejercer como DPD y esta certificación no es la única posible, aunque la Agencia considera que reúne las exigencias y el rigor adecuados para ofrecer al mercado profesionales con los conocimientos y habilidades necesarias para desempeñar las funciones propias de un DPD con los estándares que exige el Reglamento.

3.     El Reglamento establece que el Delegado de Protección de Datos “será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39”. 

Recuerda:

Para ejercer las funciones de Delegado de Protección de Datos no se requiere estar en posesión de ningún certificado ni titulación específica.  

4.     La certificación aporta valor añadido al profesional de la privacidad y proporciona seguridad y confianza a las empresas que lo vayan a contratar.

5.     Si estás interesado en certificarte como DPD con el Esquema de la AEPD, dirígete en primer lugar a alguna de las entidades de certificación designadas provisionalmente o acreditadas por ENAC que figuran en la web de la Agencia. Estas te informarán y asesorarán sobre el proceso y son las únicas autorizadas para verificar si cumples con los prerrequisitos exigidos (formación y/o experiencia profesional), convocar exámenes oficiales y expedir, mantener y renovar la certificación obtenida.

Recuerda:

Sólo las entidades de certificación acreditadas por ENAC pueden realizar convocatorias oficiales de exámenes y expedir certificaciones conforme al esquema AEPD-DPD.

6.     El documento Esquema de certificación de delegados de protección de datos incluye la información que necesitas para saber si estás en condiciones de presentarte al examen: prerrequisitos, tipo de preguntas, programa, temario, etc. 

7.     Para presentarte al examen necesitar justificar previamente ante alguna de las entidades de certificación acreditadas que reúnes las horas de formación y/o los años de experiencia que requiere el esquema, pudiendo completarlos mediante méritos adicionales, de acuerdo con la puntuación que figura en el anexo I del documento del esquema.

8.     Si, tienes cinco años de experiencia profesional y consideras que estás suficientemente preparado para presentarte al examen, puedes hacerlo sin necesidad de tener que superar previamente ningún curso o programa que te habilite para ello.

9.     Si consideras que necesitas formación adecuada para superar el examen, puedes recibirla en cualquier centro de formación que la esté ofertando, pero comprueba que el programa que imparte ha sido reconocido por alguna de las entidades de certificación acreditadas por la ENAC por ajustarse su contenido a la estructura y distribución exigida en el esquema AEPD-DPD.

Las entidades de certificación te informarán sobre el tipo de formación más adecuada a tus necesidades.

Recuerda:

Comprueba que el programa impartido por el centro de formación está reconocido por alguna de las entidades de certificación acreditadas.

10.     En esta sección de la web de la Agencia Española de Protección de Datos encontrarás toda la información disponible sobre el Esquema de certificación de la AEPD.

¿Cómo puedo evitar la publicidad no deseada? (gráfico)

¿Cómo puedo evitar la publicidad no deseada? (gráfico)
dortega
Lun, 12/24/2018

24 de Diciembre de 2018

La recepción de llamadas intempestivas para ofrecer la contratación de productos o servicios es una de las quejas que se repite con mayor frecuencia tanto en el servicio de atención al ciudadano de la Agencia como en su canal de Twitter 

Hay varios pasos que puedes dar para evitar esa publicidad no deseada. La AEPD dispone de un espacio en su página web estructurado en nueve secciones en el que te indica qué pasos seguir para impedir la recepción de publicidad que, en el caso de las llamadas telefónicas, son calificadas habitualmente por los ciudadanos como las más molestas.

Además, te ofrecemos también este gráfico, que recoge los aspectos fundamentales de forma más resumida:

 

Para evitar la recepción de publicidad, la Agencia recomienda en primer lugar inscribirse en la Lista Robinson, el único fichero común de exclusión publicitaria que existe en España y que está gestionado de forma independiente por la Asociación Española de Economía Digital. En este servicio, gratuito para el ciudadano, puedes seleccionar el medio o medios (teléfono, correo postal, correo electrónico y SMS/MMS) a través de los que no quieres recibir publicidad.

 

Puede darse el caso de que hayas autorizado a la empresa a enviarte publicidad, aunque quizás no hayas sido consciente. Si este es tu caso, también tienes otras opciones a tu disposición, como retirar el consentimiento o ejercer el derecho de oposición ante la empresa que está tratando tus datos. En el caso de la Lista Robinson, es importante que sepas que es eficaz a partir del tercer mes desde que te inscribes. 

Comunidades de propietarios y administradores de fincas ante el RGPD

Comunidades de propietarios y administradores de fincas ante el RGPD
dortega
Dom, 12/23/2018

23 de Diciembre de 2018

Las comunidades son responsables de sus tratamientos y, en caso tener un administrador de fincas, éste actuará como encargado

Desde el pasado 25 de mayo de 2018 es aplicable el Reglamento General de Protección de Datos (RGPD), que introduce numerosas novedades sobre el tratamiento de los datos personales tanto en lo referente a las obligaciones de responsables y encargados como en los derechos de los afectados.

Respecto a la incidencia del RGPD en las comunidades de propietarios, debemos partir, en primer lugar, de que las comunidades son responsables de sus tratamientos y, en caso de que exista un administrador de fincas, éste actuará como encargado de los mismos.

En este sentido, los tratamientos más comunes suelen ser:

Propietarios: en el que se tratarán todos los datos relativos de los propietarios en relación con la gestión de la propia comunidad, y atendiendo al contenido que recoge la Ley de Propiedad Horizontal
Videovigilancia: cuyo uso debe ser autorizado por la propia comunidad siguiendo las reglas que al respecto establece la citada Ley de Propiedad Horizontal
Trabajadores: en el supuesto de que la comunidad tenga contratado personal para la realización de trabajos, como puede ser la portería

Cuando existe una relación entre un responsable y un encargado, el Reglamento General de Protección de Datos establece en su artículo 28 que el tratamiento que lleve a cabo el encargado se debe regir por un contrato o acto jurídico con un determinado contenido que establece la citada norma.

Por ejemplo, se incluirá que tratará los datos únicamente siguiendo las instrucciones del responsable, o que adoptará las correspondientes medidas de seguridad.

Por tanto, un primer efecto de la aplicación del Reglamento General de Protección de Datos es que en los contratos firmados entre las comunidades de propietarios con los administradores de fincas que les prestan sus servicios, en lo relativo a la protección de datos, deben aparecer las cláusulas que contempla el artículo 28 anteriormente citado.

Esta adaptación se puede realizar de manera progresiva y, en la medida que sea posible, ya que en la nueva Ley Orgánica de Protección de Datos que se está tramitando en las Cortes Generales se ha introducido una disposición transitoria para que los contratos entre responsables y encargados se adapten en un plazo máximo de cuatro años –cuando sean indefinidos– o cuando se realice la primera prórroga.

Por otra parte, con el RGPD ha desaparecido  esta obligación de inscribir ficheros en la Agencia. No obstante, lo que sí debe configurarse es el denominado Registro de Actividades de Tratamiento (aquí puede consultarse el de la AEPD), tanto por parte de las comunidades de propietarios como por parte de los administradores de fincas. Se trata de un documento interno, que no debe ser enviado a la AEPD, pero que estará a disposición de la misma por si se requiriese.

En el Registro de Actividades de Tratamiento figurarán, en el caso de las comunidades, los tratamientos que lleven a cabo las mismas, como pueden ser los tratamientos de “propietarios” o “videovigilancia”, con un contenido muy similar al que anteriormente figuraban en los citados tratamientos a efectos de su inscripción en el registro de la Agencia. De esta forma, deben reflejarse, por ejemplo, los fines del tratamiento, las categorías de interesados y categorías de datos personales, o si existen cesiones a terceros.

En el supuesto de los administradores de fincas, también deberán contar con su respectivo registro de actividades, éstos en relación con las comunidades de propietarios a las que presten sus servicios.

Existen dos aspectos primordiales que atendiendo a la nueva regulación es necesario clarificar:

En primer lugar, el RGPD establece varios supuestos que legitiman el tratamiento de los datos personales: consentimiento (que debe ser mediante una acción afirmativa); ejecución de un contrato; cumplimiento de una obligación legal; misión de interés público o ejercicio de poderes públicos. 

En el caso de las comunidades de propietarios, la legitimación para el tratamiento de los mismos no deriva de la existencia de que hayan prestado el consentimiento previo, sino con base en el cumplimiento de una obligación legal (el contenido de la Ley de Propiedad Horizontal). Es decir, con la aplicación del RGPD no hay que solicitar consentimiento de los propietarios para tratar sus datos personales, ya que la legitimación deviene de ese cumplimiento legal que se ha citado anteriormente. Igual ocurrirá con el uso de la videovigilancia. Tampoco se trata de un supuesto en que opere el consentimiento sino el ejercicio de una misión de interés público como es garantizar la seguridad de personas, bienes e instalaciones.

O, en el caso de que existan tratamientos en relación a personal contratado por la comunidad (por ejemplo la portería), el tratamiento de los datos tampoco opera el consentimiento, sino la ejecución de un contrato.

En segundo lugar, el RGPD, en su artículo 13, ha ampliado el contenido del derecho de información en la recogida de los datos personales, ya que debe facilitarse más información al respecto, como la posibilidad de reclamar ante la Autoridad de Protección de Datos o el plazo de conservación de los datos.

Si en la recogida de datos personales producida con anterioridad al RGPD se hubiese dado cumplimiento al derecho de información de la LOPD, no es necesario que ahora se vuelva a informar con el contenido que al respecto establece el Reglamento. Es decir, este precepto relativo al derecho de información en la recogida de datos personales no se aplica de forma retroactiva.

Sí deberá facilitarse el nuevo contenido del derecho de información acorde al RGPD, en la recogida de datos personales, a partir del 25 de mayo de 2018, que habían sido objeto de tratamiento hasta la fecha. También debe actualizarse el cartel de videovigilancia y el resto de información a facilitar.

Otra de las cuestiones que ha modificado el RGPD es la seguridad, ya que se parte de la realización inicial de un análisis de riesgos de los tratamientos, y en función de su resultado, adoptar las medidas de seguridad. Para ayudar a realizar este análisis, la Agencia ha publicado esta Guía.

Ver gua completa

Asimismo, la Agencia también ha puesto a disposición de las pymes que traten datos de bajo riesgo una herramienta llamada Facilita_RGPD con la finalidad de ayudar al cumplimiento. Aunque la herramienta Facilita está pensada actualmente para las pymes, y la documentación que va a generar está relacionada con sus tratamientos, como clientes o proveedores, se puede utilizar esta documentación por las comunidades y propietarios, ya que la herramienta genera un listado de medidas de seguridad que se pueden adoptar.

Entre las mismas se encuentran la realización de copias de seguridad, o si se utiliza una web para gestionar la comunidad de propietarios, entrar en la misma mediante un nombre de usuario y una contraseña.

Por último, indicar que en las comunidades de propietarios no es obligatoria la designación de un delegado de protección de datos.

Más información

Descarga aquí el cartel de aviso de videovigilancia

Consultas frecuentes (sección comunidades de propietarios)

Elaborar el registro de actividades de tratamiento

Elaborar el registro de actividades de tratamiento
dortega
Sáb, 12/22/2018

22 de Diciembre de 2018

La obligatoriedad de inscribir los ficheros en la Agencia será sustituida el 25 de mayo por la de contar con un registro de actividades.

La adaptación de una organización a las obligaciones del  Reglamento General de Protección de Datos (RGPD) incluye la revisión de los tratamientos de datos de carácter personal que realiza, con la que se puede dar comienzo al conjunto de actividades, u  hoja de ruta, que su cumplimiento va a requerir.

Tratamientos de datos personales, tanto de sus trabajadores como de aquellos colectivos de personas implicadas en la actividad, alumnos, clientes, pacientes, contribuyentes, proveedores,… y que debe plasmarse en construir y mantener actualizado  un registro con las actividades de tratamiento.

Así pues, cada organización deberá llevar un Registro de Actividades de Tratamiento de acuerdo a lo que el Artículo 30 del RGPD detalla. El artículo 30.1 dicta su contenido para el responsable de tratamiento, y el 30.2 detalla el contenido del Registro de Actividades que el encargado de tratamiento debe llevar. La descripción del contenido de este Registro de Actividades recuerda bastante al de la Notificación de un fichero en el marco de la LOPD.

Corresponde a cada organización, de acuerdo al principio de responsabilidad proactiva (Accountability) que rige el RGPD, decidir el nivel de segregación o agregación con el que desea registrar los tratamientos de datos de carácter personal que requiere su actividad. Deberá valorar hasta qué punto la segregación de sus tratamientos en elementos diferentes se corresponde con finalidades, bases jurídicas y categorías de afectados distintos.

Asimismo, le corresponde ponderar la optimización de la gestión de la protección de datos dentro de su organización para que resulte útil, ágil, efectiva y permita el cumplimiento de la finalidad que la legislación persigue: que los individuos cuyos datos de carácter personal son objeto de tratamiento puedan tener, en su caso, un control efectivo de los mismos.

Para el sector privado la Agencia Española de Protección de Datos ha puesto a disposición de todos los responsables de tratamiento  la herramienta FACILITA_RGPD.

Podemos hablar de la construcción del Registro de actividades de tratamiento  en dos fases: la primera de ellas puede consistir en la revisión de los tratamientos de datos que la organización realiza; corresponderá a la segunda fase revisar las nuevas obligaciones que el RGPD impone al responsable del tratamiento y que se deben incluir en el registro de actividades.

A la hora de elaborar el registro de actividades de tratamiento puede resultar útil construirlo en torno a conjuntos estructurados de datos, volver la vista a los ficheros que la organización hubiera descrito con anterioridad para comprobar si todos los tratamientos de datos de carácter personal estaban recogidos en ellos, si el nivel de detalle al que se hubiera llegado sigue siendo el adecuado o corresponde segregar o, por el contrario, unificar en una única actividad de tratamiento aquellas que tuvieran una misma finalidad o finalidades prácticamente idénticas, misma legitimación o base jurídica para su tratamiento e idéntico colectivo de afectados.

Para facilitar esta tarea, la AEPD ha incluido, entre los servicios que se encuentran disponibles en su Sede Electrónica, la posibilidad de  obtener una copia en electrónico (fichero Excel o XML) del contenido completo de la declaración de sus ficheros.

Una vez incorporadas al Registro de Actividades todas aquellas que responden a su ámbito de actividad, la organización deberá fijarse en las nuevas obligaciones que el RGPD establece sobre los responsables y encargados del tratamiento.

El RGPD impone a cada responsable de tratamiento, al menos, dos obligaciones que pueden suponer tratamientos sobre datos de carácter personal y, por lo tanto, actividades que necesariamente debo incluir en mi Registro de Actividades de Tratamiento:

Atención a los derechos de las personas: lo que antes iba implícito en la gestión de cada fichero ahora cabría definirlo como una actividad de tratamiento específica, puesto que recogeremos los datos personales necesarios, según los principios que el artículo 5 del RGPD establece y explica, para poder atender los derechos de las personas que se dirijan a la organización.
Notificación de una quiebra de seguridad de los datos personales a la autoridad de control y a los interesados: será ésta una actividad que refleje los datos de carácter personal que debo incluir para dar cumplimiento a lo establecido en los artículos 33 y 34 del RGPD.

En cualquier caso, y en ejecución del principio de responsabilidad proactiva, corresponde a la organización decidir de dónde parte a la hora de registrar sus actividades de tratamiento y cómo realizar la gestión de la misma.

Por último, la actual redacción del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (PLOPD), que se encuentra en tramitación parlamentaria, incluye la previsión de que todas las entidades incluidas en el artículo 77.1 deberán hacer público un inventario de sus tratamientos en el que constará la información establecida en el artículo 30 del RGPD y su base legal.

¿Qué derechos tengo a partir del 25 de mayo de 2018?

¿Qué derechos tengo a partir del 25 de mayo de 2018?
dortega
Sáb, 12/22/2018

22 de Diciembre de 2018

El Reglamento establece nuevos derechos para los ciudadanos, como el derecho a la portabilidad o a la limitación del tratamiento

El nuevo Reglamento General de Protección de Datos, aplicable desde el 25 de mayo de 2018, añade nuevos derechos a los ya existentes para mejorar la capacidad de decisión y control de los ciudadanos sobre sus propios datos personales.

Ejercer estos derechos es  gratuito para el ciudadano (al igual que sucedía anteriormente con los derechos ARCO) excepto cuando se formulen solicitudes manifiestamente infundadas o excesivas y, en cualquier caso, si hubiera un coste, este no podrá implicar un ingreso adicional para quien trata los datos y debe limitarse al verdadero coste de tramitar la solicitud.

A continuación se recoge de manera esquemática qué derechos incluye el RGPD para el ciudadano y sus principales características.

¿Cuánto sabe Facebook sobre mí?

¿Cuánto sabe Facebook sobre mí?
dortega
Vie, 12/21/2018

21 de Diciembre de 2018

Te mostramos cómo revisar la configuración de tu perfil para gestionar la información que las redes sociales saben de ti

Las redes sociales ponen a tu disposición medios para divulgar y compartir información, y pueden ser de utilidad para relacionarte con otras personas, pero puede ocurrir que te resulte complicado saber 

Guía sobre la privacidad y la seguridad en internet

. Una práctica recomendable es revisar la configuración de tu perfil

Para ello, puedes utilizar los vídeos tutoriales que hemos realizado en la Agencia Española de Protección de Datos.

Además, es muy probable que en los últimos días hayas escuchado o leído noticias relacionadas con Facebook, y puede que tengas dudas sobre lo que esta red social sabe sobre ti. Esta información puede serte de utilidad para gestionar aquella información que Facebook conoce de ti.

Revisa tus opciones de configuración

Para revisar tus opciones de privacidad, consulta este vídeo de la Agencia en el que se muestran aspectos relacionados con la configuración de tu perfil de Facebook. Te recomendamos que revises esta configuración la primera vez que accedas a esta red social, aunque nunca es tarde para echar un vistazo y tomar medidas.

Lo que Facebook sabe sobre ti

Facebook almacena información obtenida de tu actividad para ofrecerte publicidad acorde a lo que la red social considera que son tus intereses. Si deseas saber la información que Facebook utiliza sobre ti, inicia tu sesión en la red social y accede a esta dirección:

https://www.facebook.com/ads/preferences/

Aquí se te mostrarán las categorías de información que Facebook utiliza cuando te sugiere productos o cualquier información publicitaria que ves mientras estás conectado, los anunciantes con quienes has interactuado, tu información personal (incluida tu situación sentimental, tu empresa, puesto o formación académica), tu configuración con relación a la publicidad que recibes y un pequeño tutorial sobre el funcionamiento con relación a la publicidad.

Recuerda que, como la mayor parte de las redes sociales, Facebook funciona gracias a los beneficios que obtiene de la publicidad orientada a los gustos y preferencias de sus usuarios y que, en realidad, la moneda de cambio con la que pagas a una red social es tu propia información personal.

Elimina en esta sección toda la información que no deseas que Facebook utilice para enviarte publicidad o contenidos.

El historial de tu actividad

Puedes también acceder al registro de tu actividad, donde Facebook recuerda toda tu actividad con el fin de llevar a cabo el perfilado de la publicidad que luego te muestra, y donde encontrarás cualquier información sobre tu actividad general en esta red social desde que la estás utilizando.

En este apartado puedes eliminar tus “me gusta” o cualquier comentario o publicación que hayas realizado a desde que eres usuario de esta red social.

Para obtener una información más exhaustiva sobre qué información se recopila y cómo descargarla, se puede acceder este enlace.

Si ya no quieres ser usuario de Facebook

Si no quieres seguir usando tu cuenta de Facebook, la red social te da dos opciones diferentes:

La desactivación de tu cuenta, que la vuelve invisible para todos tus usuarios pero que sigue conservando tus datos
La eliminación de la cuenta

El proceso de eliminación no es tan evidente como el de desactivación. Para borrar la cuenta de Facebook hay que acceder al siguiente enlace donde se pedirá Usuario y Password:

https://www.facebook.com/help/delete_account

Una vez autenticado el usuario se inicia el ciclo de confirmaciones con el siguiente mensaje:

cuanto-sabe-facebook-sobre-mi

Facebok informa de que:

“Si crees que no volverás a usar Facebook de nuevo, puedes solicitar que tu cuenta se elimine definitivamente. Recuerda que no podrás reactivar tu cuenta ni recuperar nada que hayas añadido. Antes de hacerlo, es recomendable que descargues una copia de tu información desde Facebook. Después, si quieres que tu cuenta se elimine permanentemente sin opción a recuperarla, inicia sesión en la cuenta y comunícanoslo. Cuando elimines tu cuenta, los usuarios no podrán verla en Facebook. Puede que sean necesarios hasta 90 días desde el comienzo del proceso para eliminar todo lo que has publicado, como tus fotos, actualizaciones de estado u otros datos almacenados en sistemas de copia de seguridad. Mientras eliminamos esta información, otros usuarios de Facebook no podrán acceder a ella. Algunas de las acciones que realizas en Facebook no se almacenan en tu cuenta. Por ejemplo, un amigo puede seguir teniendo mensajes tuyos incluso después de que hayas eliminado tu cuenta. Esta información no se borra al eliminar la cuenta”.

Hay que pulsar el botón “Eliminar mi cuenta”, y se mostrarán unas ventanas de confirmación hasta que se obtenga el mensaje de cuenta desactivada, cuyo borrado efectivo se realizará por la red en unos días.

Recuerda que tu derecho a la protección de datos te permite decidir sobre tu información personal tanto si te identifica de forma directa o si es el resultado de tus “me gusta” o tus comentarios. Si necesitas más información relacionada con tu derecho a la protección de datos puedes consultar nuestra Guía para el Ciudadano, o si te preocupa tu privacidad y seguridad en internet puedes consultar nuestra 

.

Régimen sancionador

En los últimos siete meses la Agencia ha impuesto varias sanciones a la empresa Facebook por diferentes incumplimientos de la Ley Orgánica de Protección de Datos:

El PS 82/2017 se resolvió en agosto de 2017. Se impuso una sanción de 1.200.000 euros por infracciones de los artículos 6.1 (en relación al 4 y al 5), por no informar apropiadamente y, por tanto, no tener el consentimiento necesario para el tratamiento de datos; el artículo 7 (también en relación al 4 y al 5), por tratar datos especialmente protegidos sin obtener el consentimiento expreso, y el artículo 4.5 (en relación con el 16) por conservación excesiva de datos.
El PS 450/2016 se resolvió en octubre de 2017. Se impuso una sanción de 150.000 euros por una infracción del artículo 10 (Deber de Secreto), constatando que el servicio de Chat de Facebook permite que terceras personas puedan ver permanentemente el ritmo y acciones de conexión de cualquier usuario declarado como “amigo”, sin que el usuario pueda tomar ninguna acción al respecto.
El PS 219/2017 se ha resuelto este mismo mes,  imponiendo una sanción de 300.000 euros a Facebook y 300.000 a Whatsapp al declarar una infracción del artículo 6 a Facebook (por tratamiento sin consentimiento) y del artículo 11 (cesión de datos) a Whatsapp, por la comunicación de datos de usuarios de la última entidad a la primera.

Adaptación al Reglamento por parte de empresas y organizaciones

Adaptación al Reglamento por parte de empresas y organizaciones
dortega
Jue, 12/20/2018

20 de Diciembre de 2018

La Agencia publica una hoja de ruta para fomentar el cumplimiento de la nueva normativa, aplicable el 25 de mayo de este año 2018

La Agencia Española de Protección de Datos está apostando por el diseño de herramientas que faciliten el cumplimiento del nuevo Reglamento General de Protección de Datos, que se aplicará el 25 de mayo de este año. Son muchos y variados los materiales que estamos ofreciendo para que la transición al nuevo modelo de cumplimiento pueda realizarse con directrices y orientaciones.

Recientemente, la Agencia ha publicado una 

Adaptación al RGPD – Administraciones públicas

, a la que acaba de sumar otra que recoge las 

infografia-adaptacion-rgpd-sector-privado

, ya sean empresas u organizaciones.

En ella se recogen tanto los pasos necesarios como enlaces a las herramientas que ofrece la Agencia, en el caso de que sea necesario ampliar la información. Así, además de Facilita_RGPD, se recogen enlaces a:

Guía práctica de análisis de riesgos para el tratamiento de datos personales [feb 2018]

Guía práctica para las Evaluaciones de Impacto en la Protección de Datos

 

(que incluyen plantillas y anexos), así como a los documentos sobre el cumplimiento del deber de informar o la adaptación de los contratos entre responsables y encargados de tratamiento.

Igualmente, para aquellas entidades a las que Facilita_RGPD no resulte útil, hay que recordar que la Agencia ofrece un servicio de solicitud de copia de la inscripción que puede resultar útil como ayuda para elaborar el registro de actividades obligatorio a partir del 25 de mayo.

Delegado de Protección de Datos según el esquema de la AEPD

Delegado de Protección de Datos según el esquema de la AEPD
dortega
Mar, 12/18/2018

18 de Diciembre de 2018

Si quieres orientar tu carrera laboral como profesional de la protección de datos o si ya estás trabajando en este campo, te ofrecemos información que podría serte de utilidad

El próximo 25 de mayo de 2018 será aplicable el Reglamento General de Protección de Datos (RGPD) en el que la figura del Delegado de Protección de Datos (DPD) otorga un papel fundamental a los profesionales de la protección de datos. Si quieres orientar tu carrera laboral como profesional de la protección de datos o si ya estás trabajando en este campo, te ofrecemos información que podría serte de útil.

Certificaciones en protección de datos

Existen en el mercado certificaciones relacionadas con la figura del DPD y la privacidad, pero ninguna de estas certificaciones es exigible para el desempeño del papel de DPD y, sin embargo, pueden añadir un valor al profesional de la privacidad y proporcionar seguridad a los responsables y encargados de los tratamientos de datos cuando tienen que seleccionar a su Delegado de Protección de Datos.

Si deseas trabajar como DPD debes de saber que no es necesaria una titulación específica y que el RGPD no exige que estos profesionales dispongan de ninguna certificación específica, tal y como se ha mencionado en el párrafo anterior. Al contrario de lo que se indica en algunas páginas web, no es necesaria certificación para ejercer como DPD, la designación de un DPD corresponde a los responsables y encargados de los tratamientos de datos personales y su selección se debe realizar con diligencia atendiendo a las cualidades profesionales y no a una titulación o certificación específica.

Las certificaciones para DPD ofrecen a los responsables y encargados de los tratamientos de datos personales un marco de referencia sobre la cualificación de los profesionales de la protección de datos, pero no son un requisito o una obligación para el ejercicio de sus funciones. Desde la AEPD somos conscientes de la necesidad de un marco de transparencia y confianza que oriente a responsables y encargados de tratamientos la elección de profesionales cualificados y, con este objetivo, la AEPD, en colaboración con ENAC y el Comité de Expertos, ha elaborado el Esquema de Certificación para DPD.

 

Si quieres ser Delegado de Protección de Datos según el esquema de la AEPD

Si deseas certificarte siguiendo el esquema de la AEPD debes de ponerte en contacto con una entidad de certificación. Para saber las entidades de certificación a las que puedes acudir debes de consultar la página web de la Agencia en el apartado Delegado de Protección de Datos – Certificación o la página web de ENAC (Entidad Nacional de Acreditación).

Ten en cuenta que las entidades que pueden certificarte deben haber pasado previamente por el proceso de acreditación llevado a cabo por ENAC y únicamente las entidades acreditadas por ENAC podrán convocar exámenes oficiales para certificarte como DPD de acuerdo con el esquema de la AEPD.

El proceso de acreditación se inicia cuando una entidad presenta su solicitud ante ENAC y es admitida superando la fase inicial de la revisión y análisis de los documentos que le han sido requeridos. Superada esta fase inicial, la futura entidad de certificación puede solicitar a la AEPD una designación o autorización provisional que le va a permitir emitir certificados de DPD que tendrán carácter de definitivos cuando dicha entidad haya superado el proceso de acreditación. Las autorizaciones provisionales emitidas por la AEPD tienen una vigencia máxima de un año.

Si te presentas a un examen para certificarte como DPD convocado por una entidad de certificación que ha sido designada provisionalmente, deberás ser informado por la entidad acerca del carácter de la certificación que obtendrás. Para acceder a un examen para certificarte como Delegado de Protección de Datos debes cumplir y acreditar ciertos prerrequisitos que se describen en el Anexo I del Esquema de Certificación de Delegados de Protección de Datos. Las entidades de certificación tendrán que valorar tu experiencia y formación antes de permitirte acceder al examen de certificación para DPD y, si no cumples los prerrequisitos exigidos, no podrás participar en las pruebas para certificarte.

Existen empresas que ofrecen cursos para certificarte como DPD según el Esquema de la AEPD, pero únicamente la formación reconocida por una entidad de certificación servirá para cumplir con los prerrequisitos de acceso al examen. Incluso existen entidades que han anunciado fechas de exámenes para certificaciones de DPD según el Esquema. Sin embargo, hasta que estas entidades no hayan presentado su solicitud ante ENAC, actúen con una designación provisional y finalmente hayan superado favorablemente su proceso de acreditación como entidad de certificación, los exámenes aprobados no tendrán valor para que puedas certificarte.

Es preciso que tengas en cuenta que el Esquema se puso en marcha en julio de 2017 y las futuras entidades de certificación están trabajando con el objeto de superar los procesos de acreditación necesarios, procesos que son complejos y que, en general, requieren meses de trabajo. En el momento actual únicamente existe una entidad que haya solicitado a la AEPD su designación provisional, pero a lo largo de los próximos meses cabe esperar que existan más entidades, ya que desde la puesta en marcha del Esquema han mostrado su interés en convertirse en entidades de certificación o en entidades de formación siguiendo el Esquema.

No olvides que puedes consultar las entidades de certificación con validez según el Esquema de la AEPD en la página web de la Agencia.