El Reglamento General de Protección de Datos (RGPD) que entró en vigor en mayo de 2018 recogía un nuevo derecho en su artículo 20, el de la portabilidad de nuestros datos. Este derecho venía a complementar al ya existente derecho de acceso y permite a las personas obtener los datos facilitados al responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica.

Recientemente, la Agencia ha emitido una resolución que genera un precedente sobre el derecho a la portabilidad respecto a los datos que deben ser proporcionados y ofrece una respuesta a la pregunta de cuáles son los datos “facilitados” al responsable de tratamiento a los que se refiere el RGPD.

Esta resolución surge a raíz de la reclamación presentada ante la Agencia por un usuario que ejerció su derecho de portabilidad ante una empresa de telecomunicaciones y que no quedó satisfecho con los datos entregados por la misma, ya que únicamente querían permitir la portabilidad de los datos que directamente había facilitado el solicitante: nombre, apellidos, DNI, teléfono, dirección, correo electrónico y datos bancarios. El ciudadano reclamaba que se le debían haber facilitado ciertos datos enumerados en la política de privacidad y resultantes del uso o desarrollo del servicio como son los de productos o servicios, consumo, tráfico, visitas a webs y localización.

La resolución, que puede ser consultada en nuestra web, estima que la portabilidad de los datos fue realizada de forma incompleta y que el responsable de tratamiento sí debió haber facilitado algunos de los datos reclamados por el usuario. Esta decisión amplia el contenido del derecho a la portabilidad a ciertos datos resultantes del uso del servicio como son los de consumo, tráfico y localización, pero sin incluir los datos sobre visitas a páginas web. Del mismo modo, la resolución excluye de este derecho el acceso y portabilidad de los datos a los que hace referencia la ley 25/2007 de conservación de datos con fines de investigación de delitos.

Puedes encontrar información sobre el derecho a la portabilidad y formularios para ejercerlo ante el responsable de tratamiento en la web de la AEPD (https://www.aepd.es/es/derechos-y-deberes/conoce-tus-derechos/derecho-la-portabilidad).

Cada tratamiento tendrá unos requerimientos particulares en relación con el sistema de cifrado. Por ejemplo, un sistema de pago por visión de eventos deportivos tendrá importantes restricciones de latencia; los procesos de venta en línea precisan un establecimiento ágil del canal seguro; el cifrado integrado en tarjetas inteligentes tendrá limitaciones de memoria; el de sistemas móviles tendrá restricciones de consumo; los desarrolladores de apps buscarán soluciones open-source y multiplataforma; la protección de materias clasificadas requiere de sistemas de cifrado certificados; el cifrado de los discos duros un elevando rendimiento; los servicios de firma necesitan cifrado asimétrico; la protección de grandes volúmenes de datos requieren cifrado simétrico,  etc. En definitiva, el sistema de cifrado integrado en un tratamiento ha de cumplir con los requisitos derivados de los objetivos de negocio.

Un parámetro de capital importancia a la hora de elegir el sistema de cifrado es la fortaleza de este, es decir, la dificultad o cantidad de trabajo requerido para romper un sistema criptográfico. La fortaleza determina la probabilidad de que el sistema pueda ser comprometido dentro de un marco temporal. Cuanto mayor sea la fortaleza del sistema de cifrado mayor será la probabilidad de que la información cifrada permanezca confidencial durante más tiempo, siempre teniendo en cuenta el avance de la tecnología.

Los requisitos de fortaleza del sistema de cifrado difieren de unas aplicaciones a otras. Existen casos, como el de operaciones financieras a corto plazo, en los que la confidencialidad debería garantizarse por algunos días, incluso sólo algunas horas. Información relativa a fusiones, planes de marketing o lanzamientos de productos tienen requisitos de garantía de confidencialidad por algunas semanas o meses. Por otro lado, secretos políticos y diplomáticos han de permanecer confidenciales durante años, incluso por muchos años. La vida del mensaje, entendida como el periodo de tiempo en que es relevante mantener el mensaje confidencial, es distinta para cada tratamiento y es el criterio relevante para determinar los requisitos de fortaleza del sistema de cifrado.

Una fortaleza elevada en el sistema de cifrado es un requisito muy costoso, además, cuando más exigente es ese requisito, más complicado es evaluarlo y entrará en mayor medida en conflicto con el cumplimiento de otros requisitos que el mismo tratamiento precisa, que entre otros son: latencia, tiempo de establecimiento, consumo, recursos, rendimiento, portabilidad, usabilidad, coste, etc.

En el caso de que se utilicen técnicas de cifrado para añadir garantías de protección adicionales al tratamiento de datos personales hay que plantearse qué fortaleza se necesita y, para ello, hay que tener presente cuál es la vida del mensaje desde el punto de vista del RGPD, es decir, el tiempo de vida del dato. Como define el RGPD en el artículo 4.1, un dato personal tiene dicha naturaleza mientras sea información sobre una persona física identificada o identificable, por lo tanto, estamos hablando de requisitos de fortaleza muy elevados (pensemos en los datos recogidos actualmente de menores).

En el caso de que la garantía principal sobre la que descansa un tratamiento sea el cifrado de los datos personales, es necesario realizar la validación de la fortaleza del sistema de cifrado. Existen análisis para dar una estimación de la fortaleza de ciertos sistemas de cifrado, normalmente realizados con muchas limitaciones, ya que solo contemplan el algoritmo, la relación con la longitud de la clave y el modelo de ataque más elemental. Incluso teniendo en cuenta dichas limitaciones de análisis, algoritmos como DES, por ejemplo, se revelan como inadecuados para la protección de información de carácter personal a largo plazo. A la hora de validar el sistema de cifrado es importante tener en cuenta que es mucho más que la verificación del algoritmo, es imprescindible incluir, entre otros, la verificación de los procedimientos de relación de claves; de la entropía y el pre-proceso de los datos; de los protocolos de comunicación; el análisis de la implementación concreta de todos estos elementos y, finalmente, la revisión de los aspectos organizativos de la gestión del sistema y el material de cifra.

Esta validación ha de realizarse “desde el diseño” y estar el sistema de cifrado integrado en el tratamiento tal y como se establece en la Guía de Privacidad desde el Diseño publicada en la AEPD.    

Este post sobre criptografía y privacidad está relacionado con otra entrada publicada anteriormente en el blog de la AEPD titulada ‘Cifrado y Privacidad: cifrado en el RGPD’.

¿La nueva LOPD o el RGPD prohíben el envío de felicitaciones de navidad?
En principio, las leyes de protección de datos no impiden que los ciudadanos envíen tarjetas o christmas navideños si lo hacen dentro del ámbito personal y van dirigidas a personas cercanas como familiares o amigos. Pero si se utilizan los servicios de una empresa para enviar o recibir este tipo de comunicaciones, estas deberán cumplir con los requisitos que marcan las leyes.

En el caso de envío de felicitaciones corporativas, las organizaciones deben tener una justificación para realizarlo con base en algún tipo de legitimización en la que, dependiendo del caso, podría enmarcarse el interés legítimo. Si en estas comunicaciones se realiza algún tipo de oferta o publicidad, se deberá cumplir con las obligaciones que marca la legislación para este tipo de comunicaciones comerciales. Recomendamos a las empresas consultar la Guía del RGPD para responsables de tratamiento.

En cualquier caso, los niños y niñas podrán seguir enviando sus cartas a Papa Noel y a los Reyes Magos de Oriente sin preocuparse por la normativa de protección de datos.

¿Puedo introducir los datos de otras personas para regalarles una suscripción o un servicio?
Podría darse el caso de que por navidad quisiéramos regalar algún tipo de suscripción o servicio como un año de acceso a una plataforma de vídeos online, unos números de una revista especializada, entradas para un espectáculo o una experiencia de aventura. En ocasiones, este tipo de compras requiere facilitar los datos personales y, evidentemente, no tenemos su consentimiento para hacerlo ya que estropearía la sorpresa. ¿Entonces, podemos facilitar esos datos?

Como norma general, hay que tener en cuenta que este tipo de regalos pueden implicar que se lleve a cabo un tratamiento de los datos de la persona a la que se le va a regalar el servicio o suscripción por lo que, si esto es así, el obsequiante asume una serie de responsabilidades. En estos casos se aconseja tomar una serie de precauciones como, por ejemplo, buscar opciones que no traten datos; evitar servicios que efectúen tratamientos agresivos de datos; elegir opciones que permitan darse de baja de dicho servicio si el obsequiado así lo desea, y asegurarse de que el contenido del regalo no hiere sensibilidades. En definitiva: comprar con sentido común.

¿Vas a comprar en una tienda online?
Son muchos los ciudadanos que utilizan tiendas online para realizar sus compras, entre ellas, las navideñas. Según el Estudio Anual de eCommerce 2019 elaborado por IAB Spain y Elogia, el 71% de los españoles entre 16 y 65 años compran online, lo que representa alrededor de 20.3 millones de personas que declaran haber comprado alguna vez en Internet.

A lo largo de los procesos de compra online, el consumidor puede ver comprometida su seguridad o privacidad, así como ver vulnerados sus derechos. Desde la Agencia os damos 10 consejos básicos para comprar de forma segura en esta infografía (https://www.aepd.es/sites/default/files/2019-12/10-consejos-compra-segura-internet.pdf) e información más detallada en la Guía de compra segura en Internet (https://www.aepd.es/sites/default/files/2019-09/guia-compra-segura-digital-web.pdf).

¿Te has decidido a regalar un juguete conectado?
Los juguetes conectados son aquellos que realizan una conexión a Internet para intercambiar información con fuentes externas y que suelen requerir la instalación de una app en un dispositivo móvil. El hecho de que este tipo de juguetes sean capaces de recopilar información sobre los menores que los usan, implica que debamos prestar especial atención a qué pueden hacer, informarnos correctamente antes de comprarlos y optar por los productos que mejor protejan la privacidad.

Si te has decidido a comprar o regalar un juguete conectado esta navidad, te recomendamos consultar antes esta infografía (https://www.aepd.es/sites/default/files/2019-12/juguetes-conectados.pdf) y esta entrega de nuestro blog (https://www.aepd.es/es/prensa-y-comunicacion/blog/el-ano-comienza-con-un-juguete-conectado-en-casa).

¿Puedo tomar imágenes de la obra de navidad del colegio?
Decenas de padres, madres y familiares acuden estos días a colegios para presenciar funciones, conciertos u otro tipo actos en los que los más pequeños de la casa son los protagonistas y, como es lógico, aprovechan las cámaras de sus teléfonos móviles para conseguir un recuerdo de este momento en forma de foto o vídeo.

No existe ningún problema en tomar estas imágenes siempre y cuando se realice un uso personal y privado de las mismas. Si se difunden fuera de este ámbito familiar o de amistad como en redes sociales o páginas de Internet de acceso público, se podrían estar vulnerando los derechos de otros niños que aparecen, ya que para publicarlas se necesita el consentimiento de sus padres y tutores o de los propios menores si tienen más de 14 años.

Te damos más información sobre fotografías y menores en actividades escolares en esta otra entrega de nuestro blog (https://www.aepd.es/es/prensa-y-comunicacion/blog/puedo-publicar-en-redes-sociales-el-video-de-la-salida-escolar-de-mis) y en este podcast del programa Protegemos tu privacidad de Radio 5 (http://www.rtve.es/alacarta/audios/protegemos-tu-privacidad/protegemos-tu-privacidad-podemos-hacer-fotos-fiestas-infantiles-fin-curso-12-05-19/5192623/).

¿Y las de la cena de empresa?
Del mismo modo, es habitual tomar fotos y vídeos de la cena de navidad de la empresa y que terminen en alguna red social. Debemos tener en cuenta que lo que hoy nos parece muy gracioso, puede afectarnos de manera negativa en un futuro. Piénsalo dos veces dos veces antes de compartir este contenido.

Si eres el autor de la imagen, recuerda que necesitas el permiso de las personas que aparecen para subirlas a Internet y que si lo haces sin ese consentimiento podrías estar cometiendo una infracción que, incluso, y dependiendo de las circunstancias, podría llegar a ser delito. https://www.aepd.es/media/estudios/consecuencias-administrativas-disciplinarias-civiles-penales.pdf). Desde la Agencia, también hacemos un llamamiento a las empresas y organizaciones para prevenir posibles situaciones de acoso a raíz de imágenes tomadas en estos eventos siguiendo estas recomendaciones (https://www.aepd.es/sites/default/files/2019-11/protocolo-acoso-laboral-aepd-2019_1.pdf).

En nuestra web encontrarás información sobre cómo eliminar fotos o vídeos de Internet (https://www.aepd.es/es/areas-de-actuacion/internet-y-redes-sociales/eliminar-fotos-y-videos-de-internet) y para casos de imágenes de contenido sexual o violento puedes utilizar nuestro Canal Prioritario (https://sedeagpd.gob.es/sede-electronica-web/vistas/formNuevaReclamacion/canalprioritario.jsf).

¿Cumplen con el RGPD las listas de niños buenos de los Reyes Magos y Papa Noel?
La Agencia Española de Protección de Datos, en colaboración con otras agencias europeas, han contactado con el elfo delegado de protección de datos de Papa Noel y el paje de los Reyes Magos al cargo de esta función. Podemos afirmar que estas listas de niños buenos cumplen todas las obligaciones y principios marcados por el RGPD (https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes) y que el tratamiento se basa en el interés legítimo de Papa Noel y los Reyes Magos de hacer felices con sus regalos y en el de los niños que se hayan portado bien este año en recibirlos.

¡Feliz protección de datos! ¡Feliz Navidad!