Entradas

Responsabilidad proactiva y brechas de seguridad: La AEPD remarca las 5 medidas de seguridad principales de carácter técnico que debemos tener en cuenta

Responsabilidad proactiva y brechas de seguridad: La AEPD remarca las 5 medidas de seguridad principales de carácter técnico que debemos tener en cuenta

/0 Comentarios/en /por

Responsabilidad proactiva y brechas de seguridad: La AEPD remarca las 5 medidas de seguridad principales de carácter técnico que debemos tener en cuenta

Hasta hace un mes, hablar de teletrabajo era algo casi residual, en auge, pero también en gran parte ocasional, es decir, cuando por motivos de trabajo realizábamos un viaje de negocios, nos desplazábamos a las oficinas del cliente o por motivos concretos y puntuales teníamos que conectarnos desde casa.

Si a esto le unimos el COVID-19 y el constante aumento del número de dispositivos móviles de uso personal en el ámbito laboral, es decir, la irrupción del BYOD, «Bring Your Own Device» o «trae tu propio dispositivo», estamos ante una nueva esfera en la que debemos ser más prudentes y reforzar nuestras políticas de seguridad para que la privacidad no se vea afectada por incidencias bien de confidencialidad, integridad y/o disponibilidad.

Teletrabajo y BYOD, aportan ventajas pero son beneficios ligados al incremento de las amenazas y riesgos que debemos tener muy presentes revisando nuestra gestión del riesgo y adoptando las medidas de seguridad necesarias y orientarlas a la protección de datos personales que tratemos, tal y como la Agencia Española de protección de datos nos señala en su blog y que vamos a resumir.

1. Reforzar la seguridad de las contraseñas y adoptar un segundo factor de autenticación:
  • No almacenar las contraseñas en los sistemas sin cifrar
  • Actualizarlas de forma periódica y obligada
  • No puedan ser reutilizarlas
  • Añadir, cuando menos, para los sistemas más críticos, un segundo factor de autenticación
2. Copias de seguridad:

Siempre hemos dicho, como en nuestro post de 2015 ¿Hacemos copias de seguridad por sentido común o por cumplir con la LOPD? que salvaguardar nuestro negocio es algo inherente al pensamiento empresarial, da igual si eres grande o pequeño, realizar copias de seguridad es una medida indispensable que garantizará la continuidad y mantendrá la confianza de nuestros clientes, en tiempos en los que el ransomware o secuestro de la información son cada vez más potentes y destructivos.

Hemos hablado de revisar nuestra gestión del riesgo y adoptar las medidas de seguridad necesarias ante la nueva esfera, sus soportes, espacios físicos, etc. y por tanto debemos definir pruebas periódicas para verificar la integridad y la efectiva recuperación de la información en esta nueva situación.

3. Sistemas actualizados
  • Establecer una rutina de actualizaciones periódicas aplicando parches y mejoras de seguridad según se detectan los problemas.
4. Exposición de servicios en internet: mantenimiento, pruebas o accesos puntuales
  • Soluciones puntuales que terminan siendo definitivas y por tanto deberán ser contempladas e incorporadas en nuestras políticas de seguridad y en la gestión del riesgo
  • Debemos habilitar un acceso remoto seguro que haga que el tráfico generado mantenga la integridad y confidencialidad de la información. La tecnología VPN o Red Privada Virtual permite extender la red local (LAN) sobre una red pública no segura como es Internet.
  • Establecer y comunicar, una política muy restrictiva de uso de wifis y redes externas que indicará a qué recursos se permitirá el acceso, con especial atención a los servicios críticos para la organización.
5. Cifrados de dispositivos y minimización de datos:

Cualquier dispositivo portátil: ordenadores, móviles, tabletas, memorias USB, discos duros externos, etc. puede extraviarse o ser objeto de un robo.

Nos encontraremos ante una posible brecha de seguridad que habrá que analizar y por tanto debemos anticiparnos tratando de minimizar su impacto aplicando medidas que garantice la confidencialidad de la información que puedan contener:

  • Dichos dispositivos deberán estar cifrados
  • Contener la menor cantidad de datos personales posibles y durante el tiempo imprescindible

El Derecho al Olvido; del “Olvídense del olvido” al “olvídense de lo dicho”, o no…

/0 Comentarios/en /por

Free-Google-Desktop-Wallpapers-1Parece que nuestra querida Agencia Española de Protección de Datos (AEPD) ha logrado dar la vuelta al resultado contra todo pronóstico (el nuestro desde luego), y lo que el 25 de julio de 2013, con “el Dictamen Preliminar del Abogado General del TJUE”, hacía suponer que Google no estaría obligado a borrar la información sensible de su índice de búsqueda, ahora con la sentencia publicada hoy, ¡¡¡martes y 13!!!, ya no lo parece (ver post del 26 de junio de 2013)

En todo caso, decimos parece, pues pensamos que estamos ante lo que será un punto y seguido, del que queremos haceros llegar un primer análisis.

La cuestión era si con el amparo de la AEPD, no solo el ciudadano español del que partió la denuncia sino todos, encontraríamos el auxilio para lograr el derecho al olvido. De cómo el derecho a la protección de nuestra privacidad iba a convivir con la libertad de expresión e información sin suponer una censura al contenido indexado o la responsabilidad  de las fuentes del origen de la información y de los buscadores. También si la normativa europea sería o no de aplicación a una empresa con sede en California, que por ende fuese considerada Responsable de Tratamiento, y en definitiva, resolver si existía tratamiento de datos o no.

Pues bien, estamos ante una sentencia histórica que obliga al buscador a eliminar los enlaces de sus resultados de búsqueda si se dan una serie de requisitos (cuando sea solicitado por el afectado) aunque la información no sean de “su propiedad”, ya que el buscador realiza un tratamiento de datos de dicha información y por tanto la sentencia considera que el buscador es el Responsable.

ANTECEDENTES:

Para ponernos en situación, recordar que un ciudadano español solicitó y recibió el amparo de la AEPD requiriendo a Google que eliminasen sus datos del buscador.

Pues bien, ya en su día indicamos que la cuestión clave sería delimitar el alcance de la responsabilidad de Google frente a los derechos de los ciudadanos sobre la publicación/indexación de sus datos personales y si pudiese estar sujeto a la normativa de privacidad europea aunque su motor de búsqueda fuese el de una empresa con sede en California.

Las conclusiones resumidas del Dictamen Preliminar del Abogado General del TJUE, que ya publicamos en su momento, fueron:

  1. El ámbito territorial de aplicación.- Concluyó que se considera de manera indiscutible a las filiales de Google ubicadas en la UE como “establecimiento”.
  2. No entiende que el buscador sea Responsable del Tratamiento pero sí que sus operaciones implican claramente un tratamiento de datos personales.
  3. La Directiva no establece ningún «derecho al olvido» generalizado. Los derechos de oposición, supresión y cancelación de datos, de la Directiva no se extienden a un derecho al olvido como el descrito en el auto de remisión.

LAS CONCLUSIONES DE LA SENTENCIA

La sentencia del Tribunal de Justicia de la Unión Europea conocida hoy, supone:

  1. Que a Google le es aplicable la normativa Europea sobre protección de datos, al vender y promocionar espacios publicitarios a los ciudadanos de un estado miembro de la UE. A este respecto, la sentencia indica: “….Pues bien, toda vez que dicha presentación de resultados está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso de autos el territorio español”… “basta por sí mismo para concluir que un establecimiento como Google Spain cumple el criterio recogido en el artículo 4, apartado 1, letra a), de la Directiva 95/46….”
  2. Responsable del Tratamiento.- Su motor de búsqueda determina los fines y los medios del tratamiento de datos personales, por tanto esa actividad que desarrolla constituye un tratamiento de datos de los que es Responsable. A este respecto, la sentencia indica: “en base al artículo 2-d de la directiva 95/46, hay que considerar que la actividad del buscador al rastrear páginas web supone un tratamiento de datos de carácter personal ya que “determina los fines y los medios del tratamiento de datos personales”….. “
  3. Derecho al olvido.- Que asiste al interesado a solicitar que se eliminen sus datos y referencias del motor de búsqueda, sin necesidad de que hayan sido eliminadas previamente por el editor. Todo ello salvo en caso de relevancia o interés público. A este respecto, la sentencia indica: “incluso un tratamiento inicialmente lícito de datos exactos puede devenir, con el tiempo, incompatible con dicha Directiva cuando estos datos ya no sean necesarios en relación con los fines para los que se recogieron o trataron. Éste es el caso, en particular, cuando son inadecuados, no pertinentes o ya no pertinentes o son excesivos en relación con estos fines y el tiempo transcurrido”….. “en el supuesto en el que se aprecie, tras una solicitud del interesado….”…… “que esta información…….es inadecuada, no es pertinente, o ya no lo es, o es excesiva en relación con los fines del tratamiento en cuestión realizado por el motor de búsqueda, la información y los vínculos de dicha lista de que se trate deben eliminarse”.

En definitiva, sentencia histórica, de la que esperamos pacientemente su aplicación y de los más de 220 recursos de Google contra resoluciones de la AEPD pendientes.

Sentencia que abre nuevos interrogantes como:

  • Qué pasará con las Redes Sociales, ya que les será de aplicación al igual que cualquier operador extranjero con filial en España.
  • Qué sucede respecto a otros derechos fundamentales, con la libertad de expresión….
  • Cómo afectará al esperado y ansiado Reglamento Europeo de protección de Datos.
  • Cómo se realizará la revisión de las peticiones….