protecciódedades

La Autoridad Catalana de Protección de Datos (APDCAT) ha anunciado una disminución en el número anual de notificaciones de violaciones de seguridad durante el año 2024 en comparación con el año anterior. Esta reducción rompe, por primera vez, la tendencia al incremento del 20% anual que se venía observando desde el año 2018.

Concretamente, la APDCAT recibió un total de 182 notificaciones de violaciones de seguridad a lo largo de 2024, una cifra que supone una ligera disminución en relación con las 183 notificaciones registradas en 2023. A pesar de tratarse de un descenso modesto –del 0,5%–, el número de afectados se ha reducido a más de la mitad, con un total de 230.000 personas, en comparación con el millón y medio que se registró a lo largo de 2023.

La Autoridad atribuye esta mejora tan pronunciada en el número de afectados, principalmente, a la disminución de ciberataques, que pasan del 31% en 2023 al 17% en 2024, especialmente los de tipo ransomware, que han pasado del 19% al 3%. Estos ataques ransomware, basados en el secuestro de datos, son los que afectan a un mayor número de personas. En consecuencia, el 41% de las violaciones de seguridad que ha recibido la APDCAT durante 2024 solo han tenido impacto en un número de entre 1 y 10 personas.

Aun así, cabe destacar la forma en que, a pesar de la notable disminución en el impacto de estas violaciones, el número de notificaciones a las autoridades se ha mantenido en línea con las de 2023. Esto pone de manifiesto que los responsables de realizar estas notificaciones no han reducido su labor de vigilancia y han continuado cumpliendo rigurosamente con su obligación de reportar los incidentes de manera adecuada.

En cuanto al origen de las violaciones de seguridad, el error humano pasa a ser la primera causa de los incidentes (aumenta del 43% al 59%), mientras que el acto externo malintencionado se sitúa en segundo lugar (baja del 52% al 33%). En última instancia, se encuentra el acto interno malintencionado (por ejemplo, abuso de privilegios de acceso por parte de empleados que extraen, copian o reenvían datos sin autorización), que se mantiene en tercer lugar con ligeras variaciones al alza.

En la misma línea de 2023, en la gran mayoría de los incidentes (92%) se ve afectada la confidencialidad de los datos, mientras que las violaciones que afectan a la disponibilidad disminuyen (hasta el 7%), en coherencia con la reducción del número de ataques ransomware, que al operar mediante la encriptación de los datos con el objetivo de posteriormente exigir un rescate, limitan su accesibilidad y cuando se necesitan.

Finalmente, como es habitual, la mayoría de las violaciones afectan datos identificativos básicos (nombre y apellidos y, en algunos casos, fecha de nacimiento) y datos de contacto, en un alto porcentaje combinados con datos de documentos de identidad (como DNI, NIE o pasaporte), cuyo acceso y uso indebido puede suponer un riesgo importante de daño para los titulares de los datos comprometidos, como el riesgo de sufrir una suplantación de identidad o ser víctima de fraude.

Estas noticias son especialmente relevantes para el sector sanitario, un ámbito particularmente vulnerable a este tipo de incidentes debido a la naturaleza sensible de los datos que gestiona. Según el artículo 9.1 del RGPD, estos datos se consideran de categoría especial y requieren la aplicación de medidas específicas de seguridad que garanticen su integridad y confidencialidad frente a intentos de acceso no autorizados y tratamientos ilícitos que puedan comprometer la privacidad de sus titulares.

Aun así, es importante mantener el nivel de alerta. Como recordaba el Informe de Prospectiva de Ciberseguridad para 2024 de la Agencia de Ciberseguridad de Cataluña, el sector sanitario sigue siendo un objetivo principal en esta materia, por lo que continúa siendo primordial la adopción y el mantenimiento de estrategias de ciberseguridad proactivas, flexibles y adaptables ágilmente a los cambios dinámicos y a la evolución de este tipo de amenazas cibernéticas.

En este sentido, es importante recordar que, según el artículo 33 del RGPD, en caso de que se produzca una violación de seguridad de datos personales, el responsable del tratamiento deberá notificarlo a la Autoridad «sin dilación indebida» y, por regla general, en un plazo máximo de 72 horas desde que se haya tenido constancia del incidente. Según el RGPD, se considera violación de seguridad cualquier incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra manera, o la comunicación o el acceso no autorizado a dichos datos.

Así pues, cuando el responsable de protección de datos considere, en base a criterios como el tipo de violación, la categoría y tipología de los datos o el volumen y tipo de afectados, que la violación supone un riesgo de que se produzcan perjuicios (daños físicos, materiales o inmateriales) para las personas titulares de los datos afectados, deberá comunicarlo a la autoridad competente –en el caso de Cataluña, a la APDCAT– en los términos establecidos.

A modo ilustrativo, la Autoridad ha considerado violaciones de seguridad que deben ser comunicadas aquellas que impliquen pérdida de control sobre los datos, restricción de derechos de los titulares, discriminación, suplantación de identidad, pérdidas financieras, daño a la reputación, reversión no autorizada de la pseudonimización o pérdida de confidencialidad de datos sujetos a secreto profesional.

En definitiva, a pesar de la clara mejora, seguiremos con interés la evolución de los datos registrados por las Autoridades en materia de violaciones de seguridad y su impacto en la protección de los datos personales de los afectados, especialmente en sectores críticos como lo es el sector sanitario.

Desde el pasado 2 de marzo de 2024, las empresas con más de 50 trabajadores deben disponer de un protocolo de actuación para abordar situaciones de acoso o violencia dirigidas a personas LGTBI, así como ajustar los Planes de Igualdad en consecuencia.

La Ley 4/2023, de 28 de febrero, para la igualdad real y efectiva de las personas trans y para la garantía de los derechos de las personas LGTBI introdujo disposiciones específicas destinadas a fomentar la igualdad y prever la discriminación contra el lectivo LGTBI en el ámbito laboral, con el objetivo de erradicar las situaciones de discriminación, para asegurar que en España se pueda vivir la orientación sexual, identidad sexual, expresión de género, las características sexuales y la diversidad familiar con plena libertad . (más…)

Tras duras negociaciones, el Parlamento europeo ha aprobado finalmente este pasado día 13 de marzo con abrumadora mayoría un Reglamento europeo sobre inteligencia artificial (IA), el cual pretende ser un marco de regulación referente con vocación internacional. Pendiente aún de varios trámites, se prevé que entre en aplicación a los dos años a partir de su próxima publicación.

Entre otras cuestiones, el Reglamento prohíbe y regula una serie de conductas que podrían llevarse a cabo mediante una IA, contempla un régimen sancionador específico y contiene también la previsión de la creación de una agencia de supervisión en cada uno de los Estados miembros. Sin embargo, en el caso del Estado español ya se ha creado la Agencia Española de Supervisión de la IA.

A partir de la entrada en aplicación de este Reglamento, muchos dispositivos de vigilancia biométrica sólo podrán utilizarse de forma temporal y en casos específicos bajo autorización judicial y supervisión de la autoridad de protección de datos.

Algunas de las conductas que el nuevo Reglamento prohíbe de forma general y que podría llevar a cabo una IA son las siguientes:

• Categorización biométrica de personas.
• Captura indiscriminada de imágenes faciales de internet.
• Grabación con cámaras de videovigilancia que permita crear bases de datos de reconocimiento facial.
• Reconocimiento de emociones en el puesto de trabajo o en las escuelas.
• Establecer sistemas de puntuación ciudadana.
• Actuación policial prospectiva.
• IA que manipule el comportamiento humano o explote vulnerabilidades de personas.

Todas estas conductas que se plantean prohibir no son evidentemente supuestos de ciencia ficción en una sociedad futura y distópica, sino que son posibilidades reales que la tecnología de la IA ya permite actualmente. En cualquier caso, tal y como comentábamos anteriormente, todavía tendremos que esperar al menos dos años a que el Reglamento entre en aplicación. Como siempre la tecnología corre más que el legislador, y en dos años todavía pueden ocurrir muchas cosas; en cualquier caso, el Reglamento sobre la IA es una buena noticia de alcance internacional.

En la sesión plenaria de 16 de enero el Comité Europeo de Protección de Datos (CEPD) adoptó el informe con las conclusiones de la segunda acción coordinada a nivel europeo centrada en la designación y la posición de delegados y delegadas de protección de datos (DPO).

Este informe es fruto del trabajo efectuado durante el 2023 por las 25 autoridades de control de protección de datos del Espacio Económico Europeo, incluyendo el Supervisor Europeo de Protección de Datos (SEPD). En este informe se ilustra cuáles son hoy en día los principales obstáculos de la figura del DPO, y también se citan algunas recomendaciones para reforzar su estatus. El informe ha sido publicado juntamente con los 2 apéndices: uno estadístico, y el otro, con el análisis y observaciones hechas a nivel nacional por parte de cada autoridad participante.

Los puntos de atención que se destacan en el informe son:

• Ausencia de designación de DPO, incluso en aquellos casos en los cuales es obligatorio.
• Insuficiencia de recursos del DPO.
• Falta de conocimientos y experiencia del DPO.
• No tener confiadas en el DPO total o explícitamente las funciones definidas en el RGPD.
• Situaciones de conflicto de interés o de falta de independencia del DPO.
• Ausencia de reporting del DPO al más alto nivel de la entidad.
• Solicitud de orientación adicional por parte de las autoridades de control para tener mayor seguridad y eficiencia en sus actuaciones.

A pesar de que se han encontrado grandes coincidencias en aspectos generales, son de gran interés las apreciaciones particulares que describen las autoridades de control en cada país. Destacamos las 3 siguientes a modo de ejemplo:

• La Agencia Española de Protección de Datos alerta sobre la externalización de DPO. En concreto, se informa que en muchos casos esa práctica puede mostrar debilidad desde el punto de vista de que sea un mismo DPO el que pueda desarrollar plenamente su actuación en varias organizaciones. Asimismo, ello puede también incrementar el riesgo de que la figura del DPO sea considerada una mera formalidad en vez de que el DPO tenga una implicación real y proactiva en los tratamientos de datos efectuados por las organizaciones.
• La autoridad francesa advierte que a menudo los DPOs no tienen suficiente información sobre ciertos tratamientos de datos de la entidad porque no se los hace participar desde momentos iniciales en la toma de decisiones estratégicas.
• La autoridad portuguesa describe funciones que de forma equivocada se asocian al DPO cuando en realidad son obligaciones propias del responsable del tratamiento o encargado del tratamiento. En la misma línea, también se identifican tareas que de forma equivocada se atribuyen al DPO cuando no son su función, por ejemplo, en el caso de las evaluaciones de impacto que lleva a cabo directamente a pesar de que su función sea de asesoramiento.

Después de más de 5 años de plena aplicación del RGPD y con éste, de la figura del DPO, se constata que se han hecho avances pero que queda mucho camino pendiente de recorrer. Es por ello por lo que es necesario tener presentes las irregularidades detectadas y adecuarlas a las indicaciones dadas, más aún cuando en estos momentos hay numerosa normativa del sector digital que está siendo desarrollada o recién aprobada y ante la cual el DPO tendrá un rol significativo. Estos nuevos roles pueden reforzar algunas de las preocupaciones detectadas en el informe, en especial, aquellas relativas al conflicto de interés o la insuficiencia de recursos del DPO.

Para más información:

https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en

https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/resultados-de-la-accion-europea-que-ha-analizado-la

Hoy en día, las cookies son una herramienta esencial de la sociedad de la información, ya que permiten a los prestadores de servicios obtener datos de los usuarios y utilizarlos con diferentes finalidades, como puede ser, por ejemplo, para prestarle un servicio en concreto o facilitarle publicidad ajustada a sus gustos y costumbres de navegación.

Dada la afectación de las cookies en la privacidad de las personas, resulta ineludible la implementación de un sistema de información que permita a los usuarios ser plenamente conocedores de los usos que se dará a sus datos y decidir sobre los mismos. otorgamiento de su consentimiento.

A fin de garantizar estos parámetros, el pasado mes de febrero de 2023, el Comité Europeo de Protección de Datos (CEPD), emitió las Directrices 03/2023 sobre patrones engañosos en las redes sociales. Y, a fin de ayudar a los prestadores de servicios a seguir las indicaciones de las citadas directrices, la Agencia Española de Protección de Datos actualizó su Guía sobre el uso de las cookies. Estos nuevos criterios deben implementarse antes del 11 de enero de 2024.

La guía incluye un conjunto de recomendaciones que resultarán de aplicación en aquellos casos en los que la utilización de las cookies implique el tratamiento de datos personales. Y, por tanto, los responsables del tratamiento tendrán que asegurarse de cumplir tanto con las exigencias propias que regula la LSSI, así como también la normativa vigente en materia de protección de datos.

Uno de los primeros aspectos a los que hace referencia la guía, es la necesidad de identificar cuáles son las cookies utilizadas en el sitio web y cuál es su finalidad. Se trata de un paso esencial para poder cumplir con las principales obligaciones de cookies, que son la obligación de transparencia y la obligación de obtención del consentimiento.

También será necesario tener presente que estas obligaciones no aplicarán a todas las cookies, sino que algunas quedan exceptuadas. Por ejemplo, en el caso de las cookies de personalización, cuando el propio usuario toma decisiones sobre ellas como puede ser la opción del idioma, son cookies técnicas que no precisan de consentimiento, sin que puedan ser utilizadas para otros fines.

Cuando hablamos de la obligación de transparencia, estamos haciendo referencia a la necesidad de informar a los usuarios de forma clara y completa sobre el uso de sus datos. Es por ello que habrá que informar sobre cuál es la función genérica de las cookies, qué tipo de cookies se recogen y cuál es su finalidad, quién las utiliza, cómo aceptar, denegar o revocar el consentimiento por el uso de las cookies, cómo se transferirán a terceros países, si implica la elaboración de perfiles, el período de conservación y el resto de información relativa al tratamiento de datos que nos determina el artículo 13 del RGPD, como por ejemplo el ejercicio de derechos de los interesados.

No sólo es importante la información que debe trasladarse al usuario, sino que hay que prestar especial atención también a cómo se facilita. Por eso es necesario asegurarse de que la información sea concisa, transparente e inteligible, mediante el uso de un lenguaje claro y sencillo que pueda ser entendido por el usuario.

Otro aspecto a tener en cuenta es la forma de acceso a la información, puesto que debe ser claramente visible por el usuario sin que implique un esfuerzo por él. Con el objetivo de evitar la fatiga informativa, puede ofrecerse la información mediante capas. De modo que, desde la primera capa informativa se pueda acceder a un enlace o acceder a la información completa de las cookies.

Toda esta información debe ser facilitada para que el usuario otorgue su consentimiento siendo plenamente conocedor sobre cómo se utilizarán sus datos personales.

Para la obtención del consentimiento será necesario tener presente que se lleve a cabo mediante fórmulas que impliquen una inequívoca acción afirmativa por parte del usuario. De modo que habrá que presentarle las acciones de aceptar o rechazar las cookies en lugar y formato destacados, fácilmente visibles.

Otro aspecto relevante es que el acceso al servicio web y sus funcionalidades, no podrán condicionarse a que el usuario consienta el uso de cookies. Pudiéndose presentar situaciones en las que la no aceptación de la utilización de cookies puede impedir el acceso al sitio web oa la utilización total o parcial del servicio, siempre que se informe al usuario y se ofrezca por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies, la cual no debe ser necesariamente gratuita.

Se trata de un conjunto de directrices que permiten ayudar a trasladar la información sobre el uso de cookies a los usuarios, pero huyan de la estandarización de textos, ya que debe ser plenamente adecuado a las características particulares de cada página web. Y, de acuerdo con todo lo anterior, tendrán que ser revistas los textos web.

Se puede consultar el texto completo del informe del Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos en el siguiente enlace: https://www.aepd.es/guias/guia-cookies.pdf

Y, las Directrices 03/2023 sobre patrones engañosos en las redes sociales, del Comité Europeo de Protección de datos (CEPD):

https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf

La obligación que afecta a la gran mayoría de las empresas de elaborar un plan de igualdad de forma negociada con la representación legal de los trabajadores, tal y como hemos ido viendo, no es tan fácil de cumplir. La normativa nos dice que, si la empresa no tiene representación legal de los trabajadores, es necesario pedir a los sindicatos más representativos que se presenten a la negociación: ¿qué pasa, sin embargo, si estos sindicatos, a pesar de haberlos enviado diferentes requerimientos por Email , ¿no contestan o contestan diciendo que no pueden o no quieren participar en esta negociación? No se trata de una cuestión menor, ya que, de entrada, si un plan no ha sido formalmente negociado, el registro deniega su inscripción, lo que deja a la empresa en una situación de incumplimiento legal y de indefensión, sin habilitación para participar en concursos públicos y con las pérdidas económicas que esto pueda suponer. (más…)

En la Newsletter de octubre informábamos del acuerdo al que habían llegado PSOE y PP en la renovación de la dirección de la Agencia Española de Protección de Datos. Este pacto político está siendo controvertido porque no parece ajustarse al procedimiento para el nombramiento de la dirección de esta entidad. En efecto, hace dos años que se reformó el procedimiento de designación con voluntad de ser un procedimiento abierto y libre concurrencia. (más…)

Que un país como Reino Unido salga de la Unión Europea implica, de entrada, que dejen de aplicarse las normas jurídicas europeas que se estaban aplicando. Entre ellas, recordamos que el Reglamento General de Protección de Datos (RGPD) es un una norma jurídica directamente aplicable en los Estados miembros, que además ostenta un carácter jerárquicamente superior a las legislaciones estatales. Nos encontramos pues con la situación paradójica de que un país que tenía todas las garantías para transferir datos de carácter personal de repente puede ser considerado un país inseguro debido a un cambio repentino de su situación jurídica respecto a la Unión Europea, y esto tiene implicaciones extraordinarias en cuanto a las empresas u organizaciones europeas que tienen relación con este país. (más…)

Los pasados ​​días 22 y 23 de octubre tuvo lugar la III edición del Digital Law World Congress con el lema «Digital rights: a new evolution of Human Rights» coincidiendo con la celebración, el 24 de octubre, del 75 aniversario de la creación de Naciones Unidas.

Nuestra gerente de Servicios Jurídicos, Caterina Bartrons, participó en una de las mesas como relatora.

El desarrollo de Internet y la sociedad digital ha cambiado la forma en que nos relacionamos, nos comunicamos y realizamos nuestras actividades sociales, laborales y económicas, constituyendo una auténtica revolución y una fuente inagotable de oportunidades de progrés.

No obstante, también ha comportado determinados riesgos, que suponen un reto para la seguridad, la privacidad y la confianza en el mundo digital, y que deben ser afrontados a través de medidas que garanticen los derechos y libertades de toda la ciudadanía.

EL CONGRÉS

Los datos se han convertido en un activo empresarial clave para cualquier empresa, esta afirmación es una realidad indiscutible. Las organizaciones disponen de una voluminosa cantidad de datos personales de usuarios, de clientes, de proveedores, de trabajadores, y un gran etcétera, que una vez procesadas y explotadas generan un gran valor a la empresa, pero para que estos datos tengan valor real hay que asegurar la calidad de los datos, así como su seguridad y privacidad. Hay que ser conscientes de que el uso inadecuado de los datos puede ocasionar graves daños financieros y reputacionales a la Organización. Con el fin de promover una gestión efectiva es importante disponer de un proceso de gobernanza de los datos o fecha governance. (más…)