LA EXISTENCIA DE UN CONFLICTO DE INTERESES EN LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS

LA EXISTENCIA DE UN CONFLICTO DE INTERESES EN LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS

En la resolución de un recurso de reposición por la Agencia Española de Protección de Datos, de  18 de abril de 2024, se trata la posibilidad de que tenga lugar un conflicto de intereses entre la funciones del DPD y el Responsable de Tratamiento, a la hora de presentar alegaciones por parte de esta primera figura.

 

En primer lugar, partimos de ¿qué es la figura de Delegado de Protecciónd e Datos?

La figura del Delegado de Protección de Datos (DPD/DPO) es un profesional encargado de velar por el cumplimiento de las normativas de protección de datos dentro de una organización. Este rol es fundamental en el marco del Reglamento General de Protección de Datos (RGPD) y nuestra normativa nacional LOPDGDD.

Entre las funciones de esta figura está:

  1. Supervisión del Cumplimiento: Asegurarse de que la organización cumple con las leyes y regulaciones de protección de datos.
  2. Asesoramiento: Proporcionar asesoramiento sobre las obligaciones relativas a la protección de datos.
  3. Formación: Desarrollar programas de formación y concienciación para el personal de la organización.
  4. Evaluaciones de Impacto: Realizar y supervisar las evaluaciones de impacto sobre la protección de datos, EIPD, especialmente cuando se implementan nuevas tecnologías o procesos.
  5. Punto de Contacto: Actuar como punto de contacto para las autoridades de control y para los interesados (las personas cuyos datos están siendo procesados).

En segundo lugar, ante la posibilidad de que exista conflicto de intereses entre las funciones del Delegado de Proteccion de Datos  y el responsable de tratamiento en las alegaciones efectuadas sobre esta cuestion, se niega la existencia de dicho conflicto, a pesar de presentar y firmar esta primera figura las alegaciones, se explica que el responsable del tratamiento solicitó informes y actuó con el asesoramiento del DPD, quien remitió las comunicaciones a la AEPD utilizando su certificado de representación, ya que es el único que posee dicha capacidad en dicha Secretaría y que entre las fundiones del DPD esta la de Punto de contacto.

La AEPD respondiento a estas cuestiones resuelve que, el DPD estaba actuando en nombre y representación del responsable del tratamiento, sin que se desprenda que el DPD estuviera actuando como mero punto de contacto o transmisor de las alegaciones del responsable del tratamiento, o simple asesor (el asesoramiento al responsable del tratamiento es un acto interno), máxime cuando dichas alegaciones tienen un contenido claramente exculpatorio de la responsabilidad del responsable del tratamiento.

De igual forma, la argumentación de que el DPD es el único con capacidad para relacionarse con la Agencia Española de Protección de Datos no se sostiene, debido a que el responsable del tratamiento también tiene la autoridad y la capacidad legal para gestionar las comunicaciones con la AEPD. La delegación de funciones administrativas para la gestión de comunicaciones no justifica que el DPD asuma roles que podrían comprometer su independencia y generar un conflicto de intereses, especialmente en procedimientos sancionadores donde su imparcialidad debe ser garantizada.

Además, haciendo hincapié en que la figura del DPD presente alegaciones, firmé el documento y se identifique como el autor de las alegaciones, sugiere un conflicto de intereses y una falta de independencia en el desempeño de sus funciones debido a que compromete la independencia e integridad del DPD.

Lo anteriormente expuesto junto a la presentacion de alegaciones con carácter exculpatorio es donde radica el el conflicto de intereses, pues el DPD no puede simultáneamente informar y asesorar al responsable del tratamiento y, al mismo tiempo, actuar en su defensa. Esta dualidad de roles en la misma persona, el DPD; compromete de manera grave su independencia y objetividad, pilares fundamentales para el adecuado ejercicio de sus funciones conforme a la normativa vigente.

En definitiva, se debe de tener cuidado a la hora de desempeñar las funciones como Delegado de Protección de Datos, y tener clara la obligación de asesoramiento, supervision en la materia y punto de contacto con la autoridad de control,  con la funciones administrativas para la gestión, debido a que la presentación de alegaciones en representación del responsable del tratamiento es una función que va más allá del asesoramiento interno, implicando una defensa activa y una declaración de posición en un procedimiento sancionador.

 

Publicado el 26 de Julio de 2024
Por Alfredo Barroso
Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

ENTRADA EN VIGOR DE LA MODIFICACIÓN EN LA LEY GENERAL DE TELECOMUNICACIONES

ENTRADA EN VIGOR DE LA MODIFICACIÓN EN LA LEY GENERAL DE TELECOMUNICACIONES

Mediante el presente artículo, analizaremos las modificaciones normativas operadas en el ámbito de las comunicaciones comerciales, como consecuencia de la modificación del art. 66.1.b) de la Ley 11/2022 General de Telecomunicaciones.

 

Esta Ley regula, entre otros temas, el derecho de los usuarios a la protección de datos personales y la privacidad en relación con las comunicaciones no solicitadas, incluyendo el no recibir llamadas no deseadas. De este modo, cambia el régimen jurídico aplicable que existía con anterioridad y contempla en su texto que ese apartado entrará en vigor el 29 de junio de este año.

La elaboración de esta Circular, que consta de una parte expositiva, cinco artículos y una disposición final, se lleva a cabo tras la publicación por parte de la AEPD de un informe jurídico en el que se analiza la interpretación de ese artículo en relación con la normativa de protección de datos.

El artículo 66.1.b) de la Ley 11/2022 recoge el derecho de los usuarios a no recibir llamadas no deseadas con fines de comunicación comercial, salvo que exista consentimiento previo del propio usuario para recibir este tipo de comunicaciones o que estas puedan ampararse en otra base de legitimación de las previstas en el Reglamento General de Protección de Datos (RGPD). Dado que el artículo no limita exclusivamente la realización de las llamadas con fines de comunicación comercial al consentimiento de los usuarios e incluye la posibilidad de que estas puedan realizarse con otras bases jurídicas, el proyecto de Circular tiene como objetivo contribuir a la seguridad jurídica, tanto de aquellos que realizan las comunicaciones como de los usuarios.

En este sentido, a continuación, contemplamos la redacción otorgada al artículo 66.1 b) de la Ley 11/2022:

Artículo 66. Derecho a la protección de datos personales y la privacidad en relación con las comunicaciones no solicitadas, con los datos de tráfico y de localización y con las guías de abonados.

  1. Respecto a la protección de datos personales y la privacidad en relación con las comunicaciones no solicitadas los usuarios finales de los servicios de comunicaciones interpersonales disponibles al público basados en la numeración tendrán los siguientes derechos.
  2. a no recibir llamadas automáticas sin intervención humana o mensajes de fax, con fines de comunicación comercial sin haber prestado su consentimiento previo para ello.
  3. a no recibir llamadas no deseadas con fines de comunicación comercial, salvo que exista consentimiento previo del propio usuario para recibir este tipo de comunicaciones comerciales o salvo que la comunicación pueda ampararse en otra base de legitimación de las previstas en el artículo 6.1 del Reglamento (UE) 2016/679 de tratamiento de datos personales.
  4. Lo establecido en las letras a) y c) del apartado 2 se entiende sin perjuicio de las obligaciones establecidas en la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
  5. Lo dispuesto en este artículo será sin perjuicio de la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y su normativa de desarrollo, y, en particular, de la aplicación del concepto de consentimiento que figura en la misma.
  6. De lo anterior podemos deducir una cuestión fundamental, a pesar de que el consentimiento expreso del titular no es la única base legitimadora del tratamiento, resultará necesario valorar la adecuada existencia de otra base que habilite el tratamiento de estos datos, por ejemplo, el interés legítimo del Responsable.

A efectos de concretar lo anterior, la Agencia Española de Protección de Datos, mediante la elaboración de una Circular, manifiesta las siguientes cuestiones.

A) El consentimiento expreso otorgado por el titular, debe reunir los requisitos del RGPD (art.7).

B) El tratamiento será lícito si es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. En relación a estos intereses, deberán ser evaluados y documentados.

C) Se establece la presunción de licitud si existe relación comercial previa y se trate de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

D) En todo caso, deberá garantizarse el pleno cumplimiento del deber de  transparencia, conforme a los artículos 13 y 14 del Reglamento (UE) 2016/679 y  el establecimiento de un procedimiento sencillo para el ejercicio del derecho de  oposición que será mencionado explícitamente al interesado, a más tardar, en la  primera comunicación, de acuerdo con el artículo 21.4 del citado reglamento.

E) Resultará obligatoria la consulta previa de las listas de exclusión publicitaria.

En relación al marco sancionador que resultará aplicable, las entidades o profesionales que incumplan, podrán enfrentarse a infracciones leves, sancionables con hasta 100.000€ y siendo competente la Agencia Española de Protección de Datos.

De igual modo, los representantes de las entidades que efectúen estas llamadas comerciales sin base legitimadora del tratamiento, podrán ser sancionados a título personal con hasta 5.000€, tal como establece el art. 109. Si bien es cierto que el precepto contempla que “quedan excluidas de la sanción aquellas personas que, formando parte de órganos directivos o de los órganos colegiados de administración, no hubieran asistido a las reuniones o hubieran votado en contra o salvando su voto”.

 

Publicado el 30 de Junio de 2023
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

EL AUDITOR DE CUENTAS Y SOCIEDADES DE AUDITORÍA, COMO RESPONSABLE DEL TRATAMIENTO

EL AUDITOR DE CUENTAS Y SOCIEDADES DE AUDITORÍA, COMO RESPONSABLE DEL TRATAMIENTO

La autoridad de Control, la Agencia Española de Protección de Datos, mediante la emisión de diferentes informes ante consultas formuladas, ha resuelto la cuestión planteada por parte de los auditores de cuentas y sociedades de auditoría respecto a determinar si estos actúan como encargados del tratamiento de la entidad auditada o como responsables.

 

De este modo, teniendo en cuenta las definiciones de responsable y encargado del tratamiento contenidas en el artículo 4 del Reglamento General de Protección de datos, así como la regulación que del encargado del tratamiento se efectúa en su artículo 28, debe considerarse que el criterio definidor de la condición de responsable del tratamiento viene dado por la potestad de determinar los fines y los medios del tratamiento, en tanto que el encargado debe limitar su actuación a seguir las instrucciones del responsable.

En estas consultas formuladas, los interesados parecen plantear la hipótesis de que el auditor de cuentas mantiene en relación con la entidad auditada, la condición de encargado del tratamiento, dado que la actividad desarrollada por el auditor se deriva de la existencia de un contrato celebrado con dicha entidad. Sin embargo, esta cuestión, ya fue analizada en el informe 272/2011, de 28 de julio, emitido por el Gabinete Jurídico de esta Agencia con ocasión del análisis, de conformidad con lo dispuesto en los artículos 37 h) de la Ley Orgánica, de 13 de diciembre, de Protección de datos de Carácter Personal, referente al Proyecto de Real Decreto por el que se aprobaba el Reglamento de desarrollo de la entonces vigente, Ley 19/1998, de 12 de julio de Auditoría de Cuentas. El referido informe se señalaba lo siguiente:

“En la actualidad, el artículo 14.1 de la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas, relativo al principio general de independencia al que resulta obligado todo auditor, reproduce lo señalado en el derogado Texto Refundido de la Ley de Auditoría de Cuentas, aprobado por el Real Decreto Legislativo 1/2011, de 1 de julio, y dispone que, «Los auditores de cuentas y las sociedades de auditoría deberán ser independientes, en el ejercicio de su función, de las entidades auditadas, debiendo abstenerse de actuar cuando su independencia en relación con la revisión y verificación de las cuentas anuales, los estados financieros u otros documentos contables se vea comprometida«.

El criterio definidor de la condición de responsable del tratamiento se fundamenta en el imperativo legal que faculta al auditor como figura independiente, no sometida a posibles instrucciones de su cliente. Por el momento, la AEPD no ha entrado a valorar ni a diferenciar si la auditoría externa se realiza por obligación legal o, si ésta se lleva a cabo de forma potestativa por parte de la entidad.

Entre las consecuencias en la práctica, indicar a las Entidades que no se debe firmar un contrato de encargo de tratamiento, si no que en el contrato de prestación de servicios con el auditor debe identificarse al auditor como responsable del tratamiento, prever una cláusula de confidencialidad de los datos, minimización de los datos ajustada a la finalidad de la actividad y deber de diligencia.

 

Publicado el 26 de Mayo de 2023
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

CESIONES DE DATOS DEL PADRÓN MUNICIPAL A LAS FUERZAS Y CUERPOS DE SEGURIDAD

CESIONES DE DATOS DEL PADRÓN MUNICIPAL A LAS FUERZAS Y CUERPOS DE SEGURIDAD

La cesión de datos padronales se encuentra regulada por el artículo 16.3 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, en los siguientes términos: Los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También pueden servir para elaborar estadísticas oficiales sometidas al secreto estadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública y en las leyes de estadística de las comunidades autónomas con competencia en la materia.

 

Aunque los cuerpos y fuerzas de seguridad forman parte de la Administración pública, sin embargo, se entiende necesario el diferenciar estas cesiones del resto de las que se pueden realizar a las diferentes Administraciones públicas.

La recogida y tratamiento de datos de carácter personal por las fuerzas y cuerpos de seguridad para fines policiales, se realiza sin consentimiento de las personas afectadas, siempre que obedezcan a dos finalidades, como son, la prevención de un peligro real para la seguridad pública, o la represión de infracciones penales. Esta finalidad deriva de la actividad de investigación policial reconocida a las fuerzas y cuerpos de seguridad en la Ley Orgánica 2/1986 sobre fuerzas y cuerpos de seguridad del Estado (artículo 11).

Con carácter general, la investigación policial requiere de una actuación urgente y rápida, y es por ello, que el gestor del padrón municipal no puede entrar en una valoración y análisis de la petición de datos, sino únicamente en comprobar que el solicitante acredita pertenecer a las fuerzas y cuerpos de seguridad. No obstante, se entiende que sí deberá quedar constancia de la petición policial.

En el caso de que el acceso a los datos del padrón sea por parte de la policía local del propio Ayuntamiento para el ejercicio de sus propias competencias (artículo 53 L. O. 2/1986), no se trataría propiamente de cesión de datos, sino que dicho acceso será en las mismas condiciones que para el resto de los servicios municipales.

Por último, la disposición adicional 7ª de la LBRL13 incorporada por la Ley Orgánica 14/2003, de 20 de noviembre, viene a establecer una nueva excepción legal y así se prevé, que “para la exclusiva finalidad del ejercicio de las competencias establecidas en la Ley orgánica de Derechos y Libertades de los Extranjeros en España y su integración social, sobre control y permanencia de extranjeros en España, la Dirección General de la Policía accederá a los datos de inscripción padronal de los extranjeros existentes en los padrones municipales, preferentemente por vía telemática”.

Esta norma establece, que “los accesos se realizarán con las máximas medidas de seguridad, debiendo quedar constancia en la Dirección General de la Policía de cada acceso, la identificación de usuario, fecha y hora en que se realizó, así como los datos consultados”.

Se pone de relieve, que, en estos supuestos, no existirá autorización del acceso por parte del Ayuntamiento, pues la Dirección General de la Policía está autorizada a acceder directamente vía telemática a los datos padronales de los extranjeros. En este sentido únicamente sugerir que, vía informática se deba prever una separación de los datos de los extranjeros y de los nacionales, dado que, en caso de no hacerlo, la Dirección General de la Policía tendría un acceso a la totalidad de los datos del padrón que sería contraria a la finalidad legalmente prevista.

En estos casos, los cuerpos policiales deberán acreditar la necesidad de la cesión de los datos de las personas sin su consentimiento, en razón de un peligro para la seguridad pública o en casos justificados en relación a investigaciones con consecuencias penales de importancia, siendo también importante señalar que estos datos de carácter personal solo deberán ser utilizados por los funcionarios policiales para las finalidades justificadas en la petición.

Por todo ello, las peticiones de datos personales por parte de las Fuerzas y Cuerpos de Seguridad deben observar una serie de requisitos fundamentales:

  • Deberán realizarse solicitudes individuales y específicas, con referencia exacta de los datos peticionados. No se permiten la cesión de datos masivos a las Fuerzas y Cuerpos de seguridad. En este caso, ya la LOPD del año 1999 señalaba que las peticiones se realizarán cuando “…sean absolutamente necesario para los fines de una investigación concreta…”.
  • Las solicitudes deben plantearse por escrito, con constancia de la fecha, hora, número de registro, agente solicitante, etc.
  • Las solicitudes deben estar correctamente fundamentadas y justificadas en los casos de necesidad previstos legalmente, y amparadas en diligencias policiales o judiciales, o bajo el paraguas legal de una resolución administrativa expresa.
  • Que los datos solicitados sean necesarios para la investigación por existir un peligro real y grave para la seguridad pública, o por persecución de hechos delictivos.
  • Por supuesto deben evitarse las peticiones arbitrarias e indiscriminadas, o que entrañen aspectos exclusivos o discriminatorios.

 

Publicado el 31 de Marzo de 2023
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

SE HA APROBADO LA LEY 2/2023, DE 20 DE FEBRERO, QUE REGULA LA PROTECCIÓN DE LAS PERSONAS QUE INFORMEN SOBRE INFRACCIONES NORMATIVAS

SE HA APROBADO LA LEY 2/2023, DE 20 DE FEBRERO, QUE REGULA LA PROTECCIÓN DE LAS PERSONAS QUE INFORMEN SOBRE INFRACCIONES NORMATIVAS

Esta norma tiene como objetivo proteger a las personas conocedoras de infracciones para que puedan denunciar sin temor a ningún tipo de represalias.

 

Esta obligación de implementar un sistema interno de información (canal de denuncias) en los supuestos mencionados en la normativa, resulta exigido en los siguientes supuestos:

  • Empresas privadas de 50 o más trabajadores/as, otorgando los correspondientes plazos en función del tramo de personal en el que se encuentre.
  • Entidades del sector público, entre las que se encuentran los municipios de + de 10.000 habitantes.
  • Entidades del sector privado que gestionen o reciban fondos públicos, entre las que se encuentran partidos políticos, sindicatos, fundaciones u organizaciones empresariales.

Principales novedades introducidas por la norma

  • Creación de un nuevo órgano de control: Autoridad Independiente de Protección del Informante (A.A.I.).
  • Cambio en la terminología respecto al proyecto de ley, dejando atrás la denominación de «canal de denuncias» y «denunciante» y pasando a ser «Sistema Interno de Información» e «informante».
  • Notificación del denominado «Responsable del Sistema Interno de información«, ante la A.A.I., siendo la persona encargada del correcto cumplimiento de este procedimiento.
  • Definición de un proceso de gestión a seguir claro y sencillo.
  • Posibilidad de externalizar la gestión del sistema interno, siempre y cuando, el sistema ofrezca las garantías adecuadas de confidencialidad, Protección de datos y secreto.
  • Modificación de otras normas.

Además, con la entrada en vigor de la Ley 2/2023, resultan modificadas diversas normas, entre la que se encuentra la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los derechos digitales (en lo que respecta a su artículo 24).

La implementación correcta de esta normativa conlleva una adecuada protección de los datos de carácter personal, es por ello que se introduce en su título VI, un apartado titulado Protección de Datos Personales que establece en sus artículos 29 y ss:

  • El tratamiento de datos personales, resultará licito si se tratan para fines de prevención, detección investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones conforme a lo establecido en la RGPD y la LOPDGDD.
  • Facilitar la información sobre el proceso a los interesados y el procedimiento de ejercicio de sus derechos.
  • También se establece quiénes se encuentran habilitados a acceder a esos datos de carácter personal y cuándo deben suprimirlos.
  • Se tienen en cuenta el deber de preservación de la identidad del informante y de las personas investigadas, pudiéndose comunicar esta información a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente.

 

Publicado el 24 de Febrero de 2023
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

ATAQUES DE INGENIRIA SOCIAL, EL CORREO ELECTRÓNICO COMPROMETIDO

ATAQUES DE INGENIRIA SOCIAL, EL CORREO ELECTRÓNICO COMPROMETIDO

Con motivo del cierre de ejercicio, y ante situaciones de regularización y el pago de facturas de final de año, en el que optamos por agilizar trámites con envíos de correos electrónicos, resulta fundamental que tengáis en cuenta una serie de recomendaciones, derivadas del crecimiento de ciberataques en este ámbito.

 

En este sentido, destaca la figura del “Business E-mail Compromise”, fraude destinado a empresas que realizan transferencias electrónicas de dinero, en el que un ciberdelincuente suplanta la identidad de uno de los proveedores e intercepta el correo de facturación que nos envía, modificando la cuenta del blanco donde realizar los pagos, de forma que se realice la transferencia a una cuenta contralada por el ciberdelincuente.

Ante este incidente de seguridad, las opciones pueden ser las siguientes:

En primer lugar, que nuestra cuenta de correo electrónico se encuentre comprometida

IEn este caso, el ciberdelincuente ha podido acceder a nuestra cuenta y ha creado una regla de entrada en nuestro buzón de correo. Esta regla, funciona reenviando todo el correo procedente de facturacion@proveedor.com, a una cuenta de correo desconocida, ciberdelincuente@email.ru, además, mueve el correo de la bandeja de entrada a una carpeta oculta, para que no lo detectemos.

Si revisamos las cabeceras del correo que hemos recibido con la cuenta bancaria modificada se detecta que la dirección desde la que se envió la factura es facturacion@proveedor.com. El atacante ha creado un dominio muy parecido al de Proveedor S.A. para suplantar su identidad y cometer el fraude.

En segundo lugar, que la cuenta de correo de nuestro proveedor se encuentre comprometida

En este caso, nuestro proveedor recibe llamadas de clientes que han recibido correos con facturas con el número de cuenta modificado, es decir, su correo está comprometido. Aparentemente los correos se envían desde la dirección legítima.

Se detecta una regla de salida en el buzón de correo del proveedor, que ellos no habían configurado. Esta regla, funciona interceptando todo el correo saliente con facturas hacia clientes, y los reenvía a una cuenta de correo desconocida, ciberdelincuente@email.

Es posible que su cuenta siga comprometida, ya que los correos a clientes están siendo enviados desde el correo legítimo. Es probable que el ciberdelincuente esté interceptando, toda la información que llega al buzón del proveedor para posteriormente acceder al correo de facturación del proveedor para cometer el fraude.

Ante este incidente que se presenta, desde GRUPO DATA os trasladamos una serie de recomendaciones publicadas por el Instituto Nacional de Ciberseguridad:

¿CÓMO HA SUCEDIDO LO ANTERIOR?

En este caso, la victima está esperando un correo con la factura de un proveedor, por tanto, confía del correo recibido y presta menos atención a las características y apariencia del mismo. Pero, ¿cómo han accedido a nuestro correo electrónico?

Los motivos pueden ser los siguientes:

  • Han entrado en nuestra cuenta de correo por falta de concienciación:
    • tenemos equipos sin acceso por contraseña;
    • nuestras contraseñas están escritas en papeles accesibles o a la vista;
    • tenemos las contraseñas almacenadas en texto plano en el propio equipo, es decir, en cualquier fichero;
    • utilizamos contraseñas poco robustas;
    • no utilizamos doble factor de autenticación.

 

  • Si han obtenido las credenciales de nuestra cuenta de correo:
    • utilizando ingeniería social;
    • hemos introducido las credenciales (usuario y contraseña) al caer en alguna campaña de phishing suplantando a otra empresa, bancos, entidades de referencia, herramienta o servicio (cloud, Microsoft 365, etc.);
    • shoulder surfing: visualizan las credenciales cuando las tecleamos o si hay una cámara espiando.

 

  • Hemos sido infectados por malware que puede espiar y robar nuestras credenciales. En particular keyloggers que es un malware que registra nuestras pulsaciones en el teclado. Estos también pueden ser de tipo hardware, por ello revisaremos que no hay ningún dispositivo extraño conectado a nuestros ordenadores y servidores.

 

  • Lanzan ataques automatizados contra el servidor de correo con contraseñas comunes o contraseñas filtradas por brechas de seguridad

 

Podemos comprobar si alguna de nuestras cuentas está en una filtración que haya tenido lugar debida a brechas de seguridad de algún servicio, red social o aplicación que utilicemos:

Para evitar este tipo de ataques de ingeniería social resulta fundamental adoptar medidas de seguridad tendentes a mitigar este riesgo y fomentar en el seno de la entidad una cultura de protección de datos para todos los usuarios intervinientes en el tratamiento de datos.

 

 

Publicado el 30 de Diciembre de 2022
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

INCIDENCIA DE LA PROTECCIÓN DE DATOS EN ADMINISTRACIONES PÚBLICAS

INCIDENCIA DE LA PROTECCIÓN DE DATOS EN ADMINISTRACIONES PÚBLICAS

Referencias normativas: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derecho Digitales, y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

 

Las Administraciones Públicas (AAPP) actúan en calidad de responsables y encargados de tratamientos de datos personales en el desarrollo de las actividades propias del organismo público. En materia de protección de datos, existen áreas en las que encontramos especificaciones para el sector público, siendo éstas:

 

I. Identificación de las finalidades del tratamiento de datos efectuados, así como las bases jurídicas que legitiman el tratamiento. En este caso, deberá incorporarse la identificación al Registro de Actividades del tratamiento, así como en la información facilitada al titular de los datos en cumplimiento del art. 13 y 14 del RGPD. Como base legitimadora habitual, en el caso de las AAPP, encontraremos el interés público o el ejercicio de poderes públicos, habilitando una norma con rango de ley al organismo público para que efectué el tratamiento.

II. En el supuesto de que el consentimiento del titular resulte la base legitimadora, deberán cumplirse las premisas que establece el legislador: informado, libre, especifico otorgado por los interesados mediante una manifestación que muestre su voluntad de consentir o mediante una clara acción afirmativa.

III. Cumplir con el deber de información en base a lo establecido en el art. 13 y 14 del RGPD, otorgando la información de forma “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”. Esta obligación deriva en la necesidad de modificación de los documentos que actualmente recogen estas cláusulas informativas, incorporados en convocatorias de subvenciones, pruebas selectivas, etc.

IV. Análisis de riesgos en materia de protección de datos, identificando el tratamiento de datos efectuado, medidas de seguridad implantadas y gestión del riesgo del organismo público.

V. Implantación del procedimiento de atención de ejercicio de derechos por parte de los titulares, reconocidos por la normativa vigente.

VI. Adoptar un procedimiento de gestión de brechas o incidentes de seguridad.

VII. Confección del documento de Registro de Actividades del Tratamiento, con el contenido mínimo establecido en el art. 30 del RGPD. Este registro deberá mantenerse actualizado y a disposición de la autoridad de control.

VIII. Necesidad de valoración de encargados del tratamiento mediante la verificación del grado de cumplimiento efectuado por los mismos en materia de protección de datos, en cumplimiento de la obligación de diligencia debida en la elección de proveedores.

IX. Actualización y adecuación de los contratos de encargados del tratamiento, en base a lo establecido en el art. 28 del RGPD y art. 33 de la LOPDGDD.

X. Designación del Delegado de Protección de Datos (todas las “autoridades u organismos públicos” nombrarán un DPD)

 

Desde GRUPO DATA, como consultoría especializada en materia de protección de datos, nos encontramos a su disposición para regular estas cuestiones y aclararle las dudas que le surjan

 

Publicado el 25 de Noviembre de 2022
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL EN LOS CENTROS EDUCATIVOS

TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL EN LOS CENTROS EDUCATIVOS

En este mes de septiembre, inicia un nuevo curso académico y los centros educativos comienzan con los trámites y gestiones para la atención de actividades escolares, matriculas de alumnos/as, etc. Es por ello que, debemos tener presente y atender las dudas más frecuentes que este tipo de trámites suscita en las personas encargadas de los mismos. 

En primer lugar, señalar que la normativa actual en materia de protección de datos, legitima a los centros educativos para el tratamiento de los datos del alumnado, así como de sus padres, madres o tutores, bajo la necesidad de resultar necesarios para el desempeño de la función docente y orientadora.

En este artículo queremos ayudar al personal encargado de estas gestiones, resolviendo algunas de las preguntas que nos plantean.

 

¿Los centros escolares pueden colocar en tablones de anuncios las listas con el alumnado admitido?

Ante esta cuestión formulada, debemos tener en cuenta que, si el centro debe informar sobre el alumnado admitido en el supuesto de que exista un procedimiento de concurrencia competitiva, en el que se valoran y puntúan determinados parámetros.

A pesar de lo anterior, estas listas tan solo podrán estar publicadas en los tablones de anuncios del interior del centro o en una página web con acceso restringido a aquellos que hayan solicitado la admisión.

Cuando ya no resulten necesarios estos listados hay que retirarlos, aunque el centro podrá conservarlos por si se plantean reclamaciones.

 

¿Se pueden publicar los datos de los beneficiarios de becas, subvenciones y otras ayudas públicas?

Pueden publicar esta información para informar a los beneficiarios, indicando el importe, el objetivo o finalidad y los beneficiarios de las becas.

En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el DNI. Como mucho, se publicará el nombre, apellidos y 4 cifras de DNI de manera aleatoria.

Si los criterios de las ayudas implican conocer categorías especiales de datos hay que valorar y analizar individualmente si esto podría afectar a la esfera íntima de la persona, en el caso de que, por ejemplo, se ponga de manifiesto su capacidad económica o su situación de riesgo de exclusión social.

Cuando ya no sean necesarios estos listados, habrá que retirarlos, de los espacios en los que se les haya dado publicidad.

 

¿Se pueden hacer públicas las calificaciones escolares?

Las calificaciones del alumnado se ha de facilitar al alumnado y a sus padres. En el caso de comunicarlas a través de plataformas educativas, sólo pueden tener acceso los propios alumnos o alumnas, sus padres o tutores. 

No obstante, sí sería posible comunicar la situación del alumno/a en el entorno de su clase, por ejemplo, mostrando su calificación frente a la media de sus compañeros/as.

 

¿Pueden los centros educativos captar imágenes del alumnado durante las actividades escolares?

Los centros están legitimados para grabar imágenes como parte de la función educativa, pero deben disponer del consentimiento de los interesados/as o de sus padres o tutores para otros fines, como la difusión del centro o sus actividades.

También es posible la toma de imágenes del alumnado en eventos escolares para la única finalidad de que los padres pudieran tener acceso a ellas. El acceso tiene que ser seguro, con previa identificación y autenticación. Recordamos que quienes acceden a las imágenes no pueden publicarlo en Internet.

En este sentido, debemos ser conscientes de la necesidad de concienciación del personal implicado en las diferentes gestiones que hemos especificado con anterioridad, resultando primordial que la cultura de protección de datos sea implementada en el seno del Responsable del tratamiento, en este caso, el centro escolar.

 

 

Publicado el 30 de Septiembre de 2022
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

PROTECCIÓN DE DATOS EN VACACIONES

PROTECCIÓN DE DATOS EN VACACIONES

Desde GRUPO DATA, con motivo de nuestro compromiso de concienciación y fomento de la protección de datos, os indicamos una serie de consejos, publicados por la Agencia Española de Protección de Datos, para que estas vacaciones la única preocupación sea descansar y disfrutar. 

Mediante este artículo en el blog, la Agencia Española de Protección de Datos, ha puesto de manifiesto una serie de recomendaciones, para saber cómo afrontar situaciones de riesgo para la protección de nuestros datos personales.

 

Piensa dos veces antes de compartir una foto o vídeo

La actividad estival hace que la cámara de nuestro teléfono móvil tenga más trabajo del habitual: detalles de los lugares que hemos visitado, gente con la que hemos estado, fiestas a las que hemos asistido, etc. Compartir parte de esas fotografías (o todas) en una red social es algo habitual para algunas personas y entraña algunos riesgos.

Según datos del Centro de Investigaciones Sociológicas (CIS), una de cada cuatro personas (24.5%) se ha arrepentido alguna vez de haber colgado algo en una red social. Te recomendamos que pienses en quién podrá ver tus fotos antes de pulsar el botón de compartir en tus redes sociales. Si tu perfil es accesible para los buscadores, ten en cuenta que cualquiera podrá ver, por ejemplo, las fotos, vídeos o comentarios que publicas. La Agencia dispone de una serie de vídeo tutoriales explicativos elaborados junto a INCIBE en  los que explica cómo acceder a la configuración de privacidad y seguridad de algunos de los servicios más populares en Internet para que tu perfil no se muestre cuando, por ejemplo, introduzcan tu nombre en un buscador.

Una vez que tu perfil ya no sea accesible para los buscadores, piensa también en que las personas a las que das acceso a tu información eligen a su vez quien puede tener acceso a su perfil: amigos, amigos de amigos o todo el mundo. Si compartes una foto con tus seguidores o amigos en una red social y uno de ellos indica que algo le gusta, un amigo de amigo, al que no tienes por qué conocer, puede terminar viendo esa imagen. Y es posible que haya situaciones que quizás no quieres compartir con desconocidos.

Siguiendo con los datos del CIS, un 12.2% de los encuestados afirma haber tenido problemas por contenidos que otros han colgado en una red social. Debemos recordar que necesitamos consentimiento de las personas que aparecen en las fotos que tomamos antes de compartirlas en Internet o de sus padres o tutores en el caso en que aparezcan menores.

 

Evita decir dónde estás

Compartir en Internet fotografías de tus viajes o tu geolocalización a través de una aplicación puede dar información a los delincuentes para saber cuándo no estás en casa. Ten cuidado también con compartir imágenes de tus billetes o tarjetas de embarque, ya que sus códigos pueden ser utilizados para acceder a tus datos personales y conocer el destino y fechas de tu viaje.

 

Desconfía de las WiFis abiertas y ordenadores compartidos

En verano pasamos mucho tiempo lejos de la WiFi de nuestra casa o del trabajo. Esto hace que consumamos los datos contratados rápidamente y andemos a la caza de WiFi gratuito. Las redes abiertas en ocasiones pueden ser utilizadas por ciberdelincuentes para robarte tus datos personales y contraseñas. Si las utilizas, no introduzcas tus contraseñas, no intercambies información sensible, no te conectes a tu servicio de banca, y no compres por Internet con ellas.

Del mismo modo, cuando estamos de viaje, pueden surgir situaciones en las que nos vemos obligados a hacer un trámite y conectarnos desde un ordenador público de un hotel o un locutorio. En estos casos te recomendamos utilizar la opción de navegación privada del navegador, no guardar tus contraseñas en el dispositivo compartido y, después de utilizarlo, cerrar todas las sesiones que hayas abierto (correo electrónico, webs, chats, etcétera).

 

Adelántate al robo o pérdida de tus dispositivos

Cuando viajas o realizas actividades veraniegas como ir a la piscina, la playa o visitar lugares turísticos, aumentan los riesgos de perder o que nos roben nuestro móvil o tableta. No solemos ser conscientes de la cantidad de datos e información personal que contienen. Te recomendamos que hagas una copia de seguridad de la información que almacenas y no olvides añadir un sistema de clave o patrón para bloquear los dispositivos. 

 

Publicado el 29 de Julio de 2022
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

EBROKER Y GRUPO DATA COLABORAN EN UN WEBINAR SOBRE PROTECCIÓN DE DATOS PARA LA COMUNIDAD DE USUARIOS DE LA PLATAFORMA

El pasado día 10 de mayo, tuvimos la oportunidad de formar parte de una sesión formativa, de la mano de la tecnológica Ebroker, bajo la temática de protección de datos y seguridad de la información en el Sector del Corredor de Seguros. 

En este sentido, durante la misma, abordamos cuestiones fundamentales y obligaciones esenciales en materia de protección de datos, como son, la gestión y formalización de las relaciones con nuestros proveedores, mediante la firma del contrato de encargado del tratamiento, los compromisos de confidencialidad con usuarios, la implementación de un procedimiento de atención al ejercicio de derechos, gestión de las brechas de seguridad, cumplimiento del principio de Responsabilidad proactiva, etc.

El cumplimiento y adaptación a la normativa se trata de un proceso continuo en el tiempo y, que puede otorgarnos importantes beneficios en nuestra gestión empresarial.

Desde Ebroker nos mostraron el cumplimiento de las exigencias normativas en la plataforma, con las diferentes funcionalidades que nos otorga, entre otras, recabar el consentimiento, trazabilidad en los procesos, cumplimiento del deber de información, medidas técnicas-organizativas, etc.

En este Webinar, al que asistieron cerca de 300 profesionales, se contó con la participación de Nuria Alfaro, Responsable de Marketing y Comunicación y Eva García, Consultora y experta en Formación de la tecnológica, mientras que, por nuestra parte participaron, nuestro CEO Manuel Granado y la responsable del Departamento Jurídico, María González.

 

 

Publicado el 27 de Mayo de 2022
Por María González
Responsable del Departamento Jurídico

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.