RGPD, la violación de datos personales y sus consecuencias.
¿Y si te dijéramos que la invasión de la privacidad puede provocar la muerte de una persona? No, no estamos bromeando.
El Reglamento de la UE 2016/679, conocido por la mayoría como RGPD, que entró en vigor hace tres años ha traído consigo cumplimientos y ha introducido innovaciones importantes como el principio de responsabilidad, este requiere que las organizaciones decidan primero, y luego actúen, a raíz de las decisiones tomadas con respecto a la protección de datos personales. Como es evidente, los temas relacionados con la protección de datos personales, además de ser de extrema actualidad, también representan un desafío, incluidos los legales, para empresas y particulares.
¿Por qué la privacidad es importante para los ciudadanos?
La privacidad ahora lo es todo. Está en todo. Está en todas partes.
Quizás no todos nos hemos dado cuenta de esto, pero durante los últimos 20 años, el mundo ha cambiado drásticamente. Vivimos en una época de fenómenos tan complejos que hoy en día ni las palabras bastan para describir la realidad.
La realidad existente, nuestra vida, ya no se despliega solo en el mundo físico sino que involucra cada vez más la dimensión digital.
Nos guste o no, vivimos en un espacio gigantesco compuesto por información (big data) que ayudamos a alimentar en cada momento. La información que suministramos es cada vez más procesada por herramientas inteligentes automatizadas, capaces de aprender, comprender y tomar decisiones de forma independiente, que producen efectos en nuestras vidas (por ejemplo, inteligencia artificial, aprendizaje automático y aprendizaje profundo ), capaces de analizar nuestros comportamientos de forma meticulosa (elaboración de perfiles) y predecir con márgenes de error cada vez más bajos cuáles serán nuestras elecciones y comportamientos futuros (análisis predictivo).
En toda esta complejidad incierta e inquietante, la privacidad es nuestra mejor defensa.
La privacidad, pero sobre todo el RGPD, representa un caso único en el panorama mundial.
La correcta gestión de los datos personales también puede representar, y ya representa, una gran fuerza motriz para la economía. De hecho, no olvidemos que el RGPD tiene como finalidad no solo la «protección» de los datos personales, sino también su «libre circulación».
Sin embargo, para lograr estos dos objetivos, la protección y la libre circulación, se debe concienciar a la gente.
Nuestra misión (Alisios Consultores) como asesoría en Protección de Datos no debe ser solo la de garantizar el cumplimiento de nuestros clientes, es decir, de mera asistencia a las empresas en el cumplimiento normativo, sino también la de contribuir mediante la difusión de conocimientos y sensibilización en la materia.
¿Cuáles son nuestros datos personales que pueden ser utilizados con fines maliciosos?
Los datos personales son información referida a nuestra persona, en concreto el art. 4, no. 1 del RGPD define los datos personales como » cualquier información relativa a una persona física identificada o identificable «.
A qué hora nos despertamos por la mañana; con qué frecuencia miramos nuestro teléfono móvil y accedemos a WhatsApp; las últimas 5 películas que hemos visto en Netflix;
Las empresas a las que cedemos nuestros datos saben que de lunes a viernes salimos de casa a las 7.35 am, subimos al coche a las 7:38 am; encendemos la aplicación de música Spotify que contiene 759 canciones, pero siempre escuchamos las 45 canciones habituales.
¿Qué herramientas que pueden “transmitir” nuestros datos?
Principalmente nuestro teléfono inteligente que es el que más datos recoge de nuestra actividad diaria.
Toda esta información puede convertirse en datos personales.
Esta información si se combina entre sí o junto con información adicional, ya nos describe de forma precisa, sin que sea imprescindible para mí disponer de los clásicos datos personales comunes: tu nombre y apellidos.
A menudo, el error está aquí, la gente piensa que los datos personales son, en última instancia, el único nombre y apellido. Y al eliminarlos, puede vivir completamente en el anonimato. Nada más erróneo.
El problema está relacionado con quién, en la práctica, tiene este conjunto de datos personales.
El problema no son los datos en sí, sino la forma en que son tratados por los sujetos que, por diversos motivos, muchas veces con nuestro consentimiento, son llamados a utilizarlos para prestarnos servicios y / o productos.
La gran cantidad de información que existe en nuestra cuenta es difundida por los dispositivos electrónicos que usamos – los llamados dispositivos, PC, teléfonos inteligentes, IoT – pero también están contenidos en bases de datos públicas como el registro de la propiedad, la oficina de registro, la agencia tributaria, INSS. También existen muchas bases de datos privados como el servidor del contable o la empresa donde trabajo.
¿En qué consiste una filtración de datos personales?
Cuando una empresa sufre un ataque de ransomware, es decir, un ciberataque típico que hace ilegibles los datos guardados en sus servidores, a menos que la empresa pague al hacker una gran suma.
Si la empresa no tiene copias de seguridad de los datos, por ejemplo, la copia de seguridad clásica, disponible y, por lo tanto, los datos se pierden irremediablemente . Esto también es una violación de datos. Todo perdido .
La violación de datos puede ser una percepción aún más sutil y no directa.
Imaginemos a un profesional que decide enviar un correo electrónico de marketing directo a todos los clientes que sean personas físicas de sus datos personales o de su aplicación CRM (Customer Relationship Management) y en lugar de ingresar las direcciones de correo electrónico en el campo de copia oculta «CCN», los inserta en claro en los campos del destinatario «Para:» o «CC:».
Esto puede generar un incidente de seguridad, ya que cada destinatario podrá ver, ¡pero también un mal uso! – la dirección de correo electrónico de los demás destinatarios.
Para comprender mejor la gravedad de este incidente de seguridad, imaginemos que el profesional es un psicoterapeuta y que, por lo tanto, los destinatarios ahora saben quiénes son los otros pacientes ; o que el número de usuarios contactados son clientes de un gran grupo industrial. Esto es una violación de datos.
Pero aún. Pensamos en el teléfono móvil personal que nuestros empleados utilizan todos los días para acceder a los correos electrónicos de la empresa y / o descargar documentos de la empresa en su dispositivo; o pensemos en la PC o el teléfono inteligente de la empresa, no encriptados o sin pines y / o contraseñas complejas que se pierden o son robadas.
Todas estas son violaciones de datos pero también puede ocurrir fuera de los entornos digitales .
Pensemos en un archivo en papel con las posiciones de los empleados; o imagina un bufete de abogados que envía al colaborador a presentar documentos en el juzgado pero que pierde el expediente o sufre el robo del auto en el que estaba la mochila con el expediente a depositar.
Si, por el contrario, soy una empresa que no tiene clientes personas físicas, probablemente gestionaré los datos personales de mis empleados, de los representantes legales de mis empresas cliente o proveedora, o de las empresas unipersonales. Toda la información que tengo que proteger del riesgo de violación.
¿Qué se debe hacer en caso de violación de datos? ¿Qué proporciona el RGPD?
El art. 33 del RGPD establece que el encargado de tratamiento, es decir, la entidad pública, la empresa o el profesional, toma medidas notificando la violación de datos al Garante para la protección de los datos personales sin demoras indebidas y, cuando sea posible, dentro de las 72 horas posteriores a la en el momento en que se dio cuenta de ello.
La redacción de la notificación es una fase crucial para el propietario, porque en base a lo que se redactará, la AEPD puede solicitar más investigaciones o iniciar una investigación.
Desde un punto de vista práctico, la notificación se realiza completando y enviando un formulario con preguntas abiertas y cerradas. Los campos a rellenar son entonces limitados. Y este no es un aspecto que deba subestimarse en la práctica: significa que la descripción de los hechos debe ser concisa y exhaustiva.
La notificación que se enviará al AEPD deberá entonces contener la siguiente información:
- Describa la naturaleza de la violación de datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados, así como las categorías y el número aproximado de registros de datos personales en cuestión;
- Comunicar el nombre y los datos de contacto del RPD u otro punto de contacto del que obtener más información;
- Describir las posibles consecuencias de la violación de datos personales;
- Describa las medidas adoptadas o propuestas a adoptar por el responsable del tratamiento para remediar la vulneración de los datos personales y también, en su caso, para paliar los posibles efectos negativos.
¿En qué casos qué es necesario realizar esta notificación?
La regla establece que se debe realizar una notificación, a menos que sea poco probable que la violación de datos represente un riesgo para los derechos y libertades de las personas.
¿Existen otras obligaciones para el responsable del tratamiento en caso de violación de datos?
Se debe prestar especial atención si es probable que la violación de datos personales represente un alto riesgo para los derechos y libertades de las personas.
El 10 de septiembre en Alemania, un ataque de ransomware en el Hospital Universitario de Düsseldorf resultó en la muerte de una mujer.
La mujer que llegó en estado grave al hospital universitario no habría sido rescatada con prontitud debido a un ciberataque que habría encriptado paulatinamente los datos bloqueando los sistemas del hospital. Por lo tanto, el personal del hospital, que ya no podía acceder a los datos, se habría visto obligado a trasladar a los pacientes en caso de emergencia a otras clínicas y posponer las operaciones.
El traslado fue a otra instalación a más de 30 km, que lamentablemente resultó fatal para el paciente.
Este es un caso extremo, pero claramente hace que el concepto de alto riesgo para los derechos y libertades. En este caso: el derecho a la salud y la vida.
El alto riesgo debe determinarse mediante una evaluación que tenga en cuenta varios factores, por ejemplo, el tipo de infracción, la naturaleza y el volumen de los datos personales, la facilidad para identificar a las personas, la gravedad de las consecuencias, las características particulares del interesado y del responsable del tratamiento, número de personas físicas afectadas. En términos generales, una violación de seguridad que pueda causar daños físicos, materiales o inmateriales a las personas cuyos datos han sido violados o que involucre datos particulares.
En este caso, además de la notificación a la AEPD, el titular deberá realizar una comunicación a los interesados describiendo en un lenguaje sencillo y claro la naturaleza de la vulneración de los datos personales además de los puntos 2 a 4 que indicamos en la notificación.
El propósito de la comunicación a los interesados es proporcionarles información sobre las medidas que pueden tomar para protegerse.
Pensemos en un ciberataque al proveedor de nuestro servicio de correo electrónico. Cualquier comunicación al interesado servirá para informarle de la necesidad de cambiar la contraseña de acceso a su buzón.
¿De qué formas las empresas o profesionales que sufren una violación de datos pueden contactar a sus clientes o partes interesadas cuyos datos estuvieron involucrados en la violación?
En general, se debe elegir el medio que mejor maximice la posibilidad de informar correctamente a los interesados, utilizando mensajes dedicados que no deben enviarse junto con otra información como boletines o actualizaciones de diversa índole. Puede utilizar, por ejemplo, correo electrónico, sms, mensajería instantánea.
Si tiene más dudas puede contactar con Alisios Consultores.
