La autoridad de control

La autoridad de control de los Países Bajos impone una multa por no informar de una brecha de seguridad en plazo

La autoridad de control de los Países Bajos ha impuesto una multa a booking.com por no informar en plazo de una importante brecha de seguridad. 

 

Booking.com, agencia de viajes internacional con base en los Países Bajos, ha sido recientemente multada por no informar a tiempo sobre una brecha de seguridad. La brecha de seguridad fue descubierta el 13 de enero de 2019 y tuvo lugar en diciembre de 2018. Sin embargo, el incidente no se reportó hasta el 7 de febrero de 2019. Las autoridades de control deben ser informadas sobre las brechas de seguridad en un plazo de 72 horas tras descubrirse estas, de modo que en este caso se hizo con 22 días de retraso. Como resultado, la autoridad de control de los Países Bajos ha impuesto una multa de 475.000 € a la empresa. 

 

Dado que booking.com es una empresa internacional con clientes de un amplio rango de países, la investigación sobre la brecha tiene un alcance internacional, pero fue llevada a cabo por la autoridad de control de los Países Bajos dado que es allí donde la empresa se encuentra. 

 

Los ciberdelincuentes se hicieron pasar por personal de booking.com por medio de email y teléfono a fin de robar datos personales. 

 

Los ciberdelincuentes fueron obtuvieron la información haciéndose pasar por personal de booking.com en los emails y por teléfono. Este fraude afectó a 40 hoteles en Emiratos Árabes Unidos en diciembre de 2018. Los hackers utilizaron la información de booking de dichos clientes para parecer más creíbles al hacerse pasar por el personal de booking.com, con el objetivo de recopilar tanta información personal y financiera sobre el mayor número de clientes que fuese posible. Estos datos incluían credenciales de acceso y datos financieros. El alcance de esta brecha era tan amplio que los delincuentes accedieron a datos de más de 4.000 personas, incluyendo información de la tarjeta de crédito de más de 280 usuarios. En 97 de dichos casos, se hicieron incluso con el código de seguridad. 

 

Booking.com no se opone a la multa y ha compensado a sus clientes por las pérdidas financieras sufridas como resultado de la brecha. 

 

Aunque booking.com descubrió la brecha el 13 de enero de 2019, no fue hasta el 4 de febrero de 2019 cuando informaron a los clientes afectados. Y aún más, la compañía esperó hasta el 8 de febrero para informar a la autoridad de control de dicha brecha de seguridad. La empresa ha ofrecido varias soluciones, compensación financiera incluida, por cualquier pérdida sufrida por los clientes. Booking.com no va a presentar ninguna objeción ni solicitar revisión de la multa. 

 

Se ha producido un aumento significativo de los ciberdelitos en los últimos años, lo que hace las medidas de seguridad reforzadas aún más importantes. 

 

En los últimos años, especialmente desde 2020, ha habido un aumento significativo de robos e intentos de robo de datos personales. En concreto durante ese año los casos aumentaron un 30% respecto de los del período anterior, son por tanto muchas las personas que han sido víctimas de este tipo de situaciones y las autoridades de control están alertando sobre ello. Implantar implantar medidas de seguridad reforzadas y reportar a tiempo cualquier brecha de seguridad puede en gran medida reducir el impacto de este tipo de robos en los sujetos.  

 

¿Tus actividades de tratamiento de datos personales cumplen con la Directiva ePrivacy, el RGPD y la LOPDGDD? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

La filtración de datos

La filtración de datos de Facebook afecta a más de 500 millones de usuarios en todo el mundo

La filtración de datos de Facebook compromete información de más de 500 millones de usuarios y la hace pública sin ningún coste de acceso.

 

Facebook se ha visto recientemente implicado en una filtración masiva de datos que ha afectado a más de 500 millones de usuarios, como informaba Business Insider a principios de este mes. La información filtrada se obtuvo durante una brecha de seguridad que tuvo lugar hace dos años. Sin embargo, es ahora cuando alguien ha publicado todos estos datos en un foro de hackers del mercado negro online, sin coste ninguno. Se cree que esta información estaba anteriormente a la venta, pero que se ofrece ahora gratuitamente dado que habría perdido valor. Los datos se consiguieron a raíz de un fallo anterior a 2009, y afecta aproximadamente a 533 millones de usuarios de más de 100 países.  

 

Los datos personales filtrados no incluyen información de acceso a las cuentas, pero sí serían suficientes para resultar en suplantación o fraude. 

 

Entre los datos personales filtrados se incluyen las siguientes categorías: nombres completos, credenciales de identificación, localización, fechas de nacimiento, direcciones de email y número de teléfono. Ningún tipo de información financiera o de salud se ha visto afectada. Asimismo, se afirma que los datos de acceso no forman parte de la fuga, sin embargo, estos podrían potencialmente extraerse si se emplea como base la información que sí ha quedado a disposición del público. Los expertos de seguridad indican que esta situación podría dar lugar a suplantación de identidad y fraude. El Director de Gestión de Product de Facebook, Mike Clark, manifiesta que esta información no se obtuvo como resultado de un hackeo, sino mediante técnicas de scraping en la plataforma, similar a lo que le ocurrió a Facebook en 2016 con el escándalo de Cambridge Analytica.

 

La filtración de datos de Facebook publica en un foro información que se encontraba a la venta en enero. 

 

Estos datos ya se encontraban disponibles en enero, en un foro en el que un sujeto o una empresa anunciaban un bot automático que podía proporcionar ciertos datos de usuario de Facebook. En aquel momento se confirmó que los datos eran legítimos. Sin embargo, desde entonces ahora estos datos han sido publicados en un foro y puestos a disposición del público general sin coste ninguno. Esta información se descubrió a principios de mes por parte del jefe de tecnología de la firma de inteligencia de ciberdelitos Hudson Rock. 

Facebook informa de que la vulnerabilidad que dio lugar a las prácticas de scraping ya ha sido solucionada, y que la empresa no tiene intención de notificar a los sujetos afectados por la filtración. 

 

Facebook asegura que la vulnerabilidad de la plataforma que condujo a la brecha de 2019 ya ha sido solucionada, y en consecuencia no se ha notificado a los 533 millones de usuarios que fueron afectados por la misma, ni se pretende hacerlo. El portavoz de Facebook señaló que no estaban seguros de contar con control absoluto de los usuarios que tenían que ser notificados. También consideraron el hecho de que los usuarios no podrían hacer nada para solucionar este problema, y añade en su defensa que los datos ya eran públicos.  

 

Dr Bostjan Makarovic, Socio Gerente de Aphaia, destaca que: “Es importante comprender que, bajo el RGPD, las brechas de seguridad de tal envergadura deben notificarse a las autoridades de control, y, con una alta probabilidad, también a los sujetos afectados”.

 

¿Tus actividades de tratamiento de datos personales cumplen con la Directiva ePrivacy, el RGPD y la LOPDGDD? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

 

Certificados digitales verdes

Certificados digitales verdes: el CEPD y el SEPD publican una opinión conjunta al respecto.

A la luz del debate que están generando los certificados digitales, el CEPD y el SEPD han publicado su opinión conjunta en relación a los mismos en el ámbito de privacidad y protección de datos. 

 

Los certificados digitales verdes, también denominados “pasaporte vacuna” no están, al contrario de lo que se cree, dirigidos específicamente a las vacunas. De hecho se propone que los certificados digitales verdes o pases consistan en un código QR que contenga información sobre el estatus de cada persona en relación al virus del COVID-19. Los elementos específicos de dicha información pueden girar en torno a la vacuna y contar con detalles sobre qué vacuna se empleó o cuándo fue administrada, o también recoger datos sobre test de COVID-19 negativos y la fecha en que se realizaron. Este código podría asimismo aportar información sobre los anticuerpos presentes en el sistema inmune de una persona, y si se han desarrollado tras haber estado contagiado del virus con su posterior recuperación. Las vacunas no son obligatorias en este momento, y los certificados digitales verdes propuestos por la Comisión Europea pretenden hacer más sencilla la identificación del estado actual de una persona con respecto al COVID-19, si se han vacunado o no, lo cual facilitaría el desplazamiento entre países de la EU para cualquiera que necesite viajar durante la pandemia. 

 

La publicación conjunta del CEPD y del SEPD abarca de manera específica los aspectos de la propuesta relativos a la protección de datos personales. 

 

Inicialmente la Comisión publicó una propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la emisión, verificación y aceptación de certificados de vacunación, pruebas y recuperación para nacionales de terceros países que se encontrasen o estuviesen residiendo de manera legal en los Estados Miembro durante la pandemia del COVID-19 el 17 de marzo. El CEPD y el SEPD señalan que el objetivo de la propuesta es facilitar el ejercicio del derecho de libre movimiento dentro de la UE durante la pandemia del COVID-19. Dada la importancia particular de estas propuestas y su impacto en los derechos y libertades de los sujetos en relación al tratamiento de sus datos, el EDPB y el SEPB han publicado una opinión conjunta sobre los aspectos específicos relacionados con la protección de los datos personales. Se destaca que es esencial que la propuesta sea consistente y no entre en ningún caso en conflicto con la aplicación del RGPD. 

 

Conforme a la opinión conjunta del CEPD y el SEPD, los certificados digitales verdes deberían enfocarse desde un punto de vista holístico y ético. 

 

El CEPD y el SEPD recomiendan que la Comisión tome un enfoque holístico y ético en la propuesta, en un esfuerzo por acompasar todos los aspectos relativos a la privacidad y a la protección de datos, y a los derechos fundamentales de los sujetos en general. Afirman que la protección de datos no es un obstáculo para la lucha contra la actual pandemia y el cumplimiento con la normativa de protección de datos ayudará a que los ciudadanos confíen en los marcos que se establezcan. El CEPD y el SEPD aconsejan que cualquier medida que adopten los Estados Miembro o las instituciones de la UE debe basarse y orientarse conforme a los principios generales de efectividad, necesidad y proporcionalidad. Además, indican que la Organización Mundial de la Salud (OMS) recoge en su documento provisional referente a las consideraciones sobre la prueba de vacunación del COVID-19 para viajeros internacionales lo siguiente: “(…)las autoridades nacionales y los operadores intermedios no deberían introducir requisitos de prueba de vacunación del COVID-19 para viajeros internacionales como una condición de salida o entrada, puesto que todavía hay un gran desconocimiento en torno a la eficacia de la vacuna para reducir la transmisión del virus”.  

 

El CEPD y el SEPD afirman en su opinión conjunta que estos certificados digitales verdes no deberán conducir a la creación de ninguna base de datos central de datos personales a nivel europeo bajo el pretexto del marco de los Certificados Digitales Verdes. Además, hacen mención específica al hecho de que estos certificados deben estar disponibles tanto en formato digital como físico, para asegurar así la inclusión de todos los ciudadanos independientemente de su nivel de familiarización con la  tecnología. Se apela por otro lado a la manera en que estos certificados serán emitidos, si automáticamente o bajo solicitud de los sujetos. El considerando 14 y los artículos 5(1) y 6(1) de la propuesta actualmente rezan lo siguiente “(…) Los Estados Miembro deberían emitir certificados conforme al marco de los Certificados Digitales Verdes de manera automática o bajo petición (…)”

 

El CEPD y el SEPD valoran positivamente la inclusión en la propuesta de los derechos y libertades de los sujetos así como el cumplimiento con la normativa de protección de datos. 

 

El CEPD y el SEPD valoran de manera positiva que la propuesta menciona de forma explícita que el cumplimiento con la regulación europea de protección de datos es clave para la aceptación comunitaria de los certificados de vacuna, prueba y recuperación. El considerando 38 de la propuesta establece que “conforme al principio de minimización de datos, los certificados deberían únicamente contener los datos personales que sean necesarios para el cumplir con el propósito de facilitar el ejercicio del derecho de libre movimiento dentro de la Unión durante la pandemia del COVID-19”. El CEPD y el SEPD recomiendan que se incluya una referencia al RGPD en el principal texto de la propuesta, pues es la base legal para el tratamiento de los datos y la emisión de certificados de vacunación interoperables, como enfatiza el considerando 37. 

 

El Artículo 3(3) de la propuesta establece que los ciudadanos podrán obtener estos certificados sin coste, y pueden renovarlos para actualizar la información o reemplazarla cuando sea necesario. Mientras que el CEPD y el SEPD comparten esta postura, también recomiendan aclarar que el certificado original, así como sus modificaciones, deberán emitirse bajo petición de los sujetos. Esto es muy importante a fin de mantener la accesibilidad para todos. 

 

El CEPD y el SEPD apuntan la necesidad de prestar atención a la minimización de datos y a una serie de aclaraciones en torno a la período de validez de los datos tratados. 

 

Hay algunas categorías y campos de datos que se tratarían dentro del marco de los Certificados Digitales Verdes. Como resultado, el CEPD y el SEPD consideran que la justificación de la necesidad de tales campos de datos personales debe estar claramente definida en la propuesta. Además, se requiere una explicación más elaborada sobre si todos las categorías de datos personales deben necesariamente incluirse en el código QR para el formato digital y el físico. Apuntan que la minimización de datos se puede lograr mediante un enfoque de varios conjuntos de datos o códigos QR. Por otro lado, se enfatiza la ausencia de especificaciones en la propuesta en relación a la fecha de expiración o período de validez de cada certificado. Es importante mencionar que el CEPD y el SEPD establecen de manera clara que, dado el ámbito de la propuesta y el contexto de pandemia, la declaración de enfermedad o agente del cual el sujeto se ha recuperado debe limitarse únicamente al COVID-19 y sus variantes. 

 

El CEPD y el EDPS insisten en la importancia de contar con las adecuadas medidas de privacidad y seguridad técnicas y organizativas en el contexto de la propuesta.  

 

En relación al marco de los Certificados Digitales Verdes, el CEPD y el SEPD recomiendan que se estructuren de manera especial las medidas de privacidad y seguridad a fin de asegurar el cumplimiento de los responsables y encargados del tratamiento que el marco requiere. La opinión indica que los responsables y encargados deberían tomar medidas técnicas y organizativas adecuadas que confirmen un nivel de seguridad apropiado al riesgo del tratamiento de datos personales de acuerdo con el artículo 32 RGPD. Estas medidas tendrían que incluir el establecimiento de procesos para evaluaciones regulares de la efectividad de las medidas de privacidad y seguridad que se adoptan. 

 

Mientras que el CEPD y el SEPD aprecian la aclaración que contiene la propuesta sobre el rol de los responsables y encargados de tratamiento, también recomiendan que se especifique, a través de una lista completa y detallada, todas las entidades que se prevé que actúen como responsables y encargados de tratamiento en los Estados Miembro, tomando en consideración el uso de estos certificados en múltiples estados por parte de personas que viajan de manera intracomunitaria. También apuntan que la propuesta debería ofrecer explicaciones sobre el papel de la Comisión en torno a las leyes de protección de datos en el contexto de este marco, garantizando la interoperabilidad entre certificados. Se solicita también que se preste atención al Artículo 5(1)(e) RGPD, en relación al almacenamiento de los datos personales, así como indicaciones sobre el período de almacenamiento que los Estados Miembro no deberían exceder, más allá de la pandemia. Además, el CEPD y el SEPD recomiendan que la Comisión explique de manera explícita si se esperan transferencias internacionales de datos personales y cuándo, junto a las salvaguardas dentro de la legislación para asegurar que los terceros países sólo tratan los datos personales para finalidades específicas por las cuales estos datos se intercambian, dentro del marco. 

 

¿Tus actividades de tratamiento de datos personales cumplen con la Directiva ePrivacy, el RGPD y la LOPDGDD? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

 

Se remite el caso de Facebook

Se remite el caso de Facebook al TJUE en relación a las cuestiones sin resolver.

Se remite el caso de Facebook al TJUE tras recurrir la orden de la autoridad de competencia alemana para frenar sus prácticas de recogida de datos. 

 

Facebook se encuentra en el punto de mira por sus prácticas de recogida de datos, las cuales abarcan varias plataformas integradas en la red social. Se ha acusado a la compañía de una elaboración de perfiles masiva y en consecuencia las autoridades alemanas han requerido que deje de combinar datos de los usuarios a través de varias plataformas sin el consentimiento de los mismos. Facebook ha opuesto resistencia al cumplimiento de dicha orden, y como tal la ha recurrido, lo cual ha conducido a las autoridades alemanas a solicitar la opinión del Tribunal de Justicia de la Unión Europea.

 

Se ha acusado a Facebook de abuso de poder por recoger y compartir datos a través de varias plataformas sin el consentimiento de los usuarios. 

 

Existen grandes preocupaciones en torno a las prácticas de Facebook alrededor de la cesión de datos entre sus plataformas, entre las que se incluyen Instagram, Whatsapp, Occulus y también aplicaciones de terceros. Esta situación sumada a la cantidad de datos que Facebook recopila de manera libre sin la necesidad de contar con el consentimiento de los usuarios ha resultado en que se acuse al gigante tecnológico de abuso de poder por parte de las autoridades alemanas. Por su parte, el Tribunal Superior de Düsseldorf muestra una posición opuesta, pues el juez Jürgen Kühnen considera que el uso de los datos por parte de Facebook no resultó en abuso de su posición dominante en el mercado. El dilema surge porque la habilidad de Facebook para construir una base de datos única para cada individuo le otorga una ventaja desleal en relación a otras empresas que no tienen acceso a tantos datos vinculados de los usuarios. El Bundeskartellamt (Oficina Federal de Cárteles de Alemania, FCO) afirma que esta recogida de datos no es legítima bajo el marco europeo, pues en esencia no brinda a los usuarios la oportunidad de decidir. 

 

La autoridad de competencia alemana ha intentado limitar las actividades de recogida de datos de Facebook.  

 

A principios de este año la autoridad alemana de competencia restringió las actividades de tratamiento de datos de Facebook. Se requirió a Facebook dejar de combinar los datos recogidos de WhatsApp y otras aplicaciones de terceros hasta que lo hiciesen conforme al consentimiento voluntario de los usuarios. En consecuencia, Facebook habría tenido que reducir de manera considerable la recogida y combinación de datos de usuarios hasta que cuente con el consentimiento de los usuarios. Bajo los términos y condiciones de Facebook, los usuarios operan en la red social bajo la condición previa de que se van a recoger sus datos. Sin embargo, en febrero de este año el tribunal emitió una orden preliminar y requirió a Facebook dejar de recoger y combinar datos de los usuarios a través de estas plataformas hasta que lo respaldase el consentimiento genuino de los usuarios. Esta sentencia sin embargo no era final y dejaba cabida a que Facebook la recurriese.  

 

Facebook ha recurrido esta decisión y argumenta que sus términos permiten a los usuarios beneficiarse completamente de las ventajas de sus servicios, y como resultado el caso ha sido remitido al TJUE. 

 

Facebook recurrió la decisión de la autoridad de competencia alemana en febrero de este año, cuando afirmó en un blog que: “Mientras que hemos estado cooperando con el Bundeskartellamt durante cerca de tres años y continuamos nuestras conversaciones con ellos, no estamos de acuerdo con sus conclusiones y pretendemos recurrirlas de manera que la gente de Alemania siga beneficiándose de todos nuestros servicios”. La autoridad alemana mantiene que la red social es culpable de cierto nivel de abuso que infringe la normativa europea. Como resultado, se han remitido al Tribunal de Justicia de la UE una serie de cuestiones sobre el caso a fin de alcanzar una conclusión final. 

 

¿Tus actividades de tratamiento de datos personales cumplen con el RGPD y la LOPDGDD? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.