Retirar el consentimiento

Los mecanismos de retirada del consentimiento deberían ser sencillos

Las solicitudes de retirada de consentimiento pueden tener consecuencias directas en tu empresa si no son atendidas de manera inmediata.

Retirar el consentimiento debería ser tan fácil como otorgarlo, según el Presidente de la Autoridad de Control de Polonia tras revisar las prácticas de la compañía ClickQuickNow.  

Conforme a la investigación, el mecanismo utilizado por ClickQuickNow para la gestión de solicitudes de retirada de consentimiento no implicaba una ejecución rápida, sino que se empleaba a tales efectos un link incluido en la información comercial. Según informa el artículo del EDPB, tras establecerse el link, los mensajes enviados a la persona interesada en retirar su consentimiento eran confusos. Además, la empresa requería a los sujetos indicar el motivo de la retirada del consentimiento, y, si no se aportaba, el proceso era paralizado.

Asimismo, ClickQuickNow trataba datos de interesados que no eran clientes y de los cuales además habían recibido mensajes de oposición al tratamiento de sus datos, con lo que lo hacían sin ninguna base legal.

Estas prácticas llevadas a cabo por ClickQuickNow resultaron en violaciones directas del RGPD, en concreto de los Artículos 7(3), 12(2) y 17.Se estableció además que las prácticas de ClickQuickNow violaban los principios recogidos en el RGPD de legalidad, legitimidad y transparencia en el tratamiento de los datos. En consecuencia, la Autoridad de Control polaca impuso una multa administrativa de 201.000 PLN, equivalente a, aproximadamente, 47.000 EUR. De forma adicional, ClickQuickNowtendrá que ajustar y adaptar sus procedimientos de gestión de la retirada del consentimiento y eliminar los datos de aquellas personas que no son clientes y se opusieron al tratamiento de sus datos.

¿Qué mecanismos implementa tu empresa para la retirada del consentimiento? ¿Son sencillos y definitivos? En Aphaia podemos ayudarte a que se ajusten a la normativa, mediante nuestros servicios de consultoría del RGPD, que incluyenEvaluaciones de Impacto y subcontratación del Delegado de Protección de Datos.

Hash

Hash como técnica de seudonimización de datos personales

La Agencia Española de Protección de Datos (AEPD) ha lanzado una nueva guía sobre el hash como técnica de seudonimización de datos personales.

El RGPD menciona la seudonimización de datos personales entre las medidas técnicas y organizativas recomendadas para mantener un nivel de seguridad adecuado al riesgo. Sin embargo, no especifica cómo se pueden seudonimizar los datos. En este contexto, las funciones hash son una de las alternativas, y a estos efectos la AEPD ha preparado una guía para clarificar su aplicación y funcionamiento. En el blog de hoy detallamos sus elementos clave.

¿Qué significa ‘seudonimización’?

Conforme al RGPD, ‘seudonimización’ significa “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

¿Qué es una función hash?

¿Alguna vez has intentado escribir un tweet de más de 280 caracteres y no has podido por la limitación de caracteres de Twitter? Las funciones hash han llegado para salvarte.

Una función hash es un proceso que transforma cualquier conjunto arbitrario de datos en una nueva serie de caracteres con una longitud fija, independientemente del tamaño de los datos de entrada. Por ejemplo, el texto completo de El Quijote podría quedar reducido a una serie de cien números tras aplicar una función hash. ¿Cómo? Las funciones hash dividen el mensaje de entrada en diferentes bloques, a los cuales asignan un hash por cada uno de ellos, que después son sumados.

Las funciones hash y el riesgo de reidentificación

¿Cuál es la probabilidad de que los datos de salida de una función hash se reviertan a los de entrada? Imaginemos que queremos asociar un valor hash a cada uno de los números de la Seguridad Social en España. El elemento más relevante a fin de dificultar o facilitar la reidentificación es el denominado “orden” en el espacio de mensajes.

El espacio de mensajes está representado por todos los posibles conjuntos de datos de los cuales se puede generar un hash (en nuestro caso, los números de la Seguridad Social de España). Cuanto más estricto sea el “orden” (por ejemplo, se establece que únicamente entrarán en la prueba los números de la Seguridad Social de mujeres entre 30 y 45 años), más pequeño será el conjunto de números (espacio de mensajes). Esto garantiza la efectividad del hash como identificador único, pero también incrementa la probabilidad de que se pueda identificar el conjunto de datos de entrada a partir del conjunto de datos de salida.

El grado de desorden de un conjunto de datos se denomina entropía. Cuanto menor sea el espacio de mensajes y la entropía, menor será también el riesgo de colisión, pero a su vez será más probable la reidentificación y viceversa: cuanto mayor sea la entropía, mayor será la posibilidad de colisión y menor el riesgo de reidentificación. Este es el motivo por el que resulta esencial medir y controlar la cantidad de información que se someterá a la función hash cuando tratamos de proteger información mediante este vía o cualquier otra técnica de seudonimización o encriptado.

¿Cómo se aplica esto en el día a día? A efectos prácticos, cuantas más variables se incluyan para “ordenar” el espacio de mensajes (edad, sexo, estatus socioeconómico, nacionalidad, etc.), mayor es el riesgo de identificar el contenido del hash (singularizar a un individuo).

El riesgo de re-identificación es incluso mayor cuando se vincula información adicional al hash.

Estrategias para obstaculizar la re-identificación

Una estrategia para dificultar la reidentificación del valor del hash es utilizar un algoritmo de cifrado con una clave que almacena de forma confidencial el responsable o intervinientes en el tratamiento, que cifre bien el mensaje antes de realizar el hash.

La efectividad del encriptado dependerá del entorno (entornos distribuidos pueden incrementar el riesgo), la vulnerabilidad a ataques y el volumen de información encriptada (cuenta más información, más sencillo será llevar a cabo un criptoanálisis), entre otros.

Como una alternativa al encriptado, se pueden añadir campos aleatorios al mensaje original o de entrada, de forma que se obtiene un “mensaje extendido” que incrementa la entriopía.

El propio cálculo del hash (por ejemplo, la selección de un algoritmo concreto y su implementación), elementos relacionados con el espacio de mensajes (como la entriopía), información vinculada y elementos de seguridad física además de factores humanos, suponen una serie de debilidades e introducen diferentes elementos de riesgo que convierten a la función hash en una técnica de seudonimización más que de anonimización.

Conforme a la AEPD, la utilización de las técnicas de hash para seudonimizar o anonimizar la información de carácter personal deberá venir acompañada de un análisis de los riesgos de reidentificación que tiene la técnica de hash concreta empleada en el tratamiento. “Para considerar la técnica de hash como una técnica de anonimización, dicho análisis de riesgos ha de evaluar, además:

Las medidas organizativas que garantizan una eliminación de la información que permita le reidentificación.
Una garantía razonable de que el sistema será robusto más allá de la vida esperada de los datos de carácter personal”.

¿Necesitas asesoramiento en relación a las técnicas de seudonimización y anonimización? Aphaia ofrece servicios de consultoría de adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Derecho de oposición del RGPD

Multa de 200.000 € por no cumplir con el derecho de oposición del RGPD

La empresa Hellenic Telecommunications ha sido multada con 200.000 € por no eliminar direcciones de email de la base de datos de marketing conforme al RGPD

¿Alguna vez has has solicitado borrarte de una lista de emails y aun así has continuado recibiendo publicidad? Desde mi experiencia, me aventuro a decir que esto ocurre muy a menudo. Mientras que borrar un simple email de una lista puede sonar sencillo y sin importancia, las consecuencias de no hacerlo son realmente graves, porque se trata de una infracción directa del derecho de oposición recogido en el RGPD.

De hecho, este es el motivo por el que Hellenic Telecommunications Organization (el operador histórico de telecomunicaciones de Grecia – OTE) fue multado con 200.000 € por la autoridad de control griega. De esta forma, se concluyó que la compañía no había implementado de manera adecuada la protección de datos por diseño que concibe el RGPD.

Conforme al Comité Europeo de Protección de Datos (EDPB) la autoridad de control griega habría recibido numerosas quejas de usuarios que recibían publicidad de OTE sin ser capaces de eliminar su suscripción de dicha lista. El artículo del Comité explica que en el curso de las investigaciones, se descubrió que desde 2013 y debido a un fallo técnico, no se eliminaba de la lista a los interesados que pulsaban el link de darse de baja de la misma. OTE, por tanto, no contaba con las medidas organizativas apropiadas (por ejemplo, un procedimiento por el cual detectar dicho error). Desde entonces, OTE ha eliminado aproximadamente a 8000 personas de tales listas.

Marketing directo y RGPD

Bajo el derecho de oposición del RGPD, los artículos 21.2 y 21.3 establecen que:

Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia

Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.

Protección de datos por diseño y normas de la Directiva ePrivacy

El artículo 25 (2) del RGPD prevé que “El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas. Esto implica que tampoco el departamento de marketing pueda acceder y usar de manera automática los datos de contacto.

Las empresas que se basen en las normas de oposición (opt-out) de la Directiva ePrivacy deben tener cuidado. El Dr. Bostjan Makarovic, socio gerente de Aphaia,explica que “La mayoría de las jurisdicciones europeas requieren que exista una compra previa antes de que se pueda confiar en las normas de opt-out para el envío de publicidad” y añade que “En tales casos, además, cualquier email de marketing debe estar relacionado únicamente con bienes o servicios similares a los que ofrece la empresa como tal, y facilitar una forma sencilla de oposición tanto al momento de recoger los datos como después en cada uno de los correos enviados”.

¿Tiene tu empresa una base de datos de marketing? ¿Respeta la Protección de Datos por diseño? Desde Aphaia podemos ayudarte con nuestras Evaluaciones de Impacto y nuestro servicio de Delegado de Protección de Datos. Contacta con nosotros.

La PDPA Tailandia

Ley de protección de datos de Tailandia

La Ley de protección de datos de Tailandia se publicó a principios de este año y comenzará a aplicarse en mayo de 2020.

Vivimos en la era de la conexión tecnológica, donde los datos son el activo más valioso, hasta el punto de condicionar prácticamente todos los aspectos de nuestra vida, pues se recogen, comparten, venden, analizan y monetizan de manera constante. Y si bien es cierto que esta práctica resulta en importantes beneficios, los riesgos asociados son también alarmantes. Es este el motivo por el que cada vez son más los países alrededor del mundo los que concentran sus esfuerzos para elaborar legislación al respecto, tanto en privacidad como en protección de datos. En el blog de hoy analizamos la nueva Ley de privacidad de Tailandia (PDPA).

La PDPA se publicó en el boletín oficial del Gobierno el 27 de mayo de 2019, y se espera que comience a aplicarse de manera plena en mayo de 2020. De una forma similar al RGPD, el objetivo de la PDPA es regular la recogida y cesión de datos que puedan ser utilizados para identificar a una persona física, bien sea de manera directa o indirecta. Asimismo, proporciona una serie de orientaciones para el tratamiento de datos y no se aplica a la información de personas fallecidas.

La PDPA garantiza los siguientes derechos a los interesados:

​​Derecho de estar informado.
​​Derecho de acceso.
​​Derecho a la portabilidad de datos.
​​Derecho de oposición.
​​Derecho a la supresión de datos/derecho al olvido
​​Derecho de limitación.
​​Derecho de rectificación.

¿A quién se aplica la PDPA?

La PDPA se aplica a todas aquellas entidades que ofrezcan bienes y servicios a individuos radicados en Tailandia, y que recojan, traten o cedan datos de los mismo, independientemente de que la entidad tenga o no sede en Tailandia.

En función de los tratamientos de datos que realicen, las entidades tendrán que cumplir con la PDPA bien como responsables o bien como encargados.

Si bien la PDPA tiene similitudes con el RGPD, el cumplimiento con la primera no implica también cumplimiento automático con el RGPD.

Si ofreces productos o servicios a residentes en Tailandia, es esencial que adaptes tus sistemas y procesos a la PDPA. Aphaia ofrece adaptación al RGPD y a la PDPA, incluidas evaluaciones de impacto y subcontratación del Delegado de Protección de Datos.