El Consejo Europeo podrá sancionar por ciberataques

El Consejo Europeo ha establecido un marco regulatorio (Reglamento (EU) 2019/796del Consejo) que permitirá a la UE imponer sanciones en relación con aquellos ciberataques que constituyan una amenaza para la UE o sus Estados Miembros.

En esta regulación también se incluyen ciberataques contra terceros estados u organizaciones internacionales, a fin de alcanzar los objetivos recogidos en la Política Exterior y de Seguridad Común.

La normativa no está dirigida a ningún país en particular, sino que trata de cubrir todas las ciber amenazadas que puedan darse, con lo que no ha sido diseñada para ningún territorio en concreto, pero sí para determinadas figuras de ataque malicioso.

Se incluyen como ciberataques que constituyen una amenaza los siguientes:

  • aquellos originados o llevados a cabo desde fuera de la UE;
  • aquellos que se valgan de infraestructuras fuera de la UE;
  • aquellos que se lleven a cabo por cualquier persona natural o jurídica y que opere fuera de la UE; o
  • aquellos operados con el apoyo o bajo el control o dirección de cualquier persona natural o jurídica desde fuera de la UE.

Se consideran ciberataques aquellas acciones que impliquen:

  • acceso a información y sistemas;
  • interferencia en sistemas de la información;
  • interferencia en los datos; o
  • intercepción de los datos.

Algunas de las medidas incluyen prohibición sobre las personas de desplazarse a la UE y congelación de activos de personas y entidades. Asimismo, tanto personas como entidades de la UE tendrán prohibido poner fondos a disposición de quienes figuren en dichas listas.

Aplicación territorial:

  • dentro del territorio de la UE, incluido el ciberespacio;
  • aeronaves bajo la jurisdicción de cualquier Estado Miembro;
  • cualquier persona física dentro o fuera del territorio de la UE que sea nacional de un Estado Miembro;
  • cualquier persona jurídica, dentro o fuera del territorio de la UE, que se haya constituido bajo el derecho de un Estado Miembro;
  • cualquier persona jurídica en relación a un negocio desarrollado en su totalidad o en parte dentro de la UE.

La UE y sus Estados Miembro están preocupados por cualquier comportamiento malicioso en el ciberespacio que pueda mermar la integridad de la seguridad, economía y competitividad europeas. Los actores involucrados en este tipo de actividades ya han sido requeridos para que cesen, y se ha pedido a todos los aliados que refuercen la cooperación internacional para promover la seguridad y la estabilidad en el ciberespacio.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

Consejos prácticos para el tratamiento de datasets mixtos

La Comisión Europea ha publicado una guía sobre cómo debe concebirse la interacción entre el RGPD y el Reglamento sobre la libre circulación de datos no personales.

 Un año después de que el RGPD comenzase a aplicarse, la mayoría de responsables de tratamiento son (o al menos deberían serlo) conscientes de las medidas de seguridad y requisitos de privacidad que deberían regular los datasets que contienen datos personales. Ahora bien, ¿qué ocurre cuando además de datos personales incluyen también información no personal?

El nuevo Reglamento (Reglamento 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea), aplicable desde mayo de este año, sienta las condiciones para el tratamiento y circulación de datos no personales dentro de la Unión Europea. El objetivo de esta nueva regulación es eliminar los obstáculos que pudiesen existir en este campo. En consecuencia, cuando se traten datasets mixtos, se deberá tener en cuenta no sólo el RGPD, sino también este nuevo Reglamento.

La Comisión Europea ha publicado una serie de orientacionesa fin de clarificar la interacción entre ambas normativas.

A los efectos del Reglamento para la libre circulación de datos no personales en la Unión Europea, datos no personales significa:

  • Datos que en origen no estaban relacionados con ninguna persona identificada o identificable, como datos climáticos recogidos por sensores.
  • Datos que inicialmente se vinculaba a una o varias personas pero que después fueron anonimizados.

Se define por tanto como justo el concepto contrario al de dato personal contenido en el RGPD.

Se pueden destacar tres aspectos principales del Reglamento para la libre circulación de datos no personales en la Unión Europea:

  • Se prohíbe, como norma, imponer requisitos sobre dónde deberían localizarse los datos.
  • Se establece un mecanismo de cooperación para asegurar que las autoridades competentes mantienen sus derechos de acceso a los datos que se procesan en otro Estado Miembro.
  • Ofrece incentivos la industria, con apoyo de la Comisión, para desarrollar códigos de conducta.

Los datasets que contienen nombres y contactos de personas jurídicas serán considerados en principio datos no personales, salvo para algunos casos, como, por ejemplo, la situación en que el nombre de la persona jurídica es el mismo que el de la persona física propietaria de la compañía, o bien cuando la información se puede vincular con una persona física identificada o identificable.

En caso de datasets compuestos tanto por información personal como por información no personal:

  • El Reglamento para la libre circulación de datos no personales en la Unión Europea se aplicará a la parte de datos no personales;
  • El RGPD se aplicará a los datos personales; and
  • Si los datos no personales y los datos personales están “inextricablemente Unidos”, los derechos y obligaciones que emanan del RGPD serán los que se apliquen a todo el dataset, incluso cuando la parte de datos personales es una parte muy reducida del mismo.

¿Qué significa inextricablemente unido?

La definición de este concepto no aparece en ninguno de los Reglamentos arriba mencionados. A efectos prácticos, se puede referir a la situación en la que un dataset contiene tanto datos personales como datos no personales y separarlos sería imposible o resultaría demasiado costoso para el responsable, o incluso económicamente ineficiente o técnicamente no factible. Por ejemplo, al adquirir un sistema de gestión de CRM y ventas y generación de informes, hacerlo por separado implicaría doble coste para la compañía pues tendrían que ser softwares diferentes. También regirá esta idea cuando la separación pueda conducir a una reducción significativa del valor del dataset, así como cuando los datos tengan una naturaleza cambiante que haga difícil una separación clara.

¿Cuál es la conclusión entonces?

Siempre que se trate de alguna forma con datos personales, el RGPD se aplicará. Sin embargo, el Reglamento para la libre circulación de datos no personales en la Unión Europea ofrece a los responsables una oportunidad de gestionar de manera diferente los datos personales y los datos no personales siempre y cuando estén debidamente separados.

Este nuevo Reglamento, junto al RGPD, hace del cuadro legal de la UE para la libre circulación de datos uno de los más estables que existen.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

Directrices del Comité Europeo de Protección de Datos sobre los Códigos de Conducta

El Comité Europeo de Protección de Datos publica unas pautas sobre los Códigos de Conducta y las correspondientes autoridades de control conforme al RGPD.

Uno de los principales conceptos que introduce el RGPD es el principio de “accountability” que recae sobre el responsable de los datos, lo que se traduce en un deber de diligencia respecto del tratamiento, entendido como la obligación de aplicar las medidas correspondientes según la naturaleza de la información y del contexto. Uno de los métodos previstos en el RGPD para demostrar la observancia de este principio son los denominados Códigos de Conducta, previstos en los artículos 40 y 41 de la norma. El Comité Europeo de Protección de Datos se ha pronunciado con una interpretación práctica de la materia, a fin de establecer un criterio base y clarificar los conceptos y reglas que se aplican.

Los Códigos de Conducta son herramientas de cumplimiento de carácter voluntario que establecen una serie de normas específicas para un determinado sector, y que se aplicarán a los responsables y encargados de dicho sector que de forma libre deseen adherirse. Los Códigos otorgan así cierto nivel de autonomía a los responsables y encargados, que pueden determinar las prácticas más adecuadas que mejor se adaptan a su sector, y generan confianza en los usuarios al suponer un compromiso concreto en cuanto al tratamiento de sus datos. Los Códigos de Conducta están además reconocidos en el RGPD como un método válido para demostrar cumplimiento con algunos de sus principios y previsiones.

El Comité Europeo de Protección de Datos ha establecido una serie de criterios que las Autoridades de Control deberán tener en cuenta para evaluar la viabilidad de los Códigos de Conducta, a saber:

  • Declaración de aplicabilidad y documentación de apoyo, a fin de detallar el propósito y ámbito del Código.
  • Representante: los Códigos deberán ser presentados por una asociación o conjunto de ellas en representación de determinadas categorías o grupos de responsables y encargados.
  • Ámbito del tratamiento: el Código deberá definir las actividades de tratamiento sobre las que opera, así como las categorías de responsables y encargados.
  • Alcance territorial: se habrá de señalar de forma específica si es un Código nacional o internacional, y las jurisdicciones sobre las que tendrá efecto.
  • Sumisión a una Autoridad de Control: la Autoridad de Control que reciba el Código para su revisión deberá ser competente para ello conforme a las normas del RGPD.
  • Previsión de mecanismos de cumplimiento: el Código deberá incluir un sistema de supervisión de cumplimiento por parte de aquellos que se adhieran.
  • Consulta: el Código deberá configurarse de modo que incluya la información relevante sobre las consultas realizadas para su redacción (empresas, interesados, etc.).
  • Legislación nacional: cualquier Código propuesto tendrá que haber sido redactado en consonancia con la legislación nacional, sobre todo cuando haya normativa sectorial que sea de aplicación.
  • Idioma: en términos generales los Códigos deberán ser presentados en el idioma oficial del país de la Autoridad de Control, y, aquellos de ámbito internacional, también en inglés.

Además de estos criterios objetivos base, la aprobación final del Código pasa también por la valoración de la forma en que éste da respuesta específica a las necesidades del sector en la materia a la vez que beneficia a toda la sociedad.

En cuanto al aspecto formal del resto del procedimiento, cabe destacar que los Códigos podrán presentarse a la Autoridad de Control tanto de forma online como escrita, y que en caso de sufrir algún defecto de forma o fondo no hay período de subsanación, sino que deberá presentarse de nuevo. En el caso de los Códigos de ámbito internacional, la Autoridad de Control competente remitirá el borrador al resto de autoridades interesadas, de las cuales dos se identificarán como co-revisores y tendrán un plazo de treinta días para pronunciarse al respecto, tras lo que se decidirá si se remite al Comité Europeo de Protección de Datos para su valoración.

Finalmente, el propio Código deberá prever una institución de supervisión que controle su efectivo cumplimiento por parte de las partes adheridas, y dicha institución tendrá que ser aprobada por parte de la Autoridad de Control. Se han establecido también una serie de requisitos que deberán cumplir estas instituciones, entre los que se encuentran:

  • Independencia: lo representantes tendrán que demostrar la efectiva independencia de la institución respecto de la profesión y el sector en sí mismo, pero este hecho no impide que la institución de control pueda ser tanto externa como interna, aunque en este último caso sus funciones, dirección y responsabilidades deberán estar separadas del resto de la organización.
  • Conflicto de intereses: en línea con la anterior característica y de manera similar a lo que ocurre con los Delegados de Protección de Datos, la institución de supervisión no podrá recibir normas del sector u organización al que sirve. Asimismo, deberá evitar cualquier incompatibilidad.
  • Experiencia: la misma propuesta de institución de supervisión deberá incluir una relación de la experiencia en la materia, tanto en protección de datos como en el campo específico al que se aplique.
  • Estructura y procedimiento: la institución deberá prever una serie de procesos que permitan un efectivo control de cumplimiento y toma de acción cuando sea necesario.
  • Transparencia: la institución habrá de contar con un sistema de funcionamiento transparente, principalmente en relación a la resolución de quejas y procedimientos, además de ser dotada de los poderes suficientes para ejercer su función.

Puedes acceder al documento original (en inglés) aquí.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Enmiendas al Reglamento ePrivacy bajo la Presidencia de Rumanía

A comienzos de año Rumanía asumió la presidencia rotatoria del Consejo de la UE. El Reglamento europeo ePrivacy fue inicialmente aprobado hace dos años, y se preveía su implementación al mismo tiempo que el RGPD.

La presidencia de Rumanía ha presentado un conjunto de enmiendas al Reglamento ePrivacy. Merece la pena consultarlas, aunque no se esperan grandes cambios.

¿Qué servicios regula el Reglamento ePrivacy?

 Este ha sido uno de los puntos importantes de debate constante desde la propuesta del ePrivacy: las normas de privacidad en las comunicaciones se van a aplicar ahora a servicios como marketplace, gaming o mensajería móvil en las apps.

La última enmienda bajo la Presidencia de Rumanía lo deja claro al remitirse a la definición del nuevo Código Europeo de las Comunicaciones Electrónicas (EECC), los servicios de comunicación interpersonal que garanticen tal protección deberán incluir servicios que permitan una comunicación interpersonal e interactiva, aunque ésta sea simplemente una característica secundaria intrínsicamente vinculada a otro servicio principal.

En otras palabras, no importa cuan insignificante sea la función de mensajería en relación al servicio, se tiene que garantizar la protección de la privacidad como en cualquier otra comunicación interpersonal.

Limitaciones a la excepción de tratamiento con fines de seguridad

Según las enmiendas, se refuerzan las condiciones para poder considerar la seguridad como carta blanca para el tratamiento de datos. Mientras que el tratamiento será posible si es necesario detectar o prevenir riesgos o ataques de seguridad en los dispositivos de los usuarios finales, tal tratamiento se permitirá únicamente “por el tiempo necesario para ese propósito”.

Otras modificaciones de interés

Las enmiendas incluyen un requerimiento de colaboración de las autoridades de control para con las autoridades de protección de datos cuando corresponda, así como nuevos poderes de instrucción y correctivos para las autoridades de control.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.