Alemania prohíbe a Facebook combinar datos de diferentes fuentes

La autoridad alemana de regulación de la competencia (Bundeskartellamt) restringe el tratamiento de datos realizado por Facebook basado en combinar información de sus usuarios proveniente de diferentes fuentes.

Alemania prohíbe a Facebook el cruzado de datos de sus usuarios sin su consentimiento. Esta práctica consistía en la recopilación de datos tanto de diferentes websites y aplicaciones propiedad de la red social como de páginas de terceros a fin de combinar la información y relacionarla con la cuenta de Facebook de cada usuario particular, de manera que se creaba así una base de datos única para cada individuo en concreto.

Los términos de servicio de Facebook y la parte de su política de Privacidad correspondiente a la forma en que se tratan los datos infringen el RGPD. Facebook tendrá que rediseñar su actividad en este sentido y actualizar sus políticas para ceder al usuario más control sobre sus datos, y, en concreto, la posibilidad de cruzado de los mismos. En palabras de Andreas Mundt, presidente del Bundeskartellamt, “En el futuro los usuarios podrán evitar que Facebook recoja y use sus datos de manera indiscriminada. La práctica hasta ahora asentada basada en el cruzado de datos sin ninguna limitación deberá ahora estar sujeta a consentimiento voluntario de los usuarios. El hecho de que sea voluntario significa que el uso de los servicios de Facebook no debe estar condicionado a que el usuario otorgue o no el consentimiento para la combinación de información, de tal forma que, si no lo concede, los servicios deberán estar igualmente disponibles”. Si Facebook no recoge el consentimiento a estos efectos, el tipo de tratamiento que podrá dar a los datos será muy restringido. Facebook deberá desarrollar una solución a esta situación en los próximos cuatro meses y presentarla al Bundeskartellamt.

El Dr Bostjan Makarovic, Socio Gerente de Aphaia, ha analizado este escenario y considera que “la forma en que Facebook recoge, cruza y usa los datos constituye una situación de abuso de posición dominante, y el descubrimiento de que se estaba dando esa práctica supone un paso importante tanto para la ley de protección de datos como para la de competencia y la interacción entre ambas”; y aclara las implicaciones que se pueden derivar: “se confirmaría así que algunas actividades de tratamiento pueden ser legales o ilegales en función del poder de mercado del responsable, lo cual afectaría no sólo a los particulares, sino también a algunas pequeñas empresas, pues se reconocería que la legitimación del tratamiento puede ser interpretada según el tamaño y alcance de las actividades. Queda por ver cómo se reflejará esta problemática en la jurisprudencia sobre protección de datos”.

Se puede acceder el documento original del Bundeskartellamt (en inglés) aquí.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

España lanza una Guía Nacional de Notificación y Gestión de Ciberincidentes

España se convierte en el primer país de la Unión Europea que dispone de un marco único de notificación y gestión de incidentes de ciberseguridad.

La Guía Nacional de Notificación y Gestión de Ciberincidentes, aprobada por el Consejo Nacional de Ciberseguridad, ha sido concebida con la idea de crear un marco de referencia dirigido tanto al sector público como al privado para la notificación de incidentes de ciberseguridad.

Se establece un sistema de ventanilla única de notificación, por el cual el sujeto deberá efectuar la comunicación del incidente únicamente al organismo de referencia (CSIRT) correspondiente en cada caso, que será el Centro Criptológico del Centro Nacional de Inteligencia (CCN-CERT) para el Sector Público o el Instituto Nacional de Ciberseguridad de España (INCIBE-CERT) para el sector privado. El organismo de referencia remite el caso al organismo receptor implicado (por ejemplo, en caso de que afecte al RGPD, será la AEPD) y este será el que después se ponga en contacto con el sujeto afectado para recabar más información al respecto.

A fin de facilitar la identificación y análisis posterior de los ciberincidentes, se han definido diez categorías diferentes: contenido abusivo (ej. Spam), contenido dañino (ej. Malware), obtención de información (ej. grabación del tráfico de redes), intento de intrusión (ej. Vulneración de credenciales), intrusión (ej. Compromiso de aplicaciones), disponibilidad (ej. DDoS), compromiso de la información (ej. Pérdida de datos), fraude (ej. Phishing), vulnerable (ej. Criptografía débil) y otros.

Según el tipo de categoría sobre el que recaiga el incidente, se decidirá el Nivel de peligrosidad, que determina la potencial amenaza que supondría la materialización del incidente para los sistemas de información o comunicación del ente afectado, así como para los servicios prestados o la continuidad de negocio. Podrá ser crítico, muy alto, alto, medio o bajo. De manera similar, a posteriori se configurará el indicador de impacto, para evaluar las consecuencias que el ciberincidente haya tenido en las funciones y actividades de la organización afectada o en sus activos. También podrá ser crítico, muy alto, alto, medio o bajo, y se añade una opción adicional: sin impacto.

En cuanto a la gestión de los ciberincidentes, se definen las fases que toda institución y empresa deberían implementar de cara a prevenirlos y, en caso de que ocurran, ser capaces de restaurar los niveles de operación lo antes posible. Las fases son: preparación (ej. Políticas actualizadas), identificación (e. Monitoreo de redes), contención (ej. Evaluación de la información disponible y clasificación), mitigación (ej. Recuperación de la última copia de seguridad limpia), recuperación (retomar el nivel de actividad normal) y post-incidente (evaluación de la causa y coste). 

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Smart glasses y protección de datos

El uso de gafas inteligentes puede derivar en importantes riesgos para la privacidad.

Con motivo de la publicación del informe “Smart glasses and data protection” por parte del Supervisor Europeo de Protección de Datos, en Aphaia repasamos las claves de privacidad que deberán estar presentes en el diseño de las gafas inteligentes.

El uso de Smart glasses promete alta utilidad para la sociedad, pero también importantes riesgos para la protección de datos si no se cuenta con un diseño óptimo en este campo. Funcionalidades como captura de imagen, vídeo y metadatos, sensores, señal WiFi, conexión propia a internet, conectividad con otros dispositivos IoT o reconocimiento facial y de voz ponen en jaque la protección a la privacidad que se puede garantizar a los usuarios.

No sólo se dan riesgos para aquellos que puedan caer bajo el ámbito de visión de las gafas y por tanto ser objeto, por ejemplo, de fotografías o vídeos sin consentimiento, sino también para el propio portador, dado que el cristal como elemento característico del producto proyecta en ocasiones la interacción con el mismo al exterior, visible desde un ángulo cercano.

El Grupo de Trabajo del Artículo 29 identificó, en su informe sobre dispositivos IoT, alguna de las principales amenazas que se dan en estos casos:

-Pérdida de control sobre la información de los usuarios y, principalmente, de los no-usuarios.

-Análisis intrusivo de comportamiento y profiling.

-Limitaciones al anonimato.

-Tratamiento de categorías especiales de datos sin las correspondientes salvaguardas.

-Riesgos de seguridad asociados a los productos de venta masiva en general.

Algunas pruebas realizadas sobre las ahora retiradas del mercado Google Glass pusieron de manifiesto determinadas vulnerabilidades, entre ellas la posibilidad de hackeo con cambio del sistema operativo o la manipulación mediante lectura de códigos QR, lo cual puede derivarse en graves consecuencias a efectos de brechas de seguridad, y otras que amenazan también la seguridad física, como la posibilidad de acceso a imágenes tomadas en la casa del usuario.

Con las Google Glass en proceso de rediseño, otras compañías están lanzando su propia versión del producto, como Snap, Inc con las denominadas Spectacles. Se prevé que las smart glasses sean un producto de masas en menos de diez años, lo cual señala la necesidad de poner en marcha una regulación que estandarice su producción y diseño con las correspondientes previsiones de privacidad. Si bien el RGPD y el nuevo ePrivacy forman ya uno de los principales bloques de normas que regulan las smart glasses, ha de preverse un sistema que cubra casi de modo total, en la medida de lo posible, los riesgos específicos derivados, y que incorpore algunas soluciones adicionales como:

-Prohibición de incorporar cámara (salvo autorización especial para Cuerpos y Fuerzas de Seguridad, equipos de vigilancia, etc.).

-Diseño estandarizado o con exigencia de algún elemento diferenciador que permita a los no-usuarios distinguirlas de gafas comunes.

-Almacenamiento local (en oposición a cloud).

-Reforzamiento del sistema operativo y reporte automático y continuo de brechas de seguridad.

-Formación previa de los usuarios. Una encuesta realizada por Snap, Inc desveló que de media únicamente un 40% de su público objetivo estaba preocupado por las implicaciones que para su privacidad pudiese tener el uso de las smart glasses.

El marco normativo de protección de datos es completamente aplicable a las smart glasses, pero tendrá que aplicarse con determinadas particularidades y medidas de seguridad especiales, dada la naturaleza de las smart glasses y su diferencia con otros dispositivos IoT.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Google sancionado con 50 millones de euros por incumplimiento del RGPD

La autoridad de control francesa (CNIL) ha impuesto una multa de 50 millones de euros a Google por incumplimiento relacionado con la transparencia, la información y el consentimiento.

La sanción del CNIL a Google por incumplimiento del RGPD se basa en tres aspectos principales de inobservancia de la norma:

Falta de transparencia. CNIL apunta que la información relevante no es fácilmente accesible para el usuario, pues está dispersa y oculta y requiere de varios links y botones para ser visible.

Deficiencias en la información proporcionada. Según la autoridad de control, se da una vaguedad y ambigüedad en la redacción de la información básica sobre el tratamiento de los datos, como por ejemplo los fines del mismo.

Vicios en el consentimiento. A las carencias arriba definidas, se suma una falta de base legal para el tratamiento de datos con fines de anuncios personalizados, pues el CNIL considera que la información proporcionada al usuario en este sentido no es suficiente. Además, las opciones de retirar el consentimiento tampoco son claras ni fáciles de acceder, y éste se marca de manera predeterminada sin acción positiva del usuario. Por otro lado, las casillas posteriores de aceptación obligan a otorgar un consentimiento en bloque, en contra del consentimiento granular y específico que require el RGPD.

Esta es la primera vez que el CNIL aplica las nuevas sanciones máximas previstas en el RGPD, y lo justifica por la gravedad de los hechos, que recaen en principios esenciales de la norma. Asimismo, se fundamenta en el hecho de que el modelo económico de la compañía se basa en parte en la personalización de la publicidad, con lo que recae en Google una responsabilidad especial de cumplimiento en dicha área.

El CNIL es competente para conocer de este caso en virtud del artículo 56 RGPD en relación con los artículos 61 y 62, tras derivarse de los actos de cooperación entre autoridades europeas que Google no contaba con un establecimiento principal en el territorio de la UE.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.