Retirar el consentimiento

Los mecanismos de retirada del consentimiento deberían ser sencillos

Las solicitudes de retirada de consentimiento pueden tener consecuencias directas en tu empresa si no son atendidas de manera inmediata.

Retirar el consentimiento debería ser tan fácil como otorgarlo, según el Presidente de la Autoridad de Control de Polonia tras revisar las prácticas de la compañía ClickQuickNow.  

Conforme a la investigación, el mecanismo utilizado por ClickQuickNow para la gestión de solicitudes de retirada de consentimiento no implicaba una ejecución rápida, sino que se empleaba a tales efectos un link incluido en la información comercial. Según informa el artículo del EDPB, tras establecerse el link, los mensajes enviados a la persona interesada en retirar su consentimiento eran confusos. Además, la empresa requería a los sujetos indicar el motivo de la retirada del consentimiento, y, si no se aportaba, el proceso era paralizado.

Asimismo, ClickQuickNow trataba datos de interesados que no eran clientes y de los cuales además habían recibido mensajes de oposición al tratamiento de sus datos, con lo que lo hacían sin ninguna base legal.

Estas prácticas llevadas a cabo por ClickQuickNow resultaron en violaciones directas del RGPD, en concreto de los Artículos 7(3), 12(2) y 17.Se estableció además que las prácticas de ClickQuickNow violaban los principios recogidos en el RGPD de legalidad, legitimidad y transparencia en el tratamiento de los datos. En consecuencia, la Autoridad de Control polaca impuso una multa administrativa de 201.000 PLN, equivalente a, aproximadamente, 47.000 EUR. De forma adicional, ClickQuickNowtendrá que ajustar y adaptar sus procedimientos de gestión de la retirada del consentimiento y eliminar los datos de aquellas personas que no son clientes y se opusieron al tratamiento de sus datos.

¿Qué mecanismos implementa tu empresa para la retirada del consentimiento? ¿Son sencillos y definitivos? En Aphaia podemos ayudarte a que se ajusten a la normativa, mediante nuestros servicios de consultoría del RGPD, que incluyenEvaluaciones de Impacto y subcontratación del Delegado de Protección de Datos.

Hash

Hash como técnica de seudonimización de datos personales

La Agencia Española de Protección de Datos (AEPD) ha lanzado una nueva guía sobre el hash como técnica de seudonimización de datos personales.

El RGPD menciona la seudonimización de datos personales entre las medidas técnicas y organizativas recomendadas para mantener un nivel de seguridad adecuado al riesgo. Sin embargo, no especifica cómo se pueden seudonimizar los datos. En este contexto, las funciones hash son una de las alternativas, y a estos efectos la AEPD ha preparado una guía para clarificar su aplicación y funcionamiento. En el blog de hoy detallamos sus elementos clave.

¿Qué significa ‘seudonimización’?

Conforme al RGPD, ‘seudonimización’ significa “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

¿Qué es una función hash?

¿Alguna vez has intentado escribir un tweet de más de 280 caracteres y no has podido por la limitación de caracteres de Twitter? Las funciones hash han llegado para salvarte.

Una función hash es un proceso que transforma cualquier conjunto arbitrario de datos en una nueva serie de caracteres con una longitud fija, independientemente del tamaño de los datos de entrada. Por ejemplo, el texto completo de El Quijote podría quedar reducido a una serie de cien números tras aplicar una función hash. ¿Cómo? Las funciones hash dividen el mensaje de entrada en diferentes bloques, a los cuales asignan un hash por cada uno de ellos, que después son sumados.

Las funciones hash y el riesgo de reidentificación

¿Cuál es la probabilidad de que los datos de salida de una función hash se reviertan a los de entrada? Imaginemos que queremos asociar un valor hash a cada uno de los números de la Seguridad Social en España. El elemento más relevante a fin de dificultar o facilitar la reidentificación es el denominado “orden” en el espacio de mensajes.

El espacio de mensajes está representado por todos los posibles conjuntos de datos de los cuales se puede generar un hash (en nuestro caso, los números de la Seguridad Social de España). Cuanto más estricto sea el “orden” (por ejemplo, se establece que únicamente entrarán en la prueba los números de la Seguridad Social de mujeres entre 30 y 45 años), más pequeño será el conjunto de números (espacio de mensajes). Esto garantiza la efectividad del hash como identificador único, pero también incrementa la probabilidad de que se pueda identificar el conjunto de datos de entrada a partir del conjunto de datos de salida.

El grado de desorden de un conjunto de datos se denomina entropía. Cuanto menor sea el espacio de mensajes y la entropía, menor será también el riesgo de colisión, pero a su vez será más probable la reidentificación y viceversa: cuanto mayor sea la entropía, mayor será la posibilidad de colisión y menor el riesgo de reidentificación. Este es el motivo por el que resulta esencial medir y controlar la cantidad de información que se someterá a la función hash cuando tratamos de proteger información mediante este vía o cualquier otra técnica de seudonimización o encriptado.

¿Cómo se aplica esto en el día a día? A efectos prácticos, cuantas más variables se incluyan para “ordenar” el espacio de mensajes (edad, sexo, estatus socioeconómico, nacionalidad, etc.), mayor es el riesgo de identificar el contenido del hash (singularizar a un individuo).

El riesgo de re-identificación es incluso mayor cuando se vincula información adicional al hash.

Estrategias para obstaculizar la re-identificación

Una estrategia para dificultar la reidentificación del valor del hash es utilizar un algoritmo de cifrado con una clave que almacena de forma confidencial el responsable o intervinientes en el tratamiento, que cifre bien el mensaje antes de realizar el hash.

La efectividad del encriptado dependerá del entorno (entornos distribuidos pueden incrementar el riesgo), la vulnerabilidad a ataques y el volumen de información encriptada (cuenta más información, más sencillo será llevar a cabo un criptoanálisis), entre otros.

Como una alternativa al encriptado, se pueden añadir campos aleatorios al mensaje original o de entrada, de forma que se obtiene un “mensaje extendido” que incrementa la entriopía.

El propio cálculo del hash (por ejemplo, la selección de un algoritmo concreto y su implementación), elementos relacionados con el espacio de mensajes (como la entriopía), información vinculada y elementos de seguridad física además de factores humanos, suponen una serie de debilidades e introducen diferentes elementos de riesgo que convierten a la función hash en una técnica de seudonimización más que de anonimización.

Conforme a la AEPD, la utilización de las técnicas de hash para seudonimizar o anonimizar la información de carácter personal deberá venir acompañada de un análisis de los riesgos de reidentificación que tiene la técnica de hash concreta empleada en el tratamiento. “Para considerar la técnica de hash como una técnica de anonimización, dicho análisis de riesgos ha de evaluar, además:

Las medidas organizativas que garantizan una eliminación de la información que permita le reidentificación.
Una garantía razonable de que el sistema será robusto más allá de la vida esperada de los datos de carácter personal”.

¿Necesitas asesoramiento en relación a las técnicas de seudonimización y anonimización? Aphaia ofrece servicios de consultoría de adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

RGPD en una economía del dato

Foro sobre el “RGPD en una economía del dato”

Aphaia acudió al foro sobre “RGPD en una economía del dato” que organizaron de manera conjunta la asociación Denae y la Universidad Queen Mary de Londres.

El foro sobre “RGPD en una economía del dato” tuvo lugar el pasado martes 29 en Madrid. Se trató de un evento de medio día donde los profesionales más importantes del sector se reunieron para hablar sobre el rol de las autoridades de control tras el RGPD, las implicaciones del Brexit en protección de datos y el nuevo Reglamento ePrivacy.

Una de las principales ideas que destacaron los ponentes fue el hecho de que el RGPD no es únicamente multas. En palabras del Dr. Ian Walden, Profesor de Derecho de la Información y Comunicaciones y Director del centro de Derecho Comercial de la Universidad Queen Mary de Londres, “el proceso completo de asegurar cumplimiento con las normas adecuadas a fin de proteger los derechos de los interesados no se basa sólo en multas”. En un sentido similar, Rafael García Gozalo, coordinador del Área de Internacional de la AEPD, indicó que “el plan de estrategia de la AEPD para el período 2015-2019 no incluye las infracciones como uno de sus principales objetivos. Esto no quiere decir que no se vayan a tomar dichas acciones cuando sea necesario, pero la AEPD no concibe que su rol de control deba estar centrado en tal aspecto”.

El foro contó con tres mesas redondas:

Organizaciones y autoridades de control: retos del RGPD y sus infracciones”;
Respondiendo al Brexit en una economía del dato: ¿estamos preparados?” y
Protección de datos en acción”.

La primera de las mesas redondas habló sobre las fuentes de las que se originan las infracciones. Es de destacar que el 50% de las multas tienen su base en quejas presentadas por los interesados. Esto significa que no sólo el cumplimiento importa, sino que también es clave la respuesta que se de a las quejas de los consumidores, usuarios y empleados y a cualquier incidente de seguridad que pueda ocurrir. Las medidas de mitigación deberían ocupar un lugar esencial en los planes y procedimientos de cumplimiento.

La segunda de las mesas se centró en el Brexit. Dado que las transferencias internacionales de datos copan todos los debates sobre la situación futura en caso de darse un Brexit sin acuerdo (como detalló Dr.Bostjan Makarovic en nuestro blog), los ponentes remarcaron la importancia de las Cláusulas Contractuales Tipo, y también la necesidad de que sean actualizadas conforme al RGPD, dado que fueron aprobadas bajo la anterior Directiva 95/46/CE.

La última mesa de debate analizó temas como el cumplimiento como servicio, el papel del responsable y del encargado de tratamiento y las principales arquitecturas de seguridad.

Estamos muy agradecidos a Ian Walden por invitarnos y también a Cristina Morales, Mabel Klimt, Estrella Gutiérrez, Rafael García Gozalo, Silvia Ruiz, Raúl Rubio, Paula Ortiz, Ulrich Wuermeling, Christopher Millard, Laura Aliaga and Alfredo Reino por sus más que interesantes aportaciones.

¿Tienes dudas sobre el Brexit? Las evaluaciones de impacto y el servicio de Delegado de Protección de Datos ofrecido por Aphaia te ayudarán en el cumplimiento de la normativa necesaria.

La PDPA Tailandia

Ley de protección de datos de Tailandia

La Ley de protección de datos de Tailandia se publicó a principios de este año y comenzará a aplicarse en mayo de 2020.

Vivimos en la era de la conexión tecnológica, donde los datos son el activo más valioso, hasta el punto de condicionar prácticamente todos los aspectos de nuestra vida, pues se recogen, comparten, venden, analizan y monetizan de manera constante. Y si bien es cierto que esta práctica resulta en importantes beneficios, los riesgos asociados son también alarmantes. Es este el motivo por el que cada vez son más los países alrededor del mundo los que concentran sus esfuerzos para elaborar legislación al respecto, tanto en privacidad como en protección de datos. En el blog de hoy analizamos la nueva Ley de privacidad de Tailandia (PDPA).

La PDPA se publicó en el boletín oficial del Gobierno el 27 de mayo de 2019, y se espera que comience a aplicarse de manera plena en mayo de 2020. De una forma similar al RGPD, el objetivo de la PDPA es regular la recogida y cesión de datos que puedan ser utilizados para identificar a una persona física, bien sea de manera directa o indirecta. Asimismo, proporciona una serie de orientaciones para el tratamiento de datos y no se aplica a la información de personas fallecidas.

La PDPA garantiza los siguientes derechos a los interesados:

​​Derecho de estar informado.
​​Derecho de acceso.
​​Derecho a la portabilidad de datos.
​​Derecho de oposición.
​​Derecho a la supresión de datos/derecho al olvido
​​Derecho de limitación.
​​Derecho de rectificación.

¿A quién se aplica la PDPA?

La PDPA se aplica a todas aquellas entidades que ofrezcan bienes y servicios a individuos radicados en Tailandia, y que recojan, traten o cedan datos de los mismo, independientemente de que la entidad tenga o no sede en Tailandia.

En función de los tratamientos de datos que realicen, las entidades tendrán que cumplir con la PDPA bien como responsables o bien como encargados.

Si bien la PDPA tiene similitudes con el RGPD, el cumplimiento con la primera no implica también cumplimiento automático con el RGPD.

Si ofreces productos o servicios a residentes en Tailandia, es esencial que adaptes tus sistemas y procesos a la PDPA. Aphaia ofrece adaptación al RGPD y a la PDPA, incluidas evaluaciones de impacto y subcontratación del Delegado de Protección de Datos.