RGPD y el uso del email: cuantos menos datos transfieras, mejor.

Un error humano ha causado una brecha de seguridad en el Consejo del condado de Kent, en Inglaterra. Una situación de este tipo puede implicar sanciones que oscilan desde una simple advertencia por parte de la autoridad de control, el ICO en este caso, hasta multas de 20 millones de euros.

Un empleado hizo públicos por error una serie de emails con datos de contacto de más de 300 padres adoptivos y algunos trabajadores, al poner las direcciones en copia de carbón en lugar de copia de carbón oculta. Ninguno de los procedimientos de actuación y salvaguardas aplicables a las brechas de seguridad estaba en aplicación, con lo que sólo se tomaron medidas cuando se comunicó la situación a la persona responsable, que de forma previa intentó recuperar el email que motivó la brecha.

Se trata de una situación especialmente delicada por la naturaleza de los datos, dado que la revelación de dicha información confidencial podría afectar de manera negativa a las familias adoptivas.

Las principales preocupaciones de los padres se basan en la vulnerabilidad de los niños, que en algunos casos provienen de entornos conflictivos, pues el hecho de que tales datos sean públicos podría permitir a las familias biológicas rastrearlos y dar con ellos, de modo que las consecuencias serían muy graves, tanto para los padres como para los niños.

El Consejo del condado de Kent ya se ha disculpado con las familias y ha prometido implementar una mejora en sus procedimientos de seguridad, que deberá caracterizarse principalmente por una buena gestión del riesgo y controles regulares para evitar que este tipo de acontecimientos se repitan en el futuro.

El hecho de que este caso haya sido debido a un error humano ha de conllevar también medidas en cuanto a la formación del personal, basado en concienciación y en los pasos que se deben seguir.

Todavía no se ha tomado ninguna medida por parte del ICO, si bien habrá que esperarse a posteriori cuando la brecha haya sido debidamente comunicada y analizada.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Posible sanción a Facebook por el caso de Cambridge Analítica tras concluir la investigación inicial

Las investigaciones de la autoridad de control italiana revelan más deficiencias en el tratamiento de datos por parte de Facebook

La autoridad de control italiana (Garante per la protezione dei dati personali) ha comunicado la conclusión de las actividades iniciales de investigación en relación al caso “Cambridge Analytica”.

De forma adicional a los datos transmitidos a Cambridge Analytica, se ha descubierto que la información personal recogida mediante la aplicación ‘Thisisyourdigitallife’ no cumplía con el requisito de consentimiento específico e informado. Garante se reserva el derecho de iniciar un procedimiento por separado a este respecto.

Asimismo, se detectó que un software instalado en la plataforma de Facebook, denominado ‘Candidati’, recogía información de los usuarios sin informar de manera adecuada de los propósitos perseguidos, y posteriormente se compartieron además tales datos con terceros sin el debido consentimiento, en la víspera de las elecciones nacionales.

La investigación ha revelado que, como práctica general, las actividades de tratamiento llevadas a cabo por Facebook que tenían como base legítima el consentimiento, no lo recababan de manera específica, informada ni granular, en contra de lo establecido en el RGPD.

Garante está cooperando con la autoridad de control irlandesa, lugar donde Facebook tiene su establecimiento principal, a fin de alcanzar de manera conjunta la decisión más apropiada para el caso.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Ley australiana anti-cifrado

La nueva ley australiana anti-cifrado permite al Gobierno el acceso a datos encriptados

El Parlamento australiano aprobó el pasado 6 de diciembre una ley anti-cifrado que colisiona con algunos principios esenciales en privacidad de manera mundial, y de forma directa con las previsiones del RGPD.

Conforme a esta normativa, las empresas australianas estarán obligadas a construir “backdoors” o puertas de acceso traseras a la información de tal modo que ésta se encuentre a disposición del Gobierno, a la vez que se les requiere que no comuniquen la existencia de dicho sistema a los usuarios ni clientes, ni se haga de ningún otro modo público, bajo pena de prisión. De esta forma, las compañías se verán compelidas incluso a falsificar datos para auditorías que pudiesen revelar tal vulnerabilidad.

¿Qué ocurre entonces con clientes internacionales de empresas de software australianas? Actualmente los usuarios confían en la implementación del cifrado de extremo a extremo, pero esta característica tendrá que modificarse para permitir el acceso del Gobierno a los datos tratados, lo que implica que quedará así al descubierto cualquier información de los clientes, incluidas la relacionada con una brecha de seguridad, con entornos confidenciales o con elementos de propiedad intelectual.

Esta normativa añade un riesgo adicional a la disposición de la información por el Gobierno, que son las vulnerabilidades de seguridad que se den en los mismos sistemas del Gobierno, de tal modo que se multiplica la posibilidad de un acceso indebido y malicioso a los datos por un tercero.

De esta forma, la aplicación de la nueva ley anti-cifrado generará completa incertidumbre en los usuarios cuyos datos se almacenen en plataformas de software australianas, pues no podrán conocer si el tratamiento es completamente seguro o está sujeto a vulnerabilidades, dado que el Gobierno veta a estas empresas incluso de retirar de sus páginas web los avisos de encriptado.

Esta situación impedirá a cualquier responsable o encargado en la UE valorar el cumplimiento y adaptación al RGPD de una empresa australiana, lo que generará trabas para la utilización de las respectivas plataformas o herramientas, conforme al artículo 28 RGPD.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Webinar RGPD – LOPD ofrecido por Felsberg y Aphaia

Con motivo de la entrada en vigor de la Ley Orgánica de Protección de Datos de Brasil (LOPD), Aphaia y Felsberg nos hemos unido para la impartición de un webinar donde trataremos los puntos en común y las principales diferencias entre la LOPD y el RGPD. Cabe destacar que este acercamiento entre Brasil y la Unión Europea con relación a la normativa en privacidad es esencial para aquellas empresas que quieran enviar datos entre ambos territorios.

Felsberg es una firma de abogados con más de 45 años de experiencia en Brasil, especializados en áreas del derecho tanto tradicionales como pioneras, lo que les sitúa en una posición privilegiada para analizar el panorama legal desde la perspectiva de la reciente aprobada LOPD.

En Aphaia hemos ofrecido servicios de adaptación al RGPD desde su aprobación en 2016 a empresas de diversos sectores, principalmente tecnológicas disruptivas, lo que nos ha permitido un conocimiento profundo y aplicado del RGPD, que inspira la LOPD brasileña.

A estos efectos, hemos organizado un webinar para analizar las semejanzas y diferencias entre ambas normativas, así como discutir en detalle los puntos clave de privacidad de los datos. El evento tendrá lugar el día 6 de febrero a las 12.30h CET. Cualquier persona que quiera acudir puede enviar un correo a info@aphaia.co.uk para inscribirse.

Debatiremos en primer lugar las principales diferencias entre el RGPD y la LOPD, y después explicaremos en detalle algunos de los elementos claves de privacidad, como la realización de evaluaciones de impacto, los procedimientos en caso de brecha de seguridad, los derechos de los interesados, la privacidad por diseño y por defecto y las comunicaciones comerciales.