La autoridad de control

La autoridad de control de los Países Bajos impone una multa por no informar de una brecha de seguridad en plazo

La autoridad de control de los Países Bajos ha impuesto una multa a booking.com por no informar en plazo de una importante brecha de seguridad. 

 

Booking.com, agencia de viajes internacional con base en los Países Bajos, ha sido recientemente multada por no informar a tiempo sobre una brecha de seguridad. La brecha de seguridad fue descubierta el 13 de enero de 2019 y tuvo lugar en diciembre de 2018. Sin embargo, el incidente no se reportó hasta el 7 de febrero de 2019. Las autoridades de control deben ser informadas sobre las brechas de seguridad en un plazo de 72 horas tras descubrirse estas, de modo que en este caso se hizo con 22 días de retraso. Como resultado, la autoridad de control de los Países Bajos ha impuesto una multa de 475.000 € a la empresa. 

 

Dado que booking.com es una empresa internacional con clientes de un amplio rango de países, la investigación sobre la brecha tiene un alcance internacional, pero fue llevada a cabo por la autoridad de control de los Países Bajos dado que es allí donde la empresa se encuentra. 

 

Los ciberdelincuentes se hicieron pasar por personal de booking.com por medio de email y teléfono a fin de robar datos personales. 

 

Los ciberdelincuentes fueron obtuvieron la información haciéndose pasar por personal de booking.com en los emails y por teléfono. Este fraude afectó a 40 hoteles en Emiratos Árabes Unidos en diciembre de 2018. Los hackers utilizaron la información de booking de dichos clientes para parecer más creíbles al hacerse pasar por el personal de booking.com, con el objetivo de recopilar tanta información personal y financiera sobre el mayor número de clientes que fuese posible. Estos datos incluían credenciales de acceso y datos financieros. El alcance de esta brecha era tan amplio que los delincuentes accedieron a datos de más de 4.000 personas, incluyendo información de la tarjeta de crédito de más de 280 usuarios. En 97 de dichos casos, se hicieron incluso con el código de seguridad. 

 

Booking.com no se opone a la multa y ha compensado a sus clientes por las pérdidas financieras sufridas como resultado de la brecha. 

 

Aunque booking.com descubrió la brecha el 13 de enero de 2019, no fue hasta el 4 de febrero de 2019 cuando informaron a los clientes afectados. Y aún más, la compañía esperó hasta el 8 de febrero para informar a la autoridad de control de dicha brecha de seguridad. La empresa ha ofrecido varias soluciones, compensación financiera incluida, por cualquier pérdida sufrida por los clientes. Booking.com no va a presentar ninguna objeción ni solicitar revisión de la multa. 

 

Se ha producido un aumento significativo de los ciberdelitos en los últimos años, lo que hace las medidas de seguridad reforzadas aún más importantes. 

 

En los últimos años, especialmente desde 2020, ha habido un aumento significativo de robos e intentos de robo de datos personales. En concreto durante ese año los casos aumentaron un 30% respecto de los del período anterior, son por tanto muchas las personas que han sido víctimas de este tipo de situaciones y las autoridades de control están alertando sobre ello. Implantar implantar medidas de seguridad reforzadas y reportar a tiempo cualquier brecha de seguridad puede en gran medida reducir el impacto de este tipo de robos en los sujetos.  

 

¿Tus actividades de tratamiento de datos personales cumplen con la Directiva ePrivacy, el RGPD y la LOPDGDD? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Certificados digitales verdes

Certificados digitales verdes: el CEPD y el SEPD publican una opinión conjunta al respecto.

A la luz del debate que están generando los certificados digitales, el CEPD y el SEPD han publicado su opinión conjunta en relación a los mismos en el ámbito de privacidad y protección de datos. 

 

Los certificados digitales verdes, también denominados “pasaporte vacuna” no están, al contrario de lo que se cree, dirigidos específicamente a las vacunas. De hecho se propone que los certificados digitales verdes o pases consistan en un código QR que contenga información sobre el estatus de cada persona en relación al virus del COVID-19. Los elementos específicos de dicha información pueden girar en torno a la vacuna y contar con detalles sobre qué vacuna se empleó o cuándo fue administrada, o también recoger datos sobre test de COVID-19 negativos y la fecha en que se realizaron. Este código podría asimismo aportar información sobre los anticuerpos presentes en el sistema inmune de una persona, y si se han desarrollado tras haber estado contagiado del virus con su posterior recuperación. Las vacunas no son obligatorias en este momento, y los certificados digitales verdes propuestos por la Comisión Europea pretenden hacer más sencilla la identificación del estado actual de una persona con respecto al COVID-19, si se han vacunado o no, lo cual facilitaría el desplazamiento entre países de la EU para cualquiera que necesite viajar durante la pandemia. 

 

La publicación conjunta del CEPD y del SEPD abarca de manera específica los aspectos de la propuesta relativos a la protección de datos personales. 

 

Inicialmente la Comisión publicó una propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la emisión, verificación y aceptación de certificados de vacunación, pruebas y recuperación para nacionales de terceros países que se encontrasen o estuviesen residiendo de manera legal en los Estados Miembro durante la pandemia del COVID-19 el 17 de marzo. El CEPD y el SEPD señalan que el objetivo de la propuesta es facilitar el ejercicio del derecho de libre movimiento dentro de la UE durante la pandemia del COVID-19. Dada la importancia particular de estas propuestas y su impacto en los derechos y libertades de los sujetos en relación al tratamiento de sus datos, el EDPB y el SEPB han publicado una opinión conjunta sobre los aspectos específicos relacionados con la protección de los datos personales. Se destaca que es esencial que la propuesta sea consistente y no entre en ningún caso en conflicto con la aplicación del RGPD. 

 

Conforme a la opinión conjunta del CEPD y el SEPD, los certificados digitales verdes deberían enfocarse desde un punto de vista holístico y ético. 

 

El CEPD y el SEPD recomiendan que la Comisión tome un enfoque holístico y ético en la propuesta, en un esfuerzo por acompasar todos los aspectos relativos a la privacidad y a la protección de datos, y a los derechos fundamentales de los sujetos en general. Afirman que la protección de datos no es un obstáculo para la lucha contra la actual pandemia y el cumplimiento con la normativa de protección de datos ayudará a que los ciudadanos confíen en los marcos que se establezcan. El CEPD y el SEPD aconsejan que cualquier medida que adopten los Estados Miembro o las instituciones de la UE debe basarse y orientarse conforme a los principios generales de efectividad, necesidad y proporcionalidad. Además, indican que la Organización Mundial de la Salud (OMS) recoge en su documento provisional referente a las consideraciones sobre la prueba de vacunación del COVID-19 para viajeros internacionales lo siguiente: “(…)las autoridades nacionales y los operadores intermedios no deberían introducir requisitos de prueba de vacunación del COVID-19 para viajeros internacionales como una condición de salida o entrada, puesto que todavía hay un gran desconocimiento en torno a la eficacia de la vacuna para reducir la transmisión del virus”.  

 

El CEPD y el SEPD afirman en su opinión conjunta que estos certificados digitales verdes no deberán conducir a la creación de ninguna base de datos central de datos personales a nivel europeo bajo el pretexto del marco de los Certificados Digitales Verdes. Además, hacen mención específica al hecho de que estos certificados deben estar disponibles tanto en formato digital como físico, para asegurar así la inclusión de todos los ciudadanos independientemente de su nivel de familiarización con la  tecnología. Se apela por otro lado a la manera en que estos certificados serán emitidos, si automáticamente o bajo solicitud de los sujetos. El considerando 14 y los artículos 5(1) y 6(1) de la propuesta actualmente rezan lo siguiente “(…) Los Estados Miembro deberían emitir certificados conforme al marco de los Certificados Digitales Verdes de manera automática o bajo petición (…)”

 

El CEPD y el SEPD valoran positivamente la inclusión en la propuesta de los derechos y libertades de los sujetos así como el cumplimiento con la normativa de protección de datos. 

 

El CEPD y el SEPD valoran de manera positiva que la propuesta menciona de forma explícita que el cumplimiento con la regulación europea de protección de datos es clave para la aceptación comunitaria de los certificados de vacuna, prueba y recuperación. El considerando 38 de la propuesta establece que “conforme al principio de minimización de datos, los certificados deberían únicamente contener los datos personales que sean necesarios para el cumplir con el propósito de facilitar el ejercicio del derecho de libre movimiento dentro de la Unión durante la pandemia del COVID-19”. El CEPD y el SEPD recomiendan que se incluya una referencia al RGPD en el principal texto de la propuesta, pues es la base legal para el tratamiento de los datos y la emisión de certificados de vacunación interoperables, como enfatiza el considerando 37. 

 

El Artículo 3(3) de la propuesta establece que los ciudadanos podrán obtener estos certificados sin coste, y pueden renovarlos para actualizar la información o reemplazarla cuando sea necesario. Mientras que el CEPD y el SEPD comparten esta postura, también recomiendan aclarar que el certificado original, así como sus modificaciones, deberán emitirse bajo petición de los sujetos. Esto es muy importante a fin de mantener la accesibilidad para todos. 

 

El CEPD y el SEPD apuntan la necesidad de prestar atención a la minimización de datos y a una serie de aclaraciones en torno a la período de validez de los datos tratados. 

 

Hay algunas categorías y campos de datos que se tratarían dentro del marco de los Certificados Digitales Verdes. Como resultado, el CEPD y el SEPD consideran que la justificación de la necesidad de tales campos de datos personales debe estar claramente definida en la propuesta. Además, se requiere una explicación más elaborada sobre si todos las categorías de datos personales deben necesariamente incluirse en el código QR para el formato digital y el físico. Apuntan que la minimización de datos se puede lograr mediante un enfoque de varios conjuntos de datos o códigos QR. Por otro lado, se enfatiza la ausencia de especificaciones en la propuesta en relación a la fecha de expiración o período de validez de cada certificado. Es importante mencionar que el CEPD y el SEPD establecen de manera clara que, dado el ámbito de la propuesta y el contexto de pandemia, la declaración de enfermedad o agente del cual el sujeto se ha recuperado debe limitarse únicamente al COVID-19 y sus variantes. 

 

El CEPD y el EDPS insisten en la importancia de contar con las adecuadas medidas de privacidad y seguridad técnicas y organizativas en el contexto de la propuesta.  

 

En relación al marco de los Certificados Digitales Verdes, el CEPD y el SEPD recomiendan que se estructuren de manera especial las medidas de privacidad y seguridad a fin de asegurar el cumplimiento de los responsables y encargados del tratamiento que el marco requiere. La opinión indica que los responsables y encargados deberían tomar medidas técnicas y organizativas adecuadas que confirmen un nivel de seguridad apropiado al riesgo del tratamiento de datos personales de acuerdo con el artículo 32 RGPD. Estas medidas tendrían que incluir el establecimiento de procesos para evaluaciones regulares de la efectividad de las medidas de privacidad y seguridad que se adoptan. 

 

Mientras que el CEPD y el SEPD aprecian la aclaración que contiene la propuesta sobre el rol de los responsables y encargados de tratamiento, también recomiendan que se especifique, a través de una lista completa y detallada, todas las entidades que se prevé que actúen como responsables y encargados de tratamiento en los Estados Miembro, tomando en consideración el uso de estos certificados en múltiples estados por parte de personas que viajan de manera intracomunitaria. También apuntan que la propuesta debería ofrecer explicaciones sobre el papel de la Comisión en torno a las leyes de protección de datos en el contexto de este marco, garantizando la interoperabilidad entre certificados. Se solicita también que se preste atención al Artículo 5(1)(e) RGPD, en relación al almacenamiento de los datos personales, así como indicaciones sobre el período de almacenamiento que los Estados Miembro no deberían exceder, más allá de la pandemia. Además, el CEPD y el SEPD recomiendan que la Comisión explique de manera explícita si se esperan transferencias internacionales de datos personales y cuándo, junto a las salvaguardas dentro de la legislación para asegurar que los terceros países sólo tratan los datos personales para finalidades específicas por las cuales estos datos se intercambian, dentro del marco. 

 

¿Tus actividades de tratamiento de datos personales cumplen con la Directiva ePrivacy, el RGPD y la LOPDGDD? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

 

El Tribunal

El Tribunal Supremo falla en contra de la geolocalización de los empleados a través de sus móviles personales

El Tribunal Supremo falla en contra del “Proyecto Tracker”, que obligaba a los empleados a poner a disposición de la empresa la geolocalización de sus móviles personales, que debían tener conexión a internet.  

 

El Tribunal Supremo ha confirmado la nulidad del “Proyecto Tracker” de Telepizza SAU, por el cual la empresa requería a sus repartidores aportar datos de geolocalización mediante sus móviles personales, bajo amenaza de repercusiones negativas en caso de no hacerlo, como la suspensión del contrato, reducción del salario o incluso despido. Así, el Tribunal Supremo confirma la sentencia de la Audiencia Nacional que ya había declarado que los repartidores de Telepizza no deben estar obligados a utilizar sus propios móviles personales e instalar una app de geolocalización a fin de que la compañía haga uso de dichos datos en horas de trabajo. La Sala considera que el hecho de que los trabajadores debiesen aportar sus móviles personales a estos efectos es una situación muy distinta a aquella en la que los dispositivos fuesen proporcionados por la empresa, pues en dicho caso no se estaría violando los derechos de los empleados. 

 

El Tribunal determinó que el sistema establecido por la empresa violaba los derechos de privacidad de los empleados. 

 

El recurso de casación fue desestimado dado que dicha política violaba los derechos de privacidad de los trabajadores y había medidas menos intrusivas que se podrían haber utilizado en su lugar. El “Proyecto Tracker” obligaba a los empleados a facilitar un móvil personal con conexión a internet para permitir el seguimiento de su localización en tiempo real y, por extensión, de los repartos que efectuaban. También se señaló que no se les había ofrecido suficiente información alrededor de dicha práctica y, por tanto, el “Proyecto Tracker” no cumplía con los requisitos de información y consulta previa como se establece en el Artículo 64.5 del Estatuto de los Trabajadores. 

 

Cristina Contero Almagro, socia de Aphaia, señala que “No debería olvidarse que los empleados son también sujetos de derechos cuyos datos deben tratarse en cumplimiento con el RGPD. En este caso la empresa debería haber llevado a cabo una Evaluación de Impacto de Protección de datos a fin de identificar los riesgos vinculados con esta práctica y las medidas de mitigación que deberían haberse aplicado antes de implementarla”.

 

El Tribunal considera que hay modos menos intrusivos de realizar el seguimiento. 

 

La compañía alegó que su sistema simplemente permitiría a los clientes localizar su pedido en tiempo real. Sin embargo, el Tribunal Supremo no cuestiona que la geolocalización sea un método adecuado para lograr dicho objetivo, sino que señala que los métodos empleados para ello no son conforme a derecho. Además, esta práctica muestra carencias desde una perspectiva de derechos fundamentales, no en proporcionalidad sino en cuanto a necesidad, pues existen modos menos intrusivos de alcanzar e implementar la funcionalidad en cuestión dentro de la empresa. Asimismo, el Tribunal indicó que la compensación económica que se les ofrecía a los trabajadores por emplear su teléfono personal y conexión a internet no era suficiente. En general, se considera que una práctica más apropiada hubiese consistido en  suministrar a los repartidores móviles de la empresa con finalidad de seguimiento. 

 

¿Necesitas asesoramiento en relación a las políticas de los empleados o los requisitos para su seguimiento y localización?  Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Una resolución de un tribunal de Francia arroja más contexto sobre la aplicación del caso “Schrems II” bajo el RGPD.

Una resolución de un tribunal de Francia arroja más orientaciones sobre la aplicación del caso “Schrems II” al considerar que los datos almacenados por una filial de una empresa de Estados Unidos se encuentran suficientemente protegidos. 

 

El más alto tribunal administrativo de Francia emitió a principios de mes una resolución en la que determinaba que una plataforma de reservas para vacunación del COVID-19 alojada en Amazon Web Service, también conocido como AWS, se encontraba suficientemente protegida bajo el RGPD. Inicialmente se plantearon algunas cuestiones en torno a si el uso de los servidores de Amazon Web Services como plataforma para el almacenamiento de los datos era compatible con el RGPD tras la sentencia “Schrems II”, dado que el encargado de tratamiento estaría sujeto a la normativa estadounidense. La resolución final en este caso se basó en el hecho de que el Tribunal considera que existen suficientes garantías técnicas y legales en caso de que las autoridades estadounidenses solicitasen acceso a los datos. Este hecho ofrece contexto alrededor de la aplicación de “Schrems II” y tiene grandes implicaciones para muchas empresas, a la vez que subraya la necesidad de aplicar salvaguardas adicionales cuando los datos son tratados por una filial de una empresa no europea.  

 

Se determinó que si bien se trata de una preocupación común, los datos de salud alojados por una empresa sujeta a la normativa estadounidense se encontraban lo suficientemente protegidos bajo el RGPD.  

 

Los demandantes alegaron en este caso que el almacenamiento de datos por una empresa sujeta a la normativa estadounidense presentaba varios riesgos, no sólo la transferencia de datos a Estados Unidos, sino también el posible acceso a dichos datos por parte de las autoridades estadounidenses si así se solicitase. Los demandantes lo consideraron un asunto sensible y de urgencia dado el nivel de riesgo percibido. Sin embargo, lo que en principio se señaló como una posible brecha del RGPD bajo “Schrems II”, finalmente resultó en cumplimiento con la normativa, pues se valoró que los datos estaban suficientemente protegidos conforme al RGPD en virtud de las extensas medidas legales y técnicas aplicadas por el demandado, Doctolib. Así por tanto, el juez falló en contra de la solicitud de los demandantes para suspender el servicio.

 

La resolución del tribunal de Francia fue el resultado de una detallada evaluación de las medidas técnicas y legales incluidas en el acuerdo entre las partes. 

 

La resolución del tribunal de Francia se emitió tras llevar a cabo una detallada evaluación de las medidas técnicas y legales y de otras garantías acordadas por Doctolib y Amazon Web Services. El análisis determinó que el contrato entre ambas partes incluía varias provisiones en este sentido, y consideraba un procedimiento específico en caso de solicitudes de acceso por parte de un tercer país. La garantía legal aportada aquí consiste en que se cuestionarán y rebatirán todas las solicitudes de acceso que el encargado reciba por parte de las autoridades. El juez también valoró que los datos estuviesen encriptados con la clave en manos de un tercero de confianza y no Amazon Web Services. Además, se observe que los datos transmitidos a Doctolib a través de la campaña de vacunación no contenían información sensible sobre salud que especificase, por ejemplo, que un cierto candidato tiene prioridad para la vacunación debido a determinada condición pre existente. Como medida extra, cualquier dato introducido por los usuarios con la finalidad de identificación para conseguir una cita de vacunación es eliminado como mucho tres meses después de la misma. 

 

El Dr Bostjan Makarovic, Socio Gerente de Aphaia, apunta que: “La resolución deja entrever que hay espacio para la coherencia en la aplicación de Schrems II, lo cual debería en términos generales percibirse como buenas noticias para la industria online”. 

Cristina Contero Almagro, socia de Aphaia, señala que: “Es muy importante que las empresas lleven a cabo un análisis de sus flujos de datos, los países involucrados y las medidas que deben aplicarse según el riesgo identificado; esto es lo que se denomina ‘Evaluación de Impacto de Transferencias de Datos”. 

Este caso destaca la necesidad de contar con garantías técnicas y legales, las cuales deberían aplicarse incluso cuando los datos no se transfieren fuera de la UE. 

 

Uno de los elementos principales de cumplimiento con “Schrems II” reside en las medidas técnicas como la pseudonimización y la encriptación, junto a la confirmación de que el encargado no tiene manera de acceder a la clave de descifrado, especialmente cuando las autoridades podrían acceder a la misma. Las garantías legales, como aquellas tomadas por . Doctolib, son también especiales. Mientras las nuevas Cláusulas Contractuales Tipo recientemente publicadas por la Comisión Europea contienen provisiones similares, se recomienda, en previsión de las mismas, que las empresas incluyan cláusulas alrededor de este tipo de garantías en un anexo específico, incluso en los casos en que no hay transferencia de datos fuera de la UE. 

 

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.