Ejemplos de posibles amenazas en el tratamiento de datos personales

el

Con la implantación definitiva del Reglamento General de Protección de Datos (RGPD) el control y las medidas de seguridad que la Unión Europea está imponiendo a las empresas son mayores. El tratamiento de los datos personales es una prioridad para salvaguardar los derechos y libertades de las personas y ello conlleva una responsabilidad: asegurarse que desde el principio el ciclo de vida de los datos permanecen seguros frente a posibles amenazas.

El RGPD es una ley densa y compleja que necesita ser estudiada tanto por el responsable del tratamiento como por el encargado, el delegado de protección de datos y demás empleados que tengan acceso a datos personales. De esta forma pueden prevenirse futuras amenazas que deriven en problemas de seguridad y vulneración de los derechos y libertades de los afectados, además de el coste económico y de reputación para la empresa.

La primera regla, y la más fundamental, es la de cumplir la legislación sobre protección de datos personales. Por lo pronto nos atenemos al RGPD ya que la LOPD está en trámite parlamentario para su redacción definitiva y posterior promulgación. El incumplimiento puede suponer pérdidas económicas y perjuicios en la reputación de la empresa.

Junto al cumplimiento de la ley, otra amenaza importante es la falta o deficiente implantación de medidas de seguridad, sobretodo cuando se produce acceso ilegal, modificación o eliminación de datos personales. La deficiente gestión en el tratamiento también puede generar una amenaza.

Por supuesto, al igual que es obligatorio conocer la legislación en materia de protección de datos, es importante un conocimiento en tratamiento de datos y saber actuar tanto con el afectado como con la autoridad de control. Si el responsable del tratamiento no tiene experiencia o conocimientos suficientes para implantar el RGPD es muy recomendable incorporar expertos en la materia como el Delegado de Protección de Datos. Esta ayuda o apoyo cuando se produce una brecha de seguridad también supone una amenaza.

Recogida, tratamiento y cesión de datos
Podemos encontrar amenazas durante la recogida de datos cuando:

  1. Se recogen datos personales sin un consentimiento expreso del interesado. Hay que recordar que el responsable del tratamiento tiene la obligación de probar que efectivamente hay consentimiento. Si este es dudoso o se consiguió de manera poco clara, no es válido.

  1. No informar de manera clara y completa al interesado. La falta de información o poco transparente no solo invalida el consentimiento sino que supone una infracción. Incluso si se proporciona información clara y precisa pero el acceso a la misma es dificultoso (no aportar la información en conjunto o situarla en lugares de difícil acceso) también supone una amenaza. Es necesario un lenguaje claro, preciso, que cualquier persona pueda comprender independientemente de su edad o nivel cultural, sin riesgo a interpretaciones. En el caso de que deba traducirse a otros idiomas, la comprensión será la misma que en la redacción original.

  1. Se almacenan y tratan los datos con una finalidad distinta. En caso de que sea necesario utilizar los datos personales para otros fines, antes hay que informar al interesado y pedir nuevamente su consentimiento.

  1. Ceder datos personales a terceros sin necesidad o finalidad. La cesión o comunicación a terceros debe llevarse a cabo bajo una finalidad y mediante contrato escrito, además de informar previamente al interesado.

  1. Al igual que en el punto anterior, obtener datos personales por parte de terceros sin el consentimiento del interesado se considera una amenaza.

  1. Tratar datos especialmente protegidos sin una garantía o seguridad adecuada o sin una finalidad.

  1. Añadir más datos personales a los recabados sin motivo alguno. El art. 5.c) del RGPD recuerda que los datos deben ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.

  1. No proceder a la seudonimización de los datos personales cuando la identidad del interesado no sea relevante. La seudonimización es utilizar datos personales de tal forma que no pueda identificar al interesado. En los estudios de mercado, por ejemplo, se recogen datos sobre compras y visualización de artículos para analizar las tendencias de los consumidores. Si no se separa la información que identifica a las personas que compran con los hábitos de compra, supone una amenaza sobre los derechos y libertades.

Evaluación en la gestión de los datos personales
El RGPD exige que el ciclo de vida de los datos personales esté asegurado desde el principio. Para ello hay que realizar un “Análisis de riesgos”, “Evaluaciones de impacto en la protección de datos” y “Registro de actividades de tratamiento”.

El hecho de no tener unos mecanismos o protocolos de actuación para detectar amenazas, gestionar actividades de tratamiento o realizar análisis de impacto supone una amenaza.

Hay que tener en cuenta que la Autoridad del control (AEPD) puede requerir al responsable de tratamiento cualquier tipo de documentación que pruebe el trabajo de prevención.

Derechos de los afectados
También pueden existir amenazas sobre los derechos de los afectados cuando:

  1. No se informe sobre la identidad y los datos de contacto del responsable del tratamiento en caso de dirigirse el interesado para hacer valer sus derechos.

  1. Impedir el acceso, rectificación, supresión, limitación, oposición y portabilidad de los datos personales al interesado.

  1. Falta de conocimiento o herramientas en el procedimiento para la gestión de los derechos del interesado. Puede suponer una amenaza el no saber como suprimir los datos personales incluidas las copias de seguridad y los enlaces; rectificar datos para que sean exactos (art. 5.d) del RGPD); o informar inmediatamente al interesado y a la Autoridad del control en caso de una fallo grave en la seguridad.

Política de seguridad
Otro aspecto importante que puede suponer una amenaza es la forma en que se gestiona la seguridad en el ciclo de vida de los datos personales.

Una deficiente organización en el control de seguridad o la falta de concreción en las funciones y competencias del responsable puede provocar riesgos sobre los datos personales.

Como ejemplo:

a) Mala gestión en el control de accesos
b) falta de actualización de los equipos informáticos y dispositivos móviles
c) Falta de software se seguridad o no actualizado
d) No cifrar información que sale del fichero
e) No eliminar los metadatos de los documentos informáticos

Personal con acceso a los datos personales
También es importante tener en cuenta las personas que tienen acceso a los datos personales ya que pueden suponer una amenaza cuando:

  1. No tienen una formación específica sobre las medidas de seguridad que deben llevarse a cabo.
  2. No tienen en cuenta la confidencialidad o la importancia del deber de secreto.
  3. Existencia de problemas laborales que lleven a recoger datos personales para venderlos a terceros no autorizados o salir de la empresa llevándose consigo los datos de los clientes.

Conclusión
Estas situaciones numeradas son un ejemplo de posibles amenazas que sirve de orientación. No obstante, existen otras dependiendo del sector de la empresa, los datos que trata (sobretodo los especialmente protegidos) y el volumen de información personal.

No existe un patrón concreto o una lista que numere todos los casos, por lo que es necesario realizar evaluaciones periódicas, analizar las incidencias que se vayan produciendo e intentar anticiparse a posibles situaciones de riesgo.

En cualquier caso, la Agencia Española de Protección de Datos tiene como una de sus funciones ayudar a las empresas y autónomos a gestionar correctamente los datos personales y prevenir amenazas a través de distintas herramientas.