Normativa GDPR: ¿Qué pasa con nuestros datos ahora?ElevenPaths 22 abril, 2018 A estas alturas, todos sabemos que el nuevo reglamento de protección de datos personales europeo (GDPR) tiene que convertirse en una realidad en los diferentes estados, obligando a las compañías y organizaciones a garantizar su cumplimiento. El día G, aunque anunciado con bastante anterioridad, se presenta ahora muy cercano, el 25 de mayo de este mismo año. Aunque el nuevo reglamento recoge muchas reglas respecto a cómo los datos personales deben ser tratados por las organizaciones y empresas, el cambio que supone su adopción no implica modificar todo lo que se estaba haciendo ya en materia de protección de la información personal. Muchas de las reglas -que se habían traducido en leyes en nuestro país- y todos los principios fundamentales sobre los que se construyen, siguen siendo los mismos. Sí existe, sin embargo, un cambio fundamental en el carácter que debe tener el consentimiento otorgado por el individuo, generador de los datos, sobre el tratamiento que vayan a recibir estos: ahora este consentimiento debe ser explícito. Vamos a centrarnos en este punto, dejando para discusiones mucho más formales otros aspectos del cumplimiento de la GDPR. Este carácter explícito del consentimiento nos habla de que, a diferencia de lo que venía sucediendo hasta ahora, la persona que ha generado unos datos debe decidir si es posible o no tratar esa información de una forma específica. Este tratamiento nos informa del propósito que se persigue cuando se vaya a realizar el procesamiento de la información. Según GDPR, cada individuo debe estar plenamente informado sobre qué propósito y sobre qué datos se van a utilizar para determinados tratamientos. Y, de esta manera, decidir si se procede con ellos o no. Esta elección debe formalizarse con carácter previo a la realización de cualquier tipo de procesamiento. En última instancia, en lo que respecta a este ámbito, GDPR contempla el control y la transparencia, como guías fundamentales para proporcionar una adecuada protección de los datos personales. ¿Cómo perciben los usuarios de sistemas digitales esta transparencia y este control? Al final, el control sobre la información y el ejercicio de la trasparencia es necesario cuando hay un déficit de confianza en aquellas organizaciones que almacenan nuestros datos o con cuyos servicios interactuamos, generando nuevos datos en el proceso. Es necesario preparar los sistemas y definir los servicios para que cada una de las personas que vayan a interactuar con ellos pueda determinar el nivel de confianza que considere apropiado en su relación con la compañía que los ofrece. Resulta imprescindible asumir que cada individuo es soberano de la confianza que deposita en una empresa y es únicamente él, de forma rotunda, quien debe tener el control sobre su información personal. ¡Todo es confianza! Y en esta sociedad tan digitalizada y conectada, esta confianza es dinámica. La propuesta que se vaya a ofrecer a las personas debe permitirles cambiar de opinión tantas veces como sea necesario. Así se percibirá la utilidad del control y la transparencia, a través de la confianza. ¿Por qué en la aplicación de la GPDR hay ocasiones en la que no nos piden consentimiento?, ¿debe esto minar mi confianza? La GDPR deja bastante claro que para que una organización pueda disponer de un dato es necesaria una clara descripción de la finalidad para disponer de él y, además, dicha finalidad debe ser legítima. Existen seis tipos de «legitimidades»: contractuales, legales, de interés vital, de interés público, de interés legítimo y las obtenidas directamente como consentimiento de los individuos. En este último supuesto, una compañía u organización puede almacenar o procesar datos de un individuo ya que así está contemplado en el contrato de los servicios de los que esa persona es cliente. El individuo es el que ha dado autorizado, aunque el tratamiento no sea compatible con el servicio que los genera o por motivos más elevados (legales, vitales, etc.). GDPR obliga a: si una empresa ya tiene los datos por alguna razón de las previas, puede tratar de nuevo el dato sin necesidad de un consentimiento adicional, siempre y cuando esta segunda finalidad sea compatible con la primera, es decir, no se desvíe en exceso de la finalidad con la que se generó. Es importante destacar que el tratamiento de los datos de tráfico, localización y weblogs no pueden basarse ni en interés legítimo, ni en el tratamiento compatible posterior. Por ejemplo, supongamos que una empresa quiere usar los datos que está recogiendo del consumo de un servicio, pensemos, por ejemplo, en una compañía que proporciona suministro eléctrico. Podría facilitarle la compresión de una factura de cualquier cliente y ser proactivo en la definición de cualquier anomalía que en ella pueda aparecer. Para este tratamiento, con esta nueva finalidad, no necesitaría pedir consentimiento a la persona, ya que la propia contratación del servicio ya la hace compatible. Si esta misma empresa incorporara nuevas fuentes de datos, o usara información de localización para enriquecer la información a la factura, en este caso sí sería necesario solicitar explícitamente el consentimiento. En definitiva, GDPR ofrece una visión más conservadora de los derechos de los individuos en lo que respecta a la protección de sus datos personales. Es de obligado cumplimiento por todas las compañías, y está en la mano de cada una de ellas, utilizarla para construir un camino de confianza que para definir nuevos modelos de relación con sus clientes. Antonio Guzmán Sacristan Head of Innovation & Discovery at Telefónica’s 4th Platform -AURA Antonio.guzmansacristan@telefonica.com @aguzsac Acelerando la ciberseguridad europea entre el Reino Unido y Telefónica (Wayra) – Parte 2 de 2AMSI, un paso más allá de la detección de malware en Windows
Telefónica Tech Boletín semanal de ciberseguridad, 21—27 de mayo Vulnerabilidad sin corregir en PayPal El investigador de seguridad H4x0r-DZ ha dado a conocer una vulnerabilidad sin corregir en el servicio de transferencia de dinero de PayPal que podría permitir...
Diego Samuel Espitia Vulnerabilidades, amenazas y ciberataques a sistemas industriales Los entornos industriales se han ido convirtiendo cada vez más en un objetivo para los ciberdelincuentes
Telefónica Tech Boletín semanal de ciberseguridad, 13—20 de mayo VMware corrige vulnerabilidades críticas en varios de sus productos VMware ha publicado un aviso de seguridad con el fin de corregir una vulnerabilidad crítica de omisión de autenticación que afecta...
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Telefónica Tech Boletín semanal de ciberseguridad, 7—13 de mayo Vulnerabilidad en BIG-IP explotada para el borrado de información El pasado 4 de mayo F5 corregía entre otras, una vulnerabilidad que afectaba a dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), que podría...
Juan Elosua Tomé Shadow: tecnología de protección contra filtraciones de documentos Shadow, de Telefónica Tech, es una tecnología que permite identificar el origen de una fuga de información como la sucedida recientemente en EE UU