Sécurité des données : l’erreur est (souvent) humaine

Seguridad de datos: errar es (a menudo) humano

Legal Watch – Noviembre 2019.

Seguridad de datos: errar es (a menudo) humano. Esta fue la conclusión a la que llegaron las autoridades públicas responsables de la protección de datos personales, reunidas en Tirana del 21 al 24 de octubre.

En la conferencia internacional que reúne cada año a las autoridades de supervisión, al sector privado y a la sociedad civil se adoptaron varias resoluciones.

Entre ellas se incluyen dos resoluciones destinadas a mejorar la cooperación entre las autoridades públicas a través de las fronteras y a mejorar la aplicación del RGPD, una resolución sobre las redes sociales y el contenido extremista violento, y la que nos ocupa aquí, sobre el error humano en las violaciones de seguridad.

A modo de recordatorio, según el RGPD, una violación de seguridad se refiere a cualquier situación en la que, de forma accidental o ilícita, se traten datos personales:

  • Destruido
  • Perdido
  • Alterado
  • Divulgado
  • O cuando se observa acceso no autorizado a los datos.

Se trata pues de un ámbito de aplicación especialmente amplio, con consecuencias para el responsable del tratamiento, que deberá, en función del impacto de la violación de seguridad, notificarlo a la CNIL y a las personas afectadas por el incidente.

Más de un año después de la entrada en vigor del RGPD, observamos que una gran proporción de las multas impuestas por incumplimiento del Reglamento se deben a la falta de seguridad en el tratamiento de datos. 

Las distintas autoridades europeas también han recibido un gran número de notificaciones y empiezan a tener una visión más clara de los orígenes de los problemas de seguridad, lo que debería ayudar a mejorar la prevención en este ámbito.

La observación es la siguiente: Una gran parte de las violaciones de seguridad provienen de empleados que divulgan información de forma involuntaria. a destinatarios no autorizados o a personas engañadas para que transmitan identificadores y códigos de acceso a la información.

Además de implementar técnicas robustas de protección de datos en el diseño de sistemas («privacidad desde el diseño»), la resolución insta a desarrollar una cultura de protección de datos dentro de la empresa. Se destacan las siguientes medidas:

  • Programas periódicos de formación, educación y concienciación para los empleados sobre aspectos de “privacidad” y seguridad de datos;
  • Capacitación en la detección y reporte de brechas de seguridad;
  • Monitoreo y auditorías periódicas de las prácticas y sistemas implementados para proteger los datos.

Un recordatorio útil: el cifrado sigue siendo un medio fundamental para la protección de datos, combinado con otras medidas técnicas y organizativas. La CNIL y la ANSSI (Agencia Francesa de Protección de Datos) publicaron en octubre una amplia información práctica en línea para conmemorar el Mes de la Ciberseguridad.

Y además:

  • En Francia:

La autoridad de control francesa publicó su hoja de ruta 2019-2021 a mediados de octubre. Para comunicar sus prioridades en materia de protección de datos personales, existen cinco áreas de trabajo:

  • Los retos digitales de la vida cotidiana de los ciudadanos;
  • Regulación equilibrada (acción de apoyo y represiva);
  • Una inversión significativa en la cooperación europea;
  • Experiencia de vanguardia en seguridad digital y cibernética;
  • Una misión innovadora de servicio público basada en valores humanistas.

La CNIL también se pronunció el 17 de octubre sobre dos sistemas de reconocimiento facial. implementado en las escuelas.

Consideró que estos proyectos, aplicados a estudiantes en su mayoría menores de edad y con el único objetivo de agilizar y asegurar el acceso, "no son ni necesarios ni proporcionados para lograr estos fines".

Estas decisiones son comparables a las que tomó la autoridad supervisora sueca a finales de agosto en el marco del reconocimiento facial en las escuelas, esta vez con el objetivo de controlar la asistencia.

  • En Europa:

Indemnización por violación de la ley: La jurisprudencia aclara las condiciones en las que un particular puede reclamar una indemnización en caso de violación de sus derechos.

La última decisión, tomada por el Tribunal de Apelación de Londres el 2 de octubre, concede una indemnización por la recopilación fraudulenta de datos por parte de Google en los iPhones de más de cuatro millones de usuarios, a falta de prueba del daño: el Tribunal precisa que el control de una persona sobre sus datos tiene un valor, por lo que la pérdida de este control también debe tener un valor.

Por lo tanto, una persona puede recuperar una compensación conforme a la ley sin demostrar pérdida financiera o angustia.

Tomamos nota del vínculo entre esta decisión y el artículo 82 del RGPD, que establece la existencia de daño material e inmaterial y deja al responsable del tratamiento la carga de probar que no es responsable del daño.

  • En los Estados Unidos:

Transferencias internacionales de datos: El 23 de octubre, la Comisión Europea publicó las conclusiones de la tercera revisión anual del «Escudo de Privacidad», que regula la transferencia de datos a Estados Unidos de las empresas que se han adherido al mismo.

El informe confirma que el sistema sigue ofreciendo un nivel de protección adecuado.

Se destacan las mejoras realizadas en la implementación del "Escudo" y se mencionan las debilidades restantes, incluido el tiempo requerido para obtener la (re)certificación y la verificación de afirmaciones de certificación falsas realizadas por algunas empresas.

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES