Seguridad de la Información

Datos expuestos por error: sanción por una grave negligencia en la gestión de información personal

por

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 35.000€ a ALVEA Soluciones Tecnológicas, S.L. por una infracción grave del artículo 5.1.f) del RGPD, relacionada con la falta de medidas adecuadas para garantizar la seguridad y confidencialidad de los datos personales.


Todo comenzó con una reclamación presentada en octubre de 2024, en la que se alegaba que la empresa enviaba correos a candidatos incluyendo un formulario de Google para recabar sus datos personales (nombre, apellidos, DNI) y, junto a él, un enlace a una hoja de cálculo con los datos de más de 10.000 personas, accesible para cualquiera que lo tuviera. La información no estaba protegida, lo que supone una vulneración clara del principio de confidencialidad.


La empresa admitió que el error se produjo cuando un técnico de selección, recién incorporado, añadió por accidente un enlace interno no controlado. Si bien la empresa tomó medidas correctivas tras recibir el requerimiento de la AEPD—restringió el acceso al enlace, actualizó procedimientos, y mejoró el control de acceso a la información—, la Agencia consideró que estas medidas se adoptaron a posteriori, y no existían controles previos eficaces para evitar el incidente.


Por ello, la AEPD decidió imponer una multa de 35.000€, fundamentada en la vulneración del artículo 5.1.f) del RGPD, que exige tratar los datos personales con medidas técnicas y organizativas apropiadas para garantizar su seguridad, incluida la protección frente al tratamiento no autorizado. Además, la infracción se tipifica como muy grave según el artículo 83.5.a) del RGPD y el artículo 72 de la LOPDGDD.


Se tuvieron en cuenta varios factores agravantes para determinar la cuantía:


  • La gravedad del incidente, al afectar a 10.837 personas y comprometer datos especialmente sensibles como el DNI.
  • La negligencia, al no haberse previsto mecanismos que evitaran este tipo de fallos, siendo una empresa con un volumen de negocio elevado y dedicada precisamente al tratamiento de datos de terceros.
  • La falta de medidas preventivas previas, lo que evidenció una cultura de cumplimiento deficiente en el manejo de información personal.

Conclusión


Este caso demuestra que un simple error en el manejo de enlaces puede derivar en una grave infracción del RGPD. La protección de datos exige medidas preventivas reales, no solo reacciones a posteriori. Con esta sanción, la AEPD refuerza la importancia de garantizar la confidencialidad desde el diseño.


Como siempre, cuidad los datos y ¡cuidaos!


Para consultar la resolución, haga clic aquí.

IA y Privacidad: el futuro ya está aquí

por

La semana pasada, el equipo de Tecnolawyer tuvo el privilegio de asistir al XI Congreso Internacional de Privacidad organizado por la Asociación Profesional Española de Privacidad (APEP) en A Coruña. Este evento, considerado el más relevante del sector en España, reunió a más de 250 profesionales para debatir sobre los desafíos emergentes en privacidad, con un foco especial en el impacto de la inteligencia artificial (IA) en la protección de datos y la gobernanza digital.


IA y privacidad: un debate entre innovación y derechos fundamentales


Uno de los ejes centrales del Congreso fue la tensión entre la necesidad de innovación tecnológica y la protección de los derechos fundamentales. Miguel Valle del Olmo, representante de España en la Unión Europea, abogó por un equilibrio entre ambos aspectos, destacando que la regulación no debe ser vista como un obstáculo, sino como un marco que garantice la competitividad sin sacrificar la privacidad ciudadana .


Por otro lado, Leonardo Cervera, secretario general del Supervisor Europeo de Protección de Datos, defendió firmemente el enfoque normativo europeo frente a desafíos tecnológicos que amenazan la dignidad humana, subrayando que la innovación debe mejorar los derechos fundamentales .


El papel esencial de los profesionales de la privacidad


Marcos Judel, presidente de APEP, enfatizó la importancia de los expertos en privacidad en la implementación responsable de la IA, señalando que «en el viaje hacia la implantación responsable de la inteligencia artificial es fundamental reconocer el papel de los expertos en privacidad».


Durante el Congreso, se abordaron temas como la necesidad de un marco jurídico claro y uniforme, evitando solapamientos entre organismos reguladores como la AEPD y la AESIA, y se discutió sobre la importancia de evitar posibles «dobles sanciones» o «dobles inspecciones en el tratamiento de datos con inteligencia artificial.


Relevancia para las pymes españolas


Para las pequeñas y medianas empresas (pymes) en España, estos debates son especialmente pertinentes. La implementación de sistemas de IA debe ir acompañada de una comprensión profunda de las normativas de privacidad para evitar sanciones y proteger la reputación empresarial. La figura del Delegado de Protección de Datos (DPO) se vuelve fundamental en este contexto, actuando como puente entre la innovación tecnológica y el cumplimiento normativo.


Compromiso Tecnolawyer


Desde Tecnolawyer, reafirmamos nuestro compromiso con la privacidad, la seguridad de la información y el derecho laboral digital. Nuestra participación en el Congreso APEP 2025 nos ha proporcionado valiosas perspectivas que aplicaremos en nuestro asesoramiento a pymes, ayudándolas a navegar por el complejo panorama de la IA y la protección de datos.

¿Sigues enviando Excels con datos personales por email? Esto es lo que deberías saber (y evitar)

por

Dos resoluciones recientes de la Agencia Española de Protección de Datos (AEPD) han puesto en evidencia algo que muchas empresas —incluidas farmacias— aún no han entendido del todo: los datos personales no pueden circular por correo electrónico sin protección.


Los casos sancionados afectan a farmacias que, en su operativa diaria, intercambiaban correos electrónicos con listados de residentes de centros geriátricos, incluyendo nombre, apellidos, tipo de absorbente (pañales) y otra información sensible, sin ninguna clase de cifrado. Los archivos iban en Excel, abiertos y sin contraseña. En algunos casos, incluso se compartían usuarios y contraseñas para acceder a plataformas que contienen información sanitaria.


¿Por qué esto es grave?


Este hecho vulnera el art. 32 del Reglamento General de Protección de Datos (RGPD), el cual obliga a aplicar medidas técnicas adecuadas para garantizar la seguridad de los datos personales. No hablamos de un capricho burocrático: los datos de salud se protegen especialmente debido a su sensibilidad y su uso indebido puede tener consecuencias personales y sociales muy graves.


¿Y qué dijo la AEPD?


En ambas resoluciones (EXP202414366 y EXP202414356), la AEPD dejó claro que el uso de medios electrónicos no seguros para transmitir datos personales constituye una infracción. Si bien las farmacias intentaron escudarse en que no eran responsables del tratamiento, los hechos demostraron lo contrario, dado que accedían a los datos, los consultaban, los usaban y los almacenaban.


La AEPD indicó que ambas farmacias realizaban esta actividad en su condición de responsables del tratamiento, dado que eran las que determinaban los fines y medios de dicha actividad. Todo ello sin los contratos adecuados, sin una Evaluación de Impacto de Protección de Datos (EIPD) válida y, lo más llamativo, sin cifrado en los correos.


¿Qué implica cifrar un correo electrónico?


Significa que el contenido del mensaje (y los archivos adjuntos) solo pueden ser leídos por el destinatario previsto. Si alguien intercepta el email, verá un galimatías. Esto se puede hacer fácilmente con herramientas como archivos comprimidos con contraseña (ej. ZIP con contraseña fuerte) o servicios de correo seguro.


Conclusión


  • Si manejas datos personales —más aún si son de salud— el cifrado ya no es opcional, es obligatorio.
  • Enviar un Excel con nombres y datos médicos sin cifrar es lo mismo que enviar la ficha clínica de una persona por una postal abierta. No es aceptable, ni legal.
  • Si crees que «esto no me aplica porque yo solo sigo instrucciones», recuerda: si accedes y usas los datos, eres corresponsable.

Proteger la privacidad no es solo cumplir una norma, es respetar la dignidad de las personas. Y eso empieza por tomar en serio la seguridad, incluso (y sobre todo) en algo tan cotidiano como un email.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer las resoluciones, haga clic aquí y aquí.

DNI por WhatsApp: Pedir la foto del DNI acaba en multa

por

El 5 de febrero de 2025, la AEPD impuso una sanción de 2.000€ a un alojamiento turístico por solicitar el envío del DNI por WhatsApp.

Hechos

La Agencia Española de Protección de Datos (AEPD) ha resuelto un procedimiento sancionador contra RESIDENTIAL QUALITY ENJOY, S.L. por exigir a sus clientes el envío de imágenes completas del DNI (incluyendo menores) a través de WhatsApp, sin informar sobre el tratamiento. La empresa alegó cumplir con el Real Decreto 933/2021 sobre registro de huéspedes. Sin embargo, la AEPD determinó que su práctica excedía los requisitos legales.

En primer lugar, la exigencia de aportar la imagen completa del DNI era desproporcionada, pues se recogía información innecesaria como el rostro, el número de expedición o los nombres de progenitores. Esto va en contra del principio que exige limitar los datos a lo «adecuado, pertinente y estrictamente necesario» (art. 5.1.c) RGPD).

Además, cabe recordar que el RD 933/2021 solamente requiere datos textuales básicos (nombre, apellidos, número de documento), no copias del documento.

Asimismo, la AEPD subrayó que, a pesar de que el alquiler turístico está sujeto a obligaciones de registro, (art. 4.3 RD 933/2021), «debe cumplirse sin necesidad de solicitar la entrega de copia o imagen del documento de identidad o escaneo del mismo, pues existen otras alternativas igualmente válidas que permiten realizar esta comprobación de forma fiable.» Es decir, verificar la identidad no equivale a almacenar copias del DNI, pues con métodos menos invasivos, como la transcripción manual de datos, se podría haber cumplido la obligación de registro perfectamente.

Por otro lado, el método de envío de la imagen del DNI solicitado era WhatsApp, por lo que surge un riesgo añadido, pues esta red social carece de cifrado y no se considera una vía segura a través de la cual enviar datos tan sensibles como los contenidos en el DNI.

Por todo lo expuesto, la AEPD decidió imponer una sanción de 2.000€ que, con el reconocimiento de responsabilidad y el pago voluntario por parte de RESIDENTIAL QUALITY ENJOY, S.L., quedó reducida a 1.200€.

Conclusión

Esta resolución recuerda a las empresas que no pueden utilizar la «seguridad» como excusa para recopilar datos excesivos, pues la imagen completa del DNI contiene información sensible irrelevante para el registro de huéspedes.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la resolución, haga clic aquí.

DNI vs RGPD: La delgada línea entre identificación legal y vulneración de datos

por

El Documento Nacional de Identidad (DNI) no está clasificado como dato de categoría especial  bajo el RGPD (no incluye información sobre salud, origen étnico u orientación sexual). Sin embargo, su tratamiento genera un debate legal y práctico por su potencial para identificar inequívocamente a una persona y su uso masivo en procesos empresariales. Por otro lado, las estafas, las suplantaciones de identidad y los perjuicios económicos derivados de las dos situaciones anteriores están a la orden del día, por lo que realmente se trata de un dato de un riesgo y relevancia vital.

La Agencia Española de Protección de Datos (AEPD) se ha pronunciado al respecto e indica que el DNI contiene datos especialmente sensibles y susceptibles de un mal uso, sobre todo con su recopilación o almacenamiento indebido, dado que un tercero que tenga acceso a estos puede suplantar la identidad del titular del DNI con total facilidad y perpetrar conductas que supongan un alto riesgo para la privacidad, el honor y el patrimonio del suplantado.

Así lo ha reflejado al sancionar con 100.000€ a una compañía por solicitar una fotocopia del DNI por correo electrónico para acreditar la identidad de una persona sin informar adecuadamente sobre el tratamiento de sus datos (artículo 13. RGPD) y sin cumplir con las medidas de seguridad adecuadas.

En este caso, la AEPD cuestiona el envío del DNI por correo electrónico, pues no lo considera una vía segura para la transmisión de unos datos tan sensibles como los que figuran en el DNI.

Por su parte, la reclamada no presentó el análisis de riesgos ni tenía implementadas medidas de seguridad adecuadas para garantizar que el envío de dicha información fuera seguro, por lo que la AEPD ha decidido sancionarla con 50.000€ por la ausencia de medidas de seguridad y otros 50.000€ por no facilitar información sobre el tratamiento.

Conclusión

La AEPD ha enviado un mensaje contundente: gestionar el DNI con negligencia no solo vulnera la privacidad, sino que abre la puerta a consecuencias legales y económicas. La próxima vez que solicites una copia del DNI, recuerda: identificar no es sinónimo de exponer.

Para leer la resolución, haga clic aquí.

Como siempre, cuidad los datos y ¡cuidaos!

Día de la Protección de Datos 2025: Protegiendo Nuestra Privacidad en la Era Digital

por

El 26 de abril de 2006, el Consejo de Europa decidió fijar el 28 de enero como el Día de la Protección de Datos, dado que fue el 28 de enero de 1981 cuando se firmó el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108), primer instrumento jurídico internacional vinculante para proteger la privacidad en la era digital.

Esta fecha nos debería recordar la importancia de salvaguardar nuestra información personal en un mundo cada vez más conectado. Este año, la conmemoración adquiere especial relevancia ante los desafíos y avances en materia de privacidad digital, en especial, en áreas como la Inteligencia Artificial y neurociencia.

Desafíos que afrontar en 2025

El 2024 ha sido un año definitivamente lleno de decisiones regulatorias y judiciales que han transformado el ámbito de la privacidad de los datos. Hemos visto sanciones a Meta, LinkedIn, Uniqlo, OpenAI, Netflix y otras empresas conocidas que muestran las consecuencias de la falta de alineación con el RGPD.

Asimismo, también hemos vivido la entrada en vigor del Reglamento de Inteligencia Artificial, la cual es la primera ley en introducir ciertas directrices en relación con el uso de estas tecnologías avanzadas.

Estos sucesos evidencian la transformación digital que estamos viviendo y la necesidad de imponer la privacidad de nuestros datos como una prioridad legal.

Este nuevo año plantea nuevos retos para las empresas, las cuales van a tener que ajustarse a normativas más estrictas en esta materia, así como establecer medidas de seguridad para protegerse de las amenazas cibernéticas.

  • Reglamento de Cibersolidaridad: aprobado el 19 de diciembre de 2024 y con efectos en febrero de 2025, prevé los mecanismos que debe disponer la UE para aumentar su resiliencia y su capacidad de reacción en caso de recibir ciberamenazas.
    Sus objetivos se centran en: apoyar la detección y la conciencia de amenazas e incidentes de ciberseguridad significativos; reforzar la solidaridad a escala de la UE, gestionar de forma concertada las crisis y la capacidad de respuesta en todos los Estados miembros; y contribuir a garantizar un entorno digital seguro y protegido para los ciudadanos y las empresas.
  • Ley de Resiliencia Cibernética (CRA, por sus siglas en inglés): aprobada el 12 de marzo de 2024 y aplicable por completo a partir del 11 de diciembre de 2027, es la primera legislación que establece requisitos de ciberseguridad a los productos digitales a lo largo de su ciclo de vida. Las empresas deben prepararse ya para cumplir con los nuevos requisitos. Entre sus especificaciones, se encuentran: requisitos de ciberseguridad obligatorios, actualizaciones continuas para corregir las vulnerabilidades, notificación obligatoria de vulnerabilidades, supervisión de mercado y transparencia para los consumidores.
    Esta normativa (que complementa la NIS-2) se aplica a todos los fabricantes de productos digitales, independientemente de si tienen base en la UE o fuera de ella, siempre que ofrezcan productos en el mercado europeo; afecta a fabricantes de hardware, desarrolladores de software, distribuidores e importadores.
  • Directiva NIS-2: Entró en vigor el 16 de enero de 2023 y aplicable desde finales de 2024, se espera establecer la lista de entidades esenciales e importantes como máximo hasta el 17 de abril de 2025. Esta norma revisa y amplía la Directiva NIS-1 de 2016, dado que esta ha quedado obsoleta en el contexto actual en el que los incidentes de ciberseguridad han ido in crescendo.
    Establece obligaciones en materia de ciberseguridad para impulsar un nivel de ciberseguridad adecuado y común y busca proteger la infraestructura digital en los Estados miembros y armonizar los requisitos de ciberseguridad a nivel europeo. Sus ámbitos de intervención son los siguientes: exigencia de altos niveles de seguridad a los Estados miembros, creación de un Grupo de Cooperación entre Estados miembros, obligaciones de ciberseguridad a empresas públicas y privadas en sectores «esenciales» e «importantes».
    En España, se ha aprobado recientemente el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, la cual traspone al ordenamiento jurídico español la Directiva NIS-2. Este anteproyecto diseña la Estrategia Nacional de Ciberseguridad y crea el Centro Nacional de Ciberseguridad, que se encargará de la gestión de las crisis de ciberseguridad.
  • Reglamento DORA (Digital Operational Resilience Act): entró en vigor el 16 de enero de 2023 pero se estableció un periodo de dos años para desplegar sus efectos por completo. Se aplica a todas las entidades financieras de la UE y busca crear un marco jurídico común para la gestión de los riesgos digitales en el sector financiero.
    Debido al aumento global de ataques cibernéticos, quiere lograrse la ciberresiliencia en las entidades financieras para garantizar la estabilidad financiera en el continente, por lo que sus objetivos se centran en: gestión de riesgos en los sistemas, clasificación y notificación de incidentes en ciberseguridad, pruebas de resiliencia operativa digital, normativa para el intercambio de información segura, entre otros.  
  • Reglamento de Datos de la UE: entró en vigor el 11 de enero de 2024 pero será aplicable a partir del 12 de septiembre de 2025. Deriva de la necesidad que despierta el auge del Internet de las Cosas (IoT) y complementa el Reglamento de Gobernanza de Datos. Con esta ley, los precios de los servicios posventa y la reparación de los dispositivos inteligentes serán más bajos; habrá nuevas oportunidades para utilizar servicios basados en el acceso a los datos; y se establecerá un mejor acceso a los datos recogidos o producidos por un dispositivo.

  • Reglamento de Inteligencia Artificial: entró en vigor el 1 de agosto de 2024 y es la primera norma del mundo que regula la Inteligencia Artificial. Despliega efectos por completo el 2 de agosto de 2026; no obstante, algunas disposiciones serán aplicables a partir de 2025. Por ello, las empresas deben prepararse para ajustarse a la normativa cuanto antes.
    Esta norma prohíbe ciertas aplicaciones de IA que afectan los derechos fundamentales como los sistemas de categorización biométrica, reconocimiento facial, de emociones
    Además, establece obligaciones para promover la alfabetización en IA, requisitos de gestión de riesgos y transparencia y estructuras de gobernanza.

Cómo proteger tus datos

En honor al día de hoy, te recomendamos lo siguiente para poder proteger tus datos:

  1. Utiliza contraseñas robustas y autenticación de dos factores.
  2. Mantén tus dispositivos y software actualizados.
  3. Evita compartir información sensible en redes públicas.
  4. Sé cauteloso con los permisos que otorgas a las aplicaciones.
  5. Realiza copias de seguridad de forma regular.

Para las empresas

Las organizaciones deben:

  • Implementar políticas de protección de datos sólidas.
  • Formar a sus empleados en materia de privacidad y seguridad. Invertir en formación en este ámbito puede prevenir de brechas de seguridad o errores humanos.
  • Designar un Delegado de Protección de Datos cuando sea necesario.
  • Realizar auditorías periódicas de cumplimiento.

Recordemos que la protección de datos no es solo una obligación legal, sino una responsabilidad compartida que nos beneficia a todos. Este Día de la Protección de Datos tomemos conciencia y actuemos para salvaguardar nuestra privacidad en el mundo digital.

Como siempre, cuidad los datos y ¡cuidaos!

Ley de Servicios Digitales (DSA) y marketing digital

por

La conocida como Ley de Servicios Digitales (DSA) de la Unión Europea (Reglamento UE), en vigor desde febrero de 2024, marca un antes y un después en el panorama del marketing digital. Esta normativa, diseñada para crear un entorno en línea más seguro y transparente, trae consigo cambios significativos que afectan directamente a las estrategias de marketing de empresas de todos los tamaños. En este artículo, exploraremos cómo la DSA está transformando el marketing digital y qué pueden hacer las empresas para adaptarse a este nuevo escenario.

Principales cambios introducidos por la DSA

Mayor transparencia en la publicidad

La DSA exige una mayor transparencia en la publicidad online. Esto implica:

  • Identificación clara de los anuncios y quién los patrocina
  • Explicación de por qué un usuario está viendo un anuncio específico
  • Prohibición de publicidad dirigida basada en datos sensibles

Estos cambios obligan a las empresas a repensar sus estrategias de segmentación y a ser más transparentes en sus prácticas publicitarias.

Restricciones en la publicidad dirigida a menores

Una de las medidas más significativas es la prohibición de la publicidad dirigida a menores basada en perfiles. Esto supone:

  • Necesidad de desarrollar estrategias de marketing alternativas para llegar al público joven
  • Mayor énfasis en el marketing de contenidos y la publicidad contextual

Control del usuario sobre las recomendaciones

La ley otorga a los usuarios más control sobre cómo se les muestran recomendaciones:

  • Opción de no recibir recomendaciones basadas en perfiles
  • Mayor transparencia sobre cómo funcionan los sistemas de recomendación

Esto implica que las empresas deberán adaptar sus estrategias de personalización y encontrar nuevas formas de ofrecer contenido relevante.

Adaptación de las estrategias de marketing

Enfoque en datos propios (first-party data)

Con las restricciones en el uso de datos de terceros, las empresas deben:

  • Fortalecer sus estrategias de recopilación de datos propios
  • Mejorar la calidad y el análisis de los datos recopilados directamente de los usuarios
  • Implementar sistemas robustos de gestión de consentimiento

Auge del marketing contextual

El marketing contextual gana relevancia como alternativa a la publicidad basada en perfiles:

  • Desarrollo de estrategias publicitarias basadas en el contexto del contenido
  • Mayor énfasis en la relevancia y calidad del contenido publicitario

Innovación en la medición y atribución

Las empresas necesitarán:

  • Desarrollar nuevos métodos de medición de la eficacia publicitaria
  • Implementar modelos de atribución alternativos que no dependan de cookies de terceros

Oportunidades emergentes

A pesar de los desafíos, la DSA también presenta oportunidades:

  • Mejora de la confianza del consumidor a través de prácticas más transparentes
  • Impulso a la innovación en tecnologías de marketing respetuosas con la privacidad
  • Posibilidad de destacar frente a la competencia mediante prácticas éticas y transparentes

Conclusión

La Ley de Servicios Digitales representa un cambio de paradigma en el marketing digital. Aunque plantea desafíos significativos, también ofrece la oportunidad de construir relaciones más sólidas y confiables con los consumidores. Las empresas que se adapten rápidamente a este nuevo entorno, priorizando la transparencia, la ética y la innovación, estarán mejor posicionadas para tener éxito en la era post-DSA.

¿Está tu estrategia de marketing preparada para la era DSA? No esperes más para adaptar tus prácticas y asegurar el cumplimiento normativo. Contacta con nuestro equipo de expertos en derecho digital para una evaluación personalizada y descubre cómo podemos ayudarte a navegar este nuevo panorama legal manteniendo la efectividad de tus campañas.

¿Qué medidas de seguridad deben implementar las empresas en relación a la protección de datos en España?

por

Las empresas en España deben implementar diversas medidas de seguridad para cumplir con la normativa de protección de datos y garantizar la privacidad de los datos personales.

Repasemos las medidas principales:

Implementación de políticas y normativas de seguridad informática: Es fundamental para proteger los activos digitales y establecer los procedimientos necesarios para prevenir y mitigar los riesgos cibernéticos.

Concienciación y formación en ciberseguridad: La concienciación y formación son aspectos cruciales para promover una cultura de seguridad en las organizaciones.

Educación y concienciación constante: Es crucial promover la educación en ciberseguridad desde el inicio y fomentar la concienciación continua en todos los niveles, no solo a los directivos sino también a los empleados de las organizaciones.

Colaboración público-privada: La cooperación entre el sector público y privado es esencial para hacer frente a los desafíos de seguridad digital, compartiendo información, buenas prácticas y recursos para fortalecer la protección.

Adaptación a las nuevas amenazas: Las organizaciones deben estar preparadas para hacer frente a las nuevas y sofisticadas formas de ciberataques, actualizando constantemente sus sistemas de seguridad y adoptando medidas preventivas más sólidas.

Rol de la inteligencia artificial y otras tecnologías emergentes en la protección de datos: La inteligencia artificial (IA) y otras tecnologías emergentes están desempeñando un papel cada vez más importante en la protección de datos. Hay que ser capaz de aprovechar su potencial. Formarse es una obligación.

Identificación de riesgos y análisis de brechas de seguridad: La identificación de riesgos y el análisis de brechas de seguridad son procesos fundamentales en el marco de la normativa de Protección de Datos, tanto para garantizar la ciberseguridad como para cumplir con los requisitos de privacidad.

Notificación de brechas de seguridad: Recordemos que se debe notificar cualquier brecha de seguridad a la AEPD en un plazo máximo de 72 horas.

Medidas técnicas y organizativas: Implementar medidas de ciberseguridad como el uso de software de protección, el cifrado de datos o las políticas adecuadas de autenticación resultan indispensables para el cumplimiento de la Ley.

Políticas de seguridad y formación en ciberseguridad: La definición de políticas de seguridad y la formación en ciberseguridad del personal de forma proactiva son medidas organizativas previstas por la Ley de Protección de Datos.

Responsable de protección de datos: Las empresas con un gran volumen de datos —más de 50.000 registros— y aquellas de cualquier tamaño que manejen información como los centros docentes, los sanitarios y las empresas de marketing, han de contar con un responsable de protección de datos.

Certificado ISO 27001: La certificación ISO 27001 es una garantía para la seguridad de los datos personales.

Implementación de sistemas de auditoría y monitorización: La implementación de sistemas de auditoría y monitorización capaces de realizar un seguimiento de las actividades relacionadas con el tratamiento de datos es una medida de ciberseguridad prevista por la Ley de Protección de Datos.4

DPD (Delegado de Protección de Datos): El DPD es un profesional que se encarga de garantizar el cumplimiento de la normativa de protección de datos en las empresas.

Esquema Nacional de Seguridad: El Esquema Nacional de Seguridad es un instrumento clave para reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público y las entidades colaboradoras.

Estas medidas de seguridad están diseñadas para proteger los datos personales y garantizar la privacidad de los ciudadanos, cumpliendo con la normativa de protección de datos en España y la normativa europea.

No bajemos la guardia. Los datos personales no pueden estar en riesgo. Nos jugamos mucho como empresa y como personas.

Y como siempre, ¡cuidaos!

¿Una idea muy tonta? No, directamente estúpida y poco ejemplar

por

Pues sí, tal y como ha reconocido en la revista Rolling Stone, el CEO de HBO confesó haber troleado a los críticos con tuits falsos tras publicarse un informe de la revista. Casey Bloys explicó que durante la pandemia pasó una «cantidad de tiempo poco saludable» en Twitter cuando habló de utilizar un «ejército secreto» para responder a los críticos. Y ya dijo que se le había ocurrido «una idea muy tonta para aplacar su frustración».

En resumen, una conducta, como mínimo, poco ejemplar, justificada con excusas inaceptables. Los hechos ocurrieron entre 2020 y 2021 cuando era presidente de programación y responsable de contenidos de la compañía. Ahora es el máximo responsable.

Hechos como estos ponen de manifiesto la importancia de la formación y de la comunicación para fomentar la cultura de cumplimiento en las organizaciones. Formación y Comunicación son piedras angulares para hacerlo.

Y sí, hablamos de protección de datos, pero también de más cosas. Esta cultura debe llegar a todos los rincones de las empresas, y de la Administración, y a todas las personas que están involucradas en ella. Y debe llevar a todas partes la ética y el cumplimiento en general.

Hacemos un repaso breve a los principales aspectos claves a tener en cuenta.

  1. Conciencia sobre la importancia de la protección de datos.
    La formación continua asegura que todos los empleados, desde la alta dirección hasta el personal operativo, entiendan la importancia crítica de proteger los datos personales y la información confidencial. Al estar informados sobre los riesgos y las consecuencias de una brecha de datos, los empleados pueden reconocer la relevancia de su comportamiento diario en la salvaguarda de la información.

  2. Comprensión de la legislación y normativas.
    Las leyes de protección de datos, como el RGPD en Europa, la CCPA en California y otras legislaciones similares en todo el mundo, son complejas y sujetas a cambios. La formación ayuda a mantener al personal actualizado sobre sus responsabilidades legales y sobre cómo la legislación afecta a sus roles específicos.

  3. Implementación de mejores prácticas.
    La capacitación proporciona a los empleados el conocimiento de las mejores prácticas en el manejo de datos, incluyendo la identificación de información sensible, el uso correcto de sistemas de TI y la aplicación de protocolos de seguridad. Esto reduce la posibilidad de errores humanos, que son una de las causas más comunes de las brechas de datos.

  4. Gestión de riesgos.
    La formación puede ayudar a los empleados a identificar y evaluar los riesgos relacionados con la protección de datos en las actividades cotidianas, así como a aplicar las medidas de mitigación adecuadas.

  5. Respuesta a incidentes.
    La comunicación efectiva asegura que, en caso de una violación de datos, todos los miembros de la organización sepan exactamente cómo se puede reaccionar, quién debe ser notificado y qué pasos deben seguir para contener y resolver la situación.

  6. Refuerzo del compromiso ético.
    Una cultura de cumplimiento también es una cuestión de ética empresarial. La formación ayuda a internalizar el valor de la privacidad y el respeto por la información personal, más allá del mero cumplimiento legal.

  7. Transparencia con las partes interesadas.
    La comunicación eficaz no solo es importante internamente sino también hacia fuera. Es vital que los clientes, socios y reguladores perciban la seriedad con la que una organización trata la protección de datos, lo que puede mejorar la reputación y la confianza en la marca.

  8. Adaptación a la evolución tecnológica.
    La tecnología y las amenazas de seguridad evolucionan rápidamente. La formación continua asegura que los empleados estén al día con los desarrollos tecnológicos y las amenazas emergentes.

  9. Fomento de una cultura de informes.
    Los empleados deben sentirse cómodos informando posibles problemas o brechas sin miedo a represalias. Una comunicación abierta y transparente fomenta una atmósfera donde los empleados se sienten seguros al reportar incidentes o conductas sospechosas (más allá del Canal de Denuncias).

  10. Mejora continua.
    La formación y comunicación son procesos continuos que ayudan a las organizaciones a adaptarse y mejorar sus prácticas de protección de datos de forma constante y alineada con los cambios en el entorno regulatorio y tecnológico.

Para que una cultura de cumplimiento sea efectiva y sostenible, es esencial que la formación y la comunicación sean vistas como inversiones continuas y no como requisito de una sola vez. Esto demuestra el compromiso de la organización con la protección de datos y refuerza la importancia de cada individuo en el proceso de proteger la información confidencial y de su compromiso con una conducta ética.

Como siempre, hagamos las cosas bien y ¡cuidaos!

Revisión Textos Legales Web