Seguridad de la Información

7.1. Fundamentos y estándares de Seguridad de la Información.
7.2. El binomio seguridad de la información como obligación legal y seguridad de la información como buenas prácticas.
7.3. Visión práctica de la auditoría de sistemas de información. El perfil profesional de auditor de sistemas de información.
7.4. Sistemas de Gestión de la Seguridad de la Información (SGSI): ISO 27001: 2013.
7.5. Auditoría y perfil jurídico: métodos de trabajo de auditoría de seguridad aplicada a las obligaciones legales de auditar sistemas de información.

Dades exposades per error: sanció per una greu negligència en la gestió d’informació personal

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha imposat una sanció de 35.000€ a ALVEA Soluciones Tecnológicas, S.L. per una infracció greu de l’article 5.1.f) del RGPD, relacionada amb la falta de mesures adequades per a garantir la seguretat i confidencialitat de les dades personals.

Tot va començar amb una reclamació presentada a l’octubre de 2024, en la qual s’al·legava que l’empresa enviava correus a candidats incloent un formulari de Google per a recaptar les seves dades personals (nom, cognoms, DNI) i, a més a més, un enllaç a un full de càlcul amb les dades de més de 10.000 persones, accessible per a qualsevol que el tingués. La informació no estava protegida, la qual cosa suposa una vulneració clara del principi de confidencialitat.

L’empresa va admetre que l’error es va produir quan un tècnic de selecció, acabat d’incorporar, va afegir per accident un enllaç intern no controlat. Si bé l’empresa va prendre mesures correctives després de rebre el requeriment de l’AEPD—va restringir l’accés a l’enllaç, va actualitzar procediments, i va millorar el control d’accés a la informació—, l’Agència va considerar que aquestes mesures es van adoptar a posteriori, i no existien controls previs eficaços per a evitar l’incident.

Per això, l’AEPD va decidir imposar una multa de 35.000€, fonamentada en la vulneració de l’article 5.1.f) del RGPD, que exigeix tractar les dades personals amb mesures tècniques i organitzatives apropiades per a garantir la seva seguretat, inclosa la protecció enfront del tractament no autoritzat. A més, la infracció es tipifica com molt greu segons l’article 83.5.a) del RGPD i l’article 72 de la LOPDGDD.

Es van tenir en compte diversos factors agreujants per a determinar la quantia:

  • La gravetat de l’incident, en afectar 10.837 persones i comprometre dades especialment sensibles com el DNI.
  • La negligència, al no haver-se previst mecanismes que evitessin aquest tipus d’errors, sent una empresa amb un volum de negoci elevat i dedicada precisament al tractament de dades de tercers.
  • La falta de mesures preventives prèvies, la qual cosa va evidenciar una cultura de compliment deficient en el maneig d’informació personal.

Conclusió

Aquest cas demostra que un simple error en el maneig d’enllaços pot derivar en una greu infracció del RGPD. La protecció de dades exigeix mesures preventives reals, no sols reaccions a posteriori. Amb aquesta sanció, l’AEPD reforça la importància de garantir la confidencialitat des del disseny.

Com sempre, cuideu les dades i cuideu-vos!

Per consultar la resolució, feu clic aquí.

IA i privacitat: el futur ja és aquí

per

La setmana passada, l’equip de Tecnolawyer va tenir el privilegi d’assistir a l’XI Congrés Internacional de Privacitat organitzat per l’Associació Professional Espanyola de Privacitat (APEP) a la Corunya. Aquest esdeveniment, considerat el més rellevant del sector a Espanya, va reunir més de 250 professionals per debatre els nous reptes en matèria de privacitat, amb un enfocament especial en l’impacte de la intel·ligència artificial (IA) en la protecció de dades i la governança digital.

IA i privacitat: un debat entre innovació i drets fonamentals

Un dels eixos centrals del Congrés va ser la tensió entre la necessitat d’innovació tecnològica i la protecció dels drets fonamentals. Miguel Valle del Olmo, representant d’Espanya a la Unió Europea, va defensar un equilibri entre aquests dos aspectes, destacant que la regulació no ha de ser vista com un obstacle, sinó com un marc que garanteixi la competitivitat sense sacrificar la privacitat ciutadana.

D’altra banda, Leonardo Cervera, secretari general del Supervisor Europeu de Protecció de Dades, va defensar fermament l’enfocament normatiu europeu davant els desafiaments tecnològics que amenacen la dignitat humana, subratllant que la innovació ha de servir per millorar els drets fonamentals.

El paper essencial dels professionals de la privacitat

Marcos Judel, president d’APEP, va posar en valor la tasca dels experts en privacitat en la implantació responsable de la IA, afirmant que “en el viatge cap a la implantació responsable de la intel·ligència artificial és fonamental reconèixer el paper dels experts en privacitat”.

Durant el Congrés es van tractar temes com la necessitat d’un marc jurídic clar i uniforme, evitant solapaments entre organismes reguladors com l’AEPD i l’AESIA, i es va debatre sobre la importància d’evitar possibles “dobles sancions” o “dobles inspeccions” en el tractament de dades amb IA.

Rellevància per a les pimes espanyoles

Per a les petites i mitjanes empreses (pimes) d’Espanya, aquests debats són especialment rellevants. La implantació de sistemes d’IA ha d’anar acompanyada d’una comprensió profunda de les normatives de privacitat per evitar sancions i protegir la reputació corporativa. La figura del Delegat de Protecció de Dades (DPD) esdevé clau en aquest context, actuant com a pont entre la innovació tecnològica i el compliment normatiu.

Compromís Tecnolawyer

Des de Tecnolawyer, reafirmem el nostre compromís amb la privacitat, la seguretat de la informació i el dret laboral digital. La nostra participació al Congrés APEP 2025 ens ha proporcionat una visió valuosa que aplicarem a la nostra tasca d’assessorament a pimes, ajudant-les a navegar pel complex panorama de la IA i la protecció de dades.

 

Continues enviant Excels amb dades personals per email? Això és el que hauries de saber (i evitar)

per

Dues resolucions recents de l’Agència Espanyola de Protecció de Dades (AEPD) han posat en evidència un fet que moltes empreses —incloses farmàcies— encara no han entès del tot: les dades personals no poden circular per correu electrònic sense protecció.

Els casos sancionats afecten farmàcies que, en la seva operativa diària, intercanviaven correus electrònics amb llistats de residents de centres geriàtrics, incloent-hi nom, cognoms, tipus d’absorbent (bolquers) i una altra informació sensible, sense cap tipus de xifratge. Els arxius anaven en Excel, oberts i sense contrasenya. En alguns casos, fins i tot es compartien usuaris i contrasenyes per a accedir a plataformes que contenen informació sanitària.

Per què això és greu?

Aquest fet vulnera l’art. 32 del Reglament General de Protecció de Dades (RGPD), el qual obliga a aplicar mesures tècniques adequades per a garantir la seguretat de les dades personals. No parlem d’un capritx burocràtic: les dades de salut es protegeixen especialment a causa de la seva sensibilitat i el seu ús indegut pot tenir conseqüències personals i socials molt greus.

I què va dir l’AEPD?

En totes dues resolucions (EXP202414366 i EXP202414356), l’AEPD va deixar clar que l’ús de mitjans electrònics no segurs per a transmetre dades personals constitueix una infracció. Si bé les farmàcies van intentar escudar-se en què no eren responsables del tractament, els fets van demostrar el contrari, atès que accedien a les dades, les consultaven, les usaven i les emmagatzemaven.

L’AEPD va indicar que totes dues farmàcies realitzaven aquesta activitat en la seva condició de responsables del tractament, atès que eren les que determinaven els fins i mitjans d’aquesta activitat. Tot això sense els contractes adequats, sense una Avaluació d’Impacte de Protecció de Dades (AIPD) vàlida i, el més destacable, sense xifratge en els correus.

Què implica xifrar un correu electrònic?

Significa que el contingut del missatge (i els arxius adjunts) només poden ser llegits pel destinatari previst. Si algú intercepta l’email, veurà un galimaties. Això es pot fer fàcilment amb eines com a arxius comprimits amb contrasenya (ex. ZIP amb contrasenya forta) o serveis de correu segur.

Conclusió

  • Si tractes dades personals—sobretot si són de salut—el xifratge ja no és opcional, és obligatori.
  • Enviar un Excel amb noms i dades mèdiques sense xifrar és el mateix que enviar la fitxa clínica d’una persona per una postal oberta. No és acceptable, ni legal.
  • Si creus que «això no m’aplica perquè jo només segueixo instruccions», recorda: si accedeixes i uses les dades, ets corresponsable.

Protegir la privacitat no és només complir una norma, és respectar la dignitat de les persones. I això comença per prendre de debò la seguretat, fins i tot (i sobretot) en una cosa tan quotidiana com un email.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir les resolucions, fes clic aquí y aquí.

DNI per WhatsApp: Demanar la foto del DNI acaba en multa

per

El 5 de febrer de 2025, l’AEPD va imposar una sanció de 2.000€ a un allotjament turístic per sol·licitar l’enviament del DNI per WhatsApp

Fets

L’Agència Espanyola de Protecció de Dades (AEPD) ha resolt un procediment sancionador contra RESIDENTIAL QUALITY ENJOY, S.L. per exigir als seus clients l’enviament d’imatges completes del DNI (incloent menors) a través de WhatsApp, sense informar sobre el tractament. L’empresa va al·legar complir amb el Reial decret 933/2021 sobre registre d’hostes. No obstant això, l’AEPD va determinar que la seva pràctica excedia els requisits legals.

En primer lloc, l’exigència d’aportar la imatge completa del DNI era desproporcionada, perquè es recollia informació innecessària com el rostre, el número d’expedició o els noms de progenitors. Això va en contra del principi que exigeix limitar les dades al «adequat,pertinent i estrictament necessari» (art. 5.1.c) RGPD). 

A més, cal recordar que el RD 933/2021 només requereix dades textuals bàsiques (nom, cognoms, número de document), no còpies del document.

Així mateix, l’AEPD va subratllar que, tot i que el lloguer turístic està subjecte a obligacions de registre, (art. 4.3 RD 933/2021), «ha de complir-se sense necessitat de sol·licitar el lliurament de còpia o imatge del document d’identitat o escaneig d’aquest, perquè existeixen altres alternatives igualment vàlides que permeten realitzar aquesta comprovació de manera fiable.» És a dir, verificar la identitat no equival a emmagatzemar còpies del DNI, perquè amb mètodes menys invasius, com la transcripció manual de dades, es podria haver complert l’obligació de registre perfectament.

D’altra banda, el mètode d’enviament de la imatge del DNI sol·licitat era WhatsApp, per la qual cosa sorgeix un risc afegit, perquè aquesta xarxa social manca de xifratge i no es considera una via segura a través de la qual enviar dades tan sensibles com els continguts en el DNI.

Per tot l’exposat, l’AEPD va decidir imposar una sanció de 2.000€ que, amb el reconeixement de responsabilitat i el pagament voluntari per part de RESIDENTIAL QUALITY ENJOY, S.L., va quedar reduïda a 1.200€.

Conclusió

Aquesta resolució recorda a les empreses que no poden utilitzar la «seguretat» com a excusa per a recopilar dades excessives, perquè la imatge completa del DNI conté informació sensible irrellevant per al registre d’hostes.

Com sempre, cuideu les dades i cuideu-vos! 

Per llegir la resolució, fes clic aquí.

DNI vs RGPD: La prima línia entre identificació legal i vulneració de dades

per

El Document Nacional d’Identitat (DNI) no està classificat com a dada de categoria especial sota el RGPD (no inclou informació sobre salut, origen ètnic o orientació sexual). No obstant això, el seu tractament genera un debat legal i pràctic pel seu potencial per identificar inequívocament una persona i el seu ús massiu en processos empresarials. D’ altra banda, les estafes, les suplantacions d’ identitat i els perjudicis econòmics derivats de les dues situacions anteriors estan a l’ ordre del dia, per la qual cosa realment es tracta d’ una dada d’ un risc i rellevància vital.

L‘Agència Espanyola de Protecció de Dades (AEPD) s’ha pronunciat al respecte i indica que el DNI conté dades especialment sensibles i susceptibles d’un mal ús, sobretot amb la seva recopilació o emmagatzematge indegut, atès que un tercer que tingui accés a aquests pot suplantar la identitat del titular del DNI amb total facilitat i perpetrar conductes que suposin un alt risc per a la privacitat,  l’ honor i el patrimoni del suplantat.

Així ho ha reflectit en sancionar amb 100.000€ una companyia per sol·licitar una fotocòpia del DNI per correu electrònic per acreditar la identitat d’una persona sense informar adequadament sobre el tractament de les seves dades (article 13. RGPD) i sense complir amb les mesures de seguretat adequades.

En aquest cas, l’AEPD qüestiona l’enviament del DNI per correu electrònic, ja que no ho considera una via segura per a la transmissió d’unes dades tan sensibles com les que figuren en el DNI.

Per la seva banda, la reclamada no va presentar l’anàlisi de riscos ni tenia implementades mesures de seguretat adequades per garantir que l’enviament d’aquesta informació fos segur, per la qual cosa l’AEPD ha decidit sancionar-la amb 50.000€ per l’absència de mesures de seguretat i altres 50.000€ per no facilitar informació sobre el tractament.

Conclusió

L’AEPD ha enviat un missatge contundent: gestionar el DNI amb negligència no només vulnera la privacitat, sinó que obre la porta a conseqüències legals i econòmiques. La pròxima vegada que sol·licites una còpia del DNI, recorda: identificar no és sinònim d’exposar.

Per llegir la resolució, feu clic aquí.

Com sempre, cuida les dades i ¡cuideu-vos!

Dia de la Protecció de Dades 2025: Protegint La nostra Privacitat a l’Era Digital

per

El 26 d’abril de 2006, el Consell d’Europa va decidir fixar el 28 de gener com el Dia de la Protecció de Dades, atès que va ser el 28 de gener de 1981 quan es va signar el Conveni per a la protecció de les persones pel que fa al tractament automatitzat de dades de caràcter personal (Conveni 108),  primer instrument jurídic internacional vinculant per protegir la privacitat en l’era digital.

Aquesta data ens hauria de recordar la importància de salvaguardar la nostra informació personal en un món cada vegada més connectat. Enguany, la commemoració adquireix especial rellevància davant els desafiaments i avenços en matèria de privacitat digital, en especial, en àrees com la Intel·ligència Artificial i neurociència.

Desafiaments que afrontar el 2025

El 2024 ha estat un any definitivament ple de decisions regulatòries i judicials que han transformat l’àmbit de la privacitat de les dades. Hem vist sancions a Meta, LinkedIn, Uniqlo, OpenAI, Netflix i altres empreses conegudes que mostren les conseqüències de la falta d’alineació amb el RGPD.

Així mateix, també hem viscut l’entrada en vigor del Reglament d’Intel·ligència Artificial, la qual és la primera llei a introduir certes directrius en relació amb l’ús d’aquestes tecnologies avançades.

Aquests successos evidencien la transformació digital que estem vivint i la necessitat d’imposar la privacitat de les nostres dades com una prioritat legal.

Aquest nou any planteja nous reptes per a les empreses, les quals s’han d’ajustar a normatives més estrictes en aquesta matèria, així com establir mesures de seguretat per protegir-se de les amenaces cibernètiques.

  • Reglament de Cibersolidaritat: aprovat el 19 de desembre de 2024 i amb efectes el febrer de 2025, preveu els mecanismes que ha de disposar la UE per augmentar la seva resiliència i la seva capacitat de reacció en cas de rebre ciberamenaces.
    Els seus objectius se centren en: donar suport a la detecció i la consciència d’amenaces i incidents de ciberseguretat significatius; reforçar la solidaritat a escala de la UE, gestionar de forma concertada les crisis i la capacitat de resposta a tots els Estats membres; i contribuir a garantir un entorn digital segur i protegit per als ciutadans i les empreses.
  • Llei de Resiliència Cibernètica (CRA, per les seves sigles en anglès): aprovada el 12 de març de 2024 i aplicable per complet a partir de l’11 de desembre de 2027, és la primera legislació que estableix requisits de ciberseguretat als productes digitals al llarg del seu cicle de vida. Les empreses s’ han de preparar ja per complir amb els nous requisits. Entre les seves especificacions, es troben: requisits de ciberseguretat obligatoris, actualitzacions contínues per corregir les vulnerabilitats, notificació obligatòria de vulnerabilitats, supervisió de mercat i transparència per als consumidors.

Aquesta normativa (que complementa la NIS-2) s’aplica a tots els fabricants de productes digitals, independentment de si tenen base a la UE o fora d’ella, sempre que ofereixin productes al mercat europeu; afecta fabricants de maquinari, desenvolupadors de programari, distribuïdors i importadors.

  • Directiva NIS-2: Va entrar en vigor el 16 de gener de 2023 i aplicable des de finals de 2024, s’espera establir la llista d’entitats essencials i importants com a màxim fins al 17 d’abril de 2025. Aquesta norma revisa i amplia la Directiva NIS-1 de 2016, atès que aquesta ha quedat obsoleta en el context actual en què els incidents de ciberseguretat han anat in crescendo.
    Estableix obligacions en matèria de ciberseguretat per impulsar un nivell de ciberseguretat adequat i comú i busca protegir la infraestructura digital als Estats membres i harmonitzar els requisits de ciberseguretat a nivell europeu. Els seus àmbits d’intervenció són els següents: exigència d ‘alts nivells de seguretat als Estats membres, creació d’un Grup de Cooperació entre Estats membres, obligacions de ciberseguretat a empreses públiques i privades en sectors «essencials» i «importants».
    A Espanya, s’ha aprovat recentment l ‘Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat, la qual transposa a l’ordenament jurídic espanyol la Directiva NIS-2. Aquest avantprojecte dissenya l ‘Estratègia Nacional de Ciberseguretat i crea el Centre Nacional de Ciberseguretat, que s’encarregarà de la gestió de les crisis de ciberseguretat.
  • Reglament DORA (Digital Operational Resilience Act): va entrar en vigor el 16 de gener de 2023 però es va establir un període de dos anys per desplegar els seus efectes per complet. S’ aplica a totes les entitats financeres de la UE i busca crear un marc jurídic comú per a la gestió dels riscos digitals en el sector financer.
    A causa de l’augment global d’atacs cibernètics, es vol aconseguir la ciberresiliència en les entitats financeres per garantir l’estabilitat financera al continent, per la qual cosa els seus objectius se centren en: gestió de riscos en els sistemes, classificació i notificació d’incidents en ciberseguretat, proves de resiliència operativa digital, normativa per a l’intercanvi d’informació segura,  entre d’ altres. 
  • Reglament de Dades de la UE: va entrar en vigor l’11 de gener de 2024 però serà aplicable a partir del 12 de setembre de 2025. Deriva de la necessitat que desperta l’auge de l’Internet de les Coses (IoT) i complementa el Reglament de Governança de Dades. Amb aquesta llei, els preus dels serveis postvenda i la reparació dels dispositius intel·ligents seran més baixos; hi haurà noves oportunitats per utilitzar serveis basats en l’accés a les dades; i s’establirà un millor accés a les dades recollides o produïdes per un dispositiu.

  • Reglament d’Intel·ligència Artificial: va entrar en vigor l’1 d’agost de 2024 i és la primera norma del món que regula la Intel·ligència Artificial. Desplega efectes per complet el 2 d’agost de 2026; no obstant això, algunes disposicions seran aplicables a partir del 2025. Per això, les empreses s’ han de preparar per ajustar-se a la normativa com més aviat millor.
    Aquesta norma prohibeix certes aplicacions d’IA que afecten els drets fonamentals com els sistemes de categorització biomètrica, reconeixement facial, d’ emocions
    A més, estableix obligacions per promoure l ‘ alfabetització en IA, requisits de gestió de riscos i transparència i estructures de governança.

Com protegir les teves dades

En honor al dia d’avui, et recomanem el següent per poder protegir les teves dades:

  • Utilitza contrasenyes robustes i autenticació de dos factors.
  • Manté els teus dispositius i programari actualitzats.
  • Evita compartir informació sensible en xarxes públiques.
  • Sé cautelós amb els permisos que atorgues a les aplicacions.
  • Realitza còpies de seguretat de forma regular.

Per a les empreses

Les organitzacions han de:

  • Implementar polítiques de protecció de dades sòlides.
  • Formar els seus empleats en matèria de privacitat i seguretat. Invertir en formació en aquest àmbit pot prevenir de bretxes de seguretat o errors humans.
  • Designar un Delegat de Protecció de Dades quan sigui necessari.
  • Realitzar auditories periòdiques de compliment.

Recordem que la protecció de dades no és només una obligació legal, sinó una responsabilitat compartida que ens beneficia a tots.
Aquest Dia de la Protecció de Dades prenguem consciència i actuem per salvaguardar la nostra privacitat en el món digital.

Com sempre, cuideu les dades i cuideu-vos!

Llei de Serveis Digitals (DSA) i marketing digital

per

La coneguda com Llei de Serveis Digitals (DSA) de la Unió Europea (Reglament UE), en vigor des de febrer de 2024, marca un abans i un després en el panorama del màrqueting digital. Aquesta normativa, dissenyada per crear un entorn en línia més segur i transparent, porta amb si canvis significatius que afecten directament les estratègies de màrqueting d’ empreses de totes les mides. En aquest article, explorarem com la DSA està transformant el màrqueting digital i què poden fer les empreses per adaptar-se a aquest nou escenari.

Principals canvis introduïts per la DSA

Més transparència en la publicitat

La DSA exigeix una major transparència en la publicitat online. Això implica:

  • Identificació clara dels anuncis i qui els patrocina
  • Explicació de per què un usuari està veient un anunci específic
  • Prohibició de publicitat dirigida basada en dades sensibles

Aquests canvis obliguen les empreses a repensar les seves estratègies de segmentació i a ser més transparents en les seves pràctiques publicitàries.

Restriccions en la publicitat adreçada a menors

Una de les mesures més significatives és la prohibició de la publicitat dirigida a menors basada en perfils. Això suposa:

  • Necessitat de desenvolupar estratègies de màrqueting alternatives per arribar al públic jove
  • Major èmfasi en el màrqueting de continguts i la publicitat contextual

Control de l’ usuari sobre les recomanacions

La llei atorga als usuaris més control sobre com se’ls mostren recomanacions:

  • Opció de no rebre recomanacions basades en perfils
  • Més transparència sobre com funcionen els sistemes de recomanació

Això implica que les empreses hauran d’ adaptar les seves estratègies de personalització i trobar noves formes d’ oferir contingut rellevant.

Adaptació de les estratègies de màrqueting

Enfocament en dades pròpies (first-party data)

Amb les restriccions en l’ ús de dades de tercers, les empreses han de:

  • Enfortir les seves estratègies de recopilació de dades pròpies
  • Millorar la qualitat i l’ anàlisi de les dades recopilades directament dels usuaris
  • Implementar sistemes robustos de gestió de consentiment

Auge del màrqueting contextual

El màrqueting contextual guanya rellevància com a alternativa a la publicitat basada en perfils:

  • Desenvolupament d’ estratègies publicitàries basades en el context del contingut
  • Major èmfasi en la rellevància i qualitat del contingut publicitari

Innovació en el mesurament i atribució

Les empreses necessitaran:

  • Desenvolupar nous mètodes de mesurament de l’ eficàcia publicitària
  • Implementar models d’atribució alternatius que no depenguin de cookies de tercers

Oportunitats emergents

Malgrat els desafiaments, la DSA també presenta oportunitats:

  • Millora de la confiança del consumidor a través de pràctiques més transparents
  • Impuls a la innovació en tecnologies de màrqueting respectuoses amb la privacitat
  • Possibilitat de destacar davant la competència mitjançant pràctiques ètiques i transparents

Conclusió

La Llei de Serveis Digitals representa un canvi de paradigma en el màrqueting digital. Tot i que planteja desafiaments significatius, també ofereix l’oportunitat de construir relacions més sòlides i confiables amb els consumidors. Les empreses que s’adaptin ràpidament a aquest nou entorn, prioritzant la transparència, l’ètica i la innovació, estaran més ben posicionades per tenir èxit en l’era post-DSA.

Està la teva estratègia de màrqueting preparada per a l’era DSA? No esperis més per adaptar les teves pràctiques i assegurar el compliment normatiu. Contacta amb el nostre equip d’experts en dret digital per a una avaluació personalitzada i descobreix com podem ajudar a navegar aquest nou panorama legal mantenint l’efectivitat de les teves campanyes.

Quines mesures de seguretat han d’implementar les empreses en relació a la protecció de dades a Espanya?

per

Les empreses a Espanya han d’implementar diverses mesures de seguretat per complir amb la normativa de protecció de dades i garantir la privacitat de les dades personals.

Repassem les mesures principals:

Implementació de polítiques i normatives de seguretat informàtica: És fonamental per protegir els actius digitals i establir els procediments necessaris per prevenir i mitigar els riscos cibernètics.

Conscienciació i formació en ciberseguretat: La conscienciació i formació són aspectes cabdals per promoure una cultura de seguretat en les organitzacions.

Educació i conscienciació constant: És crucial promoure l’educació en ciberseguretat des de l’inici i fomentar la conscienciació contínua en tots els nivells, no només als directius sinó també als empleats de les organitzacions.

Col·laboració public-privada: La cooperació entre el sector públic i privat és essencial per fer front als desafiaments de seguretat digital, compartint informació, bones pràctiques i recursos per enfortir la protecció.

Adaptació a les noves amenaces: Les organitzacions han d’estar preparades per fer front a les noves i sofisticades formes de ciberatacs, actualitzant constantment els seus sistemes de seguretat i adoptant mesures preventives més sòlides.

Rol de la intel·ligència artificial i altres tecnologies emergents en la protecció de dades: La intel·ligència artificial (IA) i altres tecnologies emergents estan desenvolupant un paper cada vegada més important en la protecció de dades. Cal ser capaç d’aprofitar el seu potencial. Formar-se és una obligació.

Identificació de riscos i anàlisis de bretxes de seguretat: La identificació de riscos i l’ anàlisi de bretxes de seguretat són processos fonamentals en el marc de la normativa de Protecció de Dades, tant per garantir la ciberseguretat com per complir amb els requisits de privacitat.

Notificació de bretxes de seguretat: Recordem que s’ha de notificar qualsevol bretxa de seguretat a l’AEPD en un termini màxim de 72 hores.

Mesures tècniques i organitzatives: Implementar mesures de ciberseguretat com l’ ús de programari de protecció, el xifrat de dades o les polítiques adequades d’ autenticació resulten indispensables per al compliment de la Llei.

Polítiques de seguretat i formació en ciberseguretat: La definició de polítiques de seguretat i la formació en ciberseguretat del personal de forma proactiva són mesures organitzatives previstes per la Llei de Protecció de Dades.

Responsable de protecció de dades: Les empreses amb un gran volum de dades —més de 50.000 registres— i aquelles de qualsevol mida que manegin informació com els centres docents, els sanitaris i les empreses de màrqueting, han de comptar amb un responsable de protecció de dades.

Certificat ISO 27001: La certificació ISO 27001 és una garantia per a la seguretat de les dades personals.

Implementació de sistemes d’ auditoria i monitoratge: La implementació de sistemes d’ auditoria i monitoratge capaços de realitzar un seguiment de les activitats relacionades amb el tractament de dades és una mesura de ciberseguretat prevista per la Llei de Protecció de Dades.4

DPD (Delegat de Protecció de Dades): El DPD és un professional que s’encarrega de garantir el compliment de la normativa de protecció de dades a les empreses.

Esquema Nacional de Seguretat: L’Esquema Nacional de Seguretat és un instrument clau per reforçar les capacitats de defensa davant les ciberamenaces sobre el sector públic i les entitats col·laboradores.

Aquestes mesures de seguretat estan dissenyades per protegir les dades personals i garantir la privacitat dels ciutadans, complint amb la normativa de protecció de dades a Espanya i la normativa europea.

No abaixem la guàrdia. Les dades personals no poden estar en risc. Ens hi juguem molt com a empresa i com a persones.

I com sempre, ¡cuideu-vos!

Una idea molt ximple? No, directament estúpida i poc exemplar

per

Doncs sí, tal com ha reconegut a la revista Rolling Stone, el CEO de HBO confessà haver trolejat ​​els crítics amb tuits falsos després de publicar-se un informe de la revista. Casey Bloys va explicar que durant la pandèmia va passar una “quantitat de temps poc saludable” a Twitter quan va parlar d’utilitzar un “exèrcit secret” per respondre als crítics. I ja va dir que se li havia ocorregut “una idea molt ximple per desfogar la seva frustració”.

En resum, una conducta, com a mínim, poc exemplar, justificada amb excuses inacceptables. Els fets van ocórrer entre 2020 i 2021 quan era president de programació i responsable de continguts de la companyia. Ara n’és el màxim responsable.

Fets com aquests posen de manifest la importància de la formació i de la comunicació per fomentar la cultura de compliment en les organitzacions. Formació i Comunicació son pedres angulars per fer-ho.

I sí, parlem de protecció de dades però també de més coses. Aquesta cultura ha de arribar a tots els racons de les empreses, i de l’Administració, i a totes les persones que hi estan involucrades. I ha de portar a tot arreu l’ètica i el compliment en general.

Fem un repàs breu als principals aspectes claus a tenir en compte.

  1. Consciència sobre la importància de la protecció de dades.
    La formació continua assegura que tots els empleats, des de l’alta direcció fins al personal operatiu, entenguin la importància crítica de protegir les dades personals i la informació confidencial. Com que estan informats sobre els riscos i les conseqüències d’una bretxa de dades, els empleats poden reconèixer la rellevància del seu comportament diari en la salvaguarda de la informació.
  1. Comprensió de la legislació i normatives.
    Les lleis de protecció de dades, com el RGPD a Europa, la CCPA a Califòrnia i altres legislacions similars arreu del món, són complexes i subjectes a canvis. La formació ajuda a mantenir el personal actualitzat sobre les seves responsabilitats legals i sobre com la legislació afecta els seus rols específics.
  1. Implementació de millors pràctiques.
    La capacitació proporciona als empleats el coneixement de les millors pràctiques en el maneig de dades, incloent-hi la identificació d’informació sensible, l’ús correcte de sistemes de TI i l’aplicació de protocols de seguretat. Això redueix la possibilitat d’errors humans, que són una de les causes més comunes de les bretxes de dades.
  1. Gestió de riscos.
    La formació pot ajudar els empleats a identificar i avaluar els riscos relacionats amb la protecció de dades en les activitats quotidianes, així com a aplicar les mesures de mitigació adequades.
  1. Resposta a incidents.
    La comunicació efectiva assegura que, en cas d’una violació de dades, tots els membres de l’organització sàpiguen exactament com es pot reaccionar, qui ha de ser notificat i quins passos han de seguir per contenir i resoldre la situació.
  1. Reforç del compromís ètic.
    Una cultura de compliment també és una qüestió d’ètica empresarial. La formació ajuda a internalitzar el valor de la privadesa i el respecte per la informació personal, més enllà del mer compliment legal.
  1. Transparència amb les parts interessades.
    La comunicació eficaç no sols és important internament sinó també cap a fora. És vital que els clients, socis i reguladors percebin la serietat amb què una organització tracta la protecció de dades, cosa que pot millorar la reputació i la confiança en la marca.
  1. Adaptació a l’evolució tecnològica.
    La tecnologia i les amenaces de seguretat evolucionen ràpidament. La formació continua assegura que els empleats estiguin al dia amb els desenvolupaments tecnològics i les amenaces emergents.
  1. Foment d’una cultura de informes.
    Els empleats han de sentir-se còmodes informant possibles problemes o bretxes sense por de represàlies. Una comunicació oberta i transparent fomenta una atmosfera on els empleats se senten segurs en reportar incidents o conductes sospitoses (més enllà del Canal de Denúncies).
  1. Millora contínua.
    La formació i comunicació són processos continus que ajuden les organitzacions a adaptar-se i millorar les seves pràctiques de protecció de dades de forma constant i alineada amb els canvis a l’entorn regulatori i tecnològic.

Per que una cultura de compliment sigui efectiva i sostenible, és essencial que la formació i la comunicació siguin vistes com a inversions contínues i no com a requisit d’una sola vegada. Això demostra el compromís de l’organització amb la protecció de dades i reforça la importància de cada individu en el procés de protegir la informació confidencial i del seu compromís amb una conducta ètica.

Com sempre, fem les coses bé i cuideu-vos!

El DNI “i dos ous durs”

per

Recordem la cèlebre frase de Groucho Marx a la pel·lícula “Una noche en la ópera”. En un camarot abarrotat, Groucho fa la comanda de menjar al cambrer i cada vegada afegeix un plat a la llista. Noi, un altre germà, diu: “I també dos ous durs“, i Harpo, el tercer germà mut, fa sonar la botzina per indicar que, en comptes de dos, posi tres ous. I així diverses vegades.

M’he recordat d’aquesta frase en relació a l’Informe 48/2023 de l’Agència de Protecció de Dades del passat setembre, en el qual posa de manifest la decisió de posar fre a la pràctica que les empreses demanin còpies del DNI per identificar els ciutadans per qualsevol qüestió. És un costum arrelat que empreses i Administració demanin tota sort de documentació al ciutadà i a més “també còpia del DNI” (si és possible per les dues cares).

Existeix una tradició heretada de la derogada Llei Orgànica de 1999, que establia com a procediment oficial per a l’exercici de drets l’obligatòria entrega d’una còpia del DNI (o NIE o document equivalent). Aquesta pràctica segueix duent-se a terme sense que ningú se la qüestioni perquè “sempre s’ha fet així” i perquè sembla que ofereixi més seguretat al tràfic jurídic.

En el seu Informe, l’ AEPD considera que l’ ús de DNI pot resultar excessiu o directament innecessari per complir amb la finalitat d’ identificació.

Quins problemes planteja?

El número del DNI no és una dada de categoria especial però sí que és una dada sensible, ja que el seu mal ús o abús pot generar efectes desfavorables per al seu titular.

La suplantació d’identitat és un perjudici molt habitual ja que poden realitzar-se moltes gestions com donar d’alta contractes o comptes corrents, registrar-se en llocs web de pornografia o joc online, fins i tot, demanar un duplicat de la targeta SIM.

I també suposa un repte de seguretat de la informació per a les empreses que realitzen els tractaments perquè han d’emmagatzemar els DNIs, en format analògic o digital, i assegurar la seva transmissió a tercers. Per a companyies que manegen cents de milers de documents, fins i tot de milions, a l’any, no és un problema menor. Una bretxa de seguretat en aquests casos pot ser devastadora per a la seva reputació, sancions al marge.

Què és el principi de minimització?

Està consagrat a l’article 5.1.c) “Les dades personals seran adequades, pertinents i limitades al necessari en relació amb les finalitats per a les quals són tractades («minimització de dades»). És a dir, només podem tractar com a responsable únicament aquelles dades que són estrictament necessàries per a la finalitat perseguida.

Què diu l’Agència?

L’ Agència parteix de recordar el principi de responsabilitat proactiva, que recull el RGPD, de manera que cada responsable haurà de valorar els casos d’ ús concrets que se li presentin, i fer judicis de ponderació si fos necessari, i veure si és procedent o no demanar el DNI o tractar el número o guardar una còpia per als seus registres. I, si cal demanar-ho, quines mesures de protecció especial s’han d’aplicar.

I en l’Informe, l’Agència exposa uns criteris generals com que la sol·licitud del número o còpia del DNI no es pot instaurar per defecte i que cal analitzar cada supòsit concret.

I tampoc es pot demanar una còpia del DNI per a l’ exercici de drets per part de l’ interessat.

Com en tot, hi ha excepcions. Per exemple, es pot demanar el DNI per complir amb la normativa en les activitats de prevenció del blanqueig de capitals i el finançament del terrorisme perquè la llei l’empara.

Sancions

Les sancions són cada vegada més freqüents i d’ import més elevat. Missatgeria (per fotografiar el DNI), hotels i plataformes com AirBnb (per demanar còpia per fer la reserva), entitats bancàries per demanar el DNI per fer un tràmit i, fins i tot, una sanció de 300.000 € a una empresa de selecció de personal per vulnerar l’article 5.1.c) del RGPD (minimització de dades) i una infracció de l’article 12 RGPD en l’àmbit de l’exercici dels drets de l’interessat.

Solucions

No hi ha una solució única. Cada responsable haurà de revisar els seus casos d’ús i veure quines dades necessita i recollir només aquestes. O, si necessita la còpia del DNI, justificar-ho.

I veure si hi ha alternatives menys costoses per a l’usuari.

Hi ha al mercat solucions tècniques que permeten, per exemple, escanejar un document apantallant (ofuscant, excloent, pixelant la imatge, etc.) determinats camps el que permet guardar només aquells estrictament necessaris.

O enviar codis alfanumèrics al telèfon mòbil que permetrà la identificació de l’usuari.

Conclusions

La pràctica de demanar el DNI per a tot ha de decaure. I s’ha de fer un esforç per part de tothom perquè s’escometi la reforma dels sistemes de les empreses al més aviat possible. I prendre mesures també encausat, dels quals parlarem un altre dia. Com sempre, cuideu-vos!

CCN – Consultoria de Compliment Normatiu
CDT – Consultoria de Dret Tecnològic
PJT – Perícia Judicial Tecnològica
LBD – Legal Business Development
ICL – Intel·ligència Competitiva Legal

Contacte

Serveis

Twitter

© 2025 Tots els drets reservats

Revisió Texts legals web