¿Qué medidas de seguridad existen para proteger los derechos y libertades en el tratamiento de datos personales?
X) La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado. L) La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles. Si la Agencia Española de Protección de Datos considera que no tiene la condición de autoridad de control principal para la tramitación del procedimiento remitirá, sin más trámite, la reclamación formulada a la autoridad de control principal que considere competente, a fin de que por la misma se le dé el curso oportuno. La Agencia Española de Protección de Datos notificará esta circunstancia a quien, en su caso, hubiera formulado la reclamación.
Serán partes en el procedimiento, además de la autoridad de protección de datos, quienes lo fueran en el procedimiento tramitado ante ella y, en todo caso, la Comisión Europea. En el plazo de un año desde la entrada en vigor de esta ley orgánica, el Gobierno remitirá al Congreso de los Diputados un proyecto de ley dirigido específicamente a garantizar los derechos de los menores ante el impacto de Internet, con el fin de garantizar su seguridad y luchar contra la discriminación y la violencia que sobre los mismos es ejercida mediante las nuevas tecnologías. Podrá procederse a la reidentificación de los datos en su origen, cuando con motivo de una investigación que utilice datos seudonimizados, se aprecie la existencia de un peligro real y concreto para la seguridad o salud de una persona o grupo de personas, o una amenaza grave para sus derechos o sea necesaria para garantizar una adecuada asistencia sanitaria. B) Las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública. A) El interesado o, en su caso, su representante legal podrá otorgar el consentimiento para el uso de sus datos con fines de investigación en salud y, en particular, la biomédica. Tales finalidades podrán abarcar categorías relacionadas con áreas generales vinculadas a una especialidad médica o investigadora.
TÍTULO VII
Las Administraciones Públicas incorporarán a los temarios de las pruebas de acceso a los cuerpos superiores y a aquéllos en que habitualmente se desempeñen funciones que impliquen el acceso a datos personales materias relacionadas con la garantía de los derechos digitales y en particular el de protección de datos. P) El tratamiento de datos personales sin llevar a cabo una previa valoración de los elementos mencionados en el artículo 28 de esta ley orgánica. I) La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados. La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación en el plazo de un mes. B) Participará, como autoridad española, en las organizaciones internacionales competentes en materia de protección de datos, en los comités o grupos de trabajo, de estudio y de colaboración de organizaciones internacionales que traten materias que afecten al derecho fundamental a la protección de datos personales y en otros foros o grupos de trabajo internacionales, en el marco de la acción exterior del Estado.
Y en este marco la Comisión lanzó el 4 de noviembre de 2010 su Comunicación titulada «Un enfoque global de la protección de los datos personales en la Unión Europea», que constituye el germen de la posterior reforma del marco de la Unión Europea. Al propio tiempo, el Tribunal de Justicia de la Unión ha venido adoptando a lo largo de los últimos años una jurisprudencia que resulta fundamental en su interpretación. Asimismo, podrán formular reclamación ante la autoridad de control, de no recibir respuesta por los responsables de los tratamientos al ejercicio de sus derechos. En el mundo digital, es fundamental ser consciente de los riesgos que pueden estar presentes al hacer clic en enlaces o descargar archivos. Muchos ciberdelincuentes utilizan técnicas de phishing para engañar a los usuarios y obtener información confidencial. Por lo tanto, es importante seguir ciertas buenas prácticas para proteger nuestros datos.
Con el avance de la tecnología y la interconexión global, nuestras vidas se han vuelto más dependientes de la información que compartimos en línea. Sin embargo, este entorno también ha dado lugar a numerosos riesgos y amenazas para la seguridad de nuestros datos personales. En 2014, Orange sufrió una brecha de seguridad que afectó a 1,3 millones de sus clientes, dejando al descubierto datos personales como nombres y apellidos, direcciones postales, correos electrónicos, números de teléfono e información sobre facturación, entre otros datos. En esta entrada del blog pretendemos aclarar qué es una brecha de seguridad de datos personales, cómo debe una organización prepararse para afrontarlas, qué hacer si sucede y en qué casos hay que notificar a la AEPD y a los afectados. Al igual que el RGPD, hace recaer en las empresas la responsabilidad de ser transparentes sobre sus prácticas en materia de datos y otorga a las personas un mayor control sobre su información personal.
B) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo 3. En la línea de compromiso y voluntad de cumplimiento de la normativa más reciente, la Seguridad Social ha designado un Delegado de protección de datos (en adelante DPD), siguiendo lo previsto en el artículo 37 del RGPD y el artículo 34 de la LOPDGDD. Si necesitas conectarte a internet en un lugar público, es recomendable utilizar una red VPN (Virtual Private Network) para cifrar tus datos y proteger tu privacidad.
También en 2014, eBay sufrió un ciberataque perpetrado a través de cuentas de empleados comprometidas. El incidente de seguridad afectó a 145 millones de usuarios, a los que la compañía contactó unos meses después de que se produjera la brecha (ocurrió entre febrero y marzo y la notificación se hizo en mayo), para pedirles que cambiarán las contraseñas. Entre las diferentes brechas de seguridad notables que ha sufrido Sony y que han supuesto una vulneración de la privacidad de sus usuarios, tenemos la sufrida por Sony Pictures en 2014. La Seguridad Social ha puesto en marcha un sistema para que desde Internet se puedan enviar documentos y solicitudes a la Seguridad Social (tanto INSS como TGSS o ISM). Para ello, es necesario identificarse mediante certificado digital, DNI electrónico o clave, pero si no los tienes, otra persona de tu confianza que si los tenga (un gestor profesional, o un familiar, amigo, etc) puede enviarlos en tu nombre simplemente rellenando una autorización en pdf, que también se adjunta en la propia comunicación.
Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción. La Agencia Española de Protección de Datos actuará en todo caso cuando sea precisa la investigación de tratamientos que implique un tráfico masivo de datos personales. Si como consecuencia de dichas actuaciones de remisión, el responsable o encargado del tratamiento demuestra haber adoptado medidas para el cumplimiento de la normativa aplicable, la Agencia Española de Protección de Datos podrá inadmitir a trámite la reclamación. C) Colaborará con autoridades, instituciones, organismos y Administraciones de otros Estados a fin de impulsar, promover y desarrollar el derecho fundamental a la protección de datos, en particular en el ámbito iberoamericano, pudiendo suscribir acuerdos internacionales administrativos y no normativos en la materia.
Quora es una de las plataformas de información más usadas junto a Wikipedia o Reddit, con millones de usuarios, lo que la convirtió en 2018 en objetivo de un ciberataque en el que su seguridad fue vulnerada, «permitiendo» el acceso no autorizado a información confidencial de, al menos, 100 millones de usuarios de la plataforma (más o menos la mitad de su base de usuarios en aquel año). En este caso, los datos personales que se robaron se emplearon para identificar patrones de comportamiento, ideología y opiniones de los usuarios que se vieron afectados, para desarrollar estrategias de propaganda política con la que fuera más fácil influenciarles y manipularlos. Además de cambios de domicilio, teléfono, etc, siempre con medios de identificación segura, en la sede electrónica de la Seguridad Social también se puede modificar otra información personal como los datos bancarios para el cobro de una pensión o los datos generales a efectos de IRPF, como la situación familiar, el grado de discapacidad, el nombre o la fecha de nacimiento, etc. Ante el suceso de una brecha de seguridad, el responsable de tratamientodebe valorar las posibles consecuencias sobre los afectados y su severidad. Una brecha de seguridad puede producir daños en la reputación de los afectados, limitar sus derechos, producir pérdidas financieras, discriminación, etc. y además puede producir estos efectos con diferentes grados de severidad, por lo que debemos pensar en los beneficios que aporta el que los afectados sean conscientes que se esa brecha ha tenido lugar. La naturaleza evolutiva de estos ataques exige que las organizaciones apliquen medidas de seguridad proactivas, como copias de seguridad periódicas, detección de amenazas en tiempo real y capacitación de los empleados, para mitigar el impacto del ransomware y proteger la información sensible.
Ocupa un lugar relevante el reconocimiento del derecho a la desconexión digital en el marco del derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral y la protección de los menores en Internet. Finalmente, resulta destacable la garantía de la libertad de expresión y el derecho a la aclaración de informaciones en medios de comunicación digitales. La guía subraya además la importancia de adoptar medidas como el principio de minimización, de forma que solo se trate la información personal estrictamente necesaria en cada fase del tratamiento y para su finalidad específica, algo que permitiría reducir el impacto sobre las personas en el caso de fallo de las medidas de seguridad. Algunas buenas prácticas incluyen utilizar contraseñas seguras, mantener el software actualizado, evitar compartir información personal en redes públicas y utilizar herramientas de cifrado y protección de datos.
Cómo modificar tus datos en la Seguridad Social
A) Participará en reuniones y foros internacionales de ámbito distinto al de la Unión Europea establecidos de común acuerdo por las autoridades de control independientes en materia de protección de datos. Las actuaciones de investigación podrán realizarse a través de sistemas digitales que, mediante la videoconferencia u otro sistema similar, permitan la comunicación bidireccional y simultánea de imagen y sonido, la interacción visual, auditiva y verbal entre la Agencia Española de Protección de Datos y el inspeccionado. Además, deben garantizar la transmisión y recepción seguras de los documentos e información que se intercambien, y, en su caso, recoger las evidencias necesarias y el resultado de las actuaciones realizadas asegurando su autoría, autenticidad e integridad. En todo caso se aplicarán a los tratamientos en que consista la propia transferencia las disposiciones contenidas en dichas normas, en particular las que regulan los principios de protección de datos. C) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala. G) Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
En la protección de datos, las medidas de seguridad de la información son un pilar clave, porque son las encargadas de garantizar no solo la confidencialidad de la información, sino de que los titulares de los datos no puedan ver perjudicados sus derechos y libertades a causa de una brecha de seguridad que haya podido dejar expuestos sus datos personales. Los derechos de los individuos en materia de protección de datos permiten a cualquier persona tener control sobre el uso de su información personal. El RGPD y la LOPDGDD reconocen derechos como el acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición. Además, en España se incluyen derechos digitales, como la desconexión laboral o la protección de menores en internet.
Los datos que revelan el origen étnico, opiniones políticas, creencias religiosas, datos de salud o vida sexual requieren una protección especial. Su tratamiento está prohibido, salvo en circunstancias específicas y con garantías adicionales. En el ámbito sanitario, la protección de datos médicos en el sector sanitario exige herramientas de firma electrónica certificadas que cumplan con el RGPD y garanticen la trazabilidad de consentimientos informados. Las empresas están obligadas a facilitar el ejercicio de estos derechos de forma gratuita, clara y accesible, respondiendo a las solicitudes en un plazo máximo de un mes desde su recepción, salvo excepciones justificadas. Su objetivo es garantizar los derechos fundamentales de las personas físicas respecto al tratamiento de sus datos, estableciendo principios como la licitud, transparencia, minimización de datos y responsabilidad proactiva.
- Las autoridades públicas competentes facilitarán el acceso a los archivos públicos y eclesiásticos en relación con los datos que se soliciten con ocasión de investigaciones policiales o judiciales de personas desaparecidas, debiendo atender las solicitudes con prontitud y diligencia las instituciones o congregaciones religiosas a las que se realicen las peticiones de acceso.
- Por lo tanto, responsables y encargados del tratamiento deben diseñar e implementar las medidas de seguridad para la protección de datos, pero también deben asegurarse de que sus empleados u otros terceros que pudieran tener acceso a los datos, respeten y apliquen dichas medidas de seguridad.
- La prevención y el cumplimiento normativo no son solo una obligación legal, sino una inversión estratégica en la confianza digital.
- Cuando instalamos una aplicación en el móvil, debemos leer con detenimiento los permisos que pide para poder usarla, porque si una app pide permisos que no necesita, puede ser indicativo de que va detrás de nuestra información personal, entre otras cosas.
Decálogo de buenas prácticas para la protección de datos en el mundo digital
Esto evita que personas no autorizadas accedan a tu información en caso de pérdida o robo de tus dispositivos. Estas son solo algunas de las medidas que podemos implementar para proteger nuestros datos en el mundo digital. Es importante recordar que la seguridad en línea es una responsabilidad compartida, tanto por parte de los individuos como de las organizaciones. Juntos, podemos crear un entorno digital más seguro y proteger nuestra privacidad y datos personales. A nivel personal, una mala protección de datos puede tener un impacto en nuestra privacidad y autonomía. Si nuestros datos personales se ven comprometidos, perdemos el control sobre quién tiene acceso a nuestra información y cómo se utiliza.
En Yousign, como prestadores cualificados de servicios electrónicos de confianza, la protección de datos no es solo un requisito, es parte de nuestro ADN. Si operas como empresa o profesional independiente debes conocer qué normativas aplican, qué derechos tienen los ciudadanos y qué obligaciones debes cumplir para evitar sanciones de la Agencia Española de Protección de Datos (AEPD). Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, estos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente.
Esto implica compartir información relevante y ejemplos concretos que demuestren los posibles riesgos y consecuencias de no proteger adecuadamente los datos personales. Se pueden utilizar diferentes medios de comunicación, como redes sociales, charlas, conferencias o incluso material impreso, para difundir el mensaje. Proteger nuestros datos personales es esencial para preservar nuestra privacidad, evitar posibles abusos y garantizar el cumplimiento de nuestros derechos como ciudadanos digitales. En el siguiente apartado, veremos algunas buenas prácticas que podemos seguir para proteger nuestros datos en el mundo digital. En 2017, Equifax, una empresa crediticia estadounidense, sufrió una brecha de seguridad que afectó a la información personal de 143 millones de sus clientes, lo que derivó en el robo de los datos personales que estos clientes había subido a la plataforma online de la compañía, que debía garantizar la seguridad y confidencialidad de los mismos. Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal.
Como excepción, las personas mencionadas no podrán acceder a los contenidos del causante, ni solicitar su modificación o eliminación, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los contenidos que pudiesen formar parte del caudal relicto. En caso de que el derecho se ejercitase por un afectado respecto de datos que hubiesen sido facilitados al servicio, por él o por terceros, durante su minoría de edad, el prestador deberá proceder sin dilación a su supresión por su simple solicitud, sin necesidad de que concurran las circunstancias mencionadas en el apartado 2. Del mismo modo deberá procederse cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los enlaces por el servicio de búsqueda en Internet. Las modalidades de ejercicio de este derecho atenderán a la naturaleza casino movil y objeto de la relación laboral, potenciarán el derecho a la conciliación de la actividad laboral y la vida personal y familiar y se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores.
No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual. Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión. Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante. Las solicitudes de ejercicio de derechos respecto de tratamientos de datos relativos a Clases Pasivas se dirigirán a la Dirección General de Ordenación de la Seguridad Social. Si quieres conocer otros artículos parecidos a Decálogo de buenas prácticas para la protección de datos en el mundo digital puedes visitar la categoría Derechos y Educación Ciudadana.
