personales archivos - DataProtectPlus

La AEPD publica una nueva guía para gestionar el riesgo de los tratamientos de datos personales y realizar evaluaciones de impacto

Sylvia Fries — Fri, 02 Jul 2021 12:38:38 +0000

El documento incorpora criterios e interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo
La Guía está dirigida a responsables, encargados de tratamientos y delegados de protección de datos, ayudando al cumplimiento de la normativa
Es aplicable a cualquier tratamiento de datos personales y para los tratamientos de alto riesgo ofrece orientaciones para realizar una evaluación de impacto y, en su caso, la consulta previa a la autoridad de control
La Agencia también ha presentado EVALÚA_RIESGO RGPD, un prototipo de herramienta que facilita la evaluación del nivel de riesgo de los tratamientos
Guía de Gestión de riesgo y evaluación de impacto en tratamientos de datos personales

La Agencia Española de Protección de Datos (AEPD) ha presentado hoy la guía ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’, un documento que incorpora la experiencia acumulada en la aplicación de la gestión del riesgo en el ámbito de la protección de datos desde la aplicación del Reglamento General de Protección de Datos (RGPD) y añade las interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos.

El documento, dirigido a responsables, encargados de tratamientos y delegados de protección de datos (DPD), ofrece una visión unificada de la gestión de riesgos y de las evaluaciones de impacto en protección de datos, y facilita la integración de la gestión de riesgos en los procesos de gestión y gobernanza de las entidades.

El RGPD establece que las organizaciones que tratan datos personales deben realizar una gestión del riesgo con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el Reglamento dispone que esas organizaciones están obligadas a realizar una Evaluación de Impacto en Protección de Datos (EIPD) para mitigar esos riesgos.

La guía presentada hoy es aplicable a cualquier tratamiento, con independencia de su nivel de riesgo. Además, y para los casos de tratamientos de alto riesgo, incorpora las orientaciones necesarias para realizar la EIPD y, en su caso, la consulta previa a la que se refiere el artículo 36 del RGPD, que establece que el responsable debe consultar a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto sigue ofreciendo un riesgo residual alto o muy alto tras haber tomado medidas.

La Guía consta de tres apartados: el primero contiene una descripción de los fundamentos de la gestión de riesgos para los derechos y libertades; el segundo incluye un desarrollo metodológico básico para la aplicación de la gestión del riesgo, y el último está enfocado en los casos en los sea preciso realizar una EIPD, con las orientaciones necesarias para llevarla a cabo.

EVALÚA_RIESGO RGPD

Además, la Agencia ha presentado EVALÚA_RIESGO RGPD, el prototipo de una nueva herramienta que ayuda a responsables y encargados a identificar los factores de riesgo para los derechos y libertades de los interesados presentes en el tratamiento; hacer una primera evaluación del riesgo intrínseco, incluyendo necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para mitigar los riesgos.

Los factores de riesgo desplegados en esta herramienta no tienen carácter exhaustivo, por lo que el responsable deberá identificar aquellos que sean específicos para el tratamiento e incluirlo en su evaluación. La valoración del nivel de riesgo para cada factor que efectúa la herramienta, así como el cálculo final de nivel de riesgo, tiene carácter general y supone una evaluación mínima que, en su caso, tendrá que ser ajustada por dicho responsable para determinar con precisión el nivel de riesgo del tratamiento.

Análisis, gestión de riesgos y EIPD

El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones identificar y poder anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener para los derechos y libertades de los interesados. Esta gestión debe permitir que el responsable tome las decisiones y acciones necesarias para conseguir que el tratamiento cumpla los requisitos del RGPD y la LOPDGDD, garantizando y pudiendo demostrar la protección de los derechos de los interesados.

Por su parte, el RGPD establece que cuando sea probable que un tipo de tratamiento entrañe un alto riesgo, el responsable debe realizar una evaluación del impacto, proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se materialicen.

La gestión del riesgo y la EIPD son procesos que se encuentran estrechamente vinculados, ya que la segunda es una especificidad dentro de la primera. Así, la EIPD no puede existir sin formar parte de la gestión de riesgos, por lo que mientras que la gestión del riesgo es obligatoria para todo tratamiento, las obligaciones concretas que se establecen para la EIPD lo son exclusivamente para tratamientos de alto riesgo.

La entrada La AEPD publica una nueva guía para gestionar el riesgo de los tratamientos de datos personales y realizar evaluaciones de impacto se publicó primero en DataProtectPlus.

El 66% de los trabajadores infringe el RGPD al imprimir documentos del trabajo en casa

Sylvia Fries — Mon, 01 Feb 2021 19:33:39 +0000

Con el teletrabajo, se plantean dos problemas.

1.- Si durante la jornada laboral se imprimen documentos donde haya datos privados como formularios, emails, nombres, contratos, etc, estaríamos vulnerando la Ley de Protección de Datos.

2.- ¿Qué sucede con la eliminación de la documentación impresa? ¿Se llevan a cabo los protocolos para ello? Ha de existir en la empresas un protocolo de recopilación, almacenamiento y destrucción de información personal que no se está llevando a cabo por la gran mayoría de empresas europeas.

Y no lo decimos nosotros, si no la empresa Go Shred que ha realizado un estudio en el que ha encuestado a multitud de teletrabajadores consultándoles temas como qué hace con las impresiones, cómo las destruye, cómo gestiona esos registros privados, etc.

El estudio ha dado luz a este tema y comentan desde la empresa que al menos el 66% de los trabajadores han impreso documentos relacionados con su trabajo durante sus jornada de teletrabajo.

El 42% de esos documentos son agendas de reuniones y documentos que incluyen anotaciones importantes que podrían ser confidenciales. El 32% de esas impresiones eran documentos internos, el 30% eran contratos y documentos comerciales, mientras que el 27% de los documentos impresos eran formularios de gastos y recibos.

Y esto no se queda ahí, sino que el 20% de los encuestados afirma haber impreso documentos confidenciales de empleados como nóminas, direcciones, datos médicos, etc. El 13% de los encuestados comenta haber tenido currículums impresos y formularios de solicitud.

Una cosa es la recolección y manipulación de los datos y otra la destrucción de estos. Siempre se recomienda utilizar una trituradora de papel o, en su defecto, contratar una empresa especializada.

El 24% de los encuestados dijo no haberse desecho aún de ningún documento, ya que su intención era llevarlos a la oficina. El otro 24% comentó que había usado una trituradora de papel y que, posteriormente, lo mezcló con su basura orgánica o de reciclaje.

Este método no es seguro, ya que se trata de documentación confidencial y podría dejar abierta una puerta para posibles violaciones de la intimidad de quienes aparecen en las copias.

De todos los encuestados, el 8% dijo que no tenía ningún plan para deshacerse de la documentación que tenía en casa y que estaba relacionada con su trabajo. Por otro lado, el 7% dijo que no sabía cómo deshacerse de esa documentación.

Estos dos datos plantean una cuestión importante, ¿por qué aún no se le presta atención a la Protección de Datos (RGPD)? Las empresas deben educar y asesorar a sus empleados en relación a esta cuestión. Es más, no cualquier empleado debería tener acceso a esta documentación confidencial.

Y aquí es donde entran en juego los expertos Data Protect Plus que pueden asesorar a su empresa en Torrevieja, Vega Baja, Alicante y en cualquier lugar de España, respecto a estos protocolos de protección de datos y a la implementación de toda la normativa para cumplir con el RGPD y evitar las sanciones que se derivan de los incumplimientos.

www.dataprotectplus.com

Fuente: www.infosecurity-magazine.com

La entrada El 66% de los trabajadores infringe el RGPD al imprimir documentos del trabajo en casa se publicó primero en DataProtectPlus.

Los datos de millones de clientes de Booking y Expedia han sido filtrados

Sylvia Fries — Mon, 09 Nov 2020 18:36:47 +0000

Datos personales y financieros de millones de clientes de algunas de las empresas más famosas en el mercado de los viajes interpersonales como Booking han sido expuestos

Numerosas empresas dedicadas al mercado hotelero y de viajes han sido afectados por una exposición de datos bastante grave sucedida en España. La firma de software ubicada en Barcelona, Prestige Software, ha sido pillada exponiendo datos de millones de clientes de todo el mundo.

Tanto datos personales como financieros han sido expuestos. En particular, clientes de los portales Booking.com, Hotels.com, Hotelbeds, Omnibees, Sabre, Expedia, Agoda, Amadeus y más se encuentran entre las víctimas de la brecha de seguridad, lo que equivale a millones de potenciales usuarios afectados.

La base de datos expuesta ha sido identificada inicialmente por investigadores de la página Website Planet que notaron un bucket de los Amazon Web Services o AWS S3 mal configurado, propiedad de la empresa de seguridad ya mencionada.

Los investigadores analizaron el bucket y concluyeron que este contenía unos 24.4 GB de datos financieros y personales, traducidos en un total de más de 10 millones de archivos. Pero ¿cómo se ha producido esta filtración tan masiva?

Prestige Software es una firma que proporciona una plataforma de gestión de canales llamada Cloud Hospitality para hoteles, que gestiona y automatiza la disponibilidad de habitaciones en los principales sitios de reserva de dichas empresas. En este caso específico, Prestige almacenaba datos de tarjetas de crédito de agentes de viaje y clientes de hoteles sin ninguna medida de seguridad.

Como resultado de este hecho, los datos personales y financieros de millones de clientes han sido expuestos. Datos que además datan del año 2013, por lo que hablamos de una filtración que contiene datos muy íntimos de usuarios, incluso de clientes antiguos de estas empresas.

Los datos filtrados conforman nombres completos, datos de identificación, correos electrónicos, números de teléfono, datos financieros e incluso los números de reservas de hotel. También se incluyen las fechas y duraciones de las estancias e incluso los números de las tarjetas de crédito. Por si fuera poco, estos datos van acompañados del nombre, la fecha de vencimiento de la tarjeta y el código CCV.

No está claro

No se sabe si alguien ha accedido a estos datos. Numerosos hackers han estado revisando las redes en busca de esta clase de datos, para robarlos y venderlos en los mercados de la Deep Web y la Dark Web. Estos datos se filtran en foros de hackers para su descarga gratuita. Además, con estos datos se pueden realizar todo tipo de delitos cibernéticos, desde suplantaciones de identidad hasta campañas de phishing.

Un ejemplo lo tiene esta base de datos expuesta que detectó Hackread.com, descubriendo que se expuso la información de más de 267 millones de usuarios de Facebook. Un año después, en abril del 2020, esta misma base de datos se vendía en foros de hackers por 600 dólares.

Dado que Prestige Software tiene su sede en Europa y estos datos pertenecen a usuarios de todo el globo (incluyendo ciudadanos europeos), es esperable que la firma acabe sufriendo una fuerte demanda por incumplir la GDPR o Reglamento General de Protección de Datos.

Fuente: El Español

La entrada Los datos de millones de clientes de Booking y Expedia han sido filtrados se publicó primero en DataProtectPlus.