Jornada ASECOPS de Ciberseguridad (MAN-21 de junio) “PRIVACIDAD Y SEGURIDAD”

Jornada ASECOPS de Ciberseguridad (MAN-21 de junio) “PRIVACIDAD Y SEGURIDAD”

Por Andrés Calvo (Inspector de la División de Innovación Tecnológica de la Agencia Española de Protección de datos – AEPD)

Sin privacidad no hay ciberseguridad.

Partimos de posicionamientos dispares para la evaluación de impacto em el tratamiento de la seguridad y de la privacidad:

1. Las organizaciones que se ocupan de la seguridad, la privacidad está dentro de la seguridad, que es la visión que ofrece la norma de certificación ISO/IEC 27701:2019, como extensión de la ISO 27001 en materia de privacidad de datos, para las organizaciones que buscan establecer sistemas de gestión para apoyar el cumplimiento del RDPD y otros requisitos legales de privacidad de datos. Pero apoyar el cumplimiento no es cumplir.
2. Las organizaciones que se ocupan de la privacidad, y dentro de ésta se ocupa de la seguridad.
3. Las organizaciones que en la evaluación de impacto se ocupan por igual de la seguridad y de la privacidad en el punto de intersección se encuentra el cumplimiento legal.

Limitarse al cumplimiento del RDPD no es seguro, porque son modelos de mínimos. Por tanto hay una relación entre seguridad y privacidad pero nunca una sustituye a la otra o viceversa.

El RGPD lo que pretende es que se conozca la naturaleza del tratamiento de los datos, conocer el ámbito, el alcance, el contexto y en función de ello aplicar las medidas de seguridad correspondientes, en función del riego para los derechos y libertades de las personas.

Para aplicar las medidas de seguridad adecuadas según el tratamiento de protección de datos, debemos entonces tener en cuenta:

• La tecnología es por naturaleza insegura.
• En consecuencia, la economía digital es, también por naturaleza, insegrura.
• Nada es seguro al 100%.
• Las personas físicas somos el punto más fácil de atacar, por tanto
• Las personas físicas son uno de los objetivos en la ciberdelincuencia.
• Las organizaciones son otro de los objetivos de la ciberdelincuencia.
• Vivimos en un contexto de ciberguerra permanente.
• La inseguridad por defecto y desde el diseño es una realidad.

Por ejemplo, se tiene por seguro el blockchain, como sistema de tratamiento de datos, pero se tienen noticias de organizaciones y personas que han perdido su dinero por brechas de seguridad en blockchain.

El RGPD indica que los avances tecnológicos requieren un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta, dada la importancia de generar la confianza que permita a la economía digital desarrollarse en toro el mercado interior.

Las personas físicas deben temer el control de sus propios datos personales. Por tanto, hay qie reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas.

A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.

La jurisprudencia actualmente no penaliza de la misma forma una suplantación de identidad digital como la suplantación física, y debería ser igual.

Para los derechos digitales la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales destacar los artículos:

Artículo 82. Derecho a la seguridad digital.

Los usuarios tienen derecho a la seguridad de las comunicaciones que transmitan y reciban a través de Internet. Los proveedores de servicios de Internet informarán a los usuarios de sus derechos.

Artículo 83. Derecho a la educación digital.

1. El sistema educativo garantizará la plena inserción del alumnado en la sociedad digital y el aprendizaje de un consumo responsable y un uso crítico y seguro de los medios digitales y respetuoso con la dignidad humana, la justicia social y la sostenibilidad medioambiental, los valores constitucionales, los derechos fundamentales y, particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección de datos personales. Las actuaciones realizadas en este ámbito tendrán carácter inclusivo, en particular en lo que respecta al alumnado con necesidades educativas especiales.

Las Administraciones educativas deberán incluir en el desarrollo del currículo la competencia digital a la que se refiere el apartado anterior, así como los elementos relacionados con las situaciones de riesgo derivadas de la inadecuada utilización de las TIC, con especial atención a las situaciones de violencia en la red.

2. El profesorado recibirá las competencias digitales y la formación necesaria para la enseñanza y transmisión de los valores y derechos referidos en el apartado anterior.
3. Los planes de estudio de los títulos universitarios, en especial, aquellos que habiliten para el desempeño profesional en la formación del alumnado, garantizarán la formación en el uso y seguridad de los medios digitales y en la garantía de los derechos fundamentales en Internet.
4. Las Administraciones Públicas incorporarán a los temarios de las pruebas de acceso a los cuerpos superiores y a aquéllos en que habitualmente se desempeñen funciones que impliquen el acceso a datos personales materias relacionadas con la garantía de los derechos digitales y en particular el de protección de datos.

Artículo 84. Protección de los menores en Internet.

1. Los padres, madres, tutores, curadores o representantes legales procurarán que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales.
2. La utilización o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes que puedan implicar una intromisión ilegítima en sus derechos fundamentales determinará la intervención del Ministerio Fiscal, que instará las medidas cautelares y de protección previstas en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.

Relación protección de datos y seguridad en el RGPD:

Elementos de responsabilidad de obligado cumplimiento:

• Gestión del riesgo art. 24.1
• Políticas de Protección de Datos art. 24.2
• Registros de Actividades de Tratamiento art. 30
• Evaluación de Impacto de la Privacidad art. 35-36
• Privacidad por Defecto y desde el diseño art. 25
• Seguridad para Derechos y Libertades art. 32
• Gestión de Brechas de Datos Personales art. 33-34
• Transparencia art.12
• Auditoría art. 24-28-39-47
• Delegado de Protección de Datos art. 37-39

Los requisitos optativos son:

• Códigos de Conducta art. 40-41
• Certificación art. 42-43

Responsabilidad proactiva integrada en el RGPD:

• Legitimación:
  • Causas legitimadoras
  • Categorías especiales
• Principios:
  • Licitud del Tratamiento
  • Categorías Especiales
  • Lealtad
  • Transparencia
  • Minimización
  • Necesidad y proporcionalidad
  • Exactitud
  • Conservación
  • Seguridad
  • Capacidad de demostrar
• Derechos:
  • Transparencia
  • Información
  • Acceso
  • Rectificación
  • Supresión
  • Limitación
  • Portabilidad
  • Oposición
  • Perfilado y decisiones automatizadas
• Aplicación del RGPD
  • Autoridades y Competencias
  • Cooperación y coherencia
  • Responsabilidades y sanciones

La ciberseguridad por tante es una pequeña parte de la seguridad en la protección de datos. Las limitaciones de la ciberseguridad para la protección de datos estriban en la gestión del riesgo de la privacidad. Lo que mueve la seguridad en el contexto de la protección de datos son los requisitos de privacidad y no al contrario.

El RGPD es una herramienta muy buena a la hora de proteger la privacidad y sin privacidad no hay seguridad.

CONCLUSIONES:

La seguridad total no existe, por tanto hay que considerar que se va a producir una brecha de datos personales y diseñar las medidas de privacidad adecuadas minimizarán el impacto.

Los sistemas actuales son inseguros por defecto y desde el diseño. Constantemente hay brechas en sistemas considerados ”seguros”, por tanto constantemente hay que instalar parches de seguridad.

Esta realidad es un factor que hay que tener en cuenta, sobre todo, cuando la seguridad es una de las razones que habilitan un tratamiento.

El Delegado de Protección de Datos y el CISO deben trabajar juntos, pero en ningún caso la seguridad:

• no es el fin de la protección de datos
• es un principio más
• no sustituye al resto de principios
• es necesaria pero no suficiente
• suma y no debe restar

La gestión del riesgo del sistema de información debe tener en cuenta:

• Requisitos para la gestión del riesgo para los derechos y libertades de las personas.
• Requisitos para la gestión del riesgo de la organización.
• Requisitos normativos, contractuales, etc.
• Otros requisitos en función del ámbito de actividad de la empresa.