1. Sabemos cómo protegerte ante la pérdida o robo de un dispositivo portátil, tabletas, teléfonos inteligentes de tu empresa

En esta entrada vamos directos al grano, sin andarnos con rodeos, y destacamos algunas medidas, como el cifrado de dispositivos, que permiten limitar el impacto en caso pérdida o robo de dispositivos portátiles.

Medidas de seguridad

Como norma general, y atendiendo a los principios establecidos en el RGPD, se deben minimizar los datos personales almacenados/procesados en dispositivos portátiles, utilizándolos para acceso remoto a los mismos en la medida de lo posible.

Hay tres medidas de seguridad particularmente efectivas para minimizar los posibles daños causados por una brecha de seguridad debida a la pérdida o robo de un dispositivo portátil.

El cifrado de los datos en el dispositivo es una medida efectiva para evitar el acceso no autorizado a los datos en caso de pérdida o robo. Es importante recordar que los datos personales, aunque estén cifrados, siguen siendo datos de carácter personal.

Mantener una copia de los datos en otro soporte o copia de seguridad es una medida efectiva para combatir la pérdida de disponibilidad de los datos.

Contar con una contraseña de bloqueo de pantalla y/o autenticación de usuario en el dispositivo igualmente robusta y conservada de forma segura. Esta última medida de seguridad no es aplicable a dispositivos de almacenamiento extraíbles.

Las tres medidas son importantes, cada una es efectiva sobre diferentes aspectos de la seguridad de los dispositivos, por lo que deben utilizarse de forma conjunta.

En teléfonos inteligentes y tabletas relativamente actuales, la opción de cifrado suele estar activada por defecto, pero es necesario comprobar que efectivamente está activada y que se ha seleccionado un clave de cifrado suficientemente robusta que debe ser mantenida de forma segura.

En todo caso, antes de utilizar dispositivos portátiles, cualquier organización debería regular en la política de seguridad su uso basándose en un análisis de los riesgos que presentan según las características particulares de los tratamientos de datos que realiza.

En la política de seguridad se debe establecer si se permite o no su utilización, y en caso afirmativo, cuáles son las medidas a aplicar para minimizar el riesgo, como por ejemplo establecer qué tipo de dispositivos se pueden utilizar; qué tipo de información se puede almacenar en estos dispositivos; las categorías de datos; establecer limitaciones de tamaño; autorizar únicamente aquellos que sean estrictamente necesarios; mantener un inventario de estos dispositivos; garantizar la seguridad de los dispositivos y/o equipos a los que se conectan; formar y concienciar a los empleados sobre los riesgos, así como de la necesidad de cifrar  y hacer copias de seguridad. Sobre todo, se debe ser consciente del riesgo de pérdida o robo de estos dispositivos y tener previsto un plan de actuación para poder responder lo más rápidamente y de forma efectiva.

Tanto la efectividad de las medidas aplicables, como la conveniencia de utilizar estos dispositivos o sustituirlos por otras soluciones, debe revisarse periódicamente dentro de los planes de gestión del riesgo de la organización.

2. Recomendaciones para aquellos que realicen procesos de anonimización

El documento analiza cuáles son los límites en la efectividad de los procesos de anonimización, hasta qué punto la información está realmente anonimizada y cómo se puede cuantificar el riesgo de reidentificación. 

Se analiza la K-anonimidad, una técnica que, entre otros aspectos, permite estudiar el grado de identificación que podría existir en un conjunto de datos supuestamente anónimo. 

La prestigiosa Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica llamada la K-Anonimidad como medida de la privacidad, un documento orientado a organizaciones que aborden procesos de anonimización sobre conjuntos de datos. La nota tiene como objetivo mostrar cuáles son los límites en la efectividad de esos procesos de anonimización, hasta qué punto la información está realmente anonimizada y cómo se puede gestionar el riesgo de reidentificación.

El tratamiento masivo de datos mediante el uso de técnicas basadas en big data, inteligencia artificial o machine learning obliga a la implementación de garantías o mecanismos para preservar la privacidad y el derecho a la protección de datos personales, entre ellas las basadas en la anonimización. En una realidad en la que las fuentes de las que proceden los datos, pese a ser independientes, se interconectan, existe la posibilidad de crear un rastro electrónico de las personas, incluso habiendo eliminado los datos que explícitamente les identifican.

Si bien el objetivo de los procesos de anonimización es preservar la privacidad de las personas cuyos datos son objeto de tratamiento, los datos, convenientemente agrupados y cruzados con otras fuentes de información, pueden utilizarse para identificarlas e incluso establecer relaciones con categorías especiales de datos asociadas a estas. Existe un riesgo de que, una vez que se ha anonimizado un conjunto de datos, se pueda revertir esa anonimización, reidentificando a la persona.

Para realizar esta gestión de riesgos, la nota técnica analiza la K-anonimidad, una técnica utilizada cuando se tratan grandes grupos de datos y que, entre otros aspectos, permite estudiar el grado de identificación que podría existir en ese conjunto de datos supuestamente anónimo. En consecuencia, permite cuantificar hasta qué punto se preserva el anonimato de los sujetos presentes en un conjunto de datos en el que se han eliminado los identificadores.

En aplicación del principio de responsabilidad proactiva establecido en el Reglamento General de Protección de Datos (RGPD), la Agencia recuerda que el responsable debe analizar los riesgos en los tratamientos de datos, en este caso, los de reidentificación derivado de sus procesos de anonimización, y los generados en el proceso posterior y en el enriquecimiento de conjuntos de datos. Las medidas de Privacidad por Defecto y desde el Diseño seleccionadas deben implementarse mediante procesos formales que permitan la gestión de dichos riesgos.

3. Noticias internacionales en materia de protección de datos

Brasil crea la Autoridad Nacional de Protección de Datos (ANPD) y retrasa a agosto 2020 la fecha límite para adecuarse a la Ley General de Protección de Datos

Es de destacar que la Medida Provisional  (“ MP 869/18 ”) produce efectos inmediatos, pero debe ser presentado para su consideración por el Congreso Nacional, y puede ser totalmente aprobado, rechazado o aprobado con enmiendas.

El establecimiento de la ANPD es un paso relevante para la efectividad de la aplicación de la LGPD, y es esencial para aclarar puntos cruciales de la nueva ley (como los mecanismos para la transferencia internacional de datos personales y los criterios para aplicar el interés legítimo), y también para los fines de ejecución y la imposición de las sanciones previstas.

Finalmente, reiteramos que a pesar de la extensión del período de adaptación de 24 meses, mantenemos nuestra recomendación de que las entidades comiencen el proceso de adaptación a los requisitos de LGPD lo antes posible, como la experiencia europea más reciente de adaptar el mercado europeo El Reglamento General de Protección de Datos (RGPD) ha demostrado que la mayoría de las empresas del viejo continente no han podido adaptarse en el mismo período de tiempo.