22 mayo 2020
Afrontamos una era diferente en la que también deberemos tener en cuenta consejos para preservar la privacidad y la ciberseguridad en la desescalada. Y es que, como es bien sabido, después de haber superado el pico de contagios, España se prepara para la vuelta a la actividad. Estos dos meses de estado de alarma han introducido nuevos retos para todos y hemos tenido que adaptarnos. Muchos de estos cambios han venido para quedarse y los expertos auguran que esta nueva etapa será diferente a la anterior al Covid-19, y que ya se denomina como la Nueva Normalidad.
En este contexto, nos gustaría comentar algunas de las dudas más habituales que estamos recibiendo en H&A en materia de privacidad y que toda empresa debe conocer:
1. Datos de salud, interés público y nuevas tecnologías
El camino hacia esta “nueva normalidad”, que durará hasta que no se invente una vacuna capaz de eliminar o al menos paliar el virus, va ligada, como se evidencia desde la Moncloa, a la puesta en marcha de medidas de seguridad, así como al conocimiento y constancia de los datos del avance epidemiológico y movilidad de las personas.
El país, la economía y sobre todo los ciudadanos, necesitamos ir hacia una nueva normalidad segura, pero no si esta limita de forma no adecuada el derecho fundamental a la privacidad de las personas. Para ello se está planteando desde diferentes sectores la utilización de medios tecnológicos para contribuir a cumplir con la desescalada, pero manteniendo incólume la privacidad y los derechos personales de los ciudadanos.
2. Medidas de seguridad para la desescalada
- Oficinas vs. Teletrabajo, privacidad y phishing.
Lo cierto es que, dentro de este plan de “desescalada”, se contempla la posibilidad de que las oficinas y despachos vuelvan a estar ocupadas por sus empleados. Sin duda, se priorizará el teletrabajo, y los empleados regresarán a la oficina de forma escalonada, siempre y cuando la empresa cuente con unas medidas de seguridad adecuadas. En cualquier caso, aquí el teletrabajo y la privacidad siguen jugando un papel fundamental. Y es que, no es una novedad que este nuevo panorama de trabajo ha despertado curiosidad en algunos hackers, estando las empresas ahora más expuestas a un ataque cibernético. Es por este motivo por el que tanto el empresario como responsable del tratamiento de datos, como los empleados, deben cumplir con una serie de medidas que aplaquen o por lo menos mitiguen el grave riesgo que podría suponer una brecha de seguridad en esta situación.
En primer lugar, la Agencia Española de Protección de Datos (AEPD) recomienda que los responsables creen un protocolo para teletrabajar de manera segura y evitar ciberataques. En dichos protocolos deberá establecerse qué formas de acceso remoto se permiten, qué tipo de dispositivos son válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles creados. Los empleados deberán conocer los riesgos y cómo actuar en caso de riesgo de fuga o ciberataque, por ejemplo identificando un punto de contacto para comunicar cualquier incidente.
Una forma muy habitual de ataque es el conocido como phishing que, a través del envío de un correo electrónico suplantando al emisor, se remite un malware como fichero adjunto que acabará cifrando los archivos del equipo. También se suelen utilizar otro tipo de prácticas como el ransomware, mediante el cual los hackers logran cifrar información sensible de empresa para posteriormente solicitar un rescate por la contraseña de descifrado. Esto se plantea como una gran amenaza a tener en cuenta especialmente en el caso de las pymes, uno de sus grandes objetivos. Debido a la importancia del mantenimiento de unas medidas de seguridad por parte de empleados, tampoco se excluye la posibilidad de que los trabajadores firmen un acuerdo en el que se detallen sus responsables en la situación de teletrabajo. Para más información se puede consular AQUÍ la Nota Técnica de la AEPD sobre movilidad y teletrabajo.
En cualquier caso, la recomendación a los destinatarios de correo electrónico es que presten mayor atención a dichos correos, leyéndolos detenidamente porque muchos de estos correos “piratas” tienen una redacción defectuosa, un español poco ortodoxo y un tratamiento de las personas diferente. Por ejemplo, si escribe alguien que normalmente nos trata de “tú” y el correo que recibimos está redactado de manera formal con el uso del “usted”, debemos desconfiar.
Tampoco debemos abrir ningún documento anexo o enlace (por seguro que nos parezca el remitente) que nos plantee dudas sobre su veracidad, oportunidad y procedencia. Por ejemplo, si el documento anexo se califica como “factura” o “descuento” o frases similares, y en el enlace aparecen palabras como “importante” o “seguridad”, no debe abrirse sin haber comprobado previamente que el contenido es el correcto.
Si se dispone de un departamento de informática o soporte al usuario, se les debe reenviar el correo sin abrir el anexo para que allí lo vigilen. Si no se dispone de ese departamento, debemos contactar con quien se encargue de nuestro sistema informático. Y en último caso, si el correo viene de alguien a quien conocemos, dirigirle un correo (no mediante la opción de “responder” sino mediante la opción de “reenviar” en un correo nuevo) preguntándole si realmente es autor de ese correo.
Debe establecerse, en definitiva, una política de correo seguro, contactando para ello con un experto en seguridad informática que le diseñe un plan y una política. En H&A disponemos de un equipo experimentado que puede redactar esa política y vigilar la aplicación e incluso prestar el servicio de consultor de posible ataque informático.
- Establecimientos abiertos al público vs. cómo tratar los datos de los clientes
La fase 1 comienza en muchas provincias con la reapertura de pequeñas tiendas y las terrazas de restaurantes y bares, eso sí, con aforo limitado y respetando medidas de seguridad. Muchos empresarios se plantean ahora qué tipo de medidas deben tomar, pero pocos se cuestionan el impacto de dichas medidas en la privacidad de las personas.
Cualesquiera medidas que se tomen, deben respetar en cualquier caso los principios y normas de protección de datos, como la proporcionalidad y la utilidad, es decir, hasta qué punto, y atendiendo a los criterios definidos por las autoridades sanitarias, las medidas tomadas por el empresario podrían o no ser sustituidas, con igual eficacia, por otras menos intrusivas. Para ello, podemos guiarnos por lo que ha dicho recientemente la AEPD para que, de cara a usuarios y clientes, las medidas que se tomen estén respaldadas por el Ministerio de Sanidad.
En este sentido debe tenerse en cuenta y en especial en relación con la toma de temperatura en espacios públicos, que hay un porcentaje de personas contagiadas asintomáticas que no presenta fiebre y que la fiebre no siempre es uno de los síntomas presentes en pacientes sintomáticos, por lo que pude haber personas que presenten fiebre y no tengan el virus. Es por este motivo por el que si la medida de seguridad que se toma contra el COVID implica el tratamiento de datos de salud, se haga bajo el respaldo de las autoridades sanitarias, nunca de forma discrecional, y por personal cualificado, ya que, por ejemplo, la denegación de entrada en un establecimiento por fiebre no suponga un hecho discriminatorio sin fundamentación científica que no aplicaría los principios de proporcionalidad y exactitud requeridos en la normativa de protección de datos.
- Fábricas, empresas de producción vs. Empleados y prevención de riesgos.
Otros de los sectores a los que afecta en mayor medida las medidas de seguridad a implantar en esta situación de desescalada son las industrias y fábricas de producción, donde conviven muchos trabajadores que desarrollan su actividad en la propia empresa y donde el teletrabajo, que ha sido el salvavidas para miles de empresas, no es una opción.
En este caso, la AEPD ha manifestado a través de distintos comunicados e informes que los datos de salud que trate el empleador en relación con sus empleados y para la finalidad de garantizar la seguridad y salud de las personas trabajadoras a su servicio, estarían amparados por la base jurídica del artículo 9 del RGPD. No obstante, deberán cumplirse igualmente los principios de proporcionalidad y exactitud y garantizar los derechos de los empleados. Así las empresas deberán coordinarse con el personal de seguridad o de prevención de riesgos laborales para que estas medidas sean conformes a las últimas decisiones y recomendaciones de la autoridad sanitaria competente. Además, se deberá informar en todo caso a los empleados de cualquier tratamiento, y en cuanto a los criterios y plazos de conservación, la AEPD estima que no se deberá producir, salvo que sirva como justificante ante posibles acciones legales derivadas de la decisión de denegación de accesos.
Es muy recomendable ponderar los principios de proporcionalidad y minimización para asegurarnos que la medida a implantar no excede en su función para cumplir con el fin perseguido, lo que recomienda la Agencia es seguir las directrices de las autoridades sanitarias, no obstante no siempre encontramos la respuesta en la información proporcionada por el Ministerio de Sanidad. Una buena forma de asegurarnos dicho cumplimiento, y en ocasiones obligatorio para las empresas, es mediante la realización de una Evaluación de Impacto. En H&A preparamos este tipo de evaluaciones ajustándolas a cualquier tipo de tratamiento.
- Universidades e Instituciones de enseñanza vs. reconocimiento facial en la identificación para realizar exámenes.
Esta situación excepcional también está afectando con gran incidencia al sector de la educación. Y es que el derecho a la educación, definido como un derecho fundamental, está siendo afectado por las diferentes y nuevas amenazas a las que se enfrenta la educación telemática frente a la presencial. Recientemente, la AEPD ha publicado un Informe en el que se evalúa la licitud del uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online. Lo que se pretende con esta tecnología es suplir el vacío que evidencian los exámenes telemáticos frente a los presenciales en lo que respecta al control y vigilancia durante los exámenes y a la posible suplantación. Sin embargo, diversos informes del ámbito universitario apuntan a que existen métodos alternativos al reconocimiento facial y que se han venido aplicando hasta la fecha, como la asignación de identificadores de acceso o el empleo de herramientas de videoconferencia o webcams.
Además, en relación con el reconocimiento facial, existen dificultades de implantación por falta de medios tecnológicos puestos a disposición de profesores y alumnos. El tipo de tecnología aplicada en este caso consiste en el tratamiento de categoría especial de dato, por lo que para que sea lícito el tratamiento debe concurrir alguna de las excepciones previstas en el apartado 2 del artículo 9 del RGPD.
Entre las excepciones la AEPD analiza en primer lugar si sería lícito el consentimiento del alumno (art. 9.2.a) RGPD). La respuesta es clara, no podría ser un consentimiento libre si el alumno no dispone de alternativas al uso de datos biométricos, así la Agencia establece que el consentimiento únicamente podrá legitimar el tratamiento si las entidades de enseñanza logran establecer en sus normas de evaluación y en sus planes de formación los procedimientos de evaluación que acrediten la igualdad entre los alumnos que consientan el tratamiento de sus datos biométricos y los que no lo hagan.
En segundo lugar, la AEPD analiza la excepción prevista en el artículo 9.2.g) RGPD el tratamiento es necesario por razones de un interés público esencial, en este caso recuerda la jurisprudencia de nuestro Tribunal Constitucional y concluye que:
“… el tratamiento de datos biométricos al amparo del artículo 9.2.g) requiere que esté previsto en una norma de derecho europeo o nacional, debiendo tener en este último caso dicha norma, según la doctrina constitucional citada y lo previsto en el artículo 9.2 de la LOPDGDD, rango de ley. Dicha ley deberá, además especificar el interés público esencial que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse, estableciendo las reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias, sin que sea suficiente, a estos efectos, la invocación genérica de un interés público. Y dicha ley deberá establecer, además, las garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos.”
En cualquier caso, para la adopción de dichas medidas, debe atenderse al principio de responsabilidad proactiva y de protección de datos desde el diseño por defecto, para lo que resulta esencial la realización del correspondiente análisis de riesgos, conforme al artículo 24 del RGPD.
En conclusión, la utilización de datos biométricos no es una medida muy recomendable para Universidades, a menos que cuente con todas las justificaciones antes previstas, lo que incluye la Evaluación de Impacto correspondiente y que, sobre todo, existiendo otras medidas alternativas (que reitera la AEPD no han sido valoradas en este Informe) hacen que dicho tratamiento no sea estrictamente necesario para alcanzar el fin perseguido. Un análisis de todos estos aspectos por parte de un experto, como los que tenemos en H&A, es fundamental para dar cumplimiento a las obligaciones en materia de protección de datos y evitar con ello problemas que pueden derivarse de un tratamiento incorrecto de los mismos.
3. Conclusiones y recomendaciones
La salud pública no puede estar reñida con la tecnología, la privacidad y nuestra intimidad; es necesario ponderar ambas finalidades y determinar en cada caso si el tratamiento de datos se encuentra amparado por una base legitimadora, si es necesario y adecuado, o si, por el contrario, existe otra opción menos intrusiva para el usuario.
Se recomienda por tanto que, antes de implantar cualquier medida de seguridad que implique el tratamiento de datos personales y en especial datos de salud, el responsable pondere los principios de proporcionalidad y exactitud y, en este caso, la recomendación de la AEPD es seguir las directrices del Ministerio de Sanidad. Dada la complejidad de esta ponderación es conveniente acudir a un experto que nos ayude en el diseño de las políticas efectivas para cumplir con todos los aspectos de la protección de la privacidad.
Como bien argumentó la Agencia en una de sus primeras comunicaciones, la situación excepcional que estamos viviendo con el COVID legitima cualquier tratamiento que se realice con la finalidad de mitigar o paliar el virus y por razones de salud pública, intereses legítimos de los interesados, además de por las obligaciones de seguridad laboral para con los empleadores. Aquí lo determinante es probar la proporcionalidad y exactitud de las medidas, algo que sin duda debe hacerse con el respaldo de las autoridades sanitarias competentes y bajo la supervisión de un experto.
Comentarios
No hay comentarios