Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y COMPLIANCE

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Amenazas y vulnerabilidades a las que se enfrentan

Internet está lleno de amenazas que se traducen en riesgos para nuestra organización, la cual tiene, además, sus propias vulnerabilidades.

En este artículo voy a describirles algunas de las amenazas y vulnerabilidades a las que estamos expuestos en el tratamiento de datos.

A) AMENAZAS GENERALES

  • Pérdidas económicas, pérdida de clientes y daños reputacionales por incumplimiento de la legislación sobre protección de datos personales.
  • Pérdida de competitividad derivada de los daños reputacionales causados por una gestión deficiente de la privacidad.

B) LEGITIMACIÓN DEL TRATAMIENTO 

Imposición de sanciones en los siguientes supuestos:

  • Por carecer de una legitimación clara y suficiente para el tratamiento de los datos.
  • Por obtener un consentimiento dudoso o viciado, que suponga su nulidad.
  • Por tratar datos personales cuando no es necesario para la finalidad perseguida.
  • Por la habilitación errónea para el tratamiento de datos de categorías especiales.
  • Por impedir el uso anónimo de un determinado servicio cuando la identificación del usuario no es indispensable.

C) REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO

  • Carecer del Registro de Actividades de Tratamiento cuando resulta preceptivo.

D) TRANSPARENCIA DE LOS TRATAMIENTOS

Imposición de sanciones en los siguientes supuestos:

  • Por recoger datos personales sin proporcionar la debida información.
  • En el entorno web, por ubicar los avisos legales y cláusulas informativas en materia de protección de datos, como las políticas de privacidad y de cookies, en lugares de difícil localización o diseminada en diversas secciones y apartados que dificulten su acceso conjunto y detallado.
  • Por redactar la información en materia de protección de datos con un lenguaje impreciso, que impida que los afectados se hagan una idea clara y ajustada de los elementos esenciales que deben conocer para que exista un tratamiento leal de sus datos personales.

E) CALIDAD DE LOS DATOS

  • Existencia de errores técnicos y organizativos que propicien la falta de integridad de la información, permitiendo la existencia de registros duplicados con informaciones diferentes o contradictorias, lo que puede derivar en la toma de decisiones erróneas.
  • Carecer de procedimientos para garantizar que los datos están actualizados.
  • Carecer de procedimientos claros y de herramientas adecuadas para garantizar la cancelación de oficio de los datos, una vez que han dejado de ser necesarios para la finalidad para la que se recogieron.

H) DEBER DE SECRETO 

  • Accesos no autorizados a datos personales.
  • Violaciones de la confidencialidad de los datos personales por parte de empleados de la organización, por encargados del tratamiento o por terceros colaboradores.

I) TRATAMIENTOS POR ENCARGO

  • Falta de diligencia en la elección del encargado de tratamiento.
  • Inexistencia de un contrato con los encargados del tratamiento o elaboración de un contrato incorrecto que no refleje las garantías adecuadas.
  • Gestión deficiente de las subcontrataciones e insuficiente control sobre encargados y subcontratistas y, en particular, dificultades para comprobar o supervisar que éstos cumplen las instrucciones y, especialmente, las medidas de seguridad.
  • Deficiencias en los procedimientos para comunicar al responsable el ejercicio de los derechos de los interesados realizados ante los encargados de tratamiento.
  • Dificultades para conseguir la portabilidad de los datos personales a otros entornos una vez finalizado el contrato.

J) DERECHOS DE LOS INTERESADOS

  • Carencia de procedimientos para la gestión de los derechos de los interesados.
  • Dificultar o imposibilitar el ejercicio de sus derechos a los interesados.
  • Carencia de herramientas para la comunicación de rectificaciones, cancelaciones u oposiciones a los cesionarios de los datos personales.

C) TRANSFERENCIAS INTERNACIONALES

  • Carencia de mecanismos de control de cumplimiento de las garantías establecidas para la transferencia internacional.
  • Impedimentos por parte del importador para el ejercicio de los procedimientos de supervisión y control pactados.
  • Incapacidad del responsable del tratamiento para ayudar al cliente en el ejercicio de sus derechos ante el importador.

K) SEGURIDAD

  • Inexistencia de política de seguridad.
  • Inexistencia de un responsable de seguridad o deficiente definición de sus funciones y competencias.
  • Deficiencias técnicas en el control de accesos que permitan que personas no autorizadas accedan y sustraigan datos personales.
  • Deficiencias en la protección de la confidencialidad de la información.
  • Falta de formación del personal sobre las medidas de seguridad, que están obligados a adoptar y sobre las consecuencias que se pueden derivar de no hacerlo.
  • Falta de medidas de control y seguridad en el caso del teletrabajo.
  • Falta de copias de seguridad.

Por otro lado, nos encontramos con las VULNERABILIDADES, que son aquellos puntos débiles que afectan a la confidencialidad, disponibilidad e integridad de la información y que pueden ser de tipo físico, naturales, de hardware, de software, de almacenamiento, de conexión o humanas.

Veamos algunos ejemplos de vulnerabilidades relacionadas con hardware y software:

  • Conservación inadecuada de los equipos por falta de mantenimiento y cuidado.
  • Inexistencia o falta de configuración de dispositivos de respaldo o contingencia.
  • Sistemas operativos conectados a una red sin contraseñas de acceso.
  • Configuraciones indebidas de los programas informáticos, que pueden llevar al uso abusivo de los recursos por usuarios mal intencionados.
  • Programas lectores que permiten la ejecución de códigos maliciosos.
  • Ausencia de sistemas de encriptación.

Mi intención no es asustarles, es que tomen conciencia de las numerosas amenazas y vulnerabilidades a las que estamos expuestos y de la necesidad de adoptar medidas para salvaguardar la información.

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).