Protección de datos, datos personales y seguridad de la información
- ¿Qué son los datos personales?
- ¿Afecta el RGPD a todos los negocios?
- Protección de datos
- Seguridad de la información
- En definitiva…
Hoy, como cada 28 de enero desde el año 2006, se celebra el “Día europeo de Protección de Datos”, establecido por la Comisión Europea, con el objetivo de concienciar sobre la importancia de nuestros derechos y obligaciones en materia de protección de datos.
Para celebrar este día, queremos ofreceros algunos consejos sobre cómo podemos proteger nuestros datos personales en internet, ya sea cuando usamos las redes sociales, nos descargamos una aplicación o contratamos un servicio por internet, así como algunos mecanismos de seguridad que existen para salvaguardarla.
¿Qué son los datos personales?
A día de hoy, podemos decir que la protección de datos es un derecho fundamental reconocido en la Unión Europea consistente en el poder de control y disposición de las personas sobre sus datos personales.
Es decir, por un lado el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y, por otro lado, el derecho de acceder, rectificar y cancelar dichos datos, entre otros derechos.
En primer lugar, debemos dejar claro (o al menos intentarlo), qué son los datos personales.
Un dato personal es cualquier información que identifica a una persona o la hace identificable, a través del nombre, un número de identificación, o a través de uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.
Por tanto, existen distintos tipos de datos personales, como son los datos identificativos (nombre, DNI..), datos económicos, datos sociales, datos de salud, etc.
¿Afecta el RGPD a todos los negocios?
Si bien es cierto que no a todas las empresas les afecta por igual el RGPD, no es menos cierto que existen obligaciones establecidas en el RGPD que deben cumplir todas las empresas que traten datos personales de personas físicas que residan en la UE (entre otros casos), independientemente de su tamaño o actividad.
Nos referimos, por ejemplo, a la obligación que tienen las empresas que recaban datos personales de informar a los usuarios sobre el tratamiento que realizan de sus datos, qué datos están tratando y para qué fines lo hacen.
Toda esta información debe recogerse en las políticas de privacidad y en las políticas de cookies de dicha empresa.
Es muy importante que leamos dichas políticas antes de compartir nuestra información personal al descargarnos una App, contratar un servicio por internet o darnos de alta en una red social, ya que esto nos ayudará a identificar cuándo nos están pidiendo excesiva información personal para las finalidades del tratamiento y, muchas veces, no es necesaria puesto que las empresas están obligadas a utilizar solamente los datos necesarios para desarrollar la finalidad para la que son recogidos.
Las empresas que tratan datos personales deben legitimar dicho tratamiento por alguna de las vías previstas en la normativa.
La más frecuente es recabar nuestro consentimiento, a través de una acción afirmativa del usuario, por ejemplo marcando una casilla, no siendo válido un consentimiento tácito como una casilla ya marcada. También tenemos derecho a revocar dicho consentimiento en cualquier momento de una manera fácil, sin que suponga un perjuicio para nosotros.
Protección de datos
Además de tomar algunas medidas de seguridad, como establecer contraseñas robustas o no compartir información (datos) de carácter personal desde wifis públicas, es necesario que sepamos la importancia de configurar la privacidad establecida por defecto o predeterminada en nuestros dispositivos móviles, ordenadores o redes sociales, para prevenir que las empresas recaben más datos de los necesarios, o evitar que puedan comunicarlos a terceros.
Aunque parezca trivial facilitar nuestro nombre o DNI, porque es algo que hacemos habitualmente, cuando nos solicitan información (de carácter personal) a través de un formulario de una web o para descargar algún contenido, por ejemplo, puede tener graves consecuencias.
No es necesario tener conocimientos específicos en materia de seguridad informática para conseguir recabar información de una persona de manera ilícita e intentar suplantar su identidad, o utilizarla con fines “turbios”.
Seguridad de la información
Vamos a desarrollar un caso práctico:
Supongamos que se filtra un fichero de datos personales de una web en la que recientemente hemos solicitado información para contratar un producto para la empresa en la que trabajamos.
Esto significaría que nuestro e-mail y nuestro nombre estarían pululando por internet en un fichero de texto, y cualquiera podría tener la correspondencia entre un nombre y un e-mail. Este dato es preciado, ya que con él podemos validar una identidad o involucrar a terceras personas, al descubrir datos en cascada.
Una simple consulta en un buscador probablemente devuelva información sobre nuestra ubicación, redes sociales, referencias en webs, entre otros, que permiten recabar la información suficiente como para llevar a cabo un intento de suplantación de identidad, o bien llegar hasta un objetivo más ambicioso.
En este caso, buscando por nuestro nombre o e-mail en una conocida red social de empleo, podría indicar en qué empresa estamos trabajando actualmente, dando lugar al descubrimiento de otros compañeros de trabajo y probablemente, también de los datos de alguien del departamento financiero/junta directiva, etc.
El hecho de recabar información con el objetivo de suplantar a una persona concreta de una empresa (un cargo importante y/o el departamento financiero), ilustra el escenario perfecto para efectuar un “spear phishing”.
Sabiendo el formato que tiene un email corporativo, no es complejo adivinar una cuenta válida si sabemos el nombre. Actualmente, dado que muchas empresas se encuentran con teletrabajo 100%, la comunicación en ocasiones no es todo lo fluida que debería ser, y esto facilita que un phishing de este tipo pueda tener éxito.
Por ejemplo, un correo suplantando a un mando que se encuentra de viaje, y pide al departamento financiero que se haga un pago urgente o se abra un fichero (que encriptaría todo el equipo que lo abra, pidiendo un rescate para liberarlo) ya que se ha perdido el acceso al correo, o tiene alguna casuística extraordinaria que, además, necesita de solución inmediata.
No es necesario que el envío se haga desde una cuenta de correo corporativa, puesto que el remitente se puede falsear. Incluso alegando que no se tiene acceso al correo, dando una serie de datos personales que se pueden encontrar por Internet, junto con la tensión de las prisas, hace que la víctima efectúe la acción requerida.
En definitiva…
Como habéis podido leer, debemos ser cuidadosos con la información personal que compartimos en internet, y sospechar cuando las empresas nos solicitan una información exagerada o recibimos un email que no esperamos en nuestra bandeja de entrada.
El hecho de que recibamos un email no esperado, puede ser un síntoma de que nuestro correo se ha filtrado por algún medio, y el contenido de nuestro equipo puede estar en peligro.
De igual manera, podría ser un SMS o un WhatsApp indicando que abramos un enlace, el que podría hacer que se ejecute una app maliciosa que se propague a todos nuestros contactos.
Es, por tanto, crucial que nos preocupemos por controlar a quiénes damos nuestros datos personales y para qué son utilizados.