Leandro Hermida, Director de Tecnología y Sistemas de Ibercaja Banco, reflexiona en este artículo sobre los aspectos más relevantes del reglamento GDPR para el usuario y su información privada.

Redacción NDS

En un mundo cada vez más digital e interconectado, la información es el activo más importante y necesario para un correcto funcionamiento del ecosistema digital y de las interrelaciones entre los distintos actores.

Es verdad que la información y su relevancia no es un tema nuevo ni exclusivo del mundo digital, ya que cualquier transacción e interrelación implica de alguna manera intercambio y gestión de datos e información, independientemente que esta sea digital o no.

Lo que sí ha cambiado, y de forma sustancial, es que, derivado por un lado del crecimiento y expansión del mundo digital, y por otro de las mayores capacidades tecnológicas disponibles en la actualidad, ha crecido exponencialmente la diversidad y el volumen de datos que se almacenan, procesan e intercambian continuamente como parte de las relaciones y servicios en los entornos digitales.

Esto nos lleva a que se incrementen los riesgos derivados de un mal uso, intencionado o no, de la información y especialmente de la información de carácter privado y / o confidencial, y una parte importante de esos riesgos está relacionada con el modo en que compartimos y gestionamos la información privada y / o confidencial que cedemos a terceros.

Aunque la mayoría de los países están revisando e incrementando las regulaciones aplicables a los datos privados, la Unión Europea y en especial España, somos de los más avanzados en esta materia.

El Reglamento General de Protección de Datos (GDPR) (Reglamento 2016/679) es una normativa de ámbito europeo a través del cual el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea buscan dos objetivos fundamentales, por un lado, reforzar y, por otro, estandarizar las medidas de protección de datos para todos los ciudadanos dentro de la Unión Europea (UE).

Otro de los aspectos relevantes que busca, es cubrir es la exportación e intercambios de datos personales fuera de la UE y con terceros países.

El objetivo que busca el Reglamento General de Protección de Datos (GDPR) (articulado a través del Reglamento 2016/679) es dar mayor control y capacidades a los ciudadanos y residentes sobre la cesión, uso y gestión de sus datos personales, así como estandarizar y simplificar el entorno regulador de los negocios internacionales unificando la regulación dentro de la UE.

Este Reglamento reemplaza a la Directiva de protección de datos (oficialmente Directiva 95/46 / CE) de 1995, que fue adoptado el 27 de abril de 2016. Se convierte en ejecutivo a partir del 25 de mayo de 2018 tras una transición de dos años y, a diferencia de una Directiva, no obliga a los gobiernos nacionales a aprobar ninguna legislación habilitante, por lo que es directamente vinculante y aplicable.

En general todas las regulaciones sobre protección de datos, como la GDPR europea, intentan otorgar mayor capacidad y control a los usuarios sobre cómo quieren que se gestionen sus datos privados por parte de terceras partes. Esto implica, por un lado, que concede una mayor capacidad de decisión y control al usuario y propietario de los datos pero, por otro lado, implican un mayor conocimiento y responsabilidad en la gestión de los mismos.

Los aspectos más relevantes del reglamento GDPR para el usuario y su información privada son los siguientes:

Cesión y obtención de datos personales

Cada vez que un tercero necesite obtener información de un usuario (ciudadano dentro de la UE) deberá obtener su consentimiento explícito para la obtención, custodia y tratamiento de los datos personales.

Además, existe la obligación de informar al usuario sobre el plazo de conservación de los datos y las posibles transferencias internacionales.

Por último, deber ser fácilmente entendible y asumible por el usuario final, por lo que tendrán que mostrar sus condiciones de forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo.

Finalidad y custodia de la información

El consentimiento explícito del usuario define que los datos serán recogidos para los fines determinados y que no pueden utilizarse, en ningún momento, con un propósito distinto del acordado. 

Asimismo, la información recogida será mantenida solamente durante el tiempo determinado que recoja el fin de estos.

Protección de la información

Las terceras partes que obtengan custodien y traten información de carácter personal deben crear mecanismos de protección adecuados para el procesamiento de datos y también garantizar mediante unas prácticas de seguridad adecuadas en acceso a los mismos en todo momento.

Ello también implica que ante cualquier incidente que implique fugas de datos se deberá notificar en tiempo y forma al propietario de los mismos.

Derecho al olvido y eliminación de la información

Aun siendo a veces un aspecto controvertido, con el objetivo de reforzar el control del propietario de la información se refuerza la posibilidad de eliminar la información gestionada por el tercero en cualquier momento y bajo petición del propietario.

Y, por primera vez, el Reglamento incluye la posibilidad de que el consumidor decida el tiempo de duración de la información tratada.

De todos los aspectos que cubre el reglamento GDPR, quizás el más relevante para la protección de nuestros datos está relacionado con el conocimiento y buen uso de las medidas y controles que tenemos a nuestra disposición para la gestión y protección de nuestros datos personales bajo custodia de un tercero.

Para ello es importante conocer las medias de acceso y protección que el tercero pone a nuestra disposición, seguir siempre las recomendaciones que de seguridad que nos ofrecen y ante cualquier duda contactar con el tercero que custodia nuestros datos.

En general las buenas practicas y recomendaciones generales para la adecuada protección de nuestra información son las siguientes:

Utilizar siempre contraseñas distintas y lo más seguras posible para cada servicio

Cuanto más complejas sean las contraseñas utilizadas, más difícil será que otros las adivinen y así evitar accesos indebidos o el robo de tus datos personales por parte de terceros no autorizados.

Contraseñas complejas implican cadenas largas que combinan todas las tipologías disponibles de mayúsculas, minúsculas, símbolos y números.

También es muy recomendable no utilizar la misma contraseña en todos servicios y/o accesos, ni incluir cadenas fácilmente reconocibles como fechas de nacimiento, códigos de identificación o números de teléfono.

Las contraseñas no se deben compartir con terceros por ningún medio, son personales e intransferibles.

Se deben renovar de forma frecuente creando nuevas contraseñas y, sobre todo, ante la mínima sospecha de problema o compromiso de esta.

Utilizar factores de protección adicionales a las contraseñas en la medida de lo posible.

Hoy en día existen mecanismos alternativos a las contraseñas o en combinación con estas que ofrecen mayor protección de seguridad y pueden configurarse y utilizarse desde nuestros dispositivos personales para el acceso a nuestros datos.

Mecanismos como la biometría, segundos factores de autenticación como pines, SMS, claves, etc. complementan la protección que ofrecen las contraseñas con una capa de seguridad adicional y son muy recomendables para evitar los robos y compromisos de contraseñas o los accesos no autorizados a nuestra información.

Extremar el cuidado con la información que compartes en tus redes sociales

La información disponible públicamente en redes sociales puede ser accesible por quien no queremos y también puede utilizarse para conocer aspectos que permitan realizar fraudes, suplantación de identidades o ataques complejos de ingeniería social para acceder y/o robar nuestros datos.

Siempre utilizar y configurar adecuadamente los controles de privacidad de cada una de tus cuentas para decidir quién y cómo puede ver tu información y que esta no pueda ser vista por cualquier persona.

Permite la cesión y uso de tus datos personales sólo en sitios de confianza

Hoy en día casi cualquier servicio, pagina web, aplicaciones, etc. piden la obtención de datos personales. Es importante conocer la veracidad y la confianza del tercero que está detrás del servicio, qué datos necesitan y para qué van a ser utilizados.

Asegúrate de que las páginas web y los servicios que utilizas sean auténticos y que cumplan medidas básicas como disponer un certificado que identifique a la entidad que está detrás, y que además los dato se compartan a través de protocolos seguros como el SSL (Secure Sockets Layer).

Si una página web es legítima y de la empresa que dice ser, así como los protocolos de comunicación que utiliza, pueden conocerse a través del navegador.

Ante la duda consultar con la empresa que provee el servicio.

Instala y utiliza software únicamente de sitios reconocidos

Existen sitios web de descarga gratuita de programas que engañan a los usuarios para obtener datos y acceso a tu computadora, y al descargar la aplicación se ejecutan de forma oculta contenidos maliciosos que destruyen o que se apropian de los datos almacenados, como números de tarjetas, número de seguro social, contraseñas, correos electrónicos, entre otros. Para evitar esta situación, navega y descarga únicamente contenidos de sitios web conocidos y de confianza.

Siempre revisa los términos y condiciones

Aunque a veces pueda ser pesado siempre revisa y asegúrate de entender los términos y condiciones de uso de un servicio. Esto permite conocer el uso que se va a dar a tus datos personales y qué derechos tiene el tercero proveedor del servicio.

Siempre desconfía y especialmente de solicitudes o contactos desconocidos o sospechosos

Cualquier solicitud o contacto por parte de un tercero desconocido pidiendo envío de archivos o solicitud de información es sospechosa de ser utilizada para fines ilícitos.

Una de las formas más habituales de robo de datos es mediante la instalación de malware, mediante la suplantación de la identidad de un tercero o la solicitud de datos mediante paginas falsas. En todos ellos se busca engañar al usuario para obtener sus datos de forma fraudulenta.

En caso de duda consultar con el proveedor del servicio.

Evita conexiones a redes públicas o no seguras

Existen muchos lugares que ofrecen accesos gratuitos a redes Wi-Fi u otros tipos de accesos, pero en estos casos no existe garantía de conocer quién puede acceder a tus dispositivos y al tráfico de información que generan, ni cuáles son las medidas de seguridad que posee.

Si no queda más remedio y decides conectarte, es muy recomendable que limites el uso, nunca ingreses datos privados ni accedas a servicios bancarios, correo electrónico y redes sociales.

Cierra siempre correctamente todas tus sesiones

Cuando finalices el uso de cualquier servicio a través del navegador o de cualquier otra aplicación y/o herramienta, recuerda siempre cerrar tu sesión de forma controlada.

Utiliza herramientas de protección como los antivirus, firewalls y similares en tus equipos y mantenlos actualizados

Protege tu equipo con programas antivirus y firewalls y configúralos para que se actualicen frecuentemente. La protección de tus datos personales en Internet es lo más importante. Pon en práctica estas recomendaciones para reducir en gran medida las posibilidades de que tu información caiga en malas manos o sufras un robo de identidad.

Mantén actualizados y al día tus equipos electrónicos especialmente con los parches y actualizaciones de seguridad

Todos los equipos electrónicos que hoy en día usas para gestionar o acceder a tus datos personales disponen de elementos como hardware y software que necesita estar al día en cuanto a las actualizaciones que incluyen nuevas características, corrección de vulnerabilidades y controles de seguridad.

Frecuentemente aparecen vulnerabilidades o nuevos mecanismos sofisticados para el acceso no autorizado o robo de datos, que requiere a los fabricantes del software y del hardware realizar mejoras e implantar nuevos controles en los mismos.