23 de abril de 2020

Apps, estudios de movilidad y protección de datos en tiempos del Coronavirus

Autora: Camino García Murillo,
Abogada especializada en Derecho Digital
Meraki Abogados TIC


La crisis mundial sin precedentes originada por el virus del Covid-19 nos ha enfrentado a nuestra propia realidad, la fragilidad de una sociedad que ha visto tambalear sus cimientos desde sus raíces más profundas, la salud colectiva, y que ha generado un impacto colateral en materia de protección de datos que presenta grandes retos jurídicos y éticos.

Entre las iniciativas que en las últimas semanas el Gobierno ha puesto en marcha, destacan las incluidas en la Orden SND/297/2020, de 27 de marzo, que encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19. Se centra la Orden en varias líneas de desarrollo que implican el tratamiento de datos en dos contextos diferenciados:

  1. DESARROLLO DE APLICACIONES con el fin de recopilar datos personales para mejorar la eficiencia operativa de los servicios sanitario y mejorar la atención y accesibilidad de los ciudadanos: Según lo previsto en la Orden SND/297/2020, las aplicaciones son de instalación voluntaria por parte del interesado y permiten la recogida de datos personales para facilitar la autoevaluación y consultar información relevante sobre la enfermedad, así como recopilar la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar. En estos casos, el dato de geolocalización se vincula al usuario que se ha descargado la app, pero no se utiliza para analizar las costumbres de movilidad sino para para saber en qué comunidad se encuentra el interesado, con el fin de proponerle el protocolo que le corresponde.

Ya se ha abordado con rigor y buen criterio en artículos como "A la muerte por protección de datos" de Ricard Martínez, la pertinencia del tratamiento de datos de salud en este contexto, tomando en consideración el interés vital previsto en los artículos 6 y 9 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), así como el interés público en el ámbito de la salud pública.

Ello no obstante, el hecho de que exista una base que legitime el tratamiento de estas categorías de datos especialmente sensibles en el contexto actual, no supone un cheque en blanco para gestionar esta información de manera discrecional por parte de las autoridades competentes. Muy al contrario, el tratamiento de datos de salud y de localización será legítimo, en tanto en cuanto se respeten todas y cada una de las obligaciones establecidas en el propio RGPD:

  • limitación del plazo de conservación,
  • minimización de los datos recabados y exactitud de la información,
  • integridad y confidencialidad,
  • responsabilidad proactiva
  • lealtad y transparencia


  1. REALIZACIÓN DE UN ESTUDIO DE MOVILIDAD ASOCIADO A LA CRISIS SANITARIA.

Además del desarrollo de apps con los fines mencionados, el Gobierno ha lanzado un proyecto gestionado por el Instituto Nacional de Estadística (INE) para analizar las costumbres de movilidad durante el estado de alarma y en los días previos al confinamiento. El estudio de movilidad cubre todo el territorio nacional, dividiendo España en unas 3.200 áreas de movilidad, que identifican agrupaciones de población de entre 5.000 y 50.000 habitantes. Los datos de posición analizados permiten tener una muestra más de 40 millones de teléfonos móviles en toda España. Con este estudio se podrá conocer si tras la entrada en vigor de las medidas de distanciamiento social aumentan o disminuyen los movimientos de la población entre territorios, si hay áreas con una mayor aglomeración o afluencia o si hay zonas con una alta concentración de población en relación con su capacidad sanitaria.

El Gobierno ha indicado a través de un comunicado publicado en el sitio web www.moncloa.gob.es (ver aquí) que este estudio de movilidad no rastrea movimientos individuales, sino que emplea datos de posicionamiento de los dispositivos móviles, anónimos y agregados, proporcionados directamente por los operadores eliminando cualquier información personal, sin identificar ni realizar seguimientos de números de teléfono o titulares de forma individual. Añade en su comunicado que, al no emplear datos personales, y usar solo datos anónimos y agregados, este estudio no entra en conflicto con el Reglamento General de Protección de Datos o la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, y sigue las directrices marcadas por la Agencia Española de Protección de Datos.

Por su parte, la Orden SND/297/2020 indica que “los datos para el estudio de movilidad SE RECABARÁN de manera agregada y anonimizada”. Nos encontramos ante un estudio respecto del cual se afirma la utilización de datos RECABADOS de manera anonimizada.

Según se explica en www.maldita.es (ver artículo aquí) los datos se piden a las operadoras de telefonía, como Telefónica (Movistar), Vodafone u Orange; estas obtienen los datos de localización a través de la red de antenas que hay desplegadas por el territorio nacional. Los móviles están conectados a ellas para poder tener red móvil, por lo que pueden saber cuántos dispositivos hay en una zona geográfica determinada. Las operadoras cuentan con esta información gracias a sus divisiones de análisis de datos: Luca (Telefónica), Vodafone Analytics (Vodafone) y Flux Vision (Orange). Los operadores empaquetan la información de manera anonimizada y la ponen a disposición del INE.

Hasta aquí, todo parece correcto. El INE, como organismo que solo recibe datos anonimizados para la realización de este estudio, ni siquiera tendría que aplicar las previsiones del RGPD, al amparo de lo previsto en el Considerando 26 del Reglamento General de Protección de Datos:

los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.


No obstante, el procedimiento indicado de obtención de datos por el INE contrasta con la atribución expresa que se realiza en la Orden SND 297/2020 de la figura de Encargado del Tratamiento a los operadores de comunicaciones electrónicas móviles. Y es que el artículo 4.8) del Reglamento General de Protección de Datos define la figura de encargado del tratamiento como “la persona física o jurídica autoridad pública servicio u otro organismo que trate datos PERSONALES por cuenta del responsable del tratamiento.”

Si, tal y como se indica en la Orden SND 297/2020, los operadores de comunicaciones actúan como encargados del tratamiento, el INE será el responsable del tratamiento de datos personales (así se indica en la Orden 297/2020), y el responsable de que los operadores realicen, en su nombre y por su cuenta, el proceso de anonimización.

Ya no parece tan clara la afirmación de que “al no emplear datos personales, y usar solo datos anónimos y agregados, este estudio no entra en conflicto con el Reglamento General de Protección de Datos”. Para el desarrollo del proyecto, el operador, en calidad de encargado del tratamiento deberá anonimizar los datos siguiendo las instrucciones del INE como Responsable de los datos personales cuya anonimización se pretende. El INE es el responsable de garantizar la anonimización de los datos por parte de los operadores, debiendo dar instrucciones precisas y debiendo controlar el proceso a aplicar por parte de estos. Pero ¿sabemos qué medidas ha adoptado el INE para asegurar la correcta anonimización de datos por parte de los operadores? Hasta ahora solo se ha hablado de celdas, áreas de movilidad o agrupaciones de población, pero sin detallar el procedimiento que impida conectar estos datos con sus respectivos titulares.

En este sentido, la Agencia Española de Protección de Datos (AEPD) propone en su documento de Orientaciones y garantías en los procedimientos de anonimización de datos realizar auditoría del proceso de anonimización como elemento fundamental del mantenimiento de la confianza de los interesados, ya que la falta de confianza en la confidencialidad de los procesos de anonimización podría provocar “inquietud social” repercutiendo negativamente en la explotación de datos anonimizados.

Indica la AEPD que los resultados de la auditoría podrían (en mi opinión, deberían) darse a conocer a los interesados facilitándoles información sobre las probabilidades de reidentificación y las buenas prácticas acreditadas en el proceso de anonimización.

Y es que es posible que distintos campos, en principio anónimos, convenientemente agrupados y cruzados, se conviertan en un atributo que llegue a comprometer la privacidad de las personas. Por lo tanto, la anonimización no debe limitarse a la simple aplicación rutinaria y pasiva de determinadas reglas de uso común sino que el responsable del tratamiento (INE) debe analizar los riesgos de reidentificación en sus procesos de anonimización, con el objetivo de reducir la probabilidad de que el cruce de campos con otros contenidos en fuentes de datos externas pueda representar un riesgo para los derechos y libertades de los individuos sujetos de su tratamiento.

Se echa en falta que la propia Orden SND 297/2020 hubiera incluido en su apartado Cuarto, algo más que la referencia genérica al cumplimiento de la normativa de protección de datos. Con un Reglamento General de Protección de Datos cuyo contenido pivota en el principio de responsabilidad proactiva o “accountability”, lo más acertado habría sido ofrecer a la ciudadanía información detallada, rigurosa y actualizada de manera permanente en relación con las salvaguardas adoptadas para garantizar la anonimización durante todo el desarrollo del estudio de movilidad.

Para el ciudadano sobre cuyos datos personales se apliquen procedimientos de anonimización, la información veraz y detallada sobre las salvaguardas adoptadas es el mejor mecanismo para evitar bulos y sospechas (¿infundadas?) sobre un posible gran hermano que todo lo controla, así como para generar confianza y seguridad jurídica, tan necesarias en el contexto actual que vivimos y en el futuro, más desconocido que nunca, al que nos encaminamos.

Si te gustó esta entrada, tal vez te interesará leer:

Imagen inicial: pexels- canva

5 de febrero de 2020

¡Atacaron mi ordenador! ¿Y ahora qué hago?


Autora: María Isabel Carmona González
Abogada especializada en Derecho Digital
Miembro de la Sección de Derecho digital e innovación y Gestión de despachos.



A día de hoy, expresiones como ciberataque, ramsomware o brecha de seguridad que para la mayoría de nosotros eran conceptos exóticos pertenecientes a un universo friki alejado de nuestra actividad profesional se han convertido desgraciadamente en una realidad bien tangible. Las posibilidades de sufrir una incidencia de este tipo han aumentado de tal forma que la pregunta a plantearnos ya no es ¿podré sufrir un ataque? sino ¿cuándo lo voy a sufrir?

Por ello, la implantación de una política de ciberseguridad se ha convertido en un elemento esencial en la configuración de nuestro despacho, por muy pequeño que este sea, debido a las gravísimas consecuencias que pueden conllevar incidencias de este tipo: desde daños reputacionales o pérdidas económicas hasta la asunción de responsabilidades legales derivadas de los eventuales daños que se ocasionen a terceros.

En esta entrada vamos a hablar de:
1. Política de ciberseguridad
2. Ciberseguros
3. Contenido del ciberseguro

1. La Política de Ciberseguridad: Prevenir y reaccionar.

Con independencia del tamaño que tenga nuestro despacho, la política de ciberseguridad que diseñemos para el mismo debería comprender tanto elementos preventivos como de reacción por si finalmente se produce un incidente.

Para empezar, es imprescindible llevar a cabo un análisis en profundidad de los riesgos específicos a los que puede verse expuesta nuestra organización lo que, junto con el inventario de los recursos de que disponemos, nos ayudará a determinar nuestras vulnerabilidades y necesidades en este ámbito.

Como elementos de carácter preventivo que debería contener nuestra política de ciberseguridad podemos destacar:

- La implantación de medidas técnicas y organizativas de seguridad tanto en los sistemas como en los procedimientos habituales del despacho (relativos a la confidencialidad de la información, cumplimiento normativo, control de autorizaciones y accesos a los recursos, sistemas actualizados, antivirus, cortafuegos, designación de CISO o DPD, etc).

- Concienciar y formar en esta materia a trabajadores y colaboradores.

- Establecer códigos de conducta, adaptación a normas ISO/ENS o la contratación de ciberseguros.

Si pese a las precauciones adoptadas somos objeto de un ciberataque es preciso que tengamos asimismo preparadas una serie de medidas para poder reaccionar de inmediato y minimizar los posibles daños, sin tener que improvisar en el fragor del momento. Entre ellas se incluirían:

- Protocolo de actuación ante la incidencia, identificando medidas a adoptar y los responsables de hacerlo.

- Procedimiento para contactar con INCIBE-CERT.

- Mecanismos de gestión de la eventual responsabilidad con terceros (cláusulas contractuales, seguros, etc)

- Protocolo de notificación de brechas de seguridad, en su caso.

2. Ciberseguros

Entre las medidas expuestas vamos a detenernos en una que pese a las posibilidades que ofrece hasta ahora no ha desempeñado un gran papel en su implementación como medida de ciberseguridad: la contratación de un ciberseguro que nos proteja frente a brechas de seguridad o riesgos derivados de ciberataques o intrusiones de terceros en nuestros sistemas.

En el mercado existen actualmente diferentes tipos de productos entre los que podemos encontrar el que mejor se adapte a nuestra situación específica. Pero, previamente, deberemos acudir al análisis de riesgos que hayamos realizado que será el que determinará el nivel y la categoría de riesgos a los que estamos sometidos y las coberturas que necesitaremos. Una vez claras nuestras necesidades concretas se nos plantean diversas cuestiones:

- ¿Es obligatorio contar con uno?

Actualmente la respuesta es no. Sin embargo, está empezando a debatirse la conveniencia de que en el futuro la regulación de determinados sectores, especialmente sensibles, pueda empezar a exigirlos.

- Vale, no es obligatorio pero ¿es conveniente?

Depende de los supuestos concretos y aquí volvemos de nuevo a la importancia de nuestro análisis de riesgos. No debemos perder de vista que en los últimos tiempos se está asentando en nuestro sistema la cultura del compliance , hasta ahora más propia del entorno jurídico anglosajón. De manera simplificada, bajo este prisma los operadores deben analizar e identificar los riesgos a los que puede verse sometida su actividad y en consecuencia adoptar las medidas que sean necesarias para prevenir y mitigar dichos riesgos. Dichas medidas podrían no venir establecidas en un catálogo de obligado cumplimiento sino que serán elegidas de manera justificada por el responsable por estimar que son las más adecuadas para lograr el objetivo perseguido. Como ejemplos de la incorporación de este nuevo enfoque tenemos la nueva regulación de la protección de datos introducida por el Reglamento Europeo de Protección de Datos o la implantación de los sistemas de compliance penal en las empresas.

Así pues, en función del resultado de nuestro análisis de riesgos podremos determinar:

- La naturaleza y entidad de los riesgos y sus probabilidades de materialización.

- Las eventuales responsabilidades que puedan surgir de dicha materialización en función de las obligaciones y el nivel de diligencia que debemos asumir por imperativo legal, como por ejemplo:

o Adopción de medidas de seguridad adecuadas al nivel de riesgo de la actividad y al estado de la técnica (es decir, las más apropiadas a la vista del estado de desarrollo tecnológico del momento).

o Obligación de comunicar brechas de seguridad.

o Necesidad de documentar y demostrar un comportamiento diligente en la adecuación de una actividad a los requisitos legales, etc.

- Los recursos de que dispongamos para hacer frente a las consecuencias de un incidente.

Tras lo cual podremos decidir si sería aconsejable en nuestro caso protegernos mediante la contratación de una póliza de ciberseguro.

3. Contenido del ciberseguro

Si la conclusión obtenida es que en nuestro caso sería conveniente contratar una póliza de este tipo la siguiente cuestión sería ver cuál debería ser su contenido. Como en cualquier otro seguro es preciso analizar el alcance que vaya a tener la cobertura de la póliza en cuanto a los daños cubiertos y los excluidos, los sujetos y las sumas aseguradas o los ámbitos territorial y temporal de la misma. Ahora bien, en este ámbito en concreto es muy importante valorar cuidadosamente los riesgos a los que podremos estar expuestos de manera más probable y las consecuencias que para la actividad de nuestro despacho podría tener su materialización, tanto por los daños derivados directamente de la interrupción de la actividad normal del despacho como el surgimiento de responsabilidad frente a terceros.

A estos efectos podemos señalar una serie de cuestiones específicas que, entre otras, deberíamos tener en cuenta a la hora de valorar las coberturas y exclusiones:

· Posibles riesgos derivados de intrusiones de terceros en nuestros sistemas que causen daños a los mismos o a la confidencialidad o integridad de la información (p. ej. virus, troyanos, malware, botnets, phishing, ransomware, secuestro de información, difusión de información o datos confidenciales, extorsiones y estafas, etc.)

· Responsabilidad surgida por la transmisión de virus o malware por parte de nuestros sistemas que originen daños a terceros.

· Existencia de cobertura en casos de ataques de denegación de servicio, actuaciones dolosas de empleados, supuestos de ciberterrorismo o ciberguerra o vulneraciones de datos almacenados en servidores de terceros o en la nube.

· Daños a la reputación online.

· Cobertura de las eventuales sanciones administrativas que pudieran ser impuestas (p.ej. en materia de protección de datos).

· Daños derivados de la interrupción del negocio o responsabilidad por incumplimiento de obligaciones contractuales (imposibilidad de entregar los pedidos o prestar los servicios concertados).

Por otra parte, la contratación de este tipo de seguros puede comportar, sobre todo en el caso de las pequeñas organizaciones, una ventaja adicional. Y es que puede ayudar a la implementación de otras medidas de seguridad necesarias, pues el mantenimiento de la póliza normalmente exigirá el mantenimiento de medidas de seguridad apropiadas a nuestro nivel de riesgo y de una adecuada diligencia e incluso algunas aseguradoras incluyen en sus
pólizas determinados servicios de prevención de riesgos cibernéticos, lo que puede ser otro elemento a tener en cuenta.

En definitiva, y en función de las necesidades que desvele el análisis de riesgos que debemos hacer de nuestra organización, disponer de una póliza de ciberseguro puede ser una medida muy interesante para completar la política de ciberseguridad de nuestro despacho junto con el resto de medidas técnicas y organizativas que implantemos. De esta forma podremos mantener nuestro nivel de riesgo en un rango aceptable que nos permita concentrarnos en desarrollar nuestra actividad con más tranquilidad.

Si te gustó esta entrada, tal vez te interesará leer:

Foto inicial: pexels