En esta entrevista en Lleida TV, Miquel Serrano, Delegado de Protección de Datos de ASS Plus, comparte las últimas novedades que ha aplicado la Agencia Española de Protección de Datos.
Comenzamos con Miquel Serrano, Delegado de Protección de Datos de ASS Plus, hoy dedicaremos parte de nuestra entrevista a hablar sobre las últimas novedades en protección de datos que ha publicado la Agencia Española de Datos. Miquel, bienvenido y muchas gracias, una vez más, por acompañarnos.
Encantado de estar aquí.
Hablemos de estos cambios que ha habido en la Agencia Española de Protección de Datos sobre el tratamiento de los datos biométricos. Tendrás que explicarnos qué son estos datos y qué implica la prohibición de su uso para el control horario y control de acceso que muchas empresas tienen. ¿Qué significa todo esto?
Datos biométricos son, por ejemplo, la huella dactilar, el iris o el reconocimiento facial. Estos son datos biométricos. Hasta ahora había una autorización para poder usarlos. Ahora bien, desde el Comité Europeo de Protección de Datos ha salido una norma que dice que no se pueden utilizar para control horario y desde noviembre del año pasado está totalmente prohibido.
¿Esto viene a raíz de esa noticia de que una empresa compraba el iris de la gente a cambio de criptomonedas?
No tiene nada que ver. Son conceptos diferentes. Lo que estamos diciendo aquí es que tratar con datos biométricos sensibles tiene un factor de responsabilidad y lo que se recomienda es que si hay otras formas de hacer este control horario, ya sea a través de tarjetas, llaveros o códigos, se utilicen.
Hablando de datos biométricos, aquí el tema de interés es la venta y la compra de estos iris del ojo. ¿Cuál es tu opinión respecto a lo que comentabas?
Primero hay que separar dos conceptos; ¿dónde encontramos que nos piden nuestra huella para acceder a algún lugar? Por el control horario en el trabajo, o por el acceso a un gimnasio, por ejemplo. Estas empresas deben tener cuidado porque ya se están empezando a aplicar sanciones y no son baratas. Para el control de accesos y control horario, está prohibido.
Por otro lado, lo que hacía la empresa Worldcoin era comprar la imagen del iris de la gente.
Es posible que se haya hecho esta modificación a raíz de esta cuestión.
No. Son conceptos diferentes. En cuanto a este tema de la compraventa del iris, lo que hizo la AEPD fue prohibirlo, por ahora, porque había una captura de datos sobre la cual no se informaba adecuadamente qué se haría con esos datos y a quién se podrían llegar a vender. Además, se tomaban datos de menores, posiblemente sin la autorización de las personas que los tenían a cargo. Además, el desistimiento no estaba detallado tampoco.
De acuerdo, ahora lo entiendo.
Hay que tener muy claro que el iris es una parte fundamental de la persona con la que se puede identificar. Incluso más personal que la huella dactilar.
¿Y con eso qué pueden hacer?
Pues suplantación de identidad, ciberdelincuencia, se puede sufrir acoso, etc. Es necesario que cuando se cedan o vendan estos datos, se tenga muy claro con qué finalidad se utilizarán. Yo aconsejo que no se cedan, ni vendan.
Está claro, pero ha habido muchísima gente que lo ha vendido y esta empresa de momento no lo ha utilizado. Ha pagado por esta cuestión.
Lo ha parado de comprar a nivel estatal.
Pero los datos que ya tiene comprados…
No sabemos qué hará con ellos.
Pasando a otro tema de actualidad, el sistema de verificación de edad para proteger a los menores frente al acceso al contenido de adultos en Internet que ha emitido la Agencia Española de Protección de Datos. ¿En qué consiste y cómo nos puede afectar?
Hay una preocupación por parte de asociaciones de padres y madres por la facilidad de los menores para acceder a contenidos para adultos.
Se ha hecho una propuesta que permitiría verificar si el usuario es apto o no para acceder a determinados sitios web. Esta propuesta es pionera a nivel europeo y se debe terminar de analizar para aplicarla, pero hay una gran sensibilización con estos temas porque se ha detectado un aumento del acceso a la pornografía en edades muy tempranas de 10, 11 o 12 años.
Creo que la Casa de la Moneda estará detrás del posible control que se pueda aplicar.
Estos elementos irán acompañados de la Casa de la Moneda y Timbre para adaptarlo a estos sitios web. Es un tema muy serio.
Evidentemente y para poder acceder a estos lugares tendrás que verificar quién eres.
Sí, pero se debe hacer de tal manera que no sea invasivo, que no controlen quién eres y que no haya un seguimiento. Los conceptos no son fáciles, por eso han sacado una propuesta, están intentando implementarla y están intentando verificarlo para que todo esto funcione adecuadamente.
Ciertamente, los datos son alarmantes.
Lo que me gustaría destacar del informe que he sacado de la Agencia Española de Protección de Datos es que han aumentado las sanciones. Estas sanciones vienen derivadas por el uso de los datos utilizados para que nos envíen publicidad no deseada, el otro es el de la videovigilancia, el otro son las brechas de seguridad y el otro sería todo aquel tema de recursos de Internet que no nos dan el servicio adecuado. Las denuncias han aumentado un 43% y llegan a una cifra de 21.590 reclamaciones a la AEPD.
Es increíble porque a pesar de las sanciones y a pesar de saber que existe la ley de protección de datos, muchas de estas empresas siguen actuando y además, lo hacen sin ningún pudor, posiblemente sabiendo que la multa que obtendrán no les hará ningún mal.
El problema no es la multa. El problema es que no denunciamos. A ver, yo tampoco os estoy incitando que denunciéis, ¿eh? Quizás deberíamos denunciar más, pero el problema es que somos pasivos, no denunciamos.
En cuanto a las brechas de seguridad. Tenemos muchas.
Concepto, brecha de seguridad. El concepto brecha de seguridad es la pérdida o robo o vulneración de datos. Por ejemplo, lo que se hizo en el Clínic, aquello fue una violación de seguridad, una brecha de seguridad. ¿Por qué ha sido denunciado? Porque todas las entidades y empresas están obligadas a comunicar si hemos tenido una brecha de seguridad. Si han venido a mi oficina y me han robado el servidor donde están los datos, hemos perdido un portátil, hemos sufrido un hackeo… Se debe comunicar a las autoridades de control.
¿Quiénes son las autoridades de control?
Tenemos dos en Cataluña, la Autoridad Catalana de Protección de Datos y a nivel estatal tenemos la Agencia Española de Protección de Datos. La autoridad Catalana de Protección de Datos opera sobre todo lo que sea de carácter público: hospitales, ayuntamientos, colegios, etc. y todas las demás entidades debemos ir a la AEPD.
Es importante comunicarlo. Porque si no se comunica y se utilizan de forma fraudulenta estos datos, nos pueden sancionar.
Pueden sancionar a aquel que no lo ha comunicado. Para terminar, consejos que nos puedas dar para estar alerta y evitar que nos engañen.
Estamos en época de la renta. Nos puede llegar un SMS diciendo que nos van a devolver unos dineros de la declaración de la renta. ¿A quién no le gusta que le devuelvan unos dineros?
Normalmente tienes que pagar.
Pero a mucha gente le devuelven dinero. Entonces, suplantan la identidad de la Agencia Tributaria o incluso de la Seguridad Social y te dicen que tienen unos dineros que te van a devolver. Entonces, cuando haces clic, te toman tus datos y te piden que te identifiques y que des unos datos bancarios. A partir de ahí ya puede haber extorsión. Por tanto, recomendamos tener mucho cuidado antes de proporcionar cualquier dato y asegurarnos de la autenticidad del lugar donde los estamos poniendo.
Mira la entrevista completa aquí.
En ASS Plus somos especialistas en seguridad y protección de datos. Nuestro equipo de expertos está preparado para ayudarte a garantizar el cumplimiento normativo de seguridad y protección de datos.
Si quieres saber cómo podemos ayudarte a cumplir con la normativa vigente, contacta con nosotros!