26 abril 2018

Cumpliendo con la GDPR

Iñigo JiménezPor Iñigo Jiménez, experto en movilidad de RedAbogacía

El 25 de mayo comienza la aplicación en la Unión Europea el Reglamento General de Protección de Datos, popularmente conocido por las siglas GDPR (General Data Protection Regulation).

Este Reglamento nace como medida para otorgar una especial protección a los ciudadanos asegurando un control pleno sobre nuestros datos de carácter personal.

El GDPR y los dispositivos móviles

Supongo que todos ya estaremos mentalizados en cuanto al cumplimiento de la GDPR en nuestra empresa y en los servicios de los que somos usuarios, pero, ¿cómo nos puede afectar el GDPR en nuestros dispositivos móviles?

Debemos de tener especial cuidado con nuestros dispositivos móviles, pues conllevan una serie de riesgos bastante importantes en cuanto a privacidad y tratamiento de datos personales:

  • Facilidad de identificación: Todos los dispositivos móviles incorporan un identificador único (IMEI) que, junto con determinados datos que generan algunas aplicaciones, hacen muy fácil identificar al poseedor del mismo. Recientemente hubo un estudio en el que se llegó a identificar de forma precisa determinados dispositivos simplemente por la batería de estos, pues la capacidad de almacenamiento y los patrones de su carga/descarga hacen que cada batería sea “única” y por tanto sirve como elemento de identificación único.
  • Recolección constante de múltiples datos personales: Gracias a los sensores que tienen los dispositivos móviles, tales como GPS, acelerómetro, giroscopio, micrófono, cámara, WIFI, estos están permanentemente generando datos personales, como ubicación, temperatura, redes a las que se conectan.

Además, múltiples aplicaciones recolectan datos muy sensibles como pueden ser datos de salud, religión, sexo, afinidades políticas, aficiones,  etc., pues, a la hora de identificarnos, permiten la identificación mediante nuestros perfiles en las redes sociales, con lo que los datos que compartamos en dichas redes (por ejemplo nombre, edad, contactos, etc.) podrán ser recolectados y usados por estas aplicaciones.
Los dispositivos móviles hoy en día son una extensión de nosotros (algunos incluso duermen con ellos), por lo que durante la mayor parte del día se están recopilando un montón de datos que permitirán obtener fácilmente un perfil muy preciso de nuestros patrones de comportamiento.
Con el auge de los asistentes personales, los dispositivos están con el micrófono activado a la espera de alguna instrucción, para el procesamiento de estas órdenes frecuentemente los sonidos grabados por los dispositivos son enviados para su interpretación a las diferentes plataformas móviles.
Y aunque no seamos conscientes de ellos, muchas aplicaciones usan librerías de terceros para poder tener informes estadísticos de uso de la aplicación.

  • Facilidad de acceso físico: Normalmente para poder tener acceso a nuestros PC’s o portátiles que usamos en nuestros despachos necesitaremos que alguien previamente nos dé acceso físico a él (a través de un conserje, una recepción).

Los dispositivos móviles son muy susceptibles al robo o al acceso por alguien ajeno a nosotros al mínimo descuido.

  • Datos en la nube: Tanto los propios markets de las aplicaciones móviles como los servicios de las diferentes aplicaciones usan servicios en la nube. ¿Somos conscientes de qué datos personales están gestionando y si estos cumplen estrictamente con el GDPR?
  • Dispositivo personal en la empresa: Si no establecemos una política muy clara en cuanto al uso de dispositivos personales y profesionales, podremos tener un gran agujero de seguridad en nuestra organización.

Si el dispositivo se conecta a las redes WIFI de la empresa, nos tendremos que asegurar que ese dispositivo tiene las medidas de seguridad mínimas para evitar propagar cualquier tipo de malware y evitar filtraciones de documentación sensible y que además ese dispositivo está en la lista blanca de dispositivos que la organización permite conectarse.
Además deberemos asegurarnos de que el dispositivo tiene activado el cifrado, y métodos seguros de autenticación (mediante huella, patrón o contraseña o la combinación de éstos) y estableceremos una política de actuación en los casos de pérdida o robo de los dichos dispositivos.
También es muy importante proporcionar una guía a los empleados en cuanto al uso seguro de los dispositivos tanto dentro como fuera de la organización (no conectarse a redes WIFI públicas, no usar servicios de mensajería instantánea que no tengan cifrado punto a punto, etc.).

Como resumen, en cuanto a las aplicaciones móviles y el cumplimiento de la GDPR:

  • Revisa una por una todas las aplicaciones que tengas instaladas en tu dispositivo móvil, revisando los datos que compartes y los diferentes permisos que has concedido.
  • Si vas a usar tu móvil personal en la empresa, hazlo saber al departamento de Sistemas y asegúrate de cumplir todas las normas que hayan establecidos al efecto.
  • Si no estás seguro de los datos personales que pueden estar manejándose en tu dispositivo móvil o por determinadas aplicaciones, ponte en contacto con el DPO de tu organización o con el DPO de la empresa que ha publicado dicha aplicación.

Comparte: