Enlaces de interés

 

Asociarme

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

623128927

Hemeroteca

Home / "Hemeroteca"
por ASECOPS GESTION10 de febrero de 2021 Hemeroteca0 comentarios

La utilización de sistemas biométricos para el control de acceso y control horario del personal

Fuente: Cuadernos de Seguridad.-

Después de 5 años de la aprobación del Reglamento General de Protección de Datos de la UE (RGPD), se va dando forma a las condiciones que permiten el tratamiento de carácter personal a través de sistemas biométricos. No todo tratamiento de los datos biométricos se consideran como categorías especiales de datos.

Estos sistemas biométricos, solo constituirían una categoría especial de datos, en el caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física.

En la Resolución E-07273-2020 de archivo de actuaciones la AEPD pone de manifiesto que, al objeto de aclarar las dudas interpretativas que surgen respecto a la consideración de los datos biométricos como categorías especiales de datos, puede acudirse a la distinción entre identificación biométrica y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas, de forma que:

La identificación biométrica de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

La verificación/autenticación biométrica de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).

Así pues, el tratamiento de fotografías no se considera categorías especiales de datos. Aunque en el caso del reconocimiento facial, está recogido en el libro blanco de Inteligencia Artificial de la Comisión Europea. Por todo ello, el tratamiento de datos biométricos requiere de bases jurídicas ya establecidas en el art. 6 del RGPD, con algunas de las excepciones previstas en el artículo 9.2 del RGPD.

 No obstante, aunque según la AEPD es innegable la posibilidad de utilización de sistemas basados en datos biométricos para llevar a cabo el control de acceso y horario, con carácter previo a la decisión sobre la puesta en marcha de un sistema de control de este tipo y teniendo en cuenta sus implicaciones, es preceptivo llevar a cabo el cumplimiento de las siguientes obligaciones por parte de la entidad responsable:

  • Establecer el Registro de Actividades de Tratamiento.
  • Llevar a cabo una Evaluación de Impacto relativa a la protección de datos de carácter personal para evaluar tanto la legitimidad del tratamiento y su proporcionalidad como la determinación de los riesgos existentes y las medidas para mitigarlos de conformidad con lo señalado en el artículo 35 RGPD.
  • Informar al empleado sobre estos tratamientos en los términos del artículo 13 del RGPD.
  • Deben respetarse los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos.
  • Verificar que el tratamiento es adecuado, pertinente y no excesivo en relación con la finalidad de control de acceso y control horario. Por tanto, los datos biométricos que no sean necesarios para esa finalidad deben suprimirse y no siempre se justificará la creación de una base de datos biométricos (Dictamen 3/2012 del Grupo de Trabajo del art. 29).
  • Los datos biométricos deben ser almacenados como plantillas biométricas siempre que sea posible. La plantilla debe extraerse de una manera que sea específica para el sistema biométrico en cuestión y no utilizada por otros responsables del tratamiento de sistemas similares a fin de garantizar que una persona solo pueda ser identificada en los sistemas biométricos que cuenten con una base jurídica para esta operación.
  • El sistema biométrico utilizado y las medidas de seguridad elegidas deben asegurar que no es posible la reutilización de los datos biométricos en cuestión para otra finalidad.
  • Deben utilizarse mecanismos basados en tecnologías de cifrado, a fin de evitar la lectura, copia, modificación o supresión no autorizadas de datos biométricos.
  • Los sistemas biométricos deben diseñarse de modo que se pueda revocar el vínculo de identidad.
  • Debe optarse por utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
  • Finalmente, los datos biométricos deben ser suprimidos cuando no se vinculen a la finalidad que motivó su tratamiento y, si fuera posible, deben implementarse mecanismos automatizados de supresión de datos.

Con todas estas garantías, podrá acreditarse que la actuación del responsable en relación con el tratamiento de datos biométricos para control de acceso y horario de su personal, es acorde con la normativa sobre protección de datos personales.

Redacción ASECOPS: María Cruz Míguez López

Leer más
por ASECOPS GESTION9 de febrero de 2021 Hemeroteca0 comentarios

España avanza sobre la protección de las infraestructuras críticas.

Con el Real Decreto-Ley 12/2018 de Seguridad de las Redes y Sistemas de Información, el Gobierno amplió la cobertura de la Directiva NIS (directiva Nacional de Seguridad de las Redes y Sistemas de Información) a todos los sectores esenciales y críticos en nuestro Estado. Fruto de la Directiva NIS, se ha creado un grupo de cooperación permanente del cual emanan varios grupos de trabajo que se centran en los diferentes sectores esenciales, incluyendo las infraestructuras digitales y también los proveedores de servicios digitales, además de la creación de la CSIRT Network, en la que participan INCIBE-CERT y el CCN-CERT.

En 2019 y 2020, se revisó la Estrategia Nacional de Ciberseguridad, y se revisó la Agenda Digital para España. Otras legislaciones, como la relativa a la Protección de Datos o las distintas revisiones del Código Penal en lo relativo al ciberdelito, han ido fortaleciendo el esquema normativo y estratégico. Adicionalmente, en 2019 se trabajó en la ciberseguridad del despliegue del 5G en Europa, colaborando todos los Estados miembros en el desarrollo conjunto de un toolkit de ciberseguridad.

También en 2019, y ya en 2020, se ha trabajado en el diseño y generación del Centro de Competencias en Ciberseguridad Europeo, que se ubicará en Bucarest (Rumanía). Para dicho centro, cada Estado miembro tendrá su espejo, siendo en este caso el INCIBE el elegido en España.

Durante el 2020, ha visto la luz el Foro Nacional de Ciberseguridad, que emana de la revisión de la Estrategia Nacional de Ciberseguridad, como un elemento más de coordinación e integración de las diferentes políticas públicas y privadas en ciberseguridad a nivel nacional.

Desde la puesta en marcha de los servicios de respuesta a incidentes a través del INCIBE-CERT, en coordinación con el CNPIC y la OCC, en España, se han realizado siete ediciones de ciberejercicios CyberEx España, con 30 operadores de infraestructuras críticas en cada edición; se han llevado a cabo cuatro mediciones de la ciberresiliencia en estos operadores, todas con buenos resultados; y se han realizado más de 100.000 notificaciones preventivas de posibles recursos comprometidos en sus diferentes activos, entre otros servicios que se prestan hacia estas entidades.

Todo ello muestra al menos dos aspectos muy relevantes a tener en cuenta: el compromiso de nuestras empresas en el ámbito de la protección cibernética de las infraestructuras y redes que se utilizan para la provisión de servicios esenciales y, por otro lado, que como en el resto del mundo estas infraestructuras y redes son objeto de ciberataques y ciberamenazas. Además, el sector industrial español focalizado en la ciberseguridad ha ido acompañando a estas compañías no solo en la detección y respuesta ante incidentes, sino en el crecimiento de sus capacidades de defensa y resiliencia en ciberseguridad.

España es el primer país en tener una Guía Nacional de Notificación y Gestión de Incidentes (elaborada conjuntamente por el Departamento de Seguridad Nacional, el CNPIC, el CCN, INCIBE y el Mando Conjunto del CiberEspacio), cuyos apartados más importantes se han incluido en la instrumentación técnica del Real Decreto-Ley 12/2018.

Todos estos avances son importantes, aunque no hay olvidar la responsabilidad compartida de la sociedad, la cual tiene que participar activamente en la seguridad de la red. Tanto las instituciones, como los ciudadanos y las empresas tienen que abogar por la seguridad de los servicios; con la seguridad y la concienciación  es mucho más difícil que el ciberdelito haga mella en nuestra confianza; seamos más ciberresilientes y sigamos caminando con garantías hacia un nuevo horizonte en este proceso de evolución constante.

Redacción ASECOPS: María Cruz Míguez López

Leer más
por ASECOPS GESTION8 de febrero de 2021 Hemeroteca0 comentarios

Llega la ley de Ciberseguridad 5G

El Gobierno presenta a audiencia pública el anteproyecto de ley de Ciberseguridad 5G, donde se establece los requisitos de ciberseguridad específicos para el despliegue y la explotación de redes 5G (abierto el periodo de audiencia pública del Anteproyecto de Ley de Ciberseguridad 5G, la norma legal que establecerá los requisitos de ciberseguridad específicos para el despliegue y la explotación de redes 5G.)

El objetivo de esta Ley es generar una confianza necesaria en su funcionamiento y, sobre todo, la protección frente a manipulaciones de datos o comunicaciones por agentes externos, ya que la complejidad técnica de los sistemas 5G hace que las legislaciones ya existentes no abarquen los riesgos que trae consigo. En este anteproyecto se establecen las obligaciones de los operados móviles, el Gobierno, los operadores y suministradores.

El anteproyecto realiza la traslación al marco legal español de las medidas estratégicas, técnicas y de apoyo para mitigar los riesgos de seguridad, contenidas en la caja de herramientas (tool box) consensuada entre los Estados Miembros de la Unión Europea. La caja de herramientas identifica las principales amenazas y sus fuentes, los activos más sensibles, las principales vulnerabilidades y una serie de riesgos estratégicos en el despliegue de redes 5G.

Respecto a los operadores móviles, se pueden destacar que tendrán la obligación de efectuar análisis de riesgos 5G cada dos años.; examinar las prácticas de seguridad de sus suministradores teniendo en cuenta los factores de riesgos 5G; adoptar medidas técnicas y de organización para la gestión de riesgos existentes; elaborar una estrategia de diversificación de suministradores para limitar la dependencia de la red en un solo administrador; así como comunicar el resultado de análisis de riesgo al Ministerio de Asuntos Económicos y Transformación Digital.

Por su parte, el Gobierno tendrá como principal obligación la elaboración del llamado esquema de seguridad 5G y un análisis nacional de riesgos de dicha tecnología. Tendrá que elaborar una lista de proveedores de alto, medio y bajo riesgo para que puedan trabajar en determinadas infraestructuras críticas de la red. Dicha lista será la base para decidir que compañías son vetadas, por ello, será un documento vivo que se irá actualizando.

En cuanto a las obligaciones de los operadores y suministradores destacan: el mantenimiento de las credenciales de usuario para el acceso a la red en posesión del operador; las restricciones o prohibiciones para utilizar equipos, programas o servicios de suministradores con cierto riesgo, pudiendo establecer cuotas de utilización, y la obligación de utilizar únicamente productos, servicios o sistemas certificados para operar con 5G. Esta certificación de productos, tendrán que someterse a una auditoría de control y de seguridad; así como una auditoría u obtención de una certificación europea de seguridad (la cual ya está siendo estudiada por ENISA) que permita la actuación en España de suministradores extranjeros.

El 5G es uno de los pilares fundamentales para Unión Europea y para la recuperación económica de España y sus empresas. Prueba de ello, es la presencia de la Estrategia de Impulso del 5G en los Presupuestos Generales del Estado y agenda España Digital 2025.

Por ello, la Comisión Europea ha encomendado a la Agencia de la Unión Europea para la Ciberseguridad, ENISA, que prepare un esquema de certificación de la ciberseguridad de la UE para las redes 5G. Este protocolo ayudará a abordar los riesgos relacionados con las vulnerabilidades técnicas de las redes y mejorar aún más su ciberseguridad. Será además una guía para que los Estados miembros elaboren sus protocolos.

Este marco europeo de certificación de ciberseguridad ofrecerá sistemas de certificación reconocidos en todos los Estados miembros, lo que facilitará a las empresas el comercio transfronterizo y a los usuarios la comprensión de las características de seguridad del producto o servicio.

Imagen: lamoncloa.gob.es

Redacción ASECOPS: María Cruz Míguez López

 

 

Leer más