AUDITORÍA DE SEGURIDAD

AUDITORÍA DE SEGURIDAD

1.      MOTIVACIÓN LEGAL

BOE-A-2022-7191 Real Decreto 311/2022, de 3 de mayo,
por el que se regula el Esquema Nacional de Seguridad

Artículo 31.1. Auditoría de la seguridad.

1. Los sistemas de información comprendidos en el ámbito de aplicación de este real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS.

Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en los sistemas de información, que puedan repercutir en las medidas de seguridad requeridas. La realización de la auditoria extraordinaria determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria, indicados en el párrafo anterior.

El plazo de dos años señalado en los párrafos anteriores podrá extenderse durante tres meses cuando concurran impedimentos de fuerza mayor no imputables a la entidad titular del sistema o sistemas de información concernidos.

2.      NECESIDAD DE AUDITORÍA EXTRAORDINARIA

Proyecto anterior

El resto de la web de Ayuntamiento mide las estadísticas de visitas.

Como motivación del anterior proyecto se planteó incrementar el servicio prestado, orientando a los usuarios según su caso. Para ello, se crearon programas que tratan información dinámicamente.

Los programas creados, orientan al usuario en función de datos personales tecleados por el propio usuario. Al hacerlo el usuario teclea nombre, datos de contacto, e historial personal. Y el programa ayuda a redactar documentos formales. Por ejemplo, curriculum, mensajes de respuesta a ofertas de empleo concretas, plan de empresa, etc.

Estos datos tecleados por el usuario son mucho más personales, que las visitas. Y los documentos generados por el servicio web también. Por lo que requieren procedimientos de seguridad más cuidadosos.

Proyecto nuevo

Esto supone una “modificación sustancial en los sistemas de información”, por lo que, conforme al artículo 31 del Esquema Nacional de Seguridad, empezamos el nuevo proyecto con una “auditoría con carácter extraordinario”.

Con los requisitos del nuevo proyecto es más necesaria aún la auditoría. Ya que el objetivo es aumentar la orientación a los casos de cada perfil de usuario. Añadiendo métodos de “Inteligencia Artificial” para mejorar la orientación. Para lo que recopilará aún más información. Y también calculará y generará información elaborada.

El Esquema Nacional de Seguridad fue aprobada en Mayo del presente año (2022). Con posterioridad a la finalización del anterior proyecto, pero con anterioridad a la aprobación del presente.

Revisión periódica

El plazo de dos años señalado en el ENS, comenzará a contar a partir de la presente auditoría extraordinaria. Y transcurridos esos dos años se tendrá que realizar otra auditoría regular.

El presente proyecto, es un proyecto experimental y terminará antes de ese plazo.

Por lo que este documento tendrá que enviarse al responsable de seguridad. Y este deberá solicitar la contratación del personal técnico necesario, dentro de 2 años.

3.      CONFORMIDAD CON EL ORDENAMIENTO JURÍDICO

Artículo 31.2. Categoría del sistema.

2. La auditoría se realizará en función de la categoría del sistema y, en su caso, del perfil de cumplimiento específico que corresponda, según lo dispuesto en los anexos I y III y de conformidad con lo regulado en la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información

Anexo I. Categorías de seguridad de los sistemas de información

1.      Fundamentos para la determinación de la categoría de seguridad de un sistema de información.

La determinación de la categoría de seguridad de un sistema de información se basará en la valoración del impacto que tendría sobre la organización un incidente que afectase a la seguridad de la información tratada o de los servicios prestados para:

  1. Alcanzar sus objetivos.
  2. Proteger los activos a su cargo.
  3. Garantizar la conformidad con el ordenamiento jurídico.

Anualmente, o siempre que se produzcan modificaciones significativas en los citados criterios de determinación, deberá re-evaluarse la categoría de seguridad de los sistemas de información concernidos.

OBJETIVOS

El proyecto EMPACE se denomina:

Sistemas de inteligencia artificial aplicados al aprendizaje en materia de empleo, formación y emprendimiento.

La memoria de actividades lo describe como:

El proyecto tiene como objetivo dar respuesta a las necesidades del territorio en materia de empleo, formación y fomento del emprendimiento, mediante la utilización de las posibilidades que ofrecen las tecnologías vinculadas al uso de Internet y la inteligencia artificial.

Se propone crear un conjunto de herramientas informáticas que permitan el aprendizaje “online” de manera interactiva, individualizada y amena, aplicando técnicas pedagógicas avanzadas de mecánica de juegos.

Línea 1: Creación de dichas herramientas utilizando inteligencia artificial, permitiendo un seguimiento automático del progreso de cada usuario, el cual se adapte a su nivel formativo y a su curva de aprendizaje. Se incorporarán casos prácticos para cada sector de actividad y se proporcionarán datos estadísticos reales, permitiendo obtener previsiones de futuro individualizadas.

Línea 2: Conexión entre las necesidades expresadas por empresarios, trabajadores y agentes sociales y económicos firmantes del Acuerdo Territorial, tanto formativas como laborales, fomentando la cultura emprendedora y la intermediación laboral mediante dichas herramientas online. En este sentido hay que aprovechar las sinergias provenientes del anterior Proyecto Experimental, creación de un “Espai Virtual para la ocupación, la formación y el emprendimiento”.

Línea 3: especial atención a las necesidades formativas y laborales de la juventud de la ciudad de Elche.

PROTECCIÓN DE ACTIVOS A CARGO

Anexo IV. Glosario

– Activo: componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos

Listado de activos

InformaciónContenidos didácticos:
Explicaciones
Traducciones
Maquetación
Ilustraciones
Diapositivas
Animaciones
Mapas
Esquemas
Simuladores
Enlaces a otros recursos  
DatosAnonimato de los visitantes.
Datos personales tecleados por los usuarios (ej: Curriculum, Mensaje de Correo, Resumen del proyeto)
 
ServiciosServidor web de acceso público.  
AplicacionesSistema operativo del servidor: GNU/Linux
Programa servidor web: NGNIX
Gestor de base de datos: MySQL
Gestor de contenidos: WordPress
Temas del gestor de contenidos: Kadence
Plugins del gestor de contenidos: >35
Codecs multimedia.
Simuladores a medida.
Gamificación a medida.
Inteligencia artificial a medida.  
EquiposAlojamiento del servidor web.
Equipos de desarrollo.  
ComunicacionesConfidencialidad de los usuarios.
Disponibilidad simultánea a los usuarios solicitantes.  
Recursos administrativos 
Recursos físicos 
Recursos humanos 

ORDENAMIENTO JURÍDICO PREVIO

Como primer paso se procede a recopilar la legislación aplicable al caso.

Empezando por la mencionada en la web general del Ayuntamiento. En concreto en la página de política de privacidad (https://www.elche.es/proteccion-de-datos-y-seguridad/):

El Ayuntamiento de Elche se rige en materia de protección de datos de carácter personal y seguridad de la información, principalmente, por los siguientes marcos normativos:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (RGPD en adelante).
  • Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos de Carácter Personal y garantía de los derechos digitales (LOPDGDD en adelante).
  • Real Decreto 3/2010 de 8 de diciembre. Esquema Nacional de Seguridad (ENS en adelante).
  • Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

DISPOSICIONES DEROGADAS

Al buscar la legislación mencionada en la web, en el BOE: ¡se encuentran la mitad de las disposiciones derogadas!

BOE-A-2010-1330Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica  Disposición derogada
BOE-A-2015-11881Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.  Disposición derogada

RECOPILACIÓN DE LEGISLACIÓN VIGENTE

Al buscar que legislación está derogada, modificada o vigente he encontrado la siguiente lista por orden de fecha:

BOELeyTema
BOE-A-1985-5392Ley 7/1985, de 2 de abrilReguladora de las Bases del Régimen Local
BOE-A-2002-13758Ley 34/2002, de 11 de juliode servicios de la sociedad de la información y de comercio electrónico
BOE-A-2007-18243Ley 25/2007, de 18 de octubrede conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones
BOE-A-2012-4442Real Decreto-ley 13/2012, de 30 de marzopor el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista
BOE-A-2014-4950Ley 9/2014, de 9 de mayoGeneral de Telecomunicaciones
BOE-A-2015-5854Real Decreto 381/2015, de 14 de mayopor el que se establecen medidas contra el tráfico no permitido y el tráfico irregular con fines fraudulentos en comunicaciones electrónicas
BOE-A-2015-10565Ley 39/2015, de 1 de octubredel Procedimiento Administrativo Común de las Administraciones Públicas
BOE-A-2015-10566Ley 40/2015, de 1 de octubrede Régimen Jurídico del Sector Público
DOUE-L-2016-80807Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
BOE-A-2018-16673Ley Orgánica 3/2018, de 5 de diciembrede Protección de Datos Personales y garantía de los derechos digitales
BOE-A-2019-15790Real Decreto-ley 14/2019, de 31 de octubrepor el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones
BOE-A-2021-6872Real Decreto-ley 7/2021, de 27 de abrilde transposición de directivas de la Unión Europea en las materias de competencia, prevención del blanqueo de capitales, entidades de crédito, telecomunicaciones, medidas tributarias, prevención y reparación de daños medioambientales, desplazamiento de trabajadores en la prestación de servicios transnacionales y defensa de los consumidores
BOE-A-2022-7191Real Decreto 311/2022, de 3 de mayopor el que se regula el Esquema Nacional de Seguridad

ENVIO DE INFORMACIÓN PERSONAL A TERCEROS NO PERTENECIENTES A LA UNIÓN EUROPEA

Google Analytics

En el proyecto anterior se instaló un paquete de estadísticas de la empresa Google, Inc. con domicilio en los Estados Unidos.

Este paquete enviaba información personal a la empresa externa:

Información personal enviada a Google
IP personal de cada usuario
Páginas visitadas por cada usuario.
Marca, modelo y versión del Sistema operativo del ordenador de cada usuario.
Tipo de ordenador de cada usuario: móvil / Tablet / ordenador personal
Marca, modelo y versión del Navegador del ordenador de cada usuario.
Geolocalización de cada usuario.

Esta información se lista detalladamente en el panel del módulo. Lo que confirma que la información está constantemente almacenada en la empresa prestadora del servicio.

Además, lista información sobre:

Información personal que Google obtiene al identificar el mismo usuario en otras webs.
Sexo
Edad
Temas preferidos por el usuario al visitar esta, y otras webs

Con esta información Google podría cruzar los datos con otras webs y llegar saber, por ejemplo:

Tal IP corresponde a una mujer, de 45 años, parada, que lee webs de izquierdas, y busca información sobre anticonceptivos. Y el negocio de Google, consiste en cobrar a otras compañías, por la información personal para enviar publicidad dirigida.

Y esto con la complicidad de entidades de servicio público.

Esto es un trato discriminatorio que contraviene entre otras:

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

(26) Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.
(28) La aplicación de la seudonimización a los datos personales puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos. Así pues, la introducción explícita de la «seudonimización» en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protección de los datos.
(29) Para incentivar la aplicación de la seudonimización en el tratamiento de datos personales, debe ser posible establecer medidas de seudonimización, permitiendo al mismo tiempo un análisis general, por parte del mismo responsable del tratamiento, cuando este haya adoptado las medidas técnicas y organizativas necesarias para garantizar que se aplique el presente Reglamento al tratamiento correspondiente y que se mantenga por separado la información adicional para la atribución de los datos personales a una persona concreta. El responsable que trate datos personales debe indicar cuáles son sus personas autorizadas.
(30) Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.
(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.
(37) Un grupo empresarial debe estar constituido por una empresa que ejerce el control y las empresas controladas, debiendo ser la empresa que ejerce el control la que pueda ejercer una influencia dominante en las otras empresas, por razones, por ejemplo, de propiedad, participación financiera, normas por las que se rige, o poder de hacer cumplir las normas de protección de datos personales. Una empresa que controle el tratamiento de los datos personales en las empresas que estén afiliadas debe considerarse, junto con dichas empresas, «grupo empresarial».
(39) Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.
(40) Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.
(42) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (10), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.
(43) Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aún cuando este no sea necesario para dicho cumplimiento.
(45) Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tener una base en el Derecho de la Unión o de los Estados miembros. El presente Reglamento no requiere que cada tratamiento individual se rija por una norma específica. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. La finalidad del tratamiento también debe determinase en virtud del Derecho de la Unión o de los Estados miembros. Además, dicha norma podría especificar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento lícito y leal. Debe determinarse también en virtud del Derecho de la Unión o de los Estados miembros si el responsable del tratamiento que realiza una misión en interés público o en el ejercicio de poderes públicos debe ser una autoridad pública u otra persona física o jurídica de Derecho público, o, cuando se haga en interés público, incluidos fines sanitarios como la salud pública, la protección social y la gestión de los servicios de sanidad, de Derecho privado, como una asociación profesional.
(51) Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término «origen racial» en el presente Reglamento no implica la aceptación por parte de la Unión de teorías que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. Tales datos personales no deben ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el presente Reglamento, habida cuenta de que los Estados miembros pueden establecer disposiciones específicas sobre protección de datos con objeto de adaptar la aplicación de las normas del presente Reglamento al cumplimiento de una obligación legal o al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Además de los requisitos específicos de ese tratamiento, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.
(58) El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice. Esta información podría facilitarse en forma electrónica, por ejemplo, cuando esté dirigida al público, mediante un sitio web. Ello es especialmente pertinente en situaciones en las que la proliferación de agentes y la complejidad tecnológica de la práctica hagan que sea difícil para el interesado saber y comprender si se están recogiendo, por quién y con qué finalidad, datos personales que le conciernen, como es en el caso de la publicidad en línea. Dado que los niños merecen una protección específica, cualquier información y comunicación cuyo tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea fácil de entender.
(59) Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.
(60) Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede transmitirse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente.
(61) Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente, en un plazo razonable, dependiendo de las circunstancias del caso. Si los datos personales pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado en el momento en que se comunican al destinatario por primera vez. El responsable del tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe proporcionar al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria. Cuando el origen de los datos personales no pueda facilitarse al interesado por haberse utilizado varias fuentes, debe facilitarse información general.
(63) Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas. Todo interesado debe, por tanto, tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento. Si es posible, el responsable del tratamiento debe estar facultado para facilitar acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales. Este derecho no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos. No obstante, estas consideraciones no deben tener como resultado la negativa a prestar toda la información al interesado. Si trata una gran cantidad de información relativa al interesado, el responsable del tratamiento debe estar facultado para solicitar que, antes de facilitarse la información, el interesado especifique la información o actividades de tratamiento a que se refiere la solicitud.
(65) Los interesados deben tener derecho a que se rectifiquen los datos personales que le conciernen y un «derecho al olvido» si la retención de tales datos infringe el presente Reglamento o el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento. En particular, los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen, o si el tratamiento de sus datos personales incumple de otro modo el presente Reglamento. Este derecho es pertinente en particular si el interesado dio su consentimiento siendo niño y no se es plenamente consciente de los riesgos que implica el tratamiento, y más tarde quiere suprimir tales datos personales, especialmente en internet. El interesado debe poder ejercer este derecho aunque ya no sea un niño. Sin embargo, la retención ulterior de los datos personales debe ser lícita cuando sea necesaria para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.
(66) A fin de reforzar el «derecho al olvido» en el entorno en línea, el derecho de supresión debe ampliarse de tal forma que el responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos. Al proceder así, dicho responsable debe tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado a los responsables que estén tratando los datos personales.
(68) Para reforzar aún más el control sobre sus propios datos, cuando el tratamiento de los datos personales se efectúe por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento. Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos. Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales dando su consentimiento o cuando el tratamiento sea necesario para la ejecución de un contrato. No debe aplicarse cuando el tratamiento tiene una base jurídica distinta del consentimiento o el contrato. Por su propia naturaleza, dicho derecho no debe ejercerse en contra de responsables que traten datos personales en el ejercicio de sus funciones públicas. Por lo tanto, no debe aplicarse, cuando el tratamiento de los datos personales sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable. El derecho del interesado a transmitir o recibir datos personales que lo conciernan no debe obligar al responsable a adoptar o mantener sistemas de tratamiento que sean técnicamente compatibles. Cuando un conjunto de datos personales determinado concierna a más de un interesado, el derecho a recibir tales datos se debe entender sin menoscabo de los derechos y libertades de otros interesados de conformidad con el presente Reglamento. Por otra parte, ese derecho no debe menoscabar el derecho del interesado a obtener la supresión de los datos personales y las limitaciones de ese derecho recogidas en el presente Reglamento, y en particular no debe implicar la supresión de los datos personales concernientes al interesado que este haya facilitado para la ejecución de un contrato, en la medida y durante el tiempo en que los datos personales sean necesarios para la ejecución de dicho contrato. El interesado debe tener derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, cuando sea técnicamente posible.
(70) Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a oponerse a dicho tratamiento, inclusive a la elaboración de perfiles en la medida en que esté relacionada con dicha mercadotecnia directa, ya sea con respecto a un tratamiento inicial o ulterior, y ello en cualquier momento y sin coste alguno. Dicho derecho debe comunicarse explícitamente al interesado y presentarse claramente y al margen de cualquier otra información.
(71) El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Sin embargo, se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles, si lo autoriza expresamente el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento, incluso con fines de control y prevención del fraude y la evasión fiscal, realizada de conformidad con las reglamentaciones, normas y recomendaciones de las instituciones de la Unión o de los órganos de supervisión nacionales y para garantizar la seguridad y la fiabilidad de un servicio prestado por el responsable del tratamiento, o necesario para la conclusión o ejecución de un contrato entre el interesado y un responsable del tratamiento, o en los casos en los que el interesado haya dado su consentimiento explícito. En cualquier caso, dicho tratamiento debe estar sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no debe afectar a un menor. A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las circunstancias y contexto específicos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas.
(74) Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.
(75) Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.
(80) El responsable o el encargado del tratamiento no establecido en la Unión que esté tratando datos personales de interesados que residan en la Unión y cuyas actividades de tratamiento están relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si se requiere un pago por parte de estos, o con el control de su comportamiento en la medida en que este tenga lugar en la Unión, debe designar a un representante, a menos que el tratamiento sea ocasional, no incluya el tratamiento a gran escala de categorías especiales de datos personales o el tratamiento de datos personales relativos a condenas e infracciones penales, y sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, vista la naturaleza, el contexto, el ámbito y los fines del tratamiento, o si el responsable del tratamiento es una autoridad u organismo público. El representante debe actuar por cuenta del responsable o el encargado y puede ser contactado por cualquier autoridad de control. El representante debe ser designado expresamente por mandato escrito del responsable o del encargado para que actúe en su nombre con respecto a las obligaciones que les incumben en virtud del presente Reglamento. La designación de dicho representante no afecta a la responsabilidad del responsable o del encargado en virtud del presente Reglamento. Dicho representante debe desempeñar sus funciones conforme al mandato recibido del responsable o del encargado, incluida la cooperación con las autoridades de control competentes en relación con cualquier medida que se tome para garantizar el cumplimiento del presente Reglamento. El representante designado debe estar sujeto a medidas coercitivas en caso de incumplimiento por parte del responsable o del encargado.
(81) Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento. La adhesión del encargado a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable. El tratamiento por un encargado debe regirse por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado con el responsable, que fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados, habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los derechos y libertades del interesado. El responsable y el encargado pueden optar por basarse en un contrato individual o en cláusulas contractuales tipo que adopte directamente la Comisión o que primero adopte una autoridad de control de conformidad con el mecanismo de coherencia y posteriormente la Comisión. Una vez finalizado el tratamiento por cuenta del responsable, el encargado debe, a elección de aquel, devolver o suprimir los datos personales, salvo que el Derecho de la Unión o de los Estados miembros aplicable al encargado del tratamiento obligue a conservar los datos.
(101) Los flujos transfronterizos de datos personales a, y desde, países no pertenecientes a la Unión y organizaciones internacionales son necesarios para la expansión del comercio y la cooperación internacionales. El aumento de estos flujos plantea nuevos retos e inquietudes en lo que respecta a la protección de los datos de carácter personal. No obstante, si los datos personales se transfieren de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. En todo caso, las transferencias a terceros países y organizaciones internacionales solo pueden llevarse a cabo de plena conformidad con el presente Reglamento. Una transferencia solo podría tener lugar si, a reserva de las demás disposiciones del presente Reglamento, el responsable o encargado cumple las disposiciones del presente Reglamento relativas a la transferencia de datos personales a terceros países u organizaciones internacionales.
(110) Todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias o categorías de transferencias de datos de carácter personal.
(106) Cuando los datos personales circulan a través de las fronteras hacia el exterior de la Unión se puede poner en mayor riesgo la capacidad de las personas físicas para ejercer los derechos de protección de datos, en particular con el fin de protegerse contra la utilización o comunicación ilícitas de dicha información. Al mismo tiempo, es posible que las autoridades de control se vean en la imposibilidad de tramitar reclamaciones o realizar investigaciones relativas a actividades desarrolladas fuera de sus fronteras. Sus esfuerzos por colaborar en el contexto transfronterizo también pueden verse obstaculizados por poderes preventivos o correctivos insuficientes, regímenes jurídicos incoherentes y obstáculos prácticos, como la escasez de recursos. Por consiguiente, es necesario fomentar una cooperación más estrecha entre las autoridades de control encargadas de la protección de datos para ayudarlas a intercambiar información y a llevar a cabo investigaciones con sus homólogos internacionales. A fin de desarrollar mecanismos de cooperación internacional que faciliten y proporcionen asistencia internacional mutua en la ejecución de legislación en materia de protección de datos personales, la Comisión y las autoridades de control deben intercambiar información y cooperar en actividades relativas al ejercicio de sus competencias con las autoridades competentes de terceros países, sobre la base de la reciprocidad y de conformidad con el presente Reglamento.
Artículo 5 Principios relativos al tratamiento 1. Los datos personales serán: a)tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»); b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»); c)adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»); d)exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»); e)mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»); f)tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»). El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).
Artículo 6 Licitud del tratamiento 1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a)el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b)el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c)el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d)el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e)el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f)el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Artículo 7 Condiciones para el consentimiento 1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales. 2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento. 3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo. 4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.
Artículo 9 Tratamiento de categorías especiales de datos personales 1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
Artículo 11 Tratamiento que no requiere identificación 1. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento. 2. Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación.
Artículo 15 Derecho de acceso del interesado 1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información: a)los fines del tratamiento; b)las categorías de datos personales de que se trate; c)los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales; d)de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo; e)la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento; f)el derecho a presentar una reclamación ante una autoridad de control; g)cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen; h)la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. 2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia. 3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común. 4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.

INHABILITACIÓN COOKIES DE GOOGLE ANALYTICS DESDE EL NAVEGADOR

Esta web del “Acuerdo Territorial para el Empleo de elche” (https://www.elche.es/acuerdo-territorial-elche) está como carpeta de otra web genérica del Ajuntement d’Elx (www.elche.es/).

En el aparado Política de Cookies (https:/www.elche.es/politica-de-cookies/) se explica explícitamente, como prohibir al navegador del cliente usar las Cookies de Google Analytics en 5 navegadores diferentes. Además de explica como deshabilitar todas las Cookies en 5 navegadores diferentes para cada uno de 5 sistemas operativos diferentes.

Nuestro público objetivo tiene poca formación, así que no es razonable que entiendan las instrucciones. Especialmente cuando la legislación nos insta a usar “lenguaje sencillo y claro”.

Las instrucciones de deshabilitar cookies han sido copiadas a la web del “Acuerdo Territorial para el Empleo de elche” (https://www.elche.es/acuerdo-territorial-elche) donde se ha actualizado la legislación, y se están tomado medidas a raíz de la presente auditoría.

Así pues, el texto de politica-de-cookies-2/ está, de momento, más actualizado que https:/www.elche.es/politica-de-cookies/

DESINSTALADO MÓDULO INFRACTOR

El plugin de Google Analytics ha sido desinstalado del gestor de contenidos WordPress.

Google sigue teniendo los datos relativos a la fecha anterior a la desinstalación.

No hay ninguna opción de borrado en el acceso de Google. Lo que contradice el derecho al acceso, rectificación, y olvido.

Por lo que Google sigue teniendo los datos de antes de la desinstalación.

Añado el procedimiento de borrado del semestre pasado, en la lista de tareas de seguridad planificadas.

IP DE DESARROLLO DETECTADA COMO VISITA

Al comprobar las IPs guardadas por Google Analytics, observo varios patrones.

La IPs que mas visitas hace visita repetidas veces la misma página. Buscando la IPs en una base de datos, compruebo que son del propio ayuntamiento.

El Ayuntamiento tiene varias dependencias, y tienen direcciones parecidas. El rango de IP está una base de datos pública.

Son por tanto nuestras propias pruebas de desarrollo, contabilizándose como si fuesen visitas de usuarios externos.

Cualquier otra IP si pertenece a un organismo oficial o una empresa grande, se puede saber cual buscando en la base de datos adecuada.

Las IPS a nombre de un proveedor de internet. serán de particulares, PYMES, en su mayoría.

Las compañías de telefonía tendrán un rango para sus móviles. Aunque no una IP fija.

El caso es que Google cruzando los datos sabría distinguir automáticamente a los visitantes, mientras que en el listado están mezclados. Y requiere una labor manual de un técnico para distinguir nuestras propias visitas.

MÓDULO ESTADÍSTICO ALTERNATIVO

Se ha instalado un plugin estadístico WP Statistics en el gestor de contenidos WordPress.

Este informa de los siguientes datos personales:

Información personal registrada por WP Statistics
IP personal de cada usuario
Páginas visitadas por cada usuario.
Marca, modelo y versión del Sistema operativo del ordenador de cada usuario.
Tipo de ordenador de cada usuario: móvil / Tablet / ordenador personal
Marca, modelo y versión del Navegador del ordenador de cada usuario.
Localidad de cada usuario.

Según la documentación del fabricante: la información estadística se mantiene solo en la base de datos propia. Y no se envía a terceros. Ni siquiera al desarrollador del módulo.

Webs externas parecen confirmar que WP Statistics guarda la información solo localmente, y no la envía. Y por tanto se ajustaría a RGPD.

CONVERTIR EN ANÓNIMOS LOS DATOS

El módulo WP Statistics, también guarda la dirección IP. Y pese a que no se ceden a terceros. La normativa nos insta a ocultar esa información:

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
(26) Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.

Aunque no viene por defecto, el módulo WP Statistics tiene previsto en el apartado Ajuste un subapartado para privacidad. El cual permite anonimizar la IP del visitante:

Privacidad y protección de datos
Si quieres borrar los datos de los visitantes, por favor haz clic aquí.
Anonimizar direcciones IP:      Activado
Esto anonimiza la IP del usuario para cumplir con la RGPD. Por ejemplo, 888.888.888.888 > 888.888.888.000.
Ofuscar direcciones IP:    Activado
Al activar esta opción, no puedes recuperar las direcciones IP en el futuro para averiguar la información de ubicación y las direcciones IP no se almacenarán en la base de datos, sino que usarán un hash único. Además, desactiva el ajuste “Almacenar toda la cadena del agente de usuario”.
Almacenar la cadena completa del agente de usuario:   NO Activar
Solo está activo para la depuración. Si los hash de IP están activados, esta opción será desactivada automáticamente.

La función de hash convierte la IP en un código. A partir del código es muy improbable obtener la IP. La misma IP produce el mismo código hash, con lo que el programa distingue que se trata del mismo visitante, a pesar de no saber la IP. De esta forma se pueden detectar incompatibilidades entre marcas o versiones de sistemas operativos o navegadores. Pero no se puede identificar al usuario.

El código hash es propio de esta web. Por lo que no es posible compararlo con datos de otras webs para identificar al usuario.

Con esta técnica no es posible vender los datos personales como hacía Google Analytics.

Se ha configurado la anonimización de las direcciones IP. Conforme exige la normativa. De manera que no es posible identificar al usuario.

MONITORIZACIÓN

Aunque no hay indicios de ilegalidad, la normativa nos insta a verificarlo. Queda pendiente crear un programa de monitorización que audite la confidencialidad del módulo WP Statistics. Según dicta la normativa:

Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Artículo 21. Integridad y actualización del sistema. 2. La evaluación y monitorización permanentes permitirán adecuar el estado de seguridad de los sistemas atendiendo a las deficiencias de configuración, las vulnerabilidades identificadas y las actualizaciones que les afecten, así como la detección temprana de cualquier incidente que tenga lugar sobre los mismos.
Artículo 24. Registro de actividad y detección de código dañino. 1. Con el propósito de satisfacer el objeto de este real decreto, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información estrictamente necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.

COOKIES QUE NO IDENTIFIQUEN A LAS PERSONAS

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
(30)
Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

A pesar de guardar Cookies, estas no son combinadas con identificadores únicos, ni otros datos recibidos por los servidores.

Los usuarios serán en todo momento anónimos. No habrá forma de identificarlas personalmente.

CONSENTIMIENTO AFIRMATIVO PARA LAS COOKIES


Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
(32)
El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.
Artículo 7
2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

Para asegurar que el usuario da consentimiento se mediante un acto afirmativo. Se presenta un aviso delante de cualquier página visitada. Solo si el usuario pulsa el botón Aceptar, se considera dado el consentimiento.

Para asegurar que el consentimiento se da de forma informada e inequívoca, se muestra el siguiente texto explicativo en el aviso:

Utilizamos cookies propias para los siguientes fines:
– Técnicos: Necesarias para utilización de las diferentes opciones o servicios.
– Preferencias: Elección de determinadas características.(ej: idioma)
– Rendimiento: Medición de la actividad para introducir mejoras. (ej: adaptación a móviles)
 
Más información en: Política de Cookies, Privacidad, Aviso legal
 
[Aceptar] [Listar cookies] [Leer más]

El texto incluye enlaces a explicaciones más detalladas en una página explicita de Política de Cookies (https:/www.elche.es/acuerdo-territorial-elche/politica-de-cookies-2/).

En concreto las cookies son propias, implica que solo el Ayuntamiento las gestiona. Esto corrige el envío de datos a terceros que se producía antes de esta auditoría.

Y solo se destinan a los fines necesarios para el buen funcionamiento de la web. Lo que corrige el envío de datos para fines publicitarios de una empresa privada de fuera de la Unión Europea.

EL texto detallado de “La política de Cookies” ha sido actualizada con la normativa vigente actualmente.

TRANSPARENCIA DE LAS COOKIES

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Artículo 12
Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado
Artículo 13

Información que deberá facilitarse cuando los datos personales se obtengan del interesado

b)la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos

Para mostrar transparentemente que información se ha almacenado, en la política de Cookies se ha añadido un botón para listar las cookies.

La nueva página “Listar las cookies” (lista-de-cookies/) muestra transparentemente las cookies almacenadas actualmente en el navegador del usuario.

COOKIES PARA CONSENTIMIENTO DEMOSTRABLE

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
(42)
Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (10), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.
Artículo 7

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

Para poder demostrar que se ha otorgado el consentimiento informado, en la política de Cookies se ha añadido un botón para listar las cookies.

Este botón lleva a una nueva página “Listar las cookies” (lista-de-cookies/) que muestra las cookies almacenadas actualmente en el navegador del usuario.

El consentimiento queda registrado como cookies técnicas.

En concreto los prefijos “cookielawinfo-checkbox-” y “viewed_cookie_policy” son registrados por el plugin “GDPR Cookie Consent”. El cual se añade al Gestor de contenidos WordPress, para mostrar el aviso.

Si se borran estas cookies, entonces el plugin volverá a solicitar consentimiento.

DERECHO AL OLVIDO DE COOKIES

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
(65)
Los interesados deben tener derecho a que se rectifiquen los datos personales que le conciernen y un «derecho al olvido» si la retención de tales datos infringe el presente Reglamento o el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento. En particular, los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen, o si el tratamiento de sus datos personales incumple de otro modo el presente Reglamento. Este derecho es pertinente en particular si el interesado dio su consentimiento siendo niño y no se es plenamente consciente de los riesgos que implica el tratamiento, y más tarde quiere suprimir tales datos personales, especialmente en internet. El interesado debe poder ejercer este derecho aunque ya no sea un niño. Sin embargo, la retención ulterior de los datos personales debe ser lícita cuando sea necesaria para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.
Artículo 7

1.       El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
Artículo 17

Derecho de supresión («el derecho al olvido»)

1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

a)los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b)el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;

c)el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

d)los datos personales hayan sido tratados ilícitamente;

e)los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

f)los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

Para poder retirar el consentimiento, se ha creado un botón “Borrar estas cookies” en la página que Lista de cookies (https:/www.elche.es/acuerdo-territorial-elche/lista-de-cookies/)

El propio servidor web para la preparación de la transmisión, precisa almacenar la hora local, y si hay que reenviar información. Para lo cual genera automáticamente las cookies técnicas siguientes:

localTimeZone
isReturningVisitor1235

Si el usuario las, borra, el gestor de contenidos WordPress, este vuelve a generar otras cookies automáticamente. Estas solo son utilizadas por el propio programa, para controlar si hay que retransmitir información.

La información LocalTimeZone muestra el huso horario. Mostrando aproximadamente un grupo de países, pero no geolocalización precisa del usuario. Esta información no es combinada con otra, para identificar al usuario. Por ejemplo, no se envía a Google que tiene una hora menos, y habla español, porque entonces le estaríamos diciendo que vive en Canarias, y le enviaría publicidad personalizada.

CONSENTIMIENTO DEL TRATAMIENTO DE DATOS INTRODUCIDOS

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
(32)
El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.
(42)
Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (10), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.
Artículo 6
 
Licitud del tratamiento
 
a)el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b)el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
Artículo 7

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

Esta web no recaba ni cede datos introducidos en los formularios.

Es el usuario el que teclea o selecciona el menú, con lo que no cabe duda sobre su consentimiento a procesar los datos para el fin específico del título de la página.

Es el usuario el interesado en rellenar un currículum, carta u otros documentos para que le ayudemos a formalizar el contrato con un tercero (departamento de selección, instituto, socios etc.

Esta web ayuda al usuario a redactar y componer textos con datos personales introducidos en un formulario.

El usuario teclea datos personales:

Idetificación con nombre, apellidos y teléfono…
Datos de contacto: teléfono, correo, domicilio…
Datos relativos a la salud: Discapacidad 33%, Diversidad funcional.
Tratamiento y formato automatizado de documentos redactados.
Empresariales: análisis de puntos fuertes y débiles del emprendedor, mercado potencial.

TIEMPO NECESARIO PARA EL TRATAMIENTO DE DATOS INTRODUCIDOS

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Artículo 5
 
Principios relativos al tratamiento
 
1. Los datos personales serán:
e)mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
f)tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

Todos los datos introducidos se procesan solo, en el ordenador del usuario.

Al cargar la página el navegador descarga programas en Javascript. Que el navegador del usuario mantiene en memoria. Es el intérprete del navegador el que procesa los datos.

En ningún momento los datos personales introducidos son transmitidos al servidor. Aunque el formulario HTML fue diseñado para enviar al servidor los datos introducidos. El Javascript se diseñó para hacer un preprocesamiento antes de enviarlo. Pero en nuestro caso, el javascript está enlazado al evento de cambio de valor. Y al final, el Javascript realiza todo el procesamiento, sin enviar nada.

ElementoJavascript
Formularioal cambiar cualquier campo, se reescribe el documento
Vista previaSe cambia el contenido de la página HTML dinámicamente.
Portable Docuemnt FormatLa conversión a formato PDF, es realizada por una librería descargada localmente.

El proceso no funcionará si el usuario desactiva el javascript. En ese caso, tampoco funcionará el gestor de contenidos WordPress.

CONSENTIMIENTO DEMOSTRABLE

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
(42) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (10), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.  
Artículo 7 1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

Se muestra un aviso explícito de confidencialidad en cada página en la que el usuario teclea datos personales:

Esta página no recaba ni cede datos introducidos en el formulario.

Todos los datos introducidos se procesan solo, en el ordenador del usuario.

Este aviso aparece en primer plano, delante del formulario de introducción de datos.

Al pulsar Entendido el aviso deja de estar en primer plano. Y se pasa al pie de la página. Y en un color más apagado.

Si el aviso aparece en el píe de página, es porque el usuario ha pulsado el botón “Entendido”.

Este aviso aparecerá todas las veces que se abran las páginas involucradas. Para insistir siempre, en que los datos son muy personales, pero no se transmiten.

Por si cupiesen dudas hay una página que lo explica la “Confidencialidad de los datos introducidos por el usuario” confidencialidad-de-los-datos-introducidos-por-el-usuario/

DERECHO DE SUPRESIÓN DE DATOS INTRODUCIDOS

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Artículo 17 Derecho de supresión («el derecho al olvido») 1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

El servidor web no recibirá, almacenará ni cederá datos introducidos. Ni tecleados, ni escogidos de una lista, ni imágenes cargadas.

El navegador del ordenador del usuario podría tener activadas opciones de autocompletado que recuerden de una vez a otra, los datos introducidos. Por ejemplo, el nombre del usuario. Estos serían propuestos por el navegador, si accede exactamente a la misma página.

Estos datos se borran al eliminar el historial en el navegador, del ordenador del usuario.

INFORME DE LA AUDITORÍA

Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Artículo 31. Auditoría de la seguridad.
El informe de auditoría deberá dictaminar sobre el grado de cumplimiento de este real decreto identificando los hallazgos de cumplimiento e incumplimiento detectados. Deberá, igualmente, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las conclusiones formuladas, todo ello de conformidad con la citada Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.

El presente documento tiene ya unas 50 páginas, y aún está en proceso. Conforme a la legislación vigente habría que crear una base de datos específica para listar leyes, artículos, comprobaciones hechas, resultados, recomendaciones, prioridades y tareas pendientes.

julio de 2022

MAS INFORMACIÓN

Aviso legal
Protección de datos y seguridad
Política de Cookies
Listado de Cookies
Confidencialidad
Auditoría de seguridad