Llegamos al ecuador del año y, como de costumbre, desde APDTIC queremos hacer un repaso por los temas relacionados con la ciberseguridad y la protección de datos que han estado de actualidad estos pasados meses. Se trata de novedades legislativas, pero también de datos y noticias que es interesante conocer si quieres estar al día en esta materia. Lee hasta el final y ¡no te pierdas nada!
Un nuevo marco legal para comprar y vender en Internet
Comenzamos el año con la entrada en vigor, el 1 de enero, de Real Decreto-ley 7/2021. Con él, la compraventa de bienes en España quedaba adaptada a lo que se establece en la directiva europea.
Básicamente, hablamos de la ampliación de la garantía legal de todos los productos de los dos a los tres años. Y de la aprobación de una garantía de dos años también para los servicios digitales. Es decir, para apps, softwares, archivos o videojuegos. Aunque la norma contienen muchas más novedades, que puedes consultar aquí.
EE. UU., la UE y su acuerdo para transferir datos personales
En marzo, concretamente el día 25, Joe Biden y Ursula Von der Leyen firmaban un acuerdo que sentaba las nuevas bases sobre las que, a partir de ese momento, se regirían las transferencias de datos personales entre ambos países. Ponían fin con esta decisión a la paralización que impuso el TJUE (Tribunal de Justicia de la Unión Europea) en julio de 2020.
En ese momento, el tribunal europeo ordenó que se paralizara cualquier transferencia entre ambas regiones, a raíz de la denuncia que interpuso contra Facebook el abogado Max Schrems. La justicia europea le dio la razón y sentenció que la seguridad de los usuarios europeos no estaba garantizada. Para solventarlo, EE. UU. y la Unión Europa han firmado este acuerdo, que permite continuar transfiriendo datos entre los dos países.
La nueva ley de ciberseguridad 5G
El pasado día 29 de marzo se aprobó el Real Decreto-ley 7/2022 para garantizar la seguridad de las redes de quinta generación. La norma, que fue ratificada en el Congreso el 29 de abril, sirve para clasificar a los suministradores de servicios de comunicaciones electrónicas en proveedores de riesgo alto, medio y bajo. Los primeros, según esta ley, verán limitados su alcance y su presencia.
Asimismo, esta normativa permite adaptar a nuestro país las medidas técnicas y estratégicas que ya se están implementando en la Unión Europea. ¿El objetivo? Identificar con mayor eficacia:
- Las principales vulnerabilidades.
- Las posibles amenazas.
- Los riesgos estratégicos.
- Los activos más sensibles.
La actualización del Esquema Nacional de Seguridad
El ENS (Esquema Nacional de Seguridad) ha sido también objeto de este Gobierno, que el 3 de mayo aprobó su actualización. De nuevo, lo que se busca es adecuar la legislación española a la europea. Para ello, en esta actualización se contemplan una serie de políticas de seguridad y medidas a implementar en el ámbito de la Administración Pública. Algo que, lógicamente, también implica a las empresas que proveen servicios a la Administración.
Última llamada para adaptarse al RGPD
La del 25 de mayo fue la fecha límite para cumplir en su totalidad con las cláusulas establecidas en el RGPD (Reglamento General de Protección de Datos). Las empresas han tenido hasta ese día de 2022 para firmar los contratos con anteriores proveedores que tenían acceso a datos personales (Encargados del tratamiento).
Seguro que lo conoces de sobra, pero se trata del reglamento europeo en materia de protección de datos que está en vigor desde el 25 de mayo de 2018 y que, en nuestro país, pasa a ser de obligado cumplimiento a partir de este año. Así, ahora se deben mantener actualizados conforme a esta normativa todos los contratos contraídos con los responsables del tratamiento de datos personales.
Google sigue en el punto de mira
Ya comentamos en este artículo la polémica que rodea últimamente a la herramienta de medición y análisis de Google (Google Analytics), pero este no es el único quebradero de cabeza que tiene el gigante tecnológico en Europa. El 9 de junio la AEPD (Agencia Española de Protección de Datos) le impuso una cuantiosa multa, nada más y nada menos que de 10 millones de euros. ¿El motivo? No respetar el derecho al olvido, facilitando datos a terceros sin consentimiento y obstaculizando el derecho a supresión que tienen todos los ciudadanos.
Se trata de la sanción de la agencia más alta que se conoce en España. Y todo parece indicar que Google seguirá siendo protagonista en este mismo sentido en los próximos meses.
La app Radar Covid, ilegal según la AEPD
Continuamos nuestro particular repaso por el mundo de la ciberseguridad y la protección de datos con una noticia ciertamente sorprendente: la AEPD publicó el 10 de junio una resolución referente al expediente sancionador abierto contra el Gobierno por la puesta en marcha de la app Radar COVID, cuyo objetivo principal era el rastreo y control de las personas que habían dado resultado positivo en los tests COVID. Se pretendía con ello frenar la transmisión, pero la AEPD considera ahora que la app infringe hasta 8 artículos del RGPD.
Nuevos retos relacionados con el metaverso
El metaverso y todo lo que tiene que ver con él lleva acompañándonos ya unos cuantos meses, pero no ha sido hasta el 14 de junio que la AEPD ha decidido alertar sobre los retos y riesgos que supone. En concreto, lo que viene a señalar es que el metaverso implica el tratamiento de un gran número de datos personales, que se incrementan de manera exponencial conforme se avanza en él. No en vano, lo que el metaverso pretende es ampliar la experiencia virtual en múltiples facetas de nuestra vida, desde la social o la económica hasta la política o la emocional.
En consecuencia, la AEPD recuerda que este tratamiento masivo de datos que se produce en el contexto del metaverso debe estar siempre sujeto a lo establecido en el RGPD.
¡Hasta aquí nuestro resumen del primer semestre del año! Seguiremos informando sobre las novedades más importantes en siguientes publicaciones.