Correos debe establecer todas aquellas medidas necesarias para adaptar los sistemas de información a las exigencias regulatorias aplicables y dar así cumplimiento a la legislación en materia de privacidad y protección de datos personales. Es responsabilidad de una empresa velar por la seguridad de la información que trata en sus procesos de negocio.
Esta obligación también se extiende a lo que conocemos como brechas de seguridad, que pueden tener importantes consecuencias; por lo tanto, las empresas deben asegurarse de poner en marcha todos los procedimientos que permitan detectar, informar e investigar una brecha de seguridad.
En cumplimiento de la normativa sobre protección de datos personales, el Grupo Correos cuenta con una Delegada de Protección de Datos (DPO), cuya función es gestionar y asesorar al Grupo en esta materia, así como evaluar los riesgos inherentes en el tratamiento de este tipo de información, por parte de las empresas del Grupo y/o sus proveedores.
Es importante asumir una premisa importante porque el cumplimiento de la norma supone:
• Un compromiso de servicio público: Una empresa de clara vocación al servicio público debe tener como objetivo prioritario salvaguardar la intimidad y los derechos de las personas, así como preservar la confidencialidad de la información que tratamos en nuestros procesos en correspondencia con la confianza que generan nuestros servicios en los ciudadanos.
• Una ventaja competitiva: Transmitir a nuestros clientes y proveedores que los sistemas de información de Correos son seguros y competitivos pasa necesariamente por evidenciar nuestro compromiso con la observancia y cumplimiento de la normativa de protección de datos y la seguridad en nuestros procesos. Por otra parte, los clientes nos exigen unas medidas de cumplimiento para garantizar la seguridad de sus datos.
• Evitar los riesgos, daños y efectos negativos: La falta de diligencia en el cumplimiento de la norma implica exponer a la organización a un riesgo de pérdida de información de nuestros clientes, menoscabar la confianza que se dispone en los servicios que prestamos y, en definitiva, una pérdida de imagen, todo ello a sumar a la asunción de las importantes sanciones que ha establecido la legislación vigente en materia de protección de datos.
En Correos, se utilizan a diario datos de carácter personal, de clientes, personal interno y proveedores, tanto en la operativa diaria como en los productos/servicios ofertados/prestados por las distintas Direcciones de Correos (tickets, archivadores, formulario de certificación, hojas de reclamaciones, pantallas de una oficina de Correos (es muy importante la correcta orientación de los monitores de manera que evite que personas no autorizadas puedan visualizar la información mostrada), contenedores utilizados para el transporte del correo postal, etc.).
Un dato personal hace referencia a toda información sobre una persona física que la identifica o la hace identificable (nombre, DNI, firma, dirección, email).
El tratamiento de datos se refiere a la acción/operación que hacemos con los datos, sea o no automatizado, e incluye la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Para poder tratar los datos, el titular debe prestar su consentimiento, que debe reunir unas características determinadas, debe ser:
• Libre: La concesión del mismo no puede estar condicionada a, por ejemplo, una rebaja del servicio, consecución de un producto o cualquier otro tipo de condición.
• Específico: Con esto el regulador quiere asegurarse que cuando el tratamiento tenga varias finalidades se recabe el consentimiento para cada uno de ellos.
• Informado: Se deberá comunicar al interesado:
• Inequívoco: La forma de obtención del consentimiento tiene que ser entendible, es decir, que el afectado sepa sin lugar a duda para que está dando su beneplácito.
Durante todo el tiempo de tratamiento, debemos poder verificar que disponemos de dicho consentimiento (custodia del mismo).
Otras bases que permiten tratar datos aparte del consentimiento son un contrato, una disposición legal, el interés público, la protección de un interés vital del titular (acceso a tu historial clínico en caso de urgencia médica), el interés legítimo (perseguido por el responsable del tratamiento, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos del interesado, el responsable deberá razonar y argumentar el uso de este interés para poder justificarlo ante el organismo competente).
Es obligado realizar un ANALISIS DE RIESGOS para determinar el nivel de riesgo y, por tanto, el conjunto de medidas de seguridad a aplicar para eliminar o mitigar el posible impacto a la privacidad por el uso de esos datos. A mayor nivel de riesgo habrá que aplicar un marco de medidas de seguridad más restrictivo.
Existen determinados tratamientos, atendiendo a los datos utilizados y las finalidades asociadas, en los que la norma obliga a realizar una evaluación de impacto, que representa un análisis más exhaustivo.
En todo caso es obligatorio realizar un análisis pormenorizado del tratamiento de datos que establezca el NIVEL DE RIESGO/IMPACTO.
La normativa no ha establecido un marco tasado de medidas a aplicar según el riesgo, sino que deja en manos del análisis realizado y la ponderación de circunstancias del tratamiento el aplicar un conjunto de medidas u otras. En cualquier caso, estas deben garantizarla de forma que impidan un impacto en la privacidad (pérdida, destrucción).
Correos dispone de un marco de seguridad de la información y un área de seguridad multidisciplinar con una gran experiencia que son, en definitiva, los que determinan las medidas a implantar en nuestros sistemas de información y procesos. Por otra parte, el DPD es el responsable de determinar el conjunto de medidas organizativas sobre contratos, gestión del consentimiento, derechos de información, gestión de proveedores, etc.
El estándar de seguridad ISO 27001/27002 es un referente para establecer las medidas de seguridad a implantar en un tratamiento. Abarca aspectos como el control de acceso a sistemas de información e instalaciones, las comunicaciones, la seguridad en la operación, el respaldo de la información, la seguridad en los RRHH y los proveedores.
Se exige que el responsable adopte medidas preventivas dirigidas a reducir los riesgos de incumplimiento y, además, que esté en condiciones de demostrar que ha implantado esas medidas y que las mismas son las adecuadas para lograr la finalidad perseguida.
Cuanto mayor control tienes sobre tu información y mayor capacidad de gestión dispones, los niveles de riesgo disminuyen y tu organización está en mejores condiciones de cumplir con la norma.
Una brecha supone una violación de la seguridad que ocasiona la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o bien la comunicación o acceso no autorizados a dichos datos.
Es obligatorio notificar a la Autoridad de control nacional competente una brecha de seguridad que afecte a datos personales (no todas, según el volumen de registros afectados, su tipología y el impacto a la privacidad producido), y, en determinados casos, a las personas cuyos datos personales se hayan visto afectados por la violación.
Siguiendo las indicaciones de la AEPD, Correos ha diseñado el proceso y documentado el procedimiento para la gestión de una brecha de seguridad integrándolo con procesos ya existentes en la Organización como el de gestión de incidentes de seguridad.
En el procedimiento se detallan los roles, actores y funciones de los que intervienen en el mismo para desarrollar el proceso de la forma más diligente, para, en su caso, realizar la comunicación a la AEPD y/o a los interesados, siendo un proceso ágil y eficiente.
El análisis y valoración sobre el incidente y su comunicación es responsabilidad del DPD de la Organización.
Por las implicaciones de Tecnología y por la experiencia en la gestión en incidentes de seguridad interviene activamente el área de seguridad de la información.
La notificación de esta violación de seguridad deberá ser dentro de las próximas 72 horas siguientes a que el responsable haya tenido constancia de ello y se deben documentar.
• Determina el tratamiento, los datos a utilizar y las finalidades. Está obligado a recoger, en su caso, el consentimiento del titular y establece el plazo de conservación de los datos.
• Debe realizar la evaluación objetiva, el análisis de riesgo y documentar el flujo de los datos del tratamiento.
• Es obligado a establecer las medidas técnicas y organizativas sobre el tratamiento.
• Establece el marco normativo de seguridad e implanta las medidas técnicas en los sistemas de información.
• Asesora en su conocimiento experto sobre gestión de riesgos, incidentes de seguridad y auditoría TI (Tecnologías de información) de proveedores.
• Verifica la automatización de los procesos de privacidad en los sistemas de información (ARCO, supresión del dato, custodia de los consentimientos...).
• Sigue las instrucciones del gestor del dato en el uso y finalidades establecidas por el gestor del dato de un tratamiento.
• Hace un uso adecuado de la información y de los medidos que la empresa pone a su disposición para el desarrollo de sus funciones.
• Sigue las instrucciones y los protocolos elaborados por la Organización para garantizar la confidencialidad e integridad de la información tratada.
• Supervisa el cumplimiento del RGPD, incluido el cumplimiento en la formación del personal que participa en las operaciones del tratamiento y los procesos de auditoría asociados.
• Informa y asesora al gestor del dato y a los empleados en todos los procesos de la Privacidad.
• Ofrece el asesoramiento relativo a las evaluaciones de impacto y la supervisión del cumplimiento normativo.
• Gestiona el proceso de brechas de seguridad y el ejercicio de derechos de los interesados.
• Cooperar con la autoridad de control.
• Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa cuando una evaluación de impacto muestre que el tratamiento puede entrañar un alto riesgo, si no se toman las medidas para mitigarlo, así como realizar consultas, en su caso, sobre cualquier otro asunto.
Es importante tener el control sobre los datos con los que trabajan nuestros proveedores y el cumplimiento de estos sobre la norma.
Es responsabilidad de la Organización verificar que "todo proveedor de servicios" está cumpliendo y que tiene la estructura "suficiente", el marco normativo interno adecuado y los procedimientos desarrollados para gestionar el tratamiento de datos para el que se les ha contratado.
Lo procesos de contratación de la organización y de auditoría (privacidad o técnica) deben verificar el grado de cumplimiento de la norma por parte de los proveedores y la gestión que hacen de la seguridad de la información de Correos que gestionan en sus procesos.
Los planes de auditoría TI (Tecnologías de información) de Correos distinguen entre:
• Proveedores de servicios, que tratan la información en nuestras instalaciones.
• Proveedores de soluciones de negocio, que implantan sus procesos a través de tecnologías que no gestionamos directamente.
El área de Seguridad pone especial énfasis en los procesos de privacidad que tratan datos especialmente sensibles y en el control de tratamientos con un volumen alto de información de clientes que se desarrollan en la nube.
Las medidas de seguridad son el conjunto de procedimientos, controles y mecanismos técnicos que reducen o eliminan el riesgo. Tanto las medidas técnicas como las organizativas implantadas en cada tratamiento deberán ser documentadas y actualizadas cada vez que se produzca una modificación.. Pueden actuar de dos formas distintas:
• Reduciendo la probabilidad de que se manifieste la amenaza.
• Limitando el daño causado por esta.
El riesgo es el grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. Cuanto mayor sea el daño ocasionado y la probabilidad de que la amenaza ocurra, mayor será el riesgo del activo.
Una parte fundamental de la seguridad consiste en conocer los riesgos a los que está sometida la información y los efectos que una amenaza produce en cada una de las dimensiones de la información (confidencialidad, integridad y disponibilidad, etc.).
El marco normativo en Correos establece la privacidad desde el diseño y refleja el enfoque de responsabilidad proactiva. Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.
La formación en ciberseguridad de los empleados de Correos es una pieza clave para cumplir con el RGPD.
A la hora de hablar de seguridad de la información, siempre suele hablarse de tecnologías y procesos. Son una pieza importante, pero, en realidad, los auténticos protagonistas de la seguridad en las empresas son los empleados, que son los que gestionan y utilizan los dispositivos tecnológicos de nuestra organización para gestionar nuestro principal activo: la información.
La formación en ciberseguridad creará una cultura de seguridad en la empresa, que servirá para establecer las bases de la protección, tanto de nuestra información confidencial como la de nuestros clientes y proveedores.
Los datos no son de Correos: somos meros custodios de una información que nos autoriza a usar un cliente, personal o corporativo, con un objetivo determinado, durante un periodo de tiempo preestablecido.
La custodia de esta información conlleva unas responsabilidades que vienen establecidas en la norma. Se debe:
• Tener el control de dónde está dicha información.
• Proporcionar medidas de seguridad a esos datos para garantizar la confidencialidad e integridad de los mismos.
• "Eliminar" cualquier riesgo de impacto en su privacidad.
La rápida evolución de las nuevas tecnologías ha impactado en la forma de relacionarnos y compartir información con otras personas, convirtiéndose en un elemento imprescindible en nuestras vidas, por lo que, cada vez es más importante mantener un nivel de seguridad adecuado que garantice la protección de los datos de todos los usuarios.
Los ordenadores son una herramienta de trabajo indispensable en nuestro día a día. Se recomienda, para la seguridad de estos equipos, las siguientes directrices:
• Ten activado SIEMPRE el salvapantallas con contraseña.
• Siempre que dejes tu puesto de trabajo, aunque sea por un periodo corto de tiempo, bloquea el ordenador.
• Siempre que dejes tu puesto por un periodo largo de tiempo, apaga el ordenador.
• No instales software no autorizado en el ordenador.
• Los portátiles no deben estar desatendidos: si viajas con un portátil, tenlo siempre cerca.
• Recuerda eliminar la información de los dispositivos, como un ordenador, disco duro o CD/DVD, siempre de forma segura.
Debemos tener especial cuidado con la información que dejamos escrita. La información en papel puede ser vulnerable en caso de un descuido y fácilmente accesible para un usuario no autorizado, por lo que se sugieren las siguientes recomendaciones:
• Custodia la documentación en todo momento e impide que personas no autorizadas puedan acceder a la información que contiene.
• No dejes información accesible a terceras personas en tu mesa de trabajo, en la impresora o el fax.
• Guarda y almacena la documentación de forma ordenada en armarios y cajones cerrados con llave.
• Destruye manualmente los documentos, usa destructoras de papel o los medios que Correos pone a disposición para hacerlo de forma segura.
Los usuarios y contraseñas son las señas de identidad de los empleados de Correos, son personales e intransferibles, y el usuario es responsable de toda actividad que se realice con sus credenciales. Para protegerlas de posibles robos se recomienda:
• El identificador del usuario (UC-Usuario Corporativo) y su contraseña son personales e intransferibles. Te identifican en el sistema y eres responsable de las acciones que se realizan con ellos.
• No comuniques la contraseña a nadie y no la escribas en ningún sitio, es la manera más sencilla de encontrarla y alguien te podría suplantar.
• Si sospechas que alguien conoce tu contraseña de acceso, modifícala.
• Cambia la contraseña periódicamente, como mínimo, 1 vez al año.
• Una contraseña segura se compone, mínimo, de 8 caracteres alfanuméricos, incluyendo letras mayúsculas, minúsculas, dígitos y signos de puntuación.
• No utilices para su construcción información previsible, nombres comunes fáciles de adivinar o palabras que se puedan encontrar en el diccionario.
• Envío de correos electrónicos: Para evitar brechas de seguridad derivadas del uso erróneo o inadecuado del correo electrónico a la hora de enviar mensajes, se recomienda seguir las buenas prácticas de seguridad:
• Recepción de correos electrónicos: Son típicos los ataques para robar información, infectar un equipo y extenderse a otros equipos, o encriptar archivos, solicitando una recompensa para poder recuperarlos Por esta razón es recomendable:
Es una técnica de ingeniería social en la que el atacante se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo general un correo electrónico o algún sistema de mensajería instantánea, con el objetivo de obtener datos personales de los usuarios y/o infectar los sistemas con un software malicioso. Para protegerse hay que seguir una serie de directrices:
• No facilites información personal, como datos bancarios o contraseñas, en páginas sospechosas.
• Contacta personalmente con la entidad antes de acceder o responder a ningún enlace de un correo sospechoso.
• Desconfía de un e-mail con enlaces y archivos adjuntos sospechosos. No uses los links que aparecen en un correo para acceder a un sitio web.
• Desconfía de los correos que presentan faltas de ortografía o errores gramaticales.
Navegar por internet es una de las principales fuentes de riesgos debido a que muchos de los ciberataques dirigidos utilizan esta modalidad como método para llegar a sus víctimas. La publicidad descontrolada, los script, las estafas y la descarga de archivos son amenazas comunes a las que se enfrentan los usuarios cada día. En la navegación por internet debemos ser cuidadosos también. Recomendaciones:
• No visites páginas de dudoso contenido que puedan producir una brecha de seguridad en los sistemas.
• Evita conectarte a redes inalámbricas desconocidas desde tus dispositivos.
• Navega en páginas web seguras: busca "https://" en la dirección web.
• Elimina las cookies y el historial del navegador.
• Malware: (abreviatura de "software malicioso") se considera un tipo molesto o dañino de software destinado a acceder a un dispositivo de forma inadvertida, sin el conocimiento del usuario. Frecuentemente, accede al dispositivo a través de Internet y del correo electrónico, aunque también puede conseguir acceder a través de sitios web hackeados, demos de juegos, archivos de música, barras de herramientas, software, suscripciones gratuitas o cualquier otra cosa que descargue de Internet en un dispositivo que no esté protegido con software antimalware. Los tipos de malware incluyen Spyware (software espía), Phishing virus troyanos, Gusanos, Rootkits, Ransomware, Secuestradores del navegador.
• Randsomware: son programas que secuestran los equipos y cifran sus discos pidiendo un rescate para su desbloqueo. Cómo actúa:
• Recomendaciones para evitar ataques: Para evitar el ataque de virus y malware se recomienda:
En los últimos años, la popularización de las redes sociales (Twitter, Facebook, Instagram,...) han creado un entorno de exposición constante de datos de carácter personal en internet.
Dicha exposición nos vuelve vulnerables a un robo o uso privilegiado de nuestra información por parte de usuarios no autorizados, a veces incluso sin ser conscientes de ello. Para mitigar el riesgo se han desarrollado las siguientes recomendaciones:
• No utilices tu cuenta corporativa para asuntos personales.
• Ten cuidado al compartir información, tus datos y los de Correos son muy valiosos.
• Acepta únicamente a usuarios conocidos.
• Evita exponer a menores.
• No compartas la ubicación bajo ningún concepto.
• Denuncia las conductas abusivas o sospechosas.
• Ten precaución al compartir información personal y corporativa en redes sociales o foros.
El término "Oversharing" responde a un comportamiento que la AEPD describe como "la sobreexposición de información personal en Internet. En particular en las redes sociales a través de los perfiles de los usuarios". En el contexto de las redes sociales como Facebook y Twitter, se utilizar para denominar a la práctica de compartir demasiado (nuestra ubicación, donde vamos a estar y a qué hora, fotos íntimas...).
• Cómo nos conectamos a redes públicas: Conectarse a las redes Wifi-públicas y
gratuitas es tentador. Nos evitan usar los datos móviles de nuestro contrato, pero los
riesgos que asumimos al conectarnos a ellas son enormes, exponemos nuestros datos, nuestro tráfico y nuestra identidad de forma casi total. Además, solemos usarlas como la red Wifi de casa o nuestra cuota de datos móviles, nos conectamos a nuestras redes sociales, leemos el correo, comprobamos nuestras cuentas bancarias o consultamos todo tipo de información. Es sencillo crear una red pirata simulando ser una real (hotel, estación de tren, aeropuerto) y espiar tus accesos. Si lo puedes evitar, no te conectes a redes inalámbricas abiertas. Un usuario conectado puede utilizar técnicas para "robarnos" información.
• Recomendaciones de conexión:
Los servicios en nube son servidores online que permiten tener disponible la información las 24 horas del día para todos los usurarios que tengan acceso, por lo que compartir ficheros, realizar modificaciones sobre los mismos o descargar la documentación hace que mejore la relación de trabajo de los equipos.
Los servicios en nube son una opción cada vez más utilizada para tener disponible copias de seguridad sin necesidad de un disco duro físico. Aun así, hay que tener en cuenta una serie de recomendaciones que mitiguen cualquier riesgo al que la información se pueda ver expuesta:
• Utiliza exclusivamente servicios en nube que estén comprometidos con la política de privacidad de la UE.
• Configura las opciones de seguridad que te brinda el servicio (doble factor de autenticación, compartición de archivos, etc.).
• Almacena de forma cifrada los ficheros que compartas con información personal y/o confidencial.
• No almacenes la información únicamente en la nube; dispón de un medio alternativo de copia/recuperación.
• Accountability: Las obligaciones del ámbito de Accountability son las siguientes:
• Privacidad: Se debe elegir la opción con menor impacto en privacidad.
• Aproximación: Consideraciones en el ámbito jurídico.
• Risk Approach: Los riesgos para los derechos y libertades de los interesados. Distribución de riesgos para los derechos y libertades de los interesados (Aproximación matemática).
• Evaluación objetiva: Art. 35.3 y 35.4 RGPD.
• Análisis de riesgo: Metodología PDCA-Ciclo de Deming (Tema 10 pág 39).
• Medidas de seguridad:
Como medida preventiva desde el diseño y por defecto, Correos ha desarrollado un decálogo básico que conviene ser recordado por todos sus empleados con el objetivo de saber cómo reaccionar ante los principales desafíos de seguridad que se originan en el desempeño normal de sus funciones.
• No utilizar los recursos profesionales de Correos para el uso personal.
• Bloquear o cerrar la sesión de usuario en los equipos cada vez que se deje sin supervisión.
• No acceder a sistemas no autorizados de Correos.
• Usar contraseñas complejas, no apuntarlas ni comunicársela a ningún otro usuario.
• Mantener el antivirus actualizado, no fiarse de archivos de fuentes dudosas, ni emails de remitentes desconocidos.
• No instalar software ajeno a Correos sin autorización.
• Conocer la normativa de Seguridad de Correos.
• Permanece debidamente identificado en instalaciones de Correos.
• Protege bien tú información ante terceros.
• Reporta al CAU cualquier anomalía que experimentes.
Las sanciones por el incumplimiento de RGPD pueden llegar a ser de cantidades muy elevadas, hasta los 20 millones de euros o el 4% del volumen de negocio global anual del ejercicio financiero anterior de la compañía infractora.
Cada multa se impondrá de acuerdo con las circunstancias de cada caso, y la decisión y cuantía serán impuestas, entre otras, en relación a:
• La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.
• La intencionalidad o negligencia en la infracción.
• Cualquier medida tomada para paliar los daños y perjuicios sufridos por los interesados.
• El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.
• Las categorías de los datos de carácter personal afectados por la infracción.