El certificado verde digital y la protección de datos
1 junio 2021
Un año de la ruptura del PrivacyShield (16/07/2020)
16 julio 2021
En el mundo digital e interconectado que actualmente vivimos, las redes sociales (en adelante, RRSS) constituyen una herramienta necesaria para cualquier empresa, pues, es aquí donde se configura principalmente la identidad digital corporativa.
Sin embargo, las RRSS no están exentas de incidentes de seguridad derivados principalmente de una mala configuración y de unas amenazas cuya gravedad, de materializarse, se pueden llegar a traducir en pérdidas económicas, de imagen y de reputación.
En el día mundial de las RRSS, hablaremos de la suplantación de la identidad de una organización en redes así como del deber de diligencia que ha de llevar la corporación ante una eventual suplantación en sus usuarios.
¿EN QUÉ CONSISTE LA SUPLANTACIÓN DE IDENTIDAD?
Consiste en la usurpación de los perfiles corporativos por terceros capciosos, actuando en su nombre. Esta suplantación en sede empresarial se puede producir de dos formas:
- Acceso ilícito a la cuenta de la red social
- Creación de un perfil falso con la información personal de la víctima
¿QUÉ TÉCNICAS SON LAS MÁS UTILIZADAS?
- Phishing: consiste en la usurpación de la identidad de una empresa para que el receptor de una comunicación electrónica, a priori oficial, crea que es remitida por la propia mercantil y facilite así, datos privados como el número de cuenta, credenciales…
- Pharming: el atacante modifica el tráfico de un sitio web para que cuando el usuario pretenda acceder al sitio web legítimo, sea redirigido de forma automática a uno falso.
CONSEJOS
Preventivos:
- Cambia la contraseña de forma periódica y prohíbe su reutilización.
- Evita dar información confidencial o publicar fotos sobre la organización o información que pueda usar la competencia.
- Durante el registro deberemos utilizar una dirección de correo electrónico corporativa. También se ha de evitar en la medida de lo posible añadir contactos desconocidos.
Reactivos:
- Bloquea y denuncia la cuenta que te está suplantando. Las principales redes sociales (Twitter, Facebook, Instagram, Linkedin…) disponen de formularios para reportar este tipo de incidentes.
- Advierte a tus contactos sobre el perfil ilegítimo.
- Documenta todo lo ocurrido por si conviniese efectuar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
SUPLANTACIÓN DE IDENTIDAD A TUS USUARIOS:
Además de los esfuerzos que se deben realizar para prevenir que la organización sea víctima de una suplantación de identidad, también debe poder demostrar que ha establecido mecanismos adecuados para verificar, de forma previa, la identidad de las personas cuyos datos personales va a tratar para asegurarse que ostenta legitimación para ello; este riesgo se prevé en el considerando 75 del RGPD y en el artículo 28.2 letra a) de la LOPDGDD. Si no actúa –y demuestra que ha actuado- con la diligencia debida, el responsable del tratamiento podría vulnerar el principio de licitud (artículo 6.1 del RGPD) y de responsabilidad proactiva (artículo 5.2 del RGPD).
El consentimiento de los interesados (art. 6.1. a) es la base jurídica más frecuente para que el tratamiento de los datos que realiza el responsable sea lícito. Pero además, la AEPD exige que los datos sean suministrados por su titular.1
El uso de las RRSS lleva aparejado una creciente inquietud por la protección de la privacidad y los datos personales. Por ello, la figura del Delegado de Protección de Datos (en adelante, DPD) se reputa prácticamente indispensable, no sólo para los responsables de las redes sociales sino también para aquellas mercantiles que se valen de ellas para llegar a un mayor número de usuarios.
Los conocimientos que deben reunir los DPD tanto teóricos, en materia del RGPD y de la LOPDGDD, como técnicos, en materia de seguridad de la información y privacidad, sirven para que nos puedan guiar en el establecimiento de medidas, garantías y mecanismos para asegurar que nuestra mercantil no sea víctima de este tipo de delitos y que además, nos oriente a asegurar y demostrar la seguridad y protección de los datos personales desde el diseño y por defecto y, en definitiva, la plena conformidad de nuestra configuración con el RGPD.
La certificación de DPD se reputa como una herramienta válida y adecuada para evaluar de forma objetiva e imparcial que se posee un nivel de competencia adecuado para el ejercicio de las funciones que esta figura tiene encomendadas. ANF AC, como Entidad de Certificación reconocida por ENAC posee la competencia técnica necesaria para la certificación de DPD conforme al Esquema de la Agencia Española de Protección de Datos.
Si ha superado satisfactoriamente alguno de los cursos impartidos por las Entidades de Formación reconocidas por cualquier Entidad de Certificación y/o acredita una experiencia profesional suficiente2 en funciones relacionadas con las propias del DPD no dude en dar el último paso y certificarse. Todos los meses hay prevista una convocatoria- a excepción de agosto- para que pueda seleccionar la fecha que mejor se ajuste a su planificación.
Consulta aquí los programas de formación reconocidos por ANF AC.
Para saber más sobre los prerrequisitos: https://www.anf.es/condiciones-justificacion-dpd/
Enlace a las próximas convocatorias previstas en Madrid y Barcelona: https://www.anf.es/entidad-de-certificacion/
¡Inscríbete ya! (Aquí encontrarás las especificaciones de la convocatoria y el formulario de solicitud)
Glosario:
AEPD: Agencia Estatal de Protección de datos
RGPD: Reglamento General de Protección de Datos
RRSS: Redes Sociales
PS: Procedimiento Sancionador
ENAC: Entidad Nacional de Acreditación
Fuentes:
https://www.incibe.es/extfrontinteco/img/File/empresas/guias/guia_ciberseguridad_identidad_online.pdf
Suplantaron la identidad de mi negocio en redes sociales para cometer fraude | Oficina de Seguridad del Internauta (osi.es)
Oleada de casos de suplantación de identidad en cuentas de Instagram y Onlyfans con fraudes dirigidos hacia sus seguidores | Oficina de Seguridad del Internauta (osi.es)
https://www.boe.es/doue/2016/119/L00001-00088.pdf
1 Así lo ha afirmado la AEPD en la resolución del procedimiento PS/00126/2021 (entre otros) instruido contra CREATOR ENERGY, S.L. La multa impuesta a la mercantil fue de 6.000 euros.
2 Para acceder a la fase de evaluación por la vía de experiencia, consulte el apartado 7.3 relativo a los prerrequisitos en donde se indican los años de dedicación necesarios y las formas de acreditarlos.