Creación de un sitio web
Home » Actividades » Creación de un sitio web

A la hora de crear un sitio web, hay que tener en cuenta la privacidad y la seguridad. Ambas dimensiones están muy relacionadas y es importante tenerlas en cuenta cuando un individuo (en este caso, un investigador) o una organización (por ejemplo, universidades, organizaciones privadas, etc.) va a crear un sitio web.

Para esta sección, se va a suponer que el investigador no tiene ningún conocimiento de desarrollo, privacidad o seguridad. Por lo tanto, esta sección se va a redactar atendiendo a dos situaciones diferentes:

  • El sitio web es desarrollado por un diseñador web; o
  • Utilizar un Sistema de Gestión de Contenidos, por ejemplo, WordPress

En ambos casos, la privacidad y la seguridad son difíciles de aplicar cuando hay terceros implicados. Por ello, el investigador debe adquirir conocimientos en ambas dimensiones para no infringir las leyes de protección de datos.

El objetivo principal de esta sección será dar a conocer suficientemente los principales temas relacionados con la privacidad y la seguridad a la hora de crear un sitio web.

Protección de datos: qué hay que tener en cuenta a la hora de crear un sitio web

El Reglamento que va a guiar este apartado es el REglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD) junto con la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (en adelante, Directiva sobre la privacidad electrónica)

La Directiva sobre privacidad electrónica afecta a un sitio web, principalmente, en dos aspectos:

  • Comunicaciones de marketing: es importante, ahora, seguir los requisitos del RGPD para el consentimiento; sin embargo, la Directiva sobre privacidad electrónica tiene su propio reglamento local. Es importante revisar los requisitos locales y evaluar cuándo se pueden enviar o no comunicaciones de marketing con o sin consentimiento.
  • Cookies: para este tema, por favor, lea (incluya la sección de las directrices referidas a las cookies dentro de la nueva plantilla) y siga las recomendaciones sobre cómo deben gestionarse las cookies para cumplir con los requisitos del RGPD y la Directiva de privacidad electrónica.

Volviendo al sitio web, el proceso comienza cuando el investigador decide crear uno, lo que representa el primer hito, a saber, la “fase de diseño”. De acuerdo con el RGPD, podemos decir que en esta fase de diseño es donde debemos garantizar el cumplimiento, que no es una recomendación sino una obligación del artículo 25 del RGPD: Protección de datos por diseño y por defecto.

Este concepto era un poco confuso cuando el RGPD entró en vigor el 25 de mayo de 2018, pero las Autoridades de Protección de Datos han ido ilustrando a las organizaciones en relación con lo que implica esta obligación.

En definitiva, la Protección de Datos por diseño y por defecto consiste en este caso en aplicar las garantías necesarias desde una fase inicial (diseño de la web) si se van a tratar datos personales. Estas garantías impregnan todos los principios del RGPD. En este caso, es el responsable del tratamiento (en su caso, investigador/universidad/otras organizaciones en las que trabaja el investigador) quien tiene la obligación de cumplir con este artículo y garantizar el cumplimiento de todos los principios del RGPD. Tenemos un muy buen ejemplo con la Agencia de Protección de Datos española, que ha desarrollado una directriz[1].

Cada principio deriva en medidas específicas que vamos a analizar en esta sección.

Principio de legalidad, equidad y transparencia

Dentro de este principio podemos diferenciar dos partes: La legalidad y la equidad, por un lado, y la transparencia, por otro.

Legalidad y equidad:

Este principio implica que los datos personales pueden tratarse si se aplica al menos uno de los fundamentos[2] jurídicos señalados en el artículo 6 del RGPD. En el caso de los sitios web, normalmente[3], estos requisitos significan que es necesario obtener el consentimiento del interesado.

Si se requiere el consentimiento, las siguientes áreas del sitio web, entre otras, son las que normalmente requieren la implementación de una acción para cumplir con el Reglamento:

  • Sección de contacto: donde el usuario final puede ponerse en contacto con el investigador para formular cualquier pregunta. La finalidad de esta actividad de tratamiento es utilizar los datos personales del usuario final para responder a la pregunta.
  • Suscripción al boletín de noticias: la finalidad de esta actividad es tratar los datos personales para enviar a los interesados noticias relativas, por ejemplo, a las nuevas actividades de investigación realizadas durante el último mes.
  • Área de carrera: la finalidad de esta actividad de tratamiento es tratar los datos personales de los candidatos para realizar el proceso de contratación.

El consentimiento requiere una acción afirmativa y positiva por parte del interesado (por ejemplo, hacer clic en una casilla de verificación aceptando compartir datos personales con el investigador), pero también requiere estar informado (desarrollado más adelante) y darlo libremente. Darlo libremente significa que las opciones dadas al sujeto de los datos no pueden ser remarcadas, resaltadas o de otra manera donde se beneficie el proceso de estos datos.

Como requisito del RGPD (Art. 7), el Investigador deberá mantener un registro de los consentimientos[4] recogidos en este sitio web, pero también demostrar el cumplimiento de los demás requisitos: informado, dado libremente e inequívoco (Considerando 32 junto con el Art. 7).

El consentimiento debe ser proporcional a la finalidad para la que se realiza la actividad; tiene que ser específico. Dar el consentimiento para fines diferentes que no tienen relación entre sí no cumple con los requisitos del RGPD.

En el caso de que la actividad de investigación involucre a niños, es importante tener en cuenta que el RGPD establece el consentimiento digital como requisito para los niños cuando tienen al menos 16 años (Art. 8). Este artículo puede ser modificado por cada Estado miembro del Espacio Económico Europeo (en adelante, EEE), por lo que el Investigador deberá tener en cuenta las Leyes de Protección de Datos locales para esta situación.

En cualquier caso, cuando se recojan datos personales de niños que no tengan la edad digital mínima para consentir el tratamiento de datos personales, los padres o tutores legales deberán dar su consentimiento en su nombre.

Transparencia:

El RGPD establece fuertes requisitos sobre la información que debe darse cuando se recogen y procesan datos personales. Estos requisitos se recogen en los Art. 13[5] y 14 cuando los datos personales proceden de fuentes públicas, que pueden ser una fuente importante para que los investigadores obtengan datos personales para sus actividades. No obstante, para el caso de la recogida de datos personales a través de un sitio web, el Art. 13 será el aplicable.

La forma habitual de hacerlo es introduciendo un enlace a la política de privacidad cuando se recoge el consentimiento debido a los requisitos ya mencionados. Además, si es posible, incluya una casilla de verificación que indique que el interesado ha leído la política de privacidad, o asegúrese de que la política de privacidad aparezca como una ventana emergente cuando el interesado sitúe el puntero del ratón sobre la casilla de verificación del consentimiento.

Volviendo al principio de transparencia, estrechamente relacionado con el deber de informar, es importante que el investigador entienda que la información debe darse de una manera fácil de entender; esto significa que un usuario medio debe ser capaz de comprender claramente lo que se va a hacer con sus datos. El uso de un lenguaje fácil de usar ayuda a cumplir este requisito, junto con gráficos o imágenes, incluso vídeos.

Además, la información debe ser fácilmente accesible para los interesados. Si la información está “oculta” o el interesado tiene que hacer clic en varias secciones para llegar a esa información, el sitio web no será transparente en cuanto a lo que se hace con los datos personales en el momento de su tratamiento.

Limitación de la finalidad

La limitación de la finalidad significa que los datos personales no pueden ser tratados para fines distintos de los estipulados en la política de privacidad cuando se recogieron los datos, a menos que estos fines correspondan a actividades de archivo de interés público, fines de investigación científica e histórica o fines estadísticos.

Si el Investigador entra en la exención de actividades de archivo de interés público, fines de investigación científica e histórica o fines estadísticos, no supone una exención para cumplir con el principio de transparencia en línea con el deber de informar. El Investigador debe indicar en la política de privacidad, si realiza estas actividades, que los fines principales de las actividades de tratamiento pueden cambiar a los ya mencionados.

A partir de las diferentes acciones nombradas en el apartado anterior 4.2.1, se pueden identificar los siguientes propósitos:

  • Responder a las preguntas de los usuarios del sitio web (sección de contacto);
  • Para enviar el boletín de noticias (suscribir el boletín); y
  • Gestionar los puestos de trabajo.

Estas finalidades se aplicarán a una o varias actividades de tratamiento. Una actividad de tratamiento es cualquier operación o conjunto de operaciones que se realizan sobre datos personales o sobre conjuntos de datos personales; por lo tanto, podemos agrupar las finalidades mencionadas en una actividad de tratamiento: la gestión del sitio web. Esta denominación es un ejemplo y el Investigador puede denominar la actividad de tratamiento como desee.

Minimización de datos

La minimización de los datos requiere que no se traten más datos personales de los necesarios para cumplir los distintos fines de la actividad o actividades de tratamiento identificadas.

Como orientación para cumplir con el principio de minimización de datos, se pueden formular tres preguntas que ayuden a los investigadores a realizar una breve evaluación:

  • ¿Podemos cumplir los fines ya identificados con menos datos personales?
  • ¿Esta cantidad reducida de datos personales es suficiente para cumplir adecuadamente los fines?
  • ¿Tenemos suficientes datos personales para cumplir adecuadamente los objetivos?

Respondiendo a estas preguntas, el Investigador sólo verá si se cumple o no el requisito de minimización; si se responde afirmativamente a las preguntas anteriores, el Investigador deberá averiguar en última instancia qué datos personales son estrictamente necesarios para cumplir los fines identificados.

Además, la fuente más común en la que podría no cumplirse la minimización de datos es en los campos abiertos: por ejemplo, desde la sección de contacto, cualquier persona puede enviar todos los datos personales que quiera al Investigador. Esto supone un riesgo, ya que estos datos personales también se almacenarán y mantendrán durante la actividad de tratamiento y una vez finalizada ésta. La recomendación en este caso es evitar en la medida de lo posible los campos abiertos y utilizar únicamente campos cerrados para recoger los datos personales.

Precisión

Este principio establece que, cuando se recogen datos personales, éstos deben ser exactos y, en su caso, mantenerse actualizados. En la práctica, garantizar el cumplimiento de este principio parece una tarea difícil.

La calidad de los datos puede preservarse mediante el uso de la tecnología (por ejemplo, el análisis de datos), lo que requiere un gran esfuerzo para lograr el cumplimiento de este principio. Por ello, el investigador también debe tener en cuenta que este principio sólo se aplica cuando los datos van a ser procesados (no es necesario garantizar la exactitud todo el tiempo), y para que esto ocurra, hay dos recomendaciones:

  • La primera es añadir una casilla de verificación como declaración del interesado, indicando que asegura la exactitud de los datos personales facilitados. Esto debería ser obligatorio para el interesado.
  • Por otro lado, sería muy recomendable incluir un apartado dentro de la zona del perfil en la página web, dando la posibilidad a los interesados de modificar y actualizar sus datos personales si se produce algún cambio durante la actividad a desarrollar.

Estos dos consejos permitirán al investigador cumplir fácilmente con este principio.

Limitación de almacenamiento

El principio de limitación del almacenamiento exige que los datos personales no se almacenen más tiempo del necesario para cumplir los fines de las actividades de tratamiento identificadas. Además, el Investigador puede almacenar los datos personales más tiempo del necesario si se tratan para actividades de archivo de interés público, fines de investigación científica e histórica o fines estadísticos.

Asimismo, diferentes normativas pueden afectar a la conservación de los datos personales, como las obligaciones fiscales o las leyes penales. Si no existe ninguna de estas obligaciones legales u otras excepciones a estos principios, el Investigador deberá definir un periodo de conservación de los datos personales acorde con la proporcionalidad de los fines perseguidos.

En el caso de los fines comunes y las actividades de tratamiento ya identificadas en esta sección (gestión de sitios web), la recomendación será no almacenar los datos personales durante períodos más largos; además, esta información debería eliminarse una vez cumplida la finalidad. En caso de que los datos personales se utilicen para actividades de investigación, la recomendación es transformar los datos personales en datos agregados (utilizando protocolos de desidentificación como la anonimización) cuando no se aplique el RGPD, ya que los datos agregados no son datos personales.

Por último, el investigador debe ser consciente de que, si los datos personales se comparten con terceros, tiene la obligación de eliminarlos una vez finalizada la relación profesional. Además, deben revisarse las políticas de copia de seguridad de diferentes soluciones, como Microsoft OneDrive, para asegurarse de que los datos se eliminan. Las copias de seguridad pueden almacenar estos datos sin el conocimiento del Investigador.

Aseguración de la información: consejos mínimos para garantizar la seguridad de la información al crear un sitio web

En este apartado, definimos algunas recomendaciones de ciberseguridad a tener en cuenta a la hora de crear un sitio web.

En primer lugar, es necesario diferenciar entre ciberseguridad y seguridad de la información, lo cual es un error común. La seguridad de la información se ocupa de los procesos y metodologías diseñados para proteger cualquier información, independientemente de su formato. La ciberseguridad, en cambio, se ocupa de la protección de los activos digitales, es decir, de todo lo que abarca el hardware de red, el software y la información que se procesa, se almacena en los sistemas o se transporta por los entornos de información en red.

Sobre los términos mencionados, podemos decir que la seguridad de la información forma parte de un concepto amplio de ciberseguridad. En este sentido, también debemos velar por la ciberseguridad para proteger todos los activos que intervienen en el tratamiento de los datos personales y garantizar un entorno seguro. No obstante, en el mundo de la seguridad de la información y la ciberseguridad, no podemos afirmar que estemos completamente seguros o que el riesgo de materialización de una amenaza o evento que pueda dañar nuestros activos sea 0.

En cuanto al cumplimiento de la seguridad, el RGPD indica que la seguridad del tratamiento es una obligación (art. 32), y obliga a todas las personas y organizaciones a aplicar un alto nivel de seguridad para garantizar la confidencialidad, integridad y disponibilidad de los datos personales. La integridad y la confidencialidad del tratamiento de datos es también un principio del RGPD (art. 5.1 f). Sin embargo, el RGPD no especifica qué medidas deben aplicarse para garantizar estas dimensiones de seguridad más allá del cifrado y la anonimización. De hecho, el responsable del tratamiento y los encargados del mismo son los responsables de definir estas medidas. Sin una orientación y comprensión de lo que es necesario para cumplir con el Reglamento, ésta es una tarea bastante difícil.

Nuestro principal objetivo es orientar sobre los aspectos más importantes a tener en cuenta en materia de ciberseguridad y seguridad de la información, teniendo en cuenta los tipos de ataques más comunes a los sitios web.

Lo primero en lo que hay que pensar es en los proveedores. Como ya se mencionó en la introducción, la opción más común para crear un sitio web son:

  • Mediante un Sistema de Gestión de Contenidos (por ejemplo, WordPress)
  • Un diseñador web

En ambas situaciones, estaremos externalizando el servicio y compartiendo datos personales con terceros. El Sistema de Gestión de Contenidos y el diseñador web serían un encargado de tratamiento según el RGPD, lo que conlleva la obligación de normalizar esta relación con un contrato, estipulando todos los requisitos establecidos en el Art. 28[6].

Los grandes proveedores de soluciones, como Sistema de Gestión de Contenidos, ya han abordado esta cuestión. Así, ofrecen a sus clientes algunas soluciones para cumplir los requisitos del artículo 28.

En el escenario de la contratación de un diseñador web, el investigador puede enfrentarse a dos situaciones que pueden cambiar la gestión del contrato:

  • El diseñador web trabaja para una empresa; o
  • El diseñador de la web es un autónomo.

En el primer caso, la empresa puede enviar una plantilla al investigador. Esto se debe a que las empresas están acostumbradas a trabajar con otras empresas o clientes, en los que el tratamiento de datos personales y la firma de un Acuerdo de Procesamiento de Datos es una tarea habitual.

A continuación, si la empresa envía una plantilla, es importante que el investigador revise detenidamente el contrato y compruebe si se cumplen todos los requisitos del RGPD. Para poder hacerlo, la mejor opción es comparar un acuerdo estándar de procesador de datos ya aprobado por una autoridad nacional de protección de datos (ejemplo dado en la última página: autoridad danesa de protección de datos).

Por otro lado, cuando se contrata a diseñadores web autónomos, puede ser necesario enviarles una plantilla, ya que no están tan acostumbrados a tratar directamente con el cumplimiento legal. También es importante concienciar al freelance sobre los deberes que se derivan del contrato, además de los que corresponden al Investigador, para asegurar el cumplimiento durante toda la relación profesional.

La seguridad de la información es una parte importante del contrato derivada de una obligación del RGPD. Para garantizar la confidencialidad, la disponibilidad y la integridad de los datos personales junto con el resto de las obligaciones legales contenidas en el Reglamento, el Investigador solo debe contratar y trabajar con aquellos procesadores que ofrezcan un alto nivel de seguridad.

Para alcanzar este objetivo, la práctica habitual es incluir una “lista de comprobación del cumplimiento” como anexo al contrato que debe cumplir el transformador. La recomendación en este caso es contratar a aquellos procesadores que cumplan con toda la lista de comprobación, lo que significa que ofrecen un alto nivel de cumplimiento. Esta lista de comprobación también incluye algunas medidas organizativas derivadas de normas internacionales como la ISO que exigen seguridad[7].

Además, a la hora de contratar un diseñador web o elegir un Sistema de Gestión de Contenidos para su sitio web, no hay que olvidar que el Investigador conlleva una posición de controlador, en relación con los roles de protección de datos definidos en el RGPD. El controlador tiene una posición dominante sobre el procesador, entonces, en cuanto a las actividades de procesamiento de datos personales, el procesador debe escuchar y seguir las instrucciones del controlador.

Profundizando en la ciberseguridad: Consejos de seguridad del Sistema de Gestión de Contenidos

Una vez que hemos regulado legalmente la relación entre el Investigador y el procesador (en este caso, un Sistema de Gestión de Contenidos), debemos decir que estas herramientas no son seguras por defecto, aunque existan medidas de seguridad basadas en los mejores estándares del mercado.

Sin embargo, hay algunos consejos que mejorarán la seguridad de su Sistema de Gestión de Contenidos:

  1. Asegúrese de actualizar su Sistema de Gestión de Contenidos.
    La tecnología cambia constantemente. Esto tiene consecuencias positivas, pero también negativas en términos de ciberseguridad; los hackers pueden aprovechar los sistemas antiguos (tan conocidos como los sistemas heredados) para descubrir vulnerabilidades en el código que pueden permitir un posible ataque. Las empresas suelen ser conscientes de ello y realizan actualizaciones para parchear estas vulnerabilidades y mantener el entorno seguro. Dentro del panel de gestión de tu Sistema de Gestión de Contenidos, deberás revisar regularmente la sección de actualizaciones e instalar aquellas que mejoren la seguridad.
  2. Las contraseñas son uno de los primeros pasos hacia la ciberseguridad.
    Puede parecer un tema muy básico, pero la gente sigue utilizando contraseñas predeterminadas o fáciles (por ejemplo, 1234/admin/contraseña, etc.) para acceder al entorno donde se almacena y procesa su información sensible. En la sección de preguntas frecuentes, puedes aprender cómo construir una contraseña robusta y evitar los ataques de los hackers.
  3. Funciones y responsabilidades: ¡no conceda acceso con privilegios elevados si no es necesario!
    Es posible que te encuentres en la situación de trabajar con un equipo, formado por personas que necesitan trabajar en este entorno y realizar cambios o gestiones en el sitio web. Asegúrese de gestionar dentro de su tablero de control estos privilegios siguiendo el concepto
  4. Utilice las copias de seguridad para garantizar la disponibilidad de la información.[8]
    En caso de perder información, recibir un ataque, o cualquier otra situación que pueda llevar a la indisponibilidad de la información del sitio web, las copias de seguridad son la solución para mantener esta dimensión intacta.
  5. Si tiene la oportunidad, elija con cuidado a su anfitrión.
    La mejor opción es que su anfitrión esté ubicado en Europa. Si elige, o por cualquier otra razón, que esté situado por defecto fuera del Espacio Económico Europeo, estará realizando una transferencia internacional de datos personales, lo que requiere tener en cuenta medidas específicas (no legales y técnicas). Tendrá que asegurarse de que su proveedor de alojamiento utiliza un certificado válido para su sitio web (certificados SSL/TLS, explicados con más detalle en la sección 4.3.3).

Como ya hemos mencionado, dentro del mundo de la ciberseguridad, no podemos hablar de 0 riesgos. Todos estos consejos a tener en cuenta mientras se construye un Sistema de Gestión de Contenidos para el sitio web podrían no ser suficientes para asegurar completamente su sitio web.

La recomendación en este caso es contar con el apoyo, si es posible, de profesionales de la ciberseguridad que estén siempre al día en cuanto a nuevas vulnerabilidades y mejoras de seguridad, así como disponer de las herramientas necesarias para mejorar la seguridad en su sitio web.

Si no es posible, los cinco consejos anteriores deberían dar un mínimo de seguridad a su sitio web.

Diseño web: consejos básicos para desarrollar un sitio web seguro

En el caso de que el investigador prefiera contratar a una empresa o autónomo especializado en diseño y desarrollo web, es un error común pensar que un diseñador web es un desarrollador.

Un diseñador web puede tener conocimientos de desarrollo, pero se centra en el diseño del front-end. El diseño front-end se refiere al trabajo realizado en la interfaz del sitio web, no a nada relacionado con el back-end o las conexiones a la base de datos, etc. Esto lo hace un desarrollador de back-end, que se centra en escribir todo el código que gestiona la relación entre el sitio web y todos los sistemas que funcionan para hacerlo funcionar.

Dicho esto, se pueden dar algunos consejos a los desarrolladores durante el proyecto de creación de la web:

  • Si el sitio web permite el envío de comentarios o cualquier otra interacción con el usuario, es importante implementar sistemas de captcha. Estos sistemas impiden que una máquina actúe como usuario para facilitar el uso de spam malicioso o de marketing.
  • Si el investigador incluye la posibilidad de descargar cualquier tipo de material (por ejemplo, folletos), es importante utilizar un software para eliminar los metadatos que estos documentos almacenan, ya que pueden contener información que un hacker puede utilizar para explotar, como nombres de usuario, directorios, etc.
  • Siga las instrucciones ya dadas en la sección de Sistema de Gestión de Contenidos para contraseñas robustas.
  • Ser capaz de almacenar los registros para facilitarlos a las autoridades para la investigación en caso de ataque.
  • Haga una copia de seguridad de todos los elementos críticos que permiten el funcionamiento del sitio web, y no olvide la base de[9] datos utilizada para ello. Estas copias de seguridad deben almacenarse en un lugar diferente al de los datos originales, verificando periódicamente que dichas copias se realizan correctamente. Si el sitio web es gestionado por un tercero (que podría ser la situación del Investigador), la obligación de realizar copias de seguridad debe estar estipulada dentro del contrato.
  • Si el investigador va a utilizar un entorno web complejo dentro de un proyecto, es importante diferenciar entre el entorno de preproducción, en el que se realizan pruebas para verificar los cambios o características posteriores que se van a implementar, y el entorno de producción. Esto permitirá aplicar parches (entorno de preproducción) si se detectan vulnerabilidades, y verificar las modificaciones y características cambiadas antes de hacerlas visibles a los usuarios.
  • Para los desarrolladores de back-end, es importante seguir un ciclo de vida de desarrollo de software seguro y una [10]rutina de codificación segura. Utilizando estas metodologías, el investigador se asegurará de cumplir los requisitos básicos de seguridad.
  • Controlar las conexiones realizadas por el sitio web. Las conexiones externas a nuestro sitio web deben ser administradas y controladas por un cortafuegos con una configuración de políticas adecuada. Esto se aplica independientemente de quién gestione el sitio web (Investigador o un tercero);
  • Si es posible, realice auditorías técnicas para buscar vulnerabilidades. Esto se realiza normalmente a través de un pen testing, en el que profesionales especializados (hackers éticos) buscan vulnerabilidades que deben ser corregidas para evitar ataques.

Cifrado: la importancia del certificado SSL/TLS

Como ya se ha mencionado, el RGPD sólo hace referencia a dos medidas de seguridad como base para garantizar la integridad y confidencialidad de los datos personales: el cifrado[11] y la anonimización.

El cifrado es un concepto amplio que puede aplicarse a diferentes activos de varias maneras. Centrándonos en el cifrado de sitios web, lo que debemos tener en cuenta es la conexión entre el sitio web y la base de datos.

El uso de los protocolos SSL/TLS (Secure Sockets Layer/Transport Layer Security) permite garantizar la seguridad cifrando el tráfico de datos entre un navegador web (por ejemplo, Firefox) y un servidor web (donde se almacenan todos los elementos del sitio web). Básicamente, estos protocolos protegen los datos procesados dentro del sitio web mediante dos claves (pública y privada), lo que hace improbable que terceros accedan a los datos sin los derechos adecuados.

Cuando se implemente el protocolo, el sitio web ganará el estatus de HTTPS (HyperText Protocol Secure), lo que significa que este sitio está protegido por una certificación SSL/TLS.

Los protocolos SSL/TLS no sólo transportan los datos de forma segura (convirtiendo el texto plano en texto cifrado), sino que también actúan como una autenticación entre el receptor y el emisor, permitiendo que las aplicaciones cliente-servidor se comuniquen de forma que se evite el eavesdropping (interceptación de la comunicación entre dos partes) y el tampering (modificación de los datos a través de canales no autorizados), entre otras cosas.

Los protocolos de cifrado SSL/TLS son los más utilizados en el contexto de las conexiones a Internet. No obstante, hay que tener en cuenta que los protocolos SSL 2.0 y 3.0 ya no son válidos debido a la detección de enormes vulnerabilidades; se recomienda utilizar únicamente los protocolos TLS para el cifrado.

Qué hacer
  • Si es posible, trata de pedir asesoramiento profesional en materia de protección de datos y ciberseguridad o, si dentro de tu organización existe la figura del DPO, pide consejo jurídico/seguridad.
  • Si no puede “HACER” el primer punto, recuerde siempre ser transparente en lo que va a hacer con los datos personales, y lea atentamente los primeros apartados de referidos al cumplimiento de la protección de datos.
  • Elige con cuidado con quién vas a colaborar; si fallan en algo relacionado con la protección de datos también va a ser culpa tuya.
  • Si es posible, intente estar al día sobre las vulnerabilidades y otras amenazas que puedan afectar a la seguridad de los datos personales. Implementar las acciones necesarias para corregirlas.
  • Si va a llevar a cabo un proyecto con fines de archivo en interés público, de investigación científica o histórica o con fines estadísticos, es posible que se le apliquen algunas exenciones relativas al cumplimiento de la protección de datos. Lea atentamente esta sección de las directrices para saber cómo puede afectarle.
Lo que no hay que hacer
  • No lleves a cabo ninguna actividad si no estás seguro de lo que debes hacer con respecto al cumplimiento de la protección de datos o la seguridad. Es mejor tomarse un respiro y pensar detenidamente cómo proceder.
  • No recoja más datos personales de los necesarios, ni almacene más tiempo del necesario, ni utilice herramientas que puedan comprometer la seguridad de los datos personales.
  • No trabaje con proveedores que no ofrezcan un nivel mínimo de seguridad o cumplimiento.
  • No trabaje con herramientas que tengan vulnerabilidades reconocidas o en las que los incidentes de seguridad sean habituales.
  • En caso de trabajar con un desarrollador/diseñador web, asegúrese de que sigue los estándares de codificación/desarrollo seguros para construir, por diseño, un entorno web seguro.
Lista de comprobación
  • Hemos evaluado los datos personales necesarios que debemos recoger durante nuestra actividad de investigación, cumpliendo con el principio de minimización de datos;
  • Hemos determinado los periodos de conservación de los datos (si procede) para eliminar adecuadamente los datos personales, cumpliendo con el principio de limitación del almacenamiento;
  • Hemos redactado adecuadamente todas las cláusulas informativas explicando al usuario todo lo que exige el RGPD para cumplir con el principio de transparencia y equidad;
  • Hemos evaluado adecuadamente la base legal aplicable a las actividades de procesamiento del proyecto, cumpliendo con el principio de legalidad;
  • Hemos tenido en cuenta las recomendaciones relativas a la seguridad de la información y la ciberseguridad para cumplir con el principio de confidencialidad y disponibilidad;
  • Hemos tenido en cuenta el hecho de que los usuarios puedan ejercer sus derechos, habilitando un canal específico para ello y también un procedimiento para gestionarlos adecuadamente;
  • En el caso de que el consentimiento sea una de las bases legales, hemos implementado las medidas necesarias para cumplir con los requisitos del consentimiento (informado, libremente otorgado, fácil de retirar…);
  • Hemos leído y seguido todas las recomendaciones en la fase de creación de la página web en cuanto a desarrollo o uso del Sistema de Gestión de Contenidos;
  • En caso de utilizar un Sistema de Gestión de Contenidos, hemos seguido las recomendaciones de los consejos básicos para intentar construir un entorno seguro;
  • Hemos animado a nuestros desarrolladores a seguir los estándares del SDLC evitando que posibles errores a nivel de código puedan facilitar el acceso de terceros no autorizados.

 

 

  1. Para más información, visite https://www.aepd.es/sites/default/files/2019-12/guia-privacidad-desde-diseno_en.pdf
  2. Por base jurídica entendemos la justificación legal que nos permite utilizar los datos personales. Estas bases jurídicas son las siguientes: el consentimiento, la ejecución de un contrato, el cumplimiento de una obligación legal¸ la protección de intereses vitales, o el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; esta base jurídica se encuentra en el artículo 6 del RGPD
  3. Como ya se ha mencionado, pueden identificarse otras bases jurídicas como fundamento para el tratamiento de datos personales, que pueden no requerir las mismas acciones que el consentimiento. El consentimiento es la única base jurídica que requiere una acción positiva y afirmativa por parte del interesado.
  4. Además, estos requisitos de consentimiento se complementan con directrices específicas del Consejo Europeo de Protección de Datos. Para más información, visite el siguiente enlace: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en
  5. Puede consultar un ejemplo de política de privacidad en el siguiente enlace: https://gdpr.eu/privacy-notice/ Esta no es una fuente oficial*.
  6. De acuerdo con el art. 28.8, la Autoridad de Protección de Datos danesa ha publicado cláusulas tipo para la relación entre responsables y encargados del tratamiento. Es la única Autoridad de Protección de Datos que ha procedido a publicar estas cláusulas en Europa. Para orientar al investigador, puede ser útil disponer de este material, que puede consultarse en: https://edpb.europa.eu/sites/edpb/files/files/file2/dk_sa_standard_contractual_clauses_january_2020_en.pdf
  7. Para ello, la Oficina del Comisionado de Información de la Autoridad de Protección de Datos del Reino Unido ofrece dos recursos: uno para evaluar el cumplimiento de los procesadores (https://ico.org.uk/for-organisations/data-protection-self-assessment/processors-checklist/) y otro para la seguridad de la información (https://ico.org.uk/for-organisations/data-protection-self-assessment/information-security-checklist-report/); estas dos listas de comprobación pueden ofrecer orientación a los investigadores sobre lo que hay que enviar a los procesadores.
  8. Por favor, para más información sobre el correcto almacenamiento de sus datos, lea (incluya una referencia a la sección II.3. Almacenamiento de sus datos en la nueva plantilla)
  9. Las bases de datos son también un activo crítico donde se almacenan datos personales. Por lo tanto, es importante tener en cuenta las cuestiones específicas que se plantean al crear una base de datos. Por favor, siga las recomendaciones de la sección III.3 “Creación de una base de datos”.
  10. https://owasp.org/www-pdf-archive/OWASP_SCP_Quick_Reference_Guide_v2.pdf
  11. Lea las preguntas frecuentes sobre seguridad y ciberseguridad para entender cómo funciona el cifrado, los diferentes tipos y también las aplicaciones.

 

Ir al contenido