Salvador Zotano

Delegado de Protección de Datos Certificado de Conformidad con el Esquema de Certificación nº 19-ADK0101.

Sello DPD Certificado

MUY IMPORTANTE: A tener en cuenta.

Primero. La materia que estamos tratando se enmarca dentro de las denominadas “ciencias sociales”, esto es, no se basa en fórmulas como la ciencia matemática, ni en principios como la ciencia de la física, ni en elementos como la ciencia de la química.

Por lo tanto, muchas de las apreciaciones aquí contenidas están sujetas a la discusión, al cambio de pareceres, a la evolución de lo que la sociedad entiende como lícito o ilícito.

Segundo. No todas las respuestas valen para todas las situaciones ni todas las preguntas comprenden todas las cuestiones. Esto es, en muchas ocasiones, dependiendo de las circunstancias concretas, las respuestas se han de modular en función de distintas variables. Por eso esta obra no pretende dar respuesta a todo y bajo todo tipo de circunstancia. De hecho si se plantea cualquier tipo de cuestión en materia de protección de datos lo más aconsejable es comentarlo con el DPD Certificado que tengamos en nuestra organización que, con absoluta seguridad, analizará todos los pormenores del caso y dará la respuesta más adecuada.

Tercero. El continuo avance imparable de las tecnologías de la comunicación y la información, y qué decir de la IA, están cambiando, de forma continua, la realidad que nos rodea. La protección de datos está sometida a dichos cambios y, en consecuencia, las preguntas y respuestas deben ir evolucionando conforme evolucione el entorno donde se han planteado.

Cuarto. La jurisprudencia del Tribunal Supremo, como en lo que respecta a todos los Derechos Fundamentales, se irá abriendo paso conforme vayan llegando casos concretos, y las Sentencias del Tribunal Supremo irán generando seguridades, modificando planteamientos, alineando posiciones, avanzando, en definitiva, en la más adecuada forma de implementar la protección de datos como Derecho Fundamental. De hecho, muchas de las cuestiones sobre las que en este momentos polemizamos serán resueltas por la jurisprudencia en no mucho tiempo.

Quinto. La mayor parte del material y contenidos han sido completados con publicaciones realizadas por la Agencia Española de Protección de Datos (AEPD), el Instituto Nacional de Ciberseguridad (INCIBE) e Informes del Gabinete Jurídico de la AEPD; y actualizados por el que suscribe.


Preguntas y respuestas sobre protección de datos en comunidades de propietarios

Escriba al menos 3 caracteres para la búsqueda. Escriba los términos que desee buscar separándolos con espacios.

El Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

Al tratarse de la protección de un derecho fundamental (art. 18 de la Constitución Española), están obligados a cumplir con la normativa de protección de datos todos los que traten datos de carácter personal con fines profesionales o comerciales.

En este sentido, tanto el administrador de fincas como la comunidad de propietarios son sujetos de Derecho obligados a cumplir con la normativa de protección de datos; la comunidad de propietarios como responsable del tratamiento y el administrador de fincas como encargado del tratamiento.

Sí, en la medida que realicen un tratamiento de datos de carácter personal de personas físicas.

Así, en las comunidades de propietarios existe un tratamiento derivado de la gestión de la propia comunidad, que puede denominarse "gestión de la comunidad de propietarios" o "propietarios", en el que se incluyen los datos personales de los citados propietarios como pueden ser nombre, apellidos, dirección o correo electrónico.

Pueden existir, además, otro tipo de tratamientos como el de "videovigilancia" o "cámaras de seguridad".

Evidentemente, si se quiere girar los recibos de los comuneros a través de cuentas bancarias, también existirá un fichero donde aparezcan las cuentas bancarias de éstos.

Por tanto, y como indicamos al principio, al existir estos tratamientos debe cumplirse lo dispuesto en la normativa de protección de datos personales.

En principio no, aunque sea aconsejable, dado que es la mejor forma, como ya veremos, de cumplir con el principio de responsabilidad proactiva.

Ahora bien, si se trata de una administración de fincas que cuenta con un volumen importante de comunidades de propietarios, con un volumen alto de datos de carácter personal, sí que sería necesario.

También sería necesario si la administración de fincas cuenta con servicios adicionales como servicios jurídicos y servicios de intermediación inmobiliaria, entre otros.

En todo caso, es muy aconsejable que una Administración de Fincas tenga un DPD Certificado en base a lo establecido en el Considerando (81) RGPD, enlazado con lo establecido en el art. 32.3 RGPD y lo que determina el art. 42.1 RGPD. Y me explico.

Considerando (81) RGPD:

“Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento. La adhesión del encargado a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable (...).”

Artículo 32 RGPD:

1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

(...)

3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo (...)”.

Artículo 42.1 RGPD:

1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados. Se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas (...).”

Así pues, si el Responsable del Tratamiento (la Comunidad de Propietarios) debe elegir un Encargado del Tratamiento (el Administrador de Fincas) que ofrezca suficientes garantías, y prueba de que las ofrece es tener una certificación, sello o marca en materia de protección de datos, tener un DPD Certificado evidencia el cumplimiento con la normativa de protección de datos; así, por ejemplo la marca de certificación siguiente:

Marca del Esquema AEPD-DPD:

Marca ESQUEMA AEPD-DPD

Salvador Zotano Sánchez (DPD Conforme Esquema Certificación 1.4 AEPD-DPD)

En las comunidades de propietarios, éstas serán las responsables del tratamiento de sus datos personales, como ya se ha comentado.

En el caso de que tengan contratado un administrador de fincas, éste actuará como encargado del tratamiento. Es decir, en este caso, se establece la siguiente relación: la comunidad es responsable de los tratamientos y el administrador actúa como encargado de los mismos.

Se trata, en todo caso, de una relación muy especial dado que el Administrador de Fincas desarrolla para la Comunidad de Propietarios una labor tan amplia que, de alguna manera, se ocupa de la práctica totalidad de asuntos que afectan a la comunidad.

Ambos deben someterse a la normativa de protección de datos, que establece al respecto una serie de obligaciones, entre las que podemos citar:
  • La creación del/de los registro/s de actividades de tratamiento.
  • Cumplir con el derecho de información.
  • Atender los derechos de protección de datos.
  • Determinar la legitimación de los tratamientos.
Además, el contrato entre la comunidad y el administrador deberá contener las respectivas cláusulas de protección de datos (de hecho, la Disposición Transitoria 5a de la LOPD GDD establece la obligación de adecuar los contratos entre responsables y encargados del tratamiento a la normativa actualizada de protección de datos, a más tardar, el 25 de mayo de 2.022; así pues, deberían estar ya actualizados).

No, con la aplicación del Reglamento General de Protección de Datos (RGPD) ha desaparecido la obligación de inscribir ficheros en la Agencia Española de Protección de Datos.

No obstante, debe configurarse el registro de actividades de tratamiento tanto de la comunidad de propietarios como del administrador de fincas, con el contenido que dispone al respecto el artículo 30 del RGPD.

Dicho registro es de carácter interno, no debe comunicarse a la Agencia, si bien ésta puede requerirlo en cualquier momento.

Este tipo de acceso y obtención de copias por parte de los copropietarios responde a la finalidad de conocer y comprobar la correcta gestión de las cuentas de la comunidad, pudiendo dar acceso a información muy variada, tal como ocurre con la relativa a salarios, honorarios profesionales, facturas y contratos.

En la documentación de la comunidad de propietarios pueden encontrarse numerosas informaciones que incorporan datos personales, tales como datos identificativos y de contacto de los propietarios, números de sus cuentas corrientes, coeficientes de participación, consumos individuales, ingresos efectuados por los propietarios o deudas que estos mantengan con la comunidad, sentido del voto en la adopción de acuerdos, etcétera. Igualmente tendrá dicha consideración cualquier dato personal referido a los empleados que pudiera tener la comunidad de propietarios, como también la tendrán los datos relativos a honorarios de profesionales que abone la comunidad.

Ciñéndonos exclusivamente a los tratamientos de datos personales contenidos en los documentos que emplea la propia comunidad, estos pueden abarcar un amplio espectro de información personal relativa, incluso, a la vida privada y familiar de los afectados, así como a cualquier tipo de actividad desarrollada por una persona, como la referida a sus relaciones laborales o a su actividad económica o social.

La propia LPH habilita diversas comunicaciones de datos personales, que a efectos del RGPD se encontrarían legitimadas en base al cumplimiento de una obligación legal. Así, el artículo 16.2) regula cómo debe efectuarse la convocatoria de las juntas, disponiendo que la convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2. Por su parte, el artículo 19 de la LPH prevé la remisión de las actas a los propietarios, señalando en su número segundo las menciones que deben contener, entre las que figuran diversos tipos de datos de carácter personal (que, en todo caso, serán los mínimos e imprescindibles).

Desde la óptica de la protección de los datos personales, debe señalarse que sin perjuicio de que puedan realizarse estas comunicaciones, se tiene que tener en consideración también los principios del RGPD, sobretodo el principio relativo a la minimización de datos.

En consecuencia, la comunicación de datos deberá limitarse a aquéllos que - en cada caso- resulten "adecuados, pertinentes y limitados" para el cumplimiento de la finalidad que legitima el acceso a los mismos, que en estos supuestos viene referido al control del buen gobierno de la comunidad.

Así, a título de ejemplo, no cumple el requisito de idoneidad la comunicación de los directorios con los datos de domicilio de los propietarios o sus números de cuenta corriente, ya que en nada contribuyen a la finalidad de control de la buena administración de la comunidad de propietarios. Igualmente, y en lo que se refiere a nóminas de los empleados de la comunidad, debe tenerse en cuenta que junto con la información referida a sus retribuciones, aparecerán otros datos, como el domicilio fiscal, la cuenta corriente en que se produzca los pagos e incluso datos especialmente protegidos referentes a salud o ideología, así como el descuento, en su caso, de la cuota sindical de los afiliados a un sindicato. Estos datos no resultan relevantes para la finalidad de control de la gestión de la comunidad de propietarios, por lo que la exhibición de dichos directorios o de las nóminas de personal resultará contraria al principio de proporcionalidad y, en consecuencia, darán lugar a una vulneración de la normativa de protección de datos, sin perjuicio de que se deba informar a los propietarios de las retribuciones satisfechas a los empleados, con el adecuado desglose de conceptos retributivos.

El artículo 20 e) de la LPH dispone que corresponde al administrador actuar, en su caso, como secretario de la Junta y custodiar a disposición de los titulares la documentación de la comunidad. Este artículo debe ser interpretado de conformidad con la normativa de protección de datos, de modo que no permite un acceso generalizado a toda la documentación obrante en los archivos de la comunidad que pueda contener datos personales, sino solamente a aquellos datos que sean estrictamente pertinentes, adecuados y limitados en relación con los fines para los que son tratados.

En consecuencia, fuera de los supuestos en los que expresamente la LPH obliga a la comunicación a otros propietarios de determinados datos personales, deberá examinarse en cada caso si el acceso a los documentos cumple el principio de proporcionalidad resultando idóneo, necesario y equilibrado para obtener la finalidad perseguida, según señala el Tribunal Constitucional. En otro caso, no procederá el acceso directo al documento.

Por otra parte, la finalidad del tratamiento no podrá ser otra que la que resulte de las previsiones de la LPH, no pudiendo utilizarse los datos para finalidades distintas de aquellas para las que los datos hubieran sido recogidos.

En cuanto a la obtención de copias, la LPH ordena en ocasiones la remisión de determinados documentos, mientras que en su artículo 20 se refiere a custodiar a disposición de los titulares la documentación de la comunidad. En el caso en que se considerase oportuno facilitar copia de la documentación, con las limitaciones derivadas de la aplicación de la normativa de protección de datos, deberán adoptarse las debidas medidas de seguridad y, especialmente, las relativas a la gestión y salida de soportes y documentos, y traslado de documentación. Además de contar, en todo caso, con una declaración responsable del peticionario por la que se hace responsable de la adecuada conservación de la documentación, de su tratamiento conforme a los fines especificados en la petición y de su destrucción una vez concluida la finalidad.

En lo que se refiere a nóminas de los empleados de la comunidad, debe tenerse en cuenta que junto con la información referida a sus retribuciones, aparecerán otros datos, como el domicilio fiscal, la cuenta corriente en que se produzca los pagos e incluso datos especialmente protegidos referentes a salud o ideología, así como el descuento, en su caso, de la cuota sindical de los afiliados a un sindicato.

Estos datos no resultan relevantes para la finalidad de control de la gestión de la comunidad de propietarios, por lo que la exhibición de dichos directorios o de las nóminas de personal resultará contraria al principio de proporcionalidad y, en consecuencia, darán lugar a una vulneración de la normativa de protección de datos, sin perjuicio de que se deba informar a los propietarios de las retribuciones satisfechas a los empleados, con el adecuado desglose de conceptos retributivos.

Para la instalación de videocámaras en las comunidades de vecinos, será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios.

Las cámaras únicamente podrán instalarse en las zonas comunes de la propiedad, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble.

Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.

En todo caso, deben tenerse en cuenta los documentos anexos 3, 4 y 5 (Ficha de la AEPD sobre videovigilancia en comunidades de propietarios, extracto de la Guía de la AEPD sobre los Administradores de Fincas referido a la videovigilnacia y cartel indicativo de que existe un sistema de videovigilancia).

El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios.

En ningún caso resultarán accesibles a los vecinos mediante canal de televisión comunitaria.

Si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por las personas autorizadas a acceder a dichas imágenes.

Una vez instalado el sistema, se recomienda el cambio regular de la contraseña, evitando las fácilmente deducibles.

Es muy frecuente que una persona llame a una administración de fincas y se encuentre con varias opciones para poder hablar con distintos departamentos y, al inicio, una alocución que indica que la llamada puede ser grabada al objeto de ofrecer un servicio de calidad.

En estos casos hay que decir que, necesariamente, hemos de aplicar la normativa de protección de datos.

Esto es, al darse la circunstancia de que la llamada puede ser grabada y que la persona que llame puede dar datos de carácter personal, como son su nombre y apellidos, dirección postal, número de teléfono, y cualesquiera otros; hemos de tenerlo presente para aplicar medidas de carácter técnico y organizativo para cumplir con la normativa de protección de datos.

Lo conveniente es ofrecer la posibilidad de marcar una de las opciones para acceder a la política de protección de datos y en ella detallar:

  • El nombre del responsable del tratamiento.
  • La finalidad por la que la llamada puede ser grabada.
  • Cuáles son los derechos y cómo pueden ser ejercidos.

Además, y con independencia de lo anterior, previamente a la puesta en marcha del servicio se ha de realizar el oportuno análisis de riesgos y el registro de actividades de tratamiento específico.

En general, para el uso de sistemas de comunicación vía Smartphone que no se reduzcan al ámbito familiar, doméstico o de amistad, se requiere para incorporar personas a los mismos el consentimiento.

Recordemos que tal consentimiento tiene que ser, como todo consentimiento en materia de protección de datos, toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le concierne.

Lo cierto es que cada vez es más frecuente encontrar modelos de vehículos que tienen incorporados sistemas internos de grabación de imágenes en prevención de que se produzcan accidentes o robos, tanto del vehículo como en el interior de los mismos. Son las denominadas cámaras “on board”.

En estos casos hemos de decir que al grabarse imágenes, y al considerarse las imágenes datos de carácter personal, toda grabación es un tratamiento de datos.

Por lo tanto hemos de tomar todas las medidas necesarias:

  • Contar con el visto bueno de la Junta de Propietarios.
  • Indicar la existencia del sistema de grabación mediante carteles.
  • Realizar un Registro de Actividades de Tratamiento específico.
  • Estudiar la legitimidad y los riesgos asociados.
  • Y el resto de medidas complementarias.

En el anexo 6 podrá encontrar el Informe Jurídico de la AEPD sobre cámaras on-board:

No. La normativa de protección de datos no es de aplicación cuando se trate de tratamientos mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, como ocurre, por ejemplo, cuando el tratamiento sea efectuado a través de videoporteros.

Sin embargo, sí será de aplicación cuando el servicio se articule mediante procedimientos que reproducen y/o graban imágenes de modo constante, y resultan accesibles -ya sea a través de Internet o mediante emisiones por la televisión de los vecinos-, y en particular cuando el objeto de las mismas alcance al conjunto del patio y/o a la vía pública colindante.

En consecuencia, cuando una cámara permite reproducir en tiempo real las imágenes que concurren en la portería de un edificio, su actuación excede con mucho del ámbito personal y doméstico, por lo que implica un tratamiento de datos de carácter personal, sujeto a la normativa de protección de datos.

Para poder tomar imágenes es preciso contar con todo lo indicado respecto al tema de la videovigilancia:

  • Contar con el visto bueno de la Junta de Propietarios.
  • Indicar la existencia del sistema de grabación mediante carteles.
  • Realizar un Registro de Actividades de Tratamiento específico.
  • Estudiar la legitimidad y los riesgos asociados.
  • Y el resto de medidas complementarias.

Por lo que, si no está documentado el fin específico de poder denunciar ese tipo de comportamientos, en ningún caso se podrían usar las imágenes para denunciar el hecho. Esto es, si queremos usar el sistema de videovigilancia para unos fines hay que documentar la legitimidad de dichos fines y desarrollar la documentación correspondiente.

Cuestión similar para prevenir cualquier otro tipo de acto de vandalismo practicado contra instalaciones y bienes de la Comunidad de Propietarios. Esto es, tomar las medidas previas anteriormente enumeradas, en resumen: aprobarlo la Junta de Propietarios y determinar los fines, todo ello con apoyo documental.

Además del derecho de información, el RGPD permite que los afectados puedan ejercitar los derechos de acceso, rectificación, supresión ("derecho al olvido"), oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones individuales automatizadas (incluyendo la elaboración de perfiles).

Estos derechos se ejercitarán ante el responsable del tratamiento. También es posible ejercitarlos en los casos de que existiese un encargado de tratamiento ante éste, siempre y cuando el responsable y dicho encargado así lo hubiesen convenido.

Si la entidad tiene nombrado un DPD, también se pueden ejercer ante el DPD (de hecho, lo más adecuado es que se ejerzan ante el DPD; motivo por el cual se hacen públicos los datos de contacto de éste).

Cuando se ejercitan estos derechos, el responsable del tratamiento debe responder en el plazo de un mes a partir de la recepción de la solicitud.

Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.

Si se prorrogase, el responsable informará al afectado de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

Tanto la información que se facilite en virtud de los artículos 13 y 14 del RPGD (derecho de información) como toda comunicación en virtud de los artículos 15 a 22 (derechos de los afectados) y 34 (comunicación de brechas de seguridad) serán a título gratuito.

No obstante, cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

  • a. cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada.
  • b. negarse a actuar respecto de la solicitud.

En el caso del derecho de acceso, se podrá considerar repetitivo su ejercicio cuando se produzca en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.

En todo caso, el responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

El afectado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen.

Si se estuviesen tratando sus datos personales, tiene derecho a que el responsable le facilite lo siguiente:

  • a. los fines del tratamiento;
  • b. las categorías de datos personales de que se trate;
  • c. los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
  • d. de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
  • e. la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
  • f. el derecho a presentar una reclamación ante una autoridad de control;
  • g. cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
  • h. la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  • i. cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.

Además, el responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento, sin afectar negativamente a los derechos y libertades de otros.

Por otra parte, el responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos.

Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

Mediante el ejercicio de este derecho, el afectado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan.

Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

Es el derecho del afectado a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

  • a. los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
  • b. el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
  • c. el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
  • d. los datos personales hayan sido tratados ilícitamente;
  • e. los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
  • f. los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

Asimismo, cuando se hayan hecho públicos los datos personales y conforme a los supuestos descritos anteriormente proceda la supresión, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

No obstante lo anterior, no se aplicará la supresión cuando el tratamiento sea necesario:

  • a. para ejercer el derecho a la libertad de expresión e información;
  • b. para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
  • c. por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
  • d. con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento,
  • e. para la formulación, el ejercicio o la defensa de reclamaciones.

Este derecho se configura en una doble vertiente. En primer lugar, cuando se ejercitan los derechos de rectificación u oposición, supone una "suspensión cautelar del tratamiento de los datos". De esta forma, si el afectado ha impugnado la exactitud de los datos, durante el plazo que permita al responsable verificar la exactitud de los mismos, se limita el tratamiento de dichos datos. Igualmente se produce esta limitación, cuando el interesado se haya opuesto en virtud del artículo 21.1 del RGPD, mientras se verifican si los motivos legítimos del responsable prevalecen sobre los del afectado.

En segundo lugar, este derecho de limitación se aplicará en los siguientes supuestos:

  • Cuando el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
  • Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el afectado los necesite para la formulación, el ejercicio o defensa de reclamaciones.

Es el derecho del afectado a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.

En este sentido, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

No obstante, este derecho se aplicará cuando:

  • a. el tratamiento esté basado en el consentimiento o en la ejecución de un contrato.
  • b. el tratamiento se efectúe por medios automatizados.

Este derecho incluye los datos facilitados por el afectado cuando han sido «facilitados por» el afectado de manera consciente y activa, por ejemplo, datos de una cuenta (como dirección postal, nombre de usuario, edad) enviados a través de formularios en línea, pero también cuando se generan y recopilan a partir de actividades de los usuarios, mediante el uso del servicio o del dispositivo.

Por el contrario, los datos personales que se obtienen o deducen de los datos facilitados por el afectado, como un perfil de usuario creado por el análisis de datos en bruto por un sistema de medición inteligente, quedan excluidos del ámbito de aplicación del derecho a la portabilidad de los datos, ya que no han sido facilitados por el interesado, sino creados por el responsable del tratamiento.

Asimismo, el ejercicio de este nuevo derecho no debería afectar negativamente a los derechos y libertades de terceros. Por ejemplo, si el conjunto de datos transferido a petición del interesado contiene datos personales relativos a otras personas, el nuevo responsable del tratamiento debe tratarlos únicamente si existe un fundamento jurídico adecuado para ello. Normalmente, el tratamiento de datos bajo el control único del afectado, como parte de actividades puramente personales o domésticas, se considerará adecuado.

El 28 de junio de 2.023 se publicó en el B.O.E. por parte de la AEPD la Circular 1/2023, sobre el derecho de los usuarios a no recibir llamadas no solicitadas, fijando los criterios de aplicación en relación con el art. 66.1.b) de la Ley 11/2022 General de Telecomunicaciones.

Este artículo es aplicable desde el 29 de junio y recoge el derecho de los usuarios a no recibir llamadas con fines de comunicación comercial no solicitadas, salvo que exista consentimiento previo del propio usuario para recibir este tipo de comunicaciones o que puedan estar amparadas en otra base de legitimación tal y como recoge el RGPD, por lo que no limita exclusivamente la realización de llamadas con fines de comunicación comercial al consentimiento.

A partir del 29 de junio de 2023, los usuarios podrán recibir llamadas comerciales si han dado previamente su consentimiento o si la empresa que realiza las llamadas puede justificar que su interés legítimo prevalece sobre el derecho de los usuarios a no recibirlas y estos no han ejercido su derecho a oposición.

La Circular indica que para que la empresa pueda justificar su interés legítimo, el usuario debe haber tenido una relación previa con ella habiendo adquirido sus productos o servicios y, además, los productos ofrecidos por la empresa deben ser similares a los que se hubieran contratado con anterioridad. Esta posibilidad solo se refiere a las llamadas de la misma empresa con la que se hubiera tenido relación y no a otras entidades, aunque pertenezcan a su mismo grupo empresarial. Además, si la relación contractual ya no está en vigor y el usuario no ha realizado ninguna otra solicitud o interacción con la empresa durante el último año, no podrá realizar las llamadas.

En cuanto a las llamadas comerciales realizadas a números generados de forma aleatoria, solo podrán realizarse con el consentimiento previo del usuario.

En este caso, dado que prevalece el derecho de los usuarios, la empresa no podrá realizar llamadas amparándose en un interés legítimo.

A continuación, indico los puntos más relevantes de la Circular:

  • El consentimiento expreso deberá prestarse de acuerdo al RGPD y la LOPD GDD.
  • Interés legítimo del responsable. Se mantiene la obligación de realizar, con carácter previo al inicio del tratamiento y atendiendo a las distintas categorías de afectados, la correspondiente ponderación de los derechos e intereses en conflicto.
  • Garantías adicionales. El art. 6 LGT introduce garantías adicionales para el adecuado cumplimiento de los principios de lealtad y transparencia, así como el principio de responsabilidad proactivas contemplados en el art. 5 del RGPD.

La imagen es un dato de carácter personal ya que identifica o hace identificable a una persona. En este sentido, la instalación de cámaras, con diversas finalidades como podría ser la seguridad, el control laboral, el acceso a zonas restringidas captando la matrícula del coche y la imagen del conductor, o incluso la monitorización de una UVI, supondría un tratamiento de datos de carácter personal y en consecuencia, se le aplicaría la normativa de protección de datos.

En cuanto a los requisitos, descargar los siguientes anexos:

En primer lugar, la videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad.

Además, no se podrá captar imágenes de la vía pública con fines de seguridad, ya que es competencia de las Fuerzas y Cuerpos de Seguridad, salvo el caso que:

  • Resulte imprescindible para la finalidad que se pretende.
  • Resulte imposible evitarlo por razón de la ubicación de las cámaras.

En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Está prohibida la instalación en baños, vestuarios, o lugares análogos.

Por otra parte, el tratamiento de las imágenes con fines de seguridad mediante la videovigilancia debe adecuarse al RGPD, de manera que en primer lugar, hay que configurar el registro de actividades de tratamiento regulado en el artículo 30 del RGPD.

Asimismo, se tiene que dar cumplimiento al derecho de información del artículo 13. Para ello se puede optar por un sistema de capas de la siguiente forma:

  • Colocar un cartel donde aparezca que es una zona videovigilada, la identidad del responsable y la posibilidad del ejercicio de los derechos previstos en los artículos 15 a 22 del RGPD.
  • Mantener a disposición de los afectados el resto de información referida en el artículo 13.

También se deberán adoptar las medidas de seguridad, teniendo en cuenta lo siguiente: El artículo 32 del RGPD determina que se establezcan las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo.

Por otra parte, lo previsto en el Esquema Nacional de Seguridad es aplicable a cualquier información de las Administraciones Públicas sin distinción del soporte en el que se encuentre, por lo que en cuanto a las medidas de seguridad se refiere, este esquema es acorde al enfoque de riesgo del RGPD y se constituye en una herramienta válida para la gestión del riesgo y la adopción de las medidas de seguridad en las citadas Administraciones. Por tanto, la implementación de las medidas de seguridad cuando se lleve a cabo un tratamiento de datos mediante el uso de la videovigilancia dependerá del análisis de riesgo llevado a cabo previamente.

No obstante, cuándo se trate de tratamientos de videovigilancia que entrañen un escaso riesgo, como podría ser el caso de uso en comunidades de propietarios o pequeños establecimientos, puede utilizarse la herramienta de la AEPD denominada FACILITA_RGPD.

Por otra parte, si se encarga a un tercero la gestión de las cámaras, estaremos ante la figura del encargado del tratamiento, quién deberá cumplir los requisitos que regula el artículo 28 del RGPD.

La información se completa con los anexos 3, 4 y 5 que pueden ser descargados a continuación:

La captación y grabación de imágenes de la vía pública con fines de seguridad es una función reservada a las Fuerzas y Cuerpos de Seguridad. Únicamente se permitirá la grabación de aquel espacio de la vía pública que resulte imprescindible para la finalidad que se pretende, o resulte imposible evitarlo por razón de la ubicación de las cámaras.

En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.

El principio de minimización del artículo 5 del RGPD requiere que los datos personales tratados sean adecuados, pertinentes y limitados en relación con los fines para los que son tratados.

Así, en el ámbito de la videovigilancia, este principio supone:

  • Que el número de cámaras se limite a las necesarias para cumplir la función de vigilancia.
  • Que el responsable analice también los requisitos técnicos de las cámaras, ya que el zoom o las denominadas "cámaras domo" pueden afectar y limitar al citado principio de minimización.

Asimismo, los monitores de grabación deben situarse de forma que, en la medida de lo posible, únicamente puedan ser visualizados por aquellos cuya función sea controlar los equipos que realizan las grabaciones, y no estar expuestos al público.

Para más información descargue los siguientes anexos:

En aquellos supuestos en que las cámaras no graban imágenes pero sí se permite la reproducción en tiempo real de las mismas, también supone un sometimiento a lo dispuesto en el RGPD, debido a que existe un tratamiento de datos personales. De esta forma, hay que cumplir con la citada norma.

Entre las obligaciones que hay que adoptar estarían, por ejemplo, lo referente tanto al registro de actividades de tratamiento como el derecho de información, a los que nos hemos referido anteriormente.

Al tratarse de cámaras simuladas, no captarían imágenes de personas físicas identificadas o identificables, por lo que, al no quedar acreditada la existencia de un tratamiento de datos personales, la cuestión se encuentra al margen de la normativa de protección de datos.

Según la Ley de Propiedad Horizontal será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios.

Asimismo, las cámaras únicamente podrán instalarse en las zonas comunes de la propiedad, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble.

Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.

Para más información descargue los siguientes anexos:

Las imágenes captadas por las cámaras se limitarán exclusivamente a la plaza de aparcamiento de la que sea titular el responsable del sistema y a una franja mínima de las zonas comunes que no sea posible evitar captar para la vigilancia de la plaza de garaje, previa autorización de la Junta de Propietarios que deberá constar en el acta correspondiente.

Por lo demás, y en líneas generales, la instalación de una cámara en una plaza de garaje está sometida a la normativa de protección de datos y, por lo tanto, tiene que cumplir con lo mismo que los sistemas de videovigilancia de las comunidades de propietarios.

Para más información descargue los siguientes anexos:

Estamos ante un caso muy frecuente, la solicitud de documentos por parte de un comunero.

Hay que tener en cuenta que el art. 5.1.f) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, establece que los datos deberán ser “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”

Por lo que la comunicación de datos deberá limitarse a aquellos que, en cada caso, resulten “adecuados, pertinentes y limitados” para el cumplimiento de la finalidad que legitima el acceso a los mismos, que en estos supuestos viene referido al buen gobierno de la comunidad y a su control, por tanto no se permite un acceso generalizado a la documentación de la comunidad de propietarios.

Si bien es cierto que el derecho a la protección de los datos personales no es absoluto (Considerando 4 del RGPD), como todo derecho fundamental, el TC ha establecido en numerosas Sentencias la necesidad de sometimiento al principio de proporcionalidad cuando entre en colisión con otro principio, el de información como es el caso.

Siendo el Administrador de Fincas aquel sobre el que recae la custodia de los documentos de la Comunidad, sólo podrá entregar copia de los mismos, por imperativo legal, al Presidente de la Comunidad.

Entregar una copia de una gran cantidad de información a un comunero parece abiertamente contrario al principio de proporcionalidad antes indicado y a la normativa de protección de datos.

Si, como es el caso, los datos son solicitados por un comunero, podrá éste consultar los documentos en las oficinas del Administrador de Fincas.

En todo caso, para entregar cualquier tipo de documento que el Administrador de Fincas tenga bajo su custodia, deberá contar con la firma de un documento de Declaración Responsable en el que se indique claramente la finalidad para la que se van a usar los datos y la asunción responsabilidad para el caso de pérdida o mal uso de los datos entregados.

Para mayor abundamiento, en el documento publicado por la AEPD en su página web bajo el epígrafe “¿Puede tener acceso un propietario a los gastos de su comunidad?”, dentro del apartado de “preguntas frecuentes”, en el punto “9. Comunidades de Propietarios”, se nos dice:

“Este tipo de acceso y obtención de copias por parte de los copropietarios responde a la finalidad de conocer y comprobar la correcta gestión de las cuentas de la comunidad, pudiendo dar acceso a información muy variada, tal como ocurre con la relativa a salarios, honorarios profesionales, facturas y contratos.

(...) En consecuencia, fuera de los supuestos en los que expresamente la LPH obliga a la comunicación a otros propietarios de determinados datos personales, deberá examinarse en cada caso si el acceso a los documentos cumple el principio de proporcionalidad resultando idóneo, necesario y equilibrado para obtener la finalidad perseguida, según señala el Tribunal Constitucional. En otro caso, no procederá el acceso directo al documento.

Por otra parte, la finalidad del tratamiento no podrá ser otra que la que resulte de las previsiones de la LPH, no pudiendo utilizarse los datos para finalidades distintas de aquellas para las que los datos hubieran sido recogidos.”

La sentencia de la Audiencia de Granada 155/2007, de 20-4, dice que:

  • Los órganos de la comunidad son los encargados de velar por los intereses generales de ésta.
  • El comunero no tiene las funciones de un auditor (Tribunal Supremo, sentencia de 28-2-2005).
  • El derecho del comunero a tener información de la documentación comunitaria no consiste en ver lo que quiera sin fines concretos. Los propietarios sólo tienen derecho a examinar la documentación en el lugar donde esté a su disposición y a obtener copia según las circunstancias.

La sentencia de la Audiencia de Tenerife de 13-5-2000 dice que la petición de información de los propietarios debe estar relacionada con la intervención y el voto en una junta. Es decir: tienen derecho a estar informados de lo que se va a tratar en ella.

La sentencia de la Audiencia de Madrid de 17-11-2003 justifica los límites del derecho de información del comunero en que éste no puede sustituir a la junta de la comunidad. El control y la fiscalización del administrador deben ejercerlos la junta y el presidente, incluso a petición de un propietario, pero no éste.

La sentencia 472/2013 de la Audiencia de Las Palmas, Sección 3a, reconoce el derecho de información de los comuneros como medio para conocer el funcionamiento de la comunidad y ejercer mecanismos de control. Sin embargo no existe un derecho abstracto de información sino en función de finalidades concretas: votar en la junta o impugnar acuerdos. No hay un derecho de información autónomo del comunero para fiscalizar las cuentas de su comunidad ni un genérico derecho de consulta de la documentación contable.

En ningún caso se pueden poner listados de morosos, y menos en un tablón de anuncios que puede ser visto por cualquier persona.

En el caso concreto de expedientes de morosidad que están judicializados para cumplir el trámite de comunicación previa en los casos en los que deviene imposible poder notificar al interesado se podría utilizar el tablón de anuncios siempre que éste no esté en un lugar de paso de personas ajenas a la comunidad de propietarios y durante el mínimo tiempo posible.

En este caso, hay que tener presente que no se debe poner en el tablón de anuncios si existe una alternativa menos lesiva para los derechos de los interesados; una de esas alternativas puede ser mandarles un sms o un email certificado a través de una de las distintas entidades que tienen ese servicio.

Con la contratación de uno de los tres servicios que ofrece fincatech, protección de datos, CAE o certificados digitales, tienes la posibilidad de enviar emails y sms certificados de manera gratuita.

El Presidente de la comunidad de propietarios tiene la posibilidad de conocer todo lo que ocurre en la comunidad y tiene acceso, como así lo determina la ley, a toda la información que precise.

Aun así, no estaría de más que firmase una Declaración Responsable de retirada de documentación en los casos en los que consideremos que la documentación que se le entrega es especialmente sensible desde el punto de vista de la protección de datos.

El resto de comuneros, vicepresidente incluido, está sometido a las normas generales sobre entrega de documentación comentada en la pregunta correspondiente.

Aquí hay que tener en cuenta una serie de cuestiones:

  • a) El Censor de Cuentas se supone que es un profesional sujeto a secreto profesional en sus actuaciones.
  • b) Los contratos de la comunidad estarán suscritos con entidades mercantiles o con profesionales individuales prestadores de servicios, ninguno de los cuales, en el ejercicio de sus profesiones, está sujeto a la normativa de protección de datos.

Así pues, sí, se les puede entregar los contratos de la comunidad de propietarios a un censor de cuentas, firmando, eso sí, con anterioridad a la entrega un documento, que puede ser, por ejemplo, una declaración responsable.

No, en ningún caso.

Y en el caso de que se autorice la grabación de la junta de propietarios por todos los asistentes, dicha grabación no se puede usar más que para la finalidad para la que ha sido tomada: redactar el acta.

No, en ningún caso. Los sistemas de videovigilancia deben instalarse siguiendo la normativa de protección de datos (Cfr. la ficha para la instalación de sistema de videovigilancia en las comunidades de propietarios, entre otros documentos).

Un vecino no puede grabar por su cuenta a quien quiera para poder usarlo en su contra si no se cumplen con las garantías con las que debe cumplir la instalación de un sistema de videovigilancia.

Las expresadas en la ficha de videovigilancia en comunidades de propietarios editada por la AEPD y las que aparecen en la guía para Administradores de Fincas.

Para más información descargue los siguientes anexos:

Los aprobados por la AEPD. Aunque es suficiente con colocar un cartel en cada una de las entradas de acceso a la comunidad, es recomendable instalar también un cartel bajo cada una de las cámaras.

Mediante la firma de contratos de cesión de datos entre los distintos administradores se puede resolver jurídicamente la entrega de documentación común entre ellos (Cfr. Anexo 2).

Resuelto ese tema, no hay problema en que compartan información.

Evidentemente se le puede entregar documentación sobre la cuota que paga y si existe algún acuerdo prohibiendo las viviendas vacacionales, siempre y cuando, con anterioridad a la entrega de la documentación, firmen una declaración responsable o documento jurídico similar.

Lo que, en ningún caso, se les puede entregar es información sobre las deudas de los propietarios.

Todas las entidades, Comunidades de Propietarios y Administradores de Fincas incluidos, están obligados a cumplir con el Reglamento General de Protección de Datos. Y, evidentemente cumplir con esa obligación tiene un coste económico tanto para el Administrador de Fincas como para las Comunidades de Propietarios. De hecho, la mejor forma de demostrar una Comunidad de Propietarios que se ha preocupado por cumplir con la normativa de protección de datos es, precisamente, la factura de dichos servicios.

  1. Ocurre, además, que la nueva normativa de protección de datos establece que no basta con implantar la normativa sino que hay que mantenerla actualizada permanentemente; por aplicación del principio de responsabilidad proactiva: el Responsable y el Encargado del Tratamiento tiene que cumplir la normativa y, además, poder demostrarlo.
  2. En la Guía de Administradores de Fincas publicada por la Agencia Española de Protección de Datos se dice en el apartado 5 que: “Las principales obligaciones establecidas por la normativa de protección de datos recaen sobre el responsable del tratamiento, si bien los administradores de fincas, tanto en el ámbito de su función de asesoramiento y representación de las comunidades de propietarios, como actuando como encargados del tratamiento, deberán facilitar su cumplimiento y participar del mismo.” Esto es, tanto el Responsable del Tratamiento, la Comunidad de Propietarios, como el Encargado del Tratamiento, el Administrador de Fincas, deben facilitar y participar en el cumplimiento de la normativa de protección de datos.
  3. A su vez, el art. 32.1. del RGPD establece que: “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”. Esto es, tanto el Responsable del Tratamiento, la Comunidad de Propietarios, como el Encargado del Tratamiento, el Administrador de Fincas, están obligados a aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que, en último término, proteja los derechos y libertades de los interesados.
  4. Una vez acreditado que tanto el responsable del tratamiento, la Comunidad de Propietarios, como quien por encargo de esta se ocupa de la gestión de los asuntos ordinarios, el Administrador de Fincas, están obligados a cumplir con el RGPD; se plantea la cuestión de cómo, de qué forma, se puede cumplir con la ley con las mejores garantías. Pues bien, tal y como establece la guía para responsables del tratamiento (Comunidades de Propietarios incluidas) la mejor forma de cumplir con el principio de responsabilidad proactiva es nombrando un Delegado de Protección de Datos.
  5. Ahora bien, como, de facto, quien realiza los tratamientos no es la Comunidad de Propietarios, sino el Administrador de Fincas, quien ha de nombrar al Delegado de Protección de Datos es el Administrador de Fincas; y lo hace para poder tratar los datos de cada una de las Comunidades de Propietarios a las que presta servicio dado que cada tratamiento deber ser independiente e individualizado.

Así pues,

  • El Responsable del Tratamiento es la Comunidad de Propietarios.
  • El Encargado del Tratamiento es el Administrador de Fincas.
  • Obligación de cumplir con la Ley la tienen tanto el Responsable del Tratamiento como el Encargado del Tratamiento.
  • La aplicación de la normativa de protección de datos no es un acto puntual, sino que por aplicación del principio de responsabilidad proactiva, se ha de extender en el tiempo: mientras haya tratamiento de datos de carácter personal se debe cumplir con la normativa.
  • La mejor forma de cumplir con la Ley es nombrar un Delegado de Protección de Datos.

En resumen:

1. La nueva normativa de protección de datos obliga a aplicar el principio de responsabilidad proactiva cuando tratamos datos personales (arts. 5.2 y 24 RGPD).

2. Eso obliga a implantar la protección de datos y actualizarla de forma constante y, además, poder demostrar que lo hacemos.

3. Por esto tenemos que tener una factura de protección de datos todos los años para poder hacer ver que estamos manteniendo la protección de datos actualizada en el tiempo.

Para cumplir con la normativa de protección de datos un grupo de WathsApp para comuneros debe reunir las siguientes condiciones:

Primero. Su puesta en marcha lo debe aprobar la Junta de Propietarios en base a una finalidad justificada.

Segundo. Cada persona que forme parte del grupo ha de contar con una base de legitimación de las enumeradas en el art. 6 RGPD; que, en este caso, no puede ser otra que la de firmar un consentimiento expreso, informado e inequívoco, en caso de los Sres. Comuneros y una Declaración Responsable en caso de trabajadores de la entidad que presta los servicios de seguridad. Si una persona no consiente, no se pueden incluir sus datos en el grupo. Y todos los miembros del grupo que hayan consentido pueden retirar el consentimiento en el momento que quieran.

Tercero. Las intervenciones en el grupo se han de limitar a la finalidad para la que ha sido creado, de forma que no se pueden usar los datos de contacto de ningún integrante del grupo para un fin distinto.

Cuarto. En todo caso, y como norma general, si se pueden obtener los objetivos que se persiguen sin tener que usar un grupo de WhatsApp, pues mejor.

Lo de dejar en manos de terceras personas, como pueden ser los socorristas de una piscina, con todos mis respetos a los mismos, un listado de propietarios de una comunidad de propietarios supone, a mi modo de ver, un riesgo que deberíamos intentar evitar.

Esta cuestión se está solucionando de muchas maneras; una de ellas es la de entregar a cada propietario una pulsera u objeto similar que permita su acceso. El propietario que tiene esa pulsera u objeto entra y el que no, pues no entra.

Lo que te digo es que intentemos conseguir el objetivo perseguido minimizando los riesgos de protección de datos; esto es, usando cuanto menos datos, mejor.

En todo caso, si tenemos que entregar a una persona datos personales de los comuneros es importante que:

  1. Sean los menos datos posibles (principio de minimización de datos).
  2. Tengamos el consentimiento de los propietarios para hacerlo.
  3. Previamente nos haya firmado la persona que reciba los datos un documento de Declaración Responsable en el cual se hace responsable del cuidado y mantenimiento de los datos entregados.

Como norma habitual, a un nuevo administrador se le tiene que entregar toda la información que le pueda ser útil para la gestión de la comunidad de propietarios.

En todo caso sí es conveniente tener un modelo específico para cambio de administrador para tener constancia firmada de la retirada de la documentación por parte del administrador entrante.

Respecto a la protección de datos, puede servir como base el documento de declaración responsable.

Listados de morosos, lo que se dice listados de morosos, no se pueden publicar de ninguna forma. Ni limitando el tema a la dirección del inmueble ni de ninguna otra forma.

Otra cosa es la comunicación previa a la vía judicial en caso de haber sido imposible contactar con el propietario, necesaria para comenzar la tramitación judicial del asunto. En este caso se pude usar el tablón de anuncios de la comunidad como una especie de tablón edictal durante el tiempo mínimo posible y siempre y cuando dicho tablón esté situado de forma que sólo puedan verlo los vecinos de la CP. Dicho esto, se han de tomar todas las precauciones posibles, de hecho lo más adecuado es intentar la notificación directa por cualquier otro medio (así, en la actualidad los Juzgados y Tribunales aceptan la comunicación certificada vía email o vía SMS, por ejemplo y existen entidades especializadas que pueden certificar dichos envíos hasta con actas notariales).

Se trata de un tema complejo, pero hay dos opciones:

  1. Mandar el Burofax al Sr. Propietario del inmueble, del cual tenemos los datos, y dejar bajo su responsabilidad la gestión del incidente. Al fin y al cabo es él el responsable del inmueble ante la Administración de Fincas y ante la Comunidad de Propietarios.
  2. Considerar que para la adecuada gestión de la CP el Administrador de Fincas considera ineludible ponerse en contacto con el arrendatario del inmueble, el Sr. Inquilino, poseedor de facto del mismo. En este caso lo podríamos legitimar en base al art. 6.1.f) del RGPD que establece que se puede efectuar un tratamiento de datos cuando existe un "interés legítimo" del Responsable del Tratamiento (la Comunidad de Propietarios), siempre y cuando no se conculquen los Derechos y Libertades de los interesados. En ese caso concreto más que conculcar los derechos de protección de datos lo que se hace es poner en su consentimiento que va a ser denunciado para, así, poder evitar tener que responder ante la justicia. Y poniendo en contraposición el derecho a la protección de datos frente al derecho a ser informado, en este caso concreto, parece razonable y proporcionado priorizar el derecho a la información.

Las dos alternativas son válidas.

El derecho a la información de un comunero es un derecho limitado; dado que son los órganos rectores de la CP los que tienen, verdaderamente, la facultad de controlar la gestión de la Comunidad.

Dicho esto, si se trata de una información de una obra concreta y la documentación no contiene datos de carácter personal, se le puede dar traslado de la información.

Si tiene algún dato de carácter personal, se ha de tachar.

Otra opción es que lo consulte en la oficina de la Administración de Fincas.

En todo caso lo contenido en los presupuestos de unas obras serán datos de entidades mercantiles o de profesionales, por lo que, en puridad, no es materia de protección de datos.

Para contestar a esta pregunta, es necesario tener en cuenta lo siguiente:

  1. De conformidad con la LPH el Presidente de la C.P. representa a esta y, en principio, debe tener acceso a toda la información de la misma.
  2. El Administrador de Fincas es quien debe custodiar la documentación de la C.P. y, en consecuencia, preservarla.
  3. Desde el punto de vista estricto de la protección de datos y de conformidad con el art. 5.1.f) RGPD, los datos deben ser “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”

Teniendo en cuenta que el Responsable del Tratamiento, la C.P., nombra a un Encargado del Tratamiento, el Administrador de Fincas, precisamente porque su ejercicio profesional puede hacer más factible que se garantice una seguridad adecuada de los datos personales, dejar en manos de una persona física, aunque sea el Presidente, determinados datos de las personas que conforman la comunidad puede resultar arriesgado, de forma que se pongan en peligro los principios de integridad y confidencialidad de los datos.

En este punto, lo esencial es conocer la finalidad para la cual el Sr. Presidente necesita esos datos, esto es, el para qué. Y el Encargado del Tratamiento, el Administrador de Fincas, debe ponderar si la finalidad pone en riesgo los datos o no.

En todo caso, en caso de conflicto entre el derecho a la información y el de protección de datos, siempre se ha de realizar el denominado juicio de proporcionalidad, que incluye, entre otras cuestiones, verificar si existe otro modo de conseguir los fines de forma menos arriesgada para el tratamiento de los datos.

En este caso concreto existe la posibilidad de que el Sr. Presidente consulte los datos en las oficinas del Administrador de Fincas, por ejemplo, y esta puede ser una alternativa que deviene más adecuada para conservar los datos.

Con independencia de todo lo anterior y en todo caso, el Sr. Presidente debería firmar una declaración responsable (cfr. Anexo 1) indicando para qué quiere los datos y haciéndose responsable de su conservación adecuada y de no usar esos datos para un fin distinto del indicado en la solicitud.

En conclusión: el Presidente tiene derecho, pero no es un derecho absoluto, en tanto que el Administrador de Fincas está obligado a garantizar la integridad y confidencialidad de los datos; por lo que entregar determinados datos al Presidente depende de la valoración concreta sobre los riesgos concretos que se realice.

Las imágenes sólo pueden ser visualizadas por quien haya sido designado por la Comunidad de Propietarios.

Si un vecino ha sufrido un daño en su coche estando el mismo aparcado en el garaje comunitario, puede solicitar que la persona designada para ver las imágenes las revise. Una vez localizado el incidente, se le puede entregar copia de las imágenes al vecino que lo solicita teniendo presente lo indicado en el Informe Jurídico del Gabinete Jurídico de la AEPD sobre “interés legítimo videovigilancia” (Cfr. Anexo 8) que determina que se pueden entregar dichas imágenes siempre y cuando se aplique el principio de minimización de datos (solo se pueden entregar las imágenes referidas al incidente) y la finalidad sea la de reclamar al seguro del vehículo.

Además de esto, el solicitante debe solicitar las imágenes por escrito mediante Declaración Responsable de cumplimiento con la normativa de protección de datos (Cfr. Anexo 1).

En la póliza de seguro de la comunidad no aparecen datos de carácter personal. Se trata de un documento que expresa la relación contractual entre la comunidad y el prestador de servicios de seguros.

En este sentido, si el Administrador considera adecuado que el comunero tenga copia de la misma, desde el punto de vista de la normativa de protección de datos, no habría ningún problema.

En la cesión de datos es muy importante tener en cuenta la finalidad y la legitimidad. En este sentido, y con carácter general, NO debe entregarse una lista con los datos personales del resto de vecinos a un vecino de la comunidad.

Detallamos la respuesta.

Primero. Ateniéndonos al art. 5.1.f) del RGPD, los datos deberán ser “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”

Por lo que la comunicación de datos deberá limitarse a aquellos que, en cada caso, resulten “adecuados, pertinentes y limitados” para el cumplimiento de la finalidad que legitima el acceso a los mismos, que en estos supuestos viene referido al buen gobierno de la comunidad y a su control. Por lo tanto, y en consecuencia, no se permite un acceso generalizado a los datos de los comuneros a un tercero, aunque se trate de un comunero.

Siendo el Administrador de Fincas aquel sobre el que recae la custodia de los documentos de la Comunidad, sólo podrá entregar copia de los mismos, por imperativo legal, al Presidente de la Comunidad y previa firma, por parte de éste, de Declaración Responsable en la que aparezca que se hace cargo de la custodia de los datos personales que aparezcan en el documento, que sólo podrá tratarlos para la finalidad especificada en la Declaración Responsable y aplicando, en todo momento, el principio de minimización de datos.

Segundo. Si, como es el caso, los datos son solicitados por un comunero, podrá éste consultar el documento en las oficinas del Administrador de Fincas, cuestión esta que parece la más razonable y la que pone en menor medida en riesgo los datos de carácter personal.

Porque cierto es que el derecho a la protección de datos, como todo derecho fundamental, no es un derecho absoluto (Considerando 4 del RGPD) y que dicho derecho puede entrar en colisión con el derecho a la información del comunero.

Ahora bien, conforme a la reiterada jurisprudencia del Tribunal Supremo, en caso de colisión de derechos fundamentales se ha de aplicar el principio de proporcionalidad; y, en este caso, y de conformidad con el Gabinete Jurídico de la AEPD (confer, entre otros, “informe sobre interés legítimo”) la aplicación del principio de proporcionalidad ha de traducirse en el interés legítimo y en la aplicación, a su vez, del principio de minimización de datos.

Existiendo una alternativa, como representa el hecho de que el Sr. Comunero puede consultar la documentación en las oficinas del administrador de fincas, parece ésta la más adecuada a fin de preservar los derechos y libertades de los interesados.

Tercero. Si el Presidente de la Comunidad decide, por iniciativa propia y bajo su responsabilidad (cuestión ésta que no es aconsejable), darle traslado de copia del documento al comunero, deberá, como se ha dicho, con carácter previo, firmar la Declaración Responsable comentada.

Así pues, y en conclusión:

Parece abiertamente contrario a la normativa de protección de datos entregar copia de datos de forma generalizada a un comunero.

Por lo que se recomienda, al objeto de preservar los derechos y libertades de los interesados, que el comunero peticionario consulte el documento en las oficinas del Administrador de Fincas.

No. No es posible dar ningún dato de carácter personal a un tercero si no se tiene una base legítima para hacerlo.

El camino inverso sí que es posible; esto es, podemos pedirle al comunero el consentimiento para darle su número al Sr. Presidente e indicarle que quiere hablar con él.

El teléfono del Presidente de la Comunidad de Propietarios es un dato personal, que no se puede compartir con nadie sin su consentimiento previo, expreso e inequívoco.

Precisamente dentro de las funciones del Administrador de Fincas está atender las demandas de los comuneros; será a éste a quien se tenga que llamar.

En este sentido es muy claro el art. 32 RGPD, que establece lo siguiente:

"Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (...)".

Esto es, debemos establecer medidas de seguridad para evitar los riesgos de exposición de datos personales; como el teléfono del Presidente es un dato de carácter personal, debemos tomar medidas técnicas y organizativas para evitar exponerlo a un mal uso, y entre ellas se encuentra no darlo a un tercero sin su consentimiento.

Con carácter general , dado que el Sr. Presidente está legitimado por Ley para conocer cualquier dato que se relacione con la gestión de la comunidad, aunque no es aconsejable exponer los datos a riesgos innecesarios.

En este sentido a la hora de ceder datos hemos de tener en cuenta no sólo la legitimidad sino también la finalidad; esto es, para qué quiere esos datos; dado que si es para realizar una gestión ordinaria, corresponde al Administrador realizarla.

Por lo tanto sí que el Sr. Presidente tiene derecho a conocer esos datos, aunque es más conveniente que la gestión que se pretenda hacer con ellos la haga el Administrador, evitando, con ello, riesgos innecesarios. Por eso es conveniente que el Sr. Presidente firme una solicitud por escrito en forma de declaración responsable (Cfr. Anexo 1).

Ampliamos la respuesta.

Primero. La normativa de protección de datos es de obligado cumplimiento tanto por la Comunidad de Propietarios como por el Administrador de Fincas; por lo que ambos han de velar por la protección de datos de carácter personal de los interesados, que, en este caso, son los comuneros.

Segundo. Conforme al art. 32 RGPD es necesario tomar las medidas técnicas y organizativas necesarias para adecuar la seguridad al riesgo; esto es, hemos de evitar, en lo posible, poner en riesgo los datos personales.

Tercero. La mejor forma de evitar dichos riesgos es utilizar los canales que tenga el Administrador de Fincas para trasladar lo que desee el Sr. Presidente de la Comunidad de Propietarios a los comuneros. Y que sea el propio Administrador de Fincas quien lo haga, evitando un trasiego innecesario de datos personales y reduciendo notablemente con ello los riesgos de vulneración de los Derechos y Libertades de los interesados.

Por todo ello, lo que resulta de mayor conformidad con la normativa de protección de datos es que el Sr. Presidente traslade al Administrador/a lo que quiera transmitir a los vecinos y sea éste último quien lo haga.

La propia Ley confiere al Sr. Presidente el acceso a todos los datos relacionados con la gestión de la comunidad. Aunque es deseable que le firme al Administrador, que es quien tiene que custodiar los datos, una solicitud en forma de declaración responsable (Cfr. Anexo 1), al objeto de que quede constancia.

En cuanto si se le puede entregar el listado de morosos, específicamente, al censor de cuentas, hay que tener en cuenta una serie de cuestiones:

  • a) El Censor de Cuentas se supone que es un profesional sujeto a secreto profesional en sus actuaciones.
  • b) En su calidad de censor de cuentas deberá contar con toda la documentación que necesite para desarrollar su labor.

Así pues, sí, se les puede entregar la documentación que necesite un censor de cuentas, incluido un listado de morosos, siempre y cuando esté relacionado con la finalidad de su trabajo como censor de cuentas y firmando, eso sí, con anterioridad a la entrega un documento, que puede ser, por ejemplo, una declaración responsable (Cfr. Anexo 1).

Partiendo del hecho de que la dirección de correo electrónico se considera un dato de carácter personal, se debe enviar SIEMPRE en CCO, con copia oculta; de forma que quien recibe el correo no pueda visualizar los correos electrónicos de los demás.

En el ámbito interno de la entidad, los correos corporativos se pueden considerar de uso exclusivo para temas de la propia entidad y, en consecuencia su uso no debe ser personal, por lo que, de forma habitual podemos poner en CC a los miembros de la organización a los que queramos mantener informados.

En este sentido, la evolución de las TIC y de la normativa de protección de datos ha hecho que el correo electrónico sea considerado un dato de carácter personal y, en consecuencia, deba ser protegido (y la propia AEPD ha sancionado en varias ocasiones a entidades por vulnerar ese principio).

En todo caso, hay que tener en cuenta que la normativa de protección de datos se refiere a un Derecho Fundamental que tiene que ser desarrollado a través de las Sentencias del Tribunal Constitucional y de la Jurisprudencia del Tribunal Supremo. Esto es, no sólo ha evolucionado sino que seguirá evolucionando; por lo tanto debemos estar abiertos a nuevos cambios como consecuencia de la aplicación de la normativa de protección de datos. Y cuando tales cambios se produzcan, como no puede ser de otra forma, los implementaremos.

A resultas de todo lo anterior, insisto, NUNCA se deben mandar correos electrónicos dirigidos a varios comuneros en copia abierta, por tanto, SIEMPRE SE DEBEN ENVIAR EN CCO.

En principio, el uso de las mirillas digitales estaría excluido en la aplicación de la normativa de protección de datos aplicando la excepción doméstica, siempre y cuando su uso se limite a de verificar la identidad de la persona que llamó al timbre y a facilitar el acceso a la vivienda. Sin embargo, si este tipo de mirillas reproducen y/o graban imágenes, resultará de plena aplicación el RGPD.

Así pues, tenemos dos opciones en función de cómo sea la mirilla digital:

  • a) Si la mirilla digital no graba, su uso es el mismo del de una mirilla tradicional, por lo que no está sujeto a la normativa de protección de datos y, en consecuencia, no hay que pedir permiso a la comunidad para poder instalarla.
  • b) Si la mirilla digital graba, le es de aplicación la normativa de protección de datos respecto a la videovigilancia en comunidades de propietarios y, en consecuencia: ha de pedirse permiso a la comunidad, se debe colocar un cartel indicativo de que le mirilla le está grabando, se ha de realizar el Registro de Actividades de Tratamiento y, en fin, todas las medidas aplicables en ese sentido.

Con carácter general, y con independencia de la normativa de protección de datos, ningún comunero puede instalar ningún tipo de elemento en las zonas comunes de una comunidad de propietarios sin permiso de la propia comunidad.

Hay que tener en cuenta, por una parte, que la finalidad deber ser la protección de los bienes comunitarios y de las personas, y que no se pueden visualizar las imágenes captadas salvo que se haya producido un incidente.

Por lo demás, se prevé la posibilidad de instalar cámaras en las piscinas de las comunidades propietarios, al ser una zona común, siempre que se adopte de conformidad con lo establecido en la Ley 49/1960, de 21 de julio, sobre propiedad horizontal. También se pueden instalar en piscinas y spas con fines de garantía de calidad sanitaria y de seguridad de las personas.

Tratándose de la captación de imágenes en zonas o elementos comunes de comunidades de propietarios, como puede ser la piscina comunitaria, la adopción de esta medida, requiere el acuerdo de la junta de propietarios en los términos previstos en la Ley de Propiedad Horizontal.

Sería conveniente que el acuerdo reflejara las características del sistema de videovigilancia, número de cámaras y espacios que captan.

Cumplido este requisito, la comunidad de propietarios como responsable del tratamiento, estará sujeta a las restantes obligaciones impuestas por la normativa de protección de datos. Las cámaras sólo podrán captar las zonas comunes de la comunidad, no siendo factible la grabación de imágenes de la vía pública, a excepción de una franja mínima de los accesos al inmueble. Tampoco se podrá realizar la captación de imágenes de terreros y viviendas colindantes o de cualquier otro espacio ajeno. En este último caso, si se usan cámaras orientables y/o con zoom, será necesaria la instalación de máscaras de privacidad para evitar esta grabación.

Por otra parte, deberá prestarse especial consideración a lo siguiente:

  • Se instalarán en los distintos accesos a la zona videovigilada y, en lugar visible, uno o varios carteles que informen de que se accede a una zona videovigilada.
  • El cartel indicará de forma clara la existencia del tratamiento, la identidad del responsable, la posibilidad de ejercitar los derechos del artículo 15 a 22 del RGPD y una referencia a dónde obtener más información sobre el tratamiento de los datos personales.
  • La AEPD dispone de un modelo de cartel. El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios.
  • En ningún caso estarán accesibles a los vecinos mediante canal de televisión comunitaria. Si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por las personas autorizadas a acceder a dichas imágenes. Y sólo, además, si se ha producido un incidente.
  • Una vez instalado el sistema, se recomienda el cambio regular de la contraseña, evitando las fácilmente deducibles.
  • Se pondrá a disposición de los afectados la restante información que exige el artículo 13 del RGPD. La información puede estar disponible en conserjería, recepción, oficinas, tablones de anuncios o ser accesible a través de internet.
  • La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a la comunidad del cumplimiento de la legislación de protección de datos.

Si las Fuerzas de Seguridad el Estado solicitan por escrito el acceso a las imágenes del sistema de videovigilancia, se les debe hacer entrega de las mismas a la mayor brevedad posible.

Las cámaras tienen por finalidad, conforme a la normativa de protección de datos, proteger los bienes y las personas.

A tener en cuenta lo siguiente:

  1. Se han de poner a disposición de las Fuerzas y Cuerpos de Seguridad del Estado a la mayor brevedad posible.
  2. Sólo se pueden entregar las imágenes del incidente (principio de minimización de datos).
  3. Quien tiene que ver las imágenes y sacar la copia de las mismas es la persona que esté habilitada para ello (o la empresa correspondiente, si es el caso).
  1. La exposición pública de listas de morosos constituye una vulneración de la normativa de protección de datos.
  2. La normativa de protección de datos es de obligado cumplimiento tanto por parte del Administrador de Fincas como por parte de la Comunidad de Propietarios.
  3. Los comuneros pueden tener conocimiento del volumen total de la deuda, decidir sobre la resolución de la misma e instar procedimientos sobre su cobro, pero preservándose, en todo momento, los datos de carácter personal. No se pueden hacer públicos datos personales a través de cualquier sistema que pueda dar lugar a que una persona sea identificada o identificable. Y, como consecuencia de ello, puedan verse vulnerados sus derechos.
  4. En todo caso, el derecho a la información sobre la gestión de la Comunidad de Propietarios debe ejercerse de forma compatible con el derecho a la protección de los datos de carácter personal.

Se ha de tener en cuenta lo siguiente:

  1. Las grabaciones de Juntas de Propietarios se realizan con la única finalidad de ayudar a la redacción del acta de celebración de la misma, y los datos, de todo tipo, que aparecen en ellas se toman en relación a esa finalidad, y a ninguna otra. Previamente a la grabación, además, se ha de obtener el consentimiento de todas las personas que vayan a ser grabadas.
  2. El Administrador ha de custodiar dichas grabaciones tomando las medidas técnicas y organizativas necesarias para preservar su seguridad, sólo puede entregarlas a requerimiento de la autoridad competente, y deben ser eliminadas en el plazo máximo de un mes.
  3. Por defecto, se han de proteger los derechos y libertades de los comuneros individuales.
  4. Así pues, es contrario a la ley la grabación de una Junta de una Comunidad de Propietarios si no es a los solos efectos de redactar el acta y en las condiciones comentadas.

Los datos contenidos en procedimientos judiciales deben estar sometidos a especial protección por lo que no pueden ser compartidos con personas ajenas a dichos procedimientos.

Se puede dar información, si se estima conveniente, de forma muy generalizada, del tipo: en la actualidad están incoados en sede judicial tal número de procedimientos de reclamación de cantidad que afectan a tal número de propietarios. Y comentar los aspectos generales, porqué se decidió incoar los procedimientos (si es en base a una cantidad mínima de deuda o de tiempo de la deuda) y cuestiones similares.

En ningún caso se deben compartir datos de procedimientos judiciales concretos con personas ajenas a los mismos.

En todo caso, el Sr. Presidente tiene por ley la potestad de conocer todo, pero, como no viene de más, antes de proporcionarle la información, deberá rellenar la solicitud de esos datos conforme al modelo de declaración responsable (cfr. Anexo 1); así, si un tercero sabe del tema por él, no será responsable la Administración de Fincas.

En ningún caso se puede autorizar el visionado de imágenes del sistema de videovigilancia instalado por la Comunidad de Propietarios a través de un teléfono móvil. Dado que la exposición de los datos tratados sería muy grande y no seríamos capaces de poder mitigar el riesgo lo suficiente como para eliminar la posibilidad de que hubiera una fuga de datos.

Los sistemas de videovigilancia se instalan "con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones" (art. 22.1. LOPD GDD) y no pueden ser visionadas las imágenes captadas salvo para denunciar un incidente relacionado con la seguridad de las personas, bienes e instalaciones; además, en ese caso, se ha de aplicar el principio de minimización de datos del art. 5.1.c) RGPD; esto es, sólo se pueden incorporar a la denuncia las imágenes en las que aparece el incidente.

  1. La obligación de que consten los nombres de los asistentes es una obligación legal establecida en el art. 19.2.d) de la Ley 49/1960, de 21 de julio, sobre propiedad horizontal, que establece que: "El acta de cada reunión de la Junta de propietarios deberá expresar, al menos, las siguientes circunstancias: (...) d)Relación de todos los asistentes y sus respectivos cargos, así como de los propietarios representados, con indicación, en todo caso, de sus cuotas de participación.
  2. En el caso de tratamiento de datos de los comuneros la base de legitimación no es el consentimiento sino la establecida en el art. 6.1.b) RGPD que nos dice que el tratamiento es lícito cuando "el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales".
  3. Por otra parte, y de conformidad con el Considerando (4) RGPD: "(...) El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad (...)".

Así pues, y en conclusión, los datos de los asistentes a las Juntas de Propietarios deben aparecer en el acta de las mismas por imperativo legal; es obligación del Administrador de Fincas y de los comuneros cumplir con los principios de protección de datos, el Administrador de Fincas debe custodiar las actas y no remitirlas a un tercero, ajeno a la propia comunidad de propietarios, salvo que de ella se eliminen los datos personales y esté suficientemente justificado.

A pesar de todo lo comentado, si alguien distinto al Administrador solicita copia del acta, sería deseable cambiar el nombre completo de las personas asistentes por sus iniciales junto a la finca de la que son propietarios.

1. El art. 22.5. de la LOPD GDD establece que "al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio."

Esto es, si las imágenes que se captan por el sistema de videovigilancia son exclusivamente del interior del domicilio, no es de aplicación la normativa de protección de datos al tratarse de un uso "familiar y doméstico".

2. Por su parte, en la ficha de videovigilancia que bajo el epígrafe "cámaras para vigilar la vivienda" ha editado y publicado la AEPD (cfr. Anexo 9) se dice: "Las imágenes captadas por las cámaras se limitarán a la vivienda de la que se sea titular. No podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos a la vivienda y siempre que resulte imprescindible para su finalidad. Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno."

Evidentemente, se trata de un texto tremendamente clarificador respecto a la cuestión que estamos comentando: no podrán captarse imágenes de la vía pública y menos aún de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.

Así pues, en el caso que nos ocupa, se ha de comunicar al vecino en cuestión que ha de retirar la cámara que capta imágenes de la propiedad de otro vecino por ser contrario a la normativa de protección de datos.

Respecto al sistema de control de los inquilinos tenemos que ser extremadamente prudentes, y, por encima de cualquier otra cosa, proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el consentimiento expreso de los interesados. Entendiendo éste como una manifestación de voluntad libre, específica, informada e inequívoca.

El consentimiento expreso deberá contener el proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el mínimo de datos posible del interesado, aplicando el principio de minimización de datos, atendiendo a la finalidad pretendida. Asimismo, deberá contener, además de la información de contacto del Responsable del Tratamiento, en este caso, los datos de contacto del Encargado del Tratamiento y, en su caso, de su DPD.

Será absolutamente necesario que se informe de la finalidad del tratamiento (proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el para qué queremos sus datos, y que dicha finalidad sea lícita, leal y transparente; además, dicha finalidad no puede ser genérica, los datos deben ser recogidos con proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines –principio de limitación de la finalidad-), el plazo de conservación de los datos, la posibilidad de ejercer los derechos ante el Responsable o ante la autoridad de control, en este caso la AEPD, y las casillas de consentimiento expreso donde quede reflejada la clara acción afirmativa de los interesados.

Todas estas cuestiones, evidentemente, necesitarían la aprobación de los órganos legítimos de la propia Comunidad de Propietarios.

Será necesario, también, elaborar el proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el Registro de Actividades de Tratamiento específico.

Un modelo de consentimiento expreso que tendrían que firmar los interesados (el arrendatario o inquilino, en este caso) se puede encontrar en el Anexo 10.

Uno de los puntos más importantes a la hora de hacer una gestión adecuada de la protección de datos es la cuestión de cómo hemos de dar la información.

A este respecto, el Considerando (58) RGPD nos dice:

“El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice.”

A su vez el art. 12.1. RGPD, bajo el epígrafe “Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado”, especifica:

“El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.”

Así pues, cuando cualquier interesado/comunero nos solicite alguna información relativa a la protección de datos, se la hemos de trasladar en un lenguaje inteligible, transparente, claro y sencillo.

Hemos de desterrar para siempre los avisos de protección de datos extensos, farragosos e ininteligibles, que parece que lo que buscan es que nadie los lea.

Trasparencia, claridad y sencillez, ese es el camino que el RGPD marca para cumplir adecuadamente con la normativa de protección de datos.

En esta cuestión debemos partir del hecho de que el vínculo jurídico del Administrador de Fincas es con la Comunidad de Propietarios; que, como su propio nombre indica, está formada por los propietarios de los bienes inmuebles que forman parte de la Comunidad.

Con independencia de esa relación jurídica, en muchos casos el Sr. Propietario tiene un contrato de arrendamiento de la vivienda de su propiedad con un inquilino o arrendatario. Dicho contrato vincula a las partes firmantes; esto es, al arrendador y al arrendatario, y en ningún caso supone la sustitución del propietario en su posición en el seno de la Comunidad de Propietarios.

Así pues, en ningún caso podemos entregar los actas, informes, teléfono de un presidente, deudores y otros datos personales a un inquilino o arrendatario.

Siendo mucho lo que se ha escrito sobre este tema, lo cierto es que resulta determinante el documento que el 23 de noviembre de 2023 se ha publicado en la página web de la Agencia Española de Protección de Datos en relación a la puesta a disposición de una nueva guía sobre la utilización de datos biométricos para el control de presencia y acceso.

Se trata de un documento que fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, estableciendo las medidas que habrá que tener en cuenta para que el tratamiento de datos personales que utilice esta tecnología cumpla con el Reglamento General de Protección de Datos (RGPD).

La Agencia considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de alto riesgo que incluye categorías especiales de datos. Según el RGPD, para poder realizar el tratamiento de estas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.

Para el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el art. 9.2 b) del RGPD, el Responsable debe contar con una norma con rango de ley que autorice el específicamente el uso de datos biométricos para dicha finalidad. La Agencia indica que, en el marco de estos tratamientos, el consentimiento expreso no podrá levantar la prohibición o ser una base para determinar la licitud del tratamiento, al existir un desequilibrio entre la persona a la que se somete el tratamiento y quien lo está llevando a cabo.

En el caso del control de accesos fuera del ámbito laboral, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad (art. 35. 7 b) RGPD).

La nueva guía también establece restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de forma similar.

Así pues, la guía precisa que, en caso de pretender captar datos biométricos, de forma previa al inicio del tratamiento, será obligatoria la realización de una Evaluación de Impacto para la Protección de Datos en las que, entre otros aspectos, se acredite la superación del tripe análisis de idoneidad, necesidad y proporcionalidad estricta del tratamiento.

Por último, la Agencia añade un listado de medidas que deben llevarse a cabo si se superan todos los requisitos de cumplimiento de los principios del RGPD:

  • Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
  • Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
  • Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
  • Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
  • Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
  • Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
  • Implementar la protección de datos desde el diseño.
  • Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.

Podréis acceder a la guía a través del siguiente enlace: https://www.aepd.es/documento/guia-control-presencia-biometrico-nov-2023.pdf

Una vez reviséis la nueva guía en todo su contenido, seguramente llegaréis a la conclusión a la que yo he llegado; esto es, que dado el número de requisitos que se deben cumplir para poder implementar un tratamiento que contenga datos biométricos (el de la huella digital, por ejemplo) y la complejidad de los mismos, es desaconsejable contar con este tipo de herramientas por el alto riesgo que puede suponer para los Derechos y Libertades de los interesados y, con ello, el riesgo real de incumplir la normativa actualizada de protección de datos.

Se puede decir que, desde la publicación de la guía mencionada (23 de noviembre de 2023), ha cambiado sustancialmente la percepción de la AEPD sobre este tema.

Sobre la posibilidad de grabar una conversación un propietario en una Junta de Propietarios sin tener permiso para ello, podemos considerar lo siguiente:

Primero. Aunque existía un cierto consenso en la jurisprudencia sobre la validez de estas grabaciones basado en la premisa de que no puede existir secreto para la persona a la que se dirige la conversación, ni se produce una vulneración de la intimidad. Esto se debe a que (conforme a la STS que cito más abajo) cuando una persona comparte voluntariamente una opinión o un secreto con su interlocutor, está renunciando a su privacidad al permitir que terceros conozcan el contenido de la conversación, sin que ello constituya una violación o infracción.

Este principio legal fue respaldado por una sentencia del Tribunal Supremo en 2016 (STS 3585/2016) que estableció lo siguiente: "La presentación al proceso de grabaciones de conversaciones particulares efectuadas por uno de sus protagonistas no infringe el derecho al secreto de las comunicaciones, pues este derecho no puede utilizarse frente a los propios intervinientes en la conversación".

Segundo. Sin embargo, esa STS es de 2016 y el RGPD entra en vigor en 2018, cambiando notablemente el panorama. En este sentido, hay que tener en cuenta que la STC 11/1998 estableció con claridad que la protección de datos es un Derecho autónomo e independiente del Derecho a la intimidad. Recogidos ambos en el art. 18 CE. Y la STS 3585/2016 se refiere al Derecho a la intimidad más que al Derecho a la protección de datos.

Tercero. El RGPD y el Derecho a la protección de datos está sujeto a las decisiones jurisprudenciales que el Tribunal Supremo va tomando, y, hay que tener en cuenta en este sentido, que no ha pasado tiempo suficiente todavía para que se pronuncie sobre muchas cuestiones. No obstante esto, nos puede servir de guía en esta cuestión, al menos por aplicación del principio de analogía, el documento elaborado por el Gabinete Jurídico de la AEPD titulado "informe_juridico_rgpd_grabacion_de_imagenes_y_voz_proporcionalidad" (Cf. Anexo 11); en el que se insiste en la idea de que las grabaciones de voz suponen una medida intrusiva, resulta una medida desproporcionada, y, por lo tanto, atenta contra el Derecho a la protección de datos.

Cuarto. Además, hay que tener en cuenta que cualquier tipo de tratamiento de datos personales, y la voz es un dato personal, se ha de realizar contando con una base de legitimación; en este caso concreto la única a la que podemos apelar es a la legitimación a través del art. 6.1.f) interés legítimo del responsable del tratamiento. Ahora bien, hemos de tener en cuenta que el interés legítimo se puede utilizar como base legitimadora siempre y cuando no atente contra los Derechos y Libertades de la persona.

Quinto. Así pues, sólo cable aplicar el denominado "juicio de proporcionalidad", tal y como establece el Tribunal Supremo. Pues bien, aplicando tal principio y teniendo en cuenta todo lo comentado, conforme a mi leal saber y entender y en lo referente al Derecho a la protección de datos, grabar una conversación sin consentimiento de la persona a la que se graba resulta abiertamente desproporcionado, supone una intrusión y atenta contra la normativa de protección de datos.

Regulación: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de Abril de 2016 (RGPD), así como su correlato a nivel nacional, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, de 5 de Diciembre de 2018 (LOPD GDD).

Responsable del Tratamiento: Nombre de la Comunidad de Propietarios

Encargado del Tratamiento: Nombre del Administrador de Fincas.

Teléfono y email de contacto: Del Administrador de Fincas.

Delegado de Protección de Datos: Nombre del DPD

Email: Email del DPD

A tener en cuenta:

  1. Con la normativa de protección de datos debemos cumplir todos.
  2. Los datos deben ser tratados de forma que no se incumpla la Ley (licitud), para aquello para lo que se nos han dado (lealtad) y sin esconder debajo de la alfombra un mal uso de los mismos, porque en ese caso hemos de comunicarlo a los afectados lo antes posible y rectificar (transparencia)-art. 5.1.a) RGPD-.
  3. Todos (tanto el Responsable –Comunidad de Propietarios- como el Encargado del tratamiento –Administrador de Fincas- deberán aplicar las medidas necesarias para cumplir con la Ley (art. 32.1 RGPD).
  4. deberá contar con la documentación necesaria de protección de datos (Registros de Actividades de Tratamiento, Contrato entre Responsable y Encargado del Tratamiento, Compromisos de Confidencialidad, modelos de Ejercicios de Derechos, etc…) pero es fundamental aplicar el principio de responsabilidad proactiva (entender la protección de datos desde el diseño y, por defecto, proteger los Derechos y Libertades de los interesados; y poder demostrar que se hace lo necesario para proteger los datos de carácter personal).
  5. podemos divulgar ningún dato de morosidad, ni podemos instalar una cámara en la que aparezcan imágenes de zonas comunes, ni poner una mirilla digital que grabe imágenes, ni tener un coche en el garaje que grabe imágenes (salvo que cumplamos con todos los requisitos que dice la Ley), ni utilizar datos de los comuneros en grupos no profesionales y sin autorización de WhatsApp ni en redes sociales.
  6. Y si tenemos alguna duda, antes de hacer nada que pueda ser contrario a la Ley, pregunta al Delegado de Protección de Datos.

Sobre la cuestión de si es conforme con la normativa de protección de datos de carácter personal usar un dron para poder tomar imágenes de una vivienda para su venta, la AEPD ha editado una guía al respecto bajo el título "drones y protección de datos".

A tener en cuenta que en dicha guía se dice lo siguiente: "Antes de compartir en internet imágenes o videos capturados con un dron es necesario asegurarse de que no contienen imágenes o datos relativos a personas, vehículos, viviendas u otros objetos que puedan conducir a la identificación de sujetos, y en caso afirmativo anonimizarlas mediante técnicas de difuminado o similares."

Así pues, de conformidad con la Guía editada por la AEPD, para poder usar imágenes captadas por un dron es necesario asegurarse de que no contienen imágenes o datos que puedan conducir a la identificación de personas y, si es así, deben ser anonimizadas mediante técnicas de difuminado o similares.

Evidentemente cuando un Administrador de Fincas deja de prestar sus servicios en una Comunidad de Propietarios, los comuneros de dicha Comunidad de Propietarios pueden ejercer el Derecho de Supresión de sus datos (Cfr. Pregunta nº 20: “en qué consiste el Derecho de Supresión”).

De hecho el art. 5.1.e) RGPD nos dice que los datos no deberán ser mantenidos “no más tiempo del necesario para los fines del tratamiento de los datos personales”: por lo que, una vez terminado el contrato de prestación de servicios, deberán ser borrados.

Si se da el caso de que dichos datos deben ser conservados por obligación legal durante un tiempo (por motivos fiscales, por ejemplo) se deberá aplicar lo especificado en el art. 32 LOPD GDD; esto es, deberán guardarse bloqueados, fuera del decurso normal de tratamiento de datos en la entidad.

Ahora bien, si existe un contrato en vigor entre el Administrador de Fincas y la Comunidad de Propietarios, se ha de entender que la base de legitimación, de entre las relacionadas en el art. 6 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos –RGPD-), es la 1.b):

“el tratamiento es necesario para la ejecución de un contrato (…).”

Además, el art. 17 del RGPD, bajo el epígrafe Derecho de supresión, establece:

“1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;”

Por otra parte, dentro de las Guías Sectoriales de la AEPD, en concreto, en la “Guía sobre Protección de Datos y Administración de Fincas”, en su apartado 2, titulado “identificación de tratamientos de datos”, segundo párrafo, establece:

“Generalmente, en este son objeto de tratamiento los siguientes datos personales: nombre de los propietarios, teléfonos de contacto, direcciones postales, números de DNI y direcciones de correo electrónico. Suele denominarse a este tratamiento “gestión de la comunidad de propietarios” o “propietarios”, y la comunidad se sirve de él para su gestión contable, fiscal y administrativa, asegurando el cumplimiento por los propietarios de las obligaciones impuestas por la LPH y el ejercicio de los derechos que corresponden a los copropietarios en la comunidad.”

A tener en cuenta, además, lo especificado en el art. 32.1. RGPD; a saber:

“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (…).”

En todo caso, se ha de tener en cuenta también que, caso de ser posible, se han de usar las alternativas menos lesivas en relación a los Derechos y Libertades de los interesados (Cfr. la jurisprudencia el Tribunal supremo sobre el juicio de proporcionalidad, y, en concreto sobre la “necesidad”; esto es, si la medida tomada era necesaria en el sentido de que no existía otra medida más moderada para la consecución de tal propósito con igual eficacia).

Por todo lo cual, si existe un contrato en vigor entre la Administración de Fincas y la Comunidad de Propietarios los datos necesarios para que el Administrador de Fincas preste sus servicios no pueden ser suprimidos.

Si se tienen imágenes de personas que cometen un ilícito, pulsar una falsa alarma, por ejemplo, se puede poner en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado a través de la correspondiente denuncia.

Ahora bien, no podemos usar imágenes, ni pixeladas, para ponerlas en carteles o para cuestiones semejantes; los menores podrían ser identificables (por la ropa, por ejemplo) y, a su vez, las imágenes grabadas no pueden ser usadas sino para denunciar, para ninguna otra cosa.

Usar esas imágenes supone un riesgo de incumplimiento grave de la normativa actualizada de protección de datos.

Lo más adecuado es avisar a los vecinos que los consumos se pueden consultar en la oficina de la Administración de Fincas y así dejar de poner tales listados.

El artículo que mejor especifica la prohibición de poner en riesgo los datos es el 32 del RGPD, el cual especifica que tanto el Responsable del Tratamiento (la Comunidad de Propietarios) como el Encargado del Tratamiento (la Administración de Fincas) deberán tomar todas las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al nivel de riesgo. Exponer listados o entregar copias de estos supone un riesgo; consultar los datos concretos en la Administración de Fincas, sin embargo, no supone riesgo alguno, dado que cada propietario sabrá sólo sus datos.

También sería de aplicación lo especificado en el art. 5.1.f) del RGPD, que establece que los datos deberán ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales.

Relacionar la propiedad con una matrícula de un vehículo pude suponer una vulneración de la normativa de protección de datos en el sentido de que puede causar algún tipo de perjuicio en un momento dado.

Sería más recomendable, por ejemplo, realizar autorizaciones numeradas para que los propietarios las colocaran en sus vehículos y en un documento, que quede en manos del Secretario–Administrador, se relacionen tales números con las propiedades concretas.

Si la zona donde se graban de forma ilegítimas las imágenes es una zona común, deberá ser la Comunidad de Propietarios la que impulse las acciones.

Por el contrario, si la zona donde se está grabando de forma ilegítima es una zona privativa de un propietario, deberá ser este quien lo haga.

El art. 5.1.c) del RGPD regula los “principios relativos al tratamiento” estableciendo que: “1. Los datos personales serán: c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)”.

Dicho artículo pone de manifiesto que los datos personales serán “adecuados, pertinentes y limitados a la necesidad” para la que fueron recabados, de tal manera que, si el objetivo perseguido puede alcanzarse sin realizar un tratamiento excesivo de datos, así es como debe realizarse.

Asimismo, el Considerando (39) del RGPD indica que: “Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios”. Por tanto, únicamente se tratarán los datos que sean “adecuados, pertinentes y no excesivos en relación con el fin para el que se obtienen o tratan”.

Así pues, las categorías de datos seleccionados para su tratamiento deben ser los estrictamente necesarios para lograr el objetivo declarado y el responsable del tratamiento debe limitar estrictamente la recogida de datos a aquella información que esté directamente relacionada con el fin específico que se intenta alcanzar pues, de no hacerlo, el tratamiento se consideraría desproporcionado.

Para incluir a una persona física en un fichero de morosos es necesario que se cumplan los siguientes requisitos:

  • a) Los datos han de haber sido facilitados por el acreedor o por quien actúe por su cuenta o interés.
  • b) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y que la cuantía principal sea superior a cincuenta euros.
  • c) Que el acreedor haya informado al afectado en el contrato o en el momento de requerirle el pago acerca de la posible inclusión en dichos sistemas, con indicación de aquellos en los que participe.
  • d) Que el acreedor haya realizado previamente el requerimiento de pago al deudor antes de la comunicación de sus datos al fichero de morosos.
  • e) La entidad que mantenga el sistema de información crediticia (fichero de morosos) deberá notificar al afectado de la inclusión de sus datos y le informará sobre la posibilidad de ejercitar los derechos establecidos en los arts. 15 a 22 del RGPD dentro de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo.
  • f) Que no hayan transcurrido cinco años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico.

Toda persona que haya sufrido daño y perjuicios materiales o inmateriales como consecuencia de una infracción de la normativa en protección de datos tendrá derecho a recibir del responsable o del encargado de tratamiento una indemnización por los daños sufridos.

Las acciones judiciales para reclamar esta indemnización se presentará ante los Tribunales. Además, en el caso de las Administraciones Públicas la responsabilidad se exigirá de acuerdo a la regulación sobre responsabilidad patrimonial.

No, el RGPD no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre, la forma de la persona jurídica y sus datos de contacto.

La protección otorgada por el RGPD debe aplicarse exclusivamente a las personas físicas en relación con el tratamiento de sus datos personales.

Como regla general, no es necesario facilitar la copia del DNI para ejercer los derechos del afectado.

No obstante, si el responsable del tratamiento tuviese dudas razonables en relación con la identidad de la persona física que cursa la solicitud podrá solicitar que se facilite información adicional necesaria para confirmar la identidad del afectado.

Los límites del Derecho a la Información de un comunero los podemos establecer con base en lo siguiente:

Primero. Lo que nos dice la doctrina reiterada del Tribunal Supremo.

La STS de 16 de abril de 1993, doctrina reiterada en las STS de 14 de febrero de 2002 y 18 de marzo de 2010, y que resume, de forma extraordinaria la Sentencia de la AP de Lugo, Sec. 1.ª ref 268/2021, con referencia expresa a la doctrina del Tribunal Supremo, nos dice, en su literalidad:

“El art. 20.e) de LPH no se refiere ni consagra expresamente el derecho de información de los propietarios sobre las cuestiones de interés general de la comunidad y, especialmente, sobre los archivos y la documentación relativa a la misma, éste se infiere de la dicción del propio precepto cuando señala que aquélla habrá de estar » a disposición de los titulares”.

Ahora bien como resulta de la STS de 16 de abril de 1993 (doctrina reiterada en las STS de 14 de febrero de 2002 y 18 de marzo de 2010), no existe disposición alguna específica en la LPH que establezca un hipotético derecho de información y que, además, sancione la falta de éste, lo cual no excluye que los propietarios tengan derecho a ser informados sobre la marcha de la comunidad, y exhibición en todo caso de la documentación solicitada en el despacho del administrador, en aquellos aspectos que se valoren necesarios, pero nunca entregas genéricas o ilimitadas de información, con los límites de la buena fe y la prohibición del ejercicio antisocial o abusivo del derecho ( art. 7 del CC ), ni sustituir con dicha petición las funciones fiscalizadoras que corresponden a la Junta de Propietarios, así la jurisprudencia, refiriéndose al derecho general a la información de los comuneros, que permite revisar la documentación de la comunidad, admite que se ejerza de una forma responsable, excluyéndolo cuando se refiera a asuntos ya tratados en juntas anteriores cuando no tengan por objeto la impugnación de los acuerdos en ellas adoptados.”

En resumen: no existe disposición alguna específica en la LPH que establezca un hipotético derecho de información y que, además, sancione la falta de éste.

Segundo. Lo que nos dice la normativa actualizada de Protección de Datos.

Teniendo en cuenta que el Responsable del Tratamiento, la C.P., nombra a un Encargado del Tratamiento, el Administrador de Fincas, precisamente porque su ejercicio profesional puede hacer más factible que se garantice una seguridad adecuada de los datos personales, dejar en manos de una persona física, por muy comunero que sea, determinados datos de las personas que conforman la comunidad puede resultar arriesgado, de forma que se pongan en peligro los principios de integridad y confidencialidad de los datos.

Recordemos que el art. 32.1. RGPD establece lo siguiente: “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (…).”

Ahora bien, evidentemente un profesional dedicado a la administración de fincas va a tener siempre muchas más probabilidades de implementar dichas medidas que un particular. Por lo que, y en consecuencia, poner en manos de un particular información basada en datos de carácter personal supone un riesgo elevado de que se vulneren los Derechos y Libertades del resto de comuneros.

Tercero. La aplicación del “Juicio de Proporcionalidad”.

La STC 66/1995, de 8 de mayo (BOE núm. 140, de 13 de junio de 1995) estableció las bases para resolver los casos en los que se puede dar la colisión entre dos Derechos Fundamentales (en este caso el Derecho a la Información y el Derecho a la Protección de Datos), a través del denominado “Juicio de Proporcionalidad”, de tal manera que antes de implementar una medida concreta se han de tener en cuenta tres etapas; a saber:

  • Idoneidad (si tal medida era susceptible de conseguir el objetivo propuesto)
  • Necesidad (si tal medida es necesaria en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia).
  • Proporcionalidad estricta (si la misma era proporcionada, en sentido estricto, es decir, ponderada o equilibrada por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto).

Si bien es cierto que el Derecho a la Protección de Datos, como todo Derecho Fundamental, no es absoluto, como así lo especifica el Considerando (4) RGPD; evidentemente el Derecho a la Información tampoco lo es. En casos de colisión entre derechos y la solicitud de información de un comunero lo es, la aplicación del juicio de proporcionalidad da como resultado, de forma palpable y evidente, que el Derecho a la Protección de los Datos de los comuneros que forman parte de la Comunidad de Propietarios ha de ser priorizado sobre el Derecho a la Información de un comunero concreto.

Así pues, y como conclusión de lo antedicho, el derecho a la información de un comunero concreto ha de entenderse como muy limitado y se ha de traducir, en la mayor parte de los casos, en la consulta de cuestiones concretas en las oficinas del Administrador de Fincas.

Primero. La Comunidad de Propietarios adopta la figura de Responsable del Tratamiento, de conformidad con la normativa actualizada de protección de datos. En tanto que el Administrador de Fincas sería el Encargado del Tratamiento, cualificado, eso sí, pero sólo Encargado.

Ambos, como todas las entidades, están sujetos a las leyes, entre ellas, las referidas a la protección de datos de carácter personal.

Pues bien, el marco legal que desarrolla la normativa de protección de datos está compuesto por dos textos normativos:

a) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o RGPD).

Que, como todo Reglamento Europeo tiene primacía sobre las leyes nacionales y eficacia directa.

b) La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD GDD), como bien dice en su artículo 1, adapta y completa el RGPD.

Téngase en cuenta que no se trata de una Ley Ordinaria sino de una Ley Orgánica, reservadas éstas sólo para el desarrollo de los Derechos Fundamentales de nuestra Constitución. Y la protección de los datos de carácter personal se enmarca en el art. 18 de la Constitución, dentro del núcleo de Derechos Fundamentales.

Segundo. Lo que nos dice el RGPD sobre las obligaciones de una Comunidad de Propietarios y de un Administrador de Fincas es lo que nos dice, por tanto, respecto de cualquier Responsable y Encargado del Tratamiento; y aquello que nos dice lo podemos encontrar en el art. 32.1 RGPD; a saber:

“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (…)”.

Así pues, la Comunidad de Propietarios tiene la obligación de aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, en todo lo que tenga que ver con los datos de carácter personal.

Tercero. A mayor abundamiento, en la sección de preguntas frecuentes publicada en la página web de la Agencia Española de Protección de Datos, a la pregunta:

¿Se aplica la normativa de protección de datos a las comunidades de propietarios?

Se da la siguiente respuesta:

“Sí, en la medida que realicen un tratamiento de datos de carácter personal de personas físicas.
Así, en las comunidades de propietarios existe un tratamiento derivado de la gestión de la propia comunidad, que puede denominarse "gestión de la comunidad de propietarios" o "propietarios", en el que se incluyen los datos personales de los citados propietarios como pueden ser nombre, apellidos, dirección o correo electrónico.

Pueden existir además otro tipo de tratamientos como el de "videovigilancia" o "cámaras de seguridad".

Por tanto, y como indicamos al principio, al existir estos tratamientos debe cumplirse lo dispuesto en la normativa de protección de datos personales.”

Así pues, se debe aplicar la normativa de protección de datos a las Comunidades de Propietarios.

Y, en la misma sección, a la pregunta:

¿Cuáles son las principales obligaciones?

Se responde, a su vez, lo siguiente:

“En las comunidades de propietarios, éstas serán las responsables del tratamiento de sus datos personales.

En el caso de que tengan contratado un administrador de fincas, éste actuará como encargado del tratamiento. Es decir, en este caso, se establece la siguiente relación: la comunidad es responsable de los tratamientos y el administrador actúa como encargado de los mismos.

Ambos deben someterse a la normativa de protección de datos, que establece al respecto una serie de obligaciones, entre las que podemos citar:

  • La creación del registro de actividades de tratamiento.
  • Cumplir con el derecho de información.
  • Atender los derechos de protección de datos.
  • Determinar la legitimación de los tratamientos.

Además, el contrato entre la comunidad y el administrador deberá contener las respectivas cláusulas de protección de datos.”

A mayor abundamiento, en la Guía de Administradores de Fincas publicada por la Agencia Española de Protección de Datos se dice en el apartado 5 que:

“Las principales obligaciones establecidas por la normativa de protección de datos recaen sobre el responsable del tratamiento, si bien los administradores de fincas, tanto en el ámbito de su función de asesoramiento y representación de las comunidades de propietarios, como actuando como encargados del tratamiento, deberán facilitar su cumplimiento y participar del mismo.”

Cuarto. Llegados a este punto, la cuestión es si una Comunidad de Propietarios tiene la posibilidad, por sí misma, de cumplir, al menos con lo más básico de la normativa de protección de datos; esto es: la creación del registro de actividades de tratamiento (de los registros si se tienen tratamientos distintos), cumplir con el derecho de información (derecho básico si no se quiere ser sancionado), atender los derechos de protección de datos (dando la respuesta adecuada por los canales que la propia ley determina) y determinar la legitimación de los tratamientos.

Quinto. El RGPD crea una figura nueva cuya misión consiste, precisamente, en ayudar a los Responsables y Encargados del Tratamiento a cumplir con la ley: el Delegado de Protección de Datos, DPD o DPO (conforme a sus siglas en inglés).

Es más, recomienda contar con esa figura y más aún si se trata de un DPD Certificado de conformidad con el Esquema de Certificación AEPDDPD.

Sexto. En los casos en los que, como ocurre entre una Comunidad de Propietarios y una Administración de Fincas, un Responsable del Tratamiento (la C.P.) delega la gestión de los asuntos ordinarios en un Encargado del Tratamiento (el A.F.), el Considerando (81) RGPD establece que debe “debe recurrir únicamente a encargados que ofrezcan suficientes garantías” y, en este sentido, establece que “la adhesión del encargado (…) a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable”. Así pues, si el Administrador de Fincas, como Encargado del Tratamiento, cuenta con un DPD Certificado conforme al mecanismo de Certificación AEPD-DPD, ofrecerá “suficientes garantías.”

Séptimo. A todo lo anterior hay que añadir que son muchos los Administradores de Fincas que incorporan en su cartera de servicios profesionales asesorías jurídicas, fiscales, inmobiliarias y de seguros, entre otras. Y, en esos casos, contar con un DPD puede tratarse no ya de una opción sino de una obligación legal.

Así pues, y en conclusión:

1. Todas las entidades, Comunidades de Propietarios y Administradores de Fincas incluidos, están obligados a cumplir con el Reglamento General de Protección de Datos. Y, evidentemente cumplir con esa obligación tiene un coste económico tanto para el Administrador de Fincas como para las Comunidades de Propietarios.

De hecho, la mejor forma de demostrar una Comunidad de Propietarios que se ha preocupado por cumplir con la normativa de protección de datos es, precisamente, la factura de dichos servicios.

2. Esto es, tanto el Responsable del Tratamiento, la Comunidad de Propietarios, como el Encargado del Tratamiento, el Administrador de Fincas, deben facilitar y participar en el cumplimiento de la normativa de protección de datos.

3. Tanto el Responsable del Tratamiento, la Comunidad de Propietarios, como el Encargado del Tratamiento, el Administrador de Fincas, están obligados a aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que, en último término, proteja los derechos y libertades de los interesados.

4. Una vez acreditado que tanto el responsable del tratamiento, la Comunidad de Propietarios, como quien por encargo de esta se ocupa de la gestión de los asuntos ordinarios, el Administrador de Fincas, están obligados a cumplir con el RGPD; se plantea la cuestión de cómo, de qué forma, se puede cumplir con la ley con las mejores garantías.

Pues bien, la mejor forma de cumplir con el principio de responsabilidad proactiva es nombrando un Delegado de Protección de Datos, y si dicho DPD es Certificado, pues, en ese caso, ofrecerá suficientes garantías de cumplimiento de la normativa legal.

Así pues,
  • El Responsable del Tratamiento es la Comunidad de Propietarios.
  • El Encargado del Tratamiento es el Administrador de Fincas.
  • Obligación de cumplir con la Ley la tienen tanto el Responsable del Tratamiento como el Encargado del Tratamiento.
  • La mejor forma de cumplir con la Ley es nombrar un Delegado de Protección de Datos, y si es Certificado, mejor.

Preguntas y respuestas sobre ciberseguridad

Tened siempre en cuenta que toda la información que necesitemos sobre prevención de ataques cibernéticos la podemos encontrar en el Instituto Nacional de Ciberseguridad (INCIBE).

Ante una brecha de seguridad hemos de hacer lo siguiente a la mayor brevedad posible:

  1. Denunciar ante las Fuerzas y Cuerpos de Seguridad del Estado.
  2. Comunicar el incidente al Instituto Nacional de Ciberseguridad (INCIBE). A través del siguiente enlace: https://www.incibe.es/empresas/te-ayudamos o a través del teléfono gratuito 017.
  3. Comunicar la brecha de seguridad a la Agencia Española de Protección de Datos (AEPD).
    Recordemos que el art. 33.1 RGPD establece que: “En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.” En el siguiente enlace la AEPD pone a disposición una herramienta para que se pueda valorar la posibilidad de comunicar la brecha de seguridad: https://servicios.aepd.es/AEPD/view/form/MDAwMDAwMDAwMDAwMDUwOTUyMjYxNzE2NTQ3NTE2Njk0?updated=true La notificación de la brecha de seguridad se puede realizar a través del siguiente enlace: https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/nbs/guiadoBrechasInicio.jsf
  4. Comunicar la brecha sufrida a los afectados.
  5. En este sentido el art. 34.1 RGPD nos dice al respecto que: “Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.”
  6. Comunicar la brecha de seguridad al Delegado de Protección de Datos (DPD).
  7. Iniciar de forma inmediata una investigación de la naturaleza y alcance de la brecha sufrida y tomar todas las medidas técnicas y organizativas necesarias para mitigar sus efectos y evitar que se repita en el futuro.

Tened siempre en cuenta que toda la información que necesitemos sobre prevención de ataques cibernéticos la podemos encontrar en el Instituto Nacional de Ciberseguridad (INCIBE).

La prevención de ataque BEC del inglés Business E-mail Compromise o correo electrónico corporativo comprometido es fundamental, dado que se trata de un tipo de fraude contra empresas que realizan transferencias electrónicas de dinero.

Supongamos que nuestra empresa se llama Pedro S.L.

El ciberdelincuente suplanta a uno de nuestros proveedores (Proveedor S.L.) e intercepta los correos de facturación que nos envía, cambiando la cuenta del banco donde realizar los pagos, de manera que hagamos una transferencia a una cuenta controlada por ellos.

Imaginaros que para el último pedido, una vez acordado el precio con el proveedor, hemos quedado en que nos van a enviar la factura por medio del correo electrónico para realizar la transferencia. Recibimos la factura y realizamos el pago al número de cuenta indicado en el correo recibido.

Pasados unos días, como no recibimos el pedido nos ponemos en contacto con Proveedor S.L. para reclamarlo. Una empleada de Proveedor S.L. nos indica que aún no han recibido el pago, requisito indispensable para realizar el envío.

Desde Pedro S.L. enviamos el justificante de la transferencia. Al comprobar el justificante, la empleada de Proveedor S.L. para reclamarlo. Una empleada de Proveedor S.L. nos advierte que ese no es su número de cuenta bancaria. ¿Qué ha sucedido? Puede ser que nuestra cuenta de correo o la de nuestro proveedor estén comprometidas, es decir, controladas por el ciberdelincuente.

CASO 1: Nuestra cuenta de correo está comprometida

El ciberdelincuente ha podido acceder a nuestra cuenta y ha creado una regla de entrada en nuestro buzón de correo. Esta regla, funciona reenviando todo el correo procedente de facturacion@proveedor.com, a una cuenta de correo desconocida, ciberdelincuente@email.ru, además, mueve el correo de la bandeja de entrada a una carpeta oculta, para que no lo detectemos.

Si revisamos las cabeceras del correo que hemos recibido con la cuenta bancaria modificada se detecta que la dirección desde la que se envió la factura es facturacion@proovedor.com. El atacante ha creado un dominio muy parecido al de Proveedor S.A. para suplantar su identidad y cometer el fraude.

CASO 2: Cuenta de correo del proveedor comprometida

En este caso, Proveedor S.A. recibe llamadas de clientes que han recibido correos con facturas con el número de cuenta modificado, es decir, su correo está comprometido. Aparentemente los correos se envían desde la dirección legítima.

Se detecta una regla de salida en el buzón de correo de Proveedor S.A. que ellos no habían configurado. Esta regla, funciona interceptando todo el correo saliente con facturas hacia clientes, y los reenvía a una cuenta de correo desconocida, ciberdelincuente@email.ru.

Es posible que su cuenta siga comprometida, ya que los correos a clientes están siendo enviados desde el correo legítimo. Es probable que el ciberdelincuente esté interceptando, toda la información que llega al buzón del proveedor para posteriormente acceder al correo de facturación del proveedor para cometer el fraude.

La víctima que está esperando un correo con la factura del proveedor, baja la guardia, presta menos atención y se confía, lo que hace que estos ataques sean muy efectivos. Además, es un fraude fácil para el ciberdelincuente pues puede obtener ingresos elevados y no precisa tener conocimientos avanzados, solo hacerse con el control de una cuenta, obteniendo, por ejemplo, las credenciales de filtraciones o mediante ingeniería social.

Los ciberdelincuentes recopilan datos sobre sus víctimas que luego usan para generar confianza. Entre otros, pueden encontrar nombres y cargos de los empleados, así como listas de correos, de la web corporativa, redes sociales y otros medios.

En la mayoría de las ocasiones están varias semanas dentro del correo de la víctima, conociendo los pormenores de las operaciones antes de perpetrar el fraude, observan los correos y crean reglas específicas. Esperan a que llegue el momento oportuno para actuar, por ejemplo, cuando se espera una factura de un importe alto, hay un nuevo cliente o el responsable está de vacaciones.

¿Cómo han accedido a nuestro correo electrónico?

Han conseguido las credenciales de nuestro correo electrónico, esto puede ser porque:

  • Han entrado en nuestra cuenta de correo por falta de concienciación:
  • tenemos equipos sin acceso por contraseña;
  • nuestras contraseñas están escritas en papeles accesibles o a la vista;
  • tenemos las contraseñas almacenadas en texto plano en el propio equipo, es decir, en cualquier fichero;
  • utilizamos contraseñas poco robustas;
  • no utilizamos doble factor de autenticación.

Si han obtenido las credenciales de nuestra cuenta de correo

  • utilizando ingeniería social;
  • hemos introducido las credenciales (usuario y contraseña) al caer en alguna campaña de phishing suplantando a otra empresa, bancos, entidades de referencia, herramienta o servicio (cloud, Microsoft 365, etc.);
  • shoulder surfing: visualizan las credenciales cuando las tecleamos o si hay una cámara espiando.
  • Hemos sido infectados por malware que puede espiar y robar nuestras credenciales. En particular keyloggers que es un malware que registra nuestras pulsaciones en el teclado. Estos también pueden ser de tipo hardware, por ello revisaremos que no hay ningún dispositivo extraño conectado a nuestros ordenadores y servidores.

Lanzan ataques automatizados contra el servidor de correo con contraseñas comunes o contraseñas filtradas por brechas de seguridad:

  • password spraying o ataque de fuerza bruta, probando de manera automatizada y lentamente (para no ser detectados), una a una, contraseñas de uso común (12345678, 11111111, administrador, …) de una lista contra las cuentas del servidor de correo, hasta que consiguen entrar.
  • credenciales reutilizadas (credential stuffing / credential reuse): los ciberdelincuentes prueban de manera automatizada pares de nombres de usuario y contraseña extraídos de alguna filtración. Se aprovechan de una mala práctica extendida que consiste en la reutilización de credenciales de aplicaciones personales (por ejemplo redes sociales o servicios de streaming) en aplicaciones del entorno corporativo como el correo. De ahí, la importancia de utilizar contraseñas únicas en cada servicio. También se recomienda, por el mismo motivo no utilizar la cuenta corporativa para registrarse en plataformas ajenas a las de la propia empresa.

Podemos comprobar si alguna de nuestras cuentas está en una filtración que haya tenido lugar debida a brechas de seguridad de algún servicio, red social o aplicación que utilicemos:

Si han entrado en nuestros sistemas:

  • aprovechando vulnerabilidades no parcheadas en el servidor de correo o errores de configuración;
  • porque tenemos software, sistemas operativos o navegadores desactualizados y son vulnerables.

Han tenido acceso al correo y lo han manipulado, pero no tienen las credenciales:

  • Dejamos las sesiones abiertas cuando no estamos delante del ordenador en un entorno abierto.
  • Utilizamos el correo en equipos de uso compartido o en lugares públicos.
  • Los ciberdelincuentes utilizan malware tipo RAT (Remote Access Trojan) o vulnerabilidades de acceso remoto.
  • La wifi está comprometida o no está bien configurada y enviamos los correos sin cifrar.

¿Has sido víctima de un fraude BEC?

En primer lugar debes ponerte en contacto con el banco o entidad financiera correspondiente, para comunicar el hecho e intentar revertir la transferencia.

Reporta el incidente

Ten en cuenta que el correo recibido con el número de cuenta del banco modificado es una evidencia y debe ser analizado. Por ello, hemos de reportar el incidente adjuntando el correo y sus adjuntos para su análisis a INCIBE-CERT (INCIBE-CERT Incidencias ), de manera que llegue con las cabeceras originales.

Denuncia

Después, en particular, si se ha cometido el fraude, tenemos que denunciar el incidente para que se investigue el origen del delito ante las Fuerzas y Cuerpos de Seguridad del Estado.

Si fuera necesario realizar un análisis forense para detectar donde se ha producido la brecha, podéis consultar las empresas y soluciones del Catálogo de ciberseguridad.

Comunica la brecha de datos

Si han tenido acceso a nuestro correo electrónico (o a los datos de algún cliente), se ha producido una brecha de seguridad (según el artículo 33 del RGPD) y puede que se hayan visto afectados datos personales. Si es así, el responsable del tratamiento de la empresa tiene que notificar el incidente antes de 72 horas a la Autoridad de control competente, la AEPD o similar en tu comunidad.

Para determinar qué ha pasado y detener el incidente tenemos que seguir estos pasos:

  • Revisaremos si existen reglas o filtros (Outlook o Gmail) no deseados configurados en nuestra cuenta de correo electrónico. Y también a nivel de servidor, si tenemos un servidor de correo propio. Así, obtendremos evidencias por si necesitamos utilizarlas para un juicio y después borraremos estas reglas o filtros. Si subcontratamos este servicio contactaremos con nuestro proveedor para realizar estas comprobaciones y las siguientes.
  • Examinaremos los usuarios de correo para localizar y desactivar los que se hayan creado recientemente y no estén controlados, en particular los que pertenezcan al grupo administrador. Revisaremos también los registros o logs de acceso a la cuenta afectada para detectar accesos ajenos o no controlados.
  • Analizaremos los sistemas de monitorización del servidor de correo, consultando las gráficas o los logs, del tráfico SMTP (protocolo de correo electrónico) saliente en nuestra red. Si este tráfico es muy elevado es probable que nuestro servidor haya sido comprometido.
  • Cambiaremos la contraseña por una robusta. Como medida adicional, se recomienda aplicar doble factor de autenticación.

Para evitar este tipo de incidentes recomendamos:

Cuidar de tu cuenta de correo electrónico corporativo

  • No utilizar el correo corporativo para registrarnos en webs con concursos, foros o servicios ajenos a la empresa.
  • No compartir la cuenta de correo con otros usuarios.
  • Ofuscar las direcciones de correos que publicamos en la web y en redes sociales, para que no puedan ser ‘crawleadas’ (extraídas de forma automática).
  • Evitar utilizar el correo electrónico desde conexiones públicas.

Configurar y actualizar

  • Revisar periódicamente la configuración del correo de la empresa.
  • Mantener las aplicaciones antimalware actualizadas y activar los filtros antispam.
  • Establecer y aplicar una política de uso de contraseñas. Cambiar la contraseña periódicamente, automatizando este proceso configurando la caducidad de la misma en nuestros sistemas.
  • Desactivar la ejecución de macros en ficheros Microsoft Office.

Estar alerta ante posibles fraudes

Utilizar herramientas y configurar protocolos para detectar fraudes, intrusiones y suplantación de nuestro dominio

  • Instalar y monitorizar el tráfico con herramientas IDS e IPS o UTM.
  • Seguir las recomendaciones de INCIBE-CERT para configurar la seguridad en el correo electrónico (parte I y parte II) y evitar suplantaciones. Se requieren conocimientos avanzados. Si tenemos nuestro servidor de correo lo haremos nosotros, si es externo debemos comprobar con nuestro proveedor si aplican estas protecciones.
  • Activar la verificación SPF o Sender Policy Framework: es un protocolo de autenticación de dominios que nos permite identificar los servidores de correo que pueden enviar mensajes en nombre de nuestro dominio (por ejemplo ‘pedro . com’).
  • Activar el protocolo DKIM o Domain Keys Identified Mail: permite mediante técnicas criptográficas (firma electrónica), que quien recibe nuestros mensajes de correo electrónico pueda comprobar que realmente proceden de nuestro dominio y que no han sufrido modificaciones durante la transmisión.
  • Activar el estándar DMARC o Domain-based Message Authentication, Reporting and Conformance: verifica, tanto SPF, como DKIM y nos permite además, como propietarios del dominio de correo dar indicaciones a los proveedores de correo electrónico (ISP), para actuar en caso de que se detecte un ataque de suplantación o de modificación de correos. De esta forma, aumenta nuestra capacidad de proteger nuestro dominio ante un uso no autorizado o una suplantación de identidad.

Tened siempre en cuenta que toda la información que necesitemos sobre prevención de ataques cibernéticos la podemos encontrar en el Instituto Nacional de Ciberseguridad (INCIBE).

Una de las principales formas de estafa a través del email se denomina, coloquialmente, como phishing.

Phishing más comunes. Presta atención para no ser “pescado”

A continuación, veremos una serie de modalidades de estos ataques de phishing, las cuales se encuentran muy presentes en la actualidad del cibercrimen:

1. Phishing fraude de la Agencia Estatal de Administración Tributaria (AEAT)

Durante el período de la declaración de la renta entre abril y junio, durante los meses previos y la temporada habilitada se puede apreciar un auge de esta modalidad de phishing. Se trata de una campaña de correos maliciosos que tratan de suplantar a la Agencia Tributaria, con el objetivo de obtener las credenciales de acceso del usuario a través de una página fraudulenta que suplanta a la legítima, o trata de infectar su dispositivo.

Existen variaciones en las cuales puede cambiar el cuerpo del correo o el asunto del mismo.

En esta línea, existe una modalidad de smishing, es decir, suplantación de identidad vía SMS, mediante la cual se notifica al usuario de que ha sido seleccionado para recibir una devolución de dinero.

Si el usuario abre el enlace adjunto en el mensaje de texto accederá a una página en la que deberá introducir su cuenta bancaria, con pin incluido. Esto hará que los ciberatacantes obtengan las credenciales de la víctima. Así pues, se recomienda prestar atención a esta posible modalidad.

Se recomienda sospechar de este tipo de inicio de sesión, dado que la Agencia Tributaria nunca empleará la modalidad de correo electrónico y contraseña. En caso de que el usuario los introduzca, estos quedarán en manos de los ciberdelicuentes.

2. Phishing Bussines Email Compromise.

El BEC o correo electrónico corporativo comprometido es una modalidad de phishing que sigue el esquema de la ilustración. Consiste en un fraude contra empresas que realizan transferencias digitales de dinero.

La causa de este engaño puede ser, o bien que la cuenta de correo del usuario de la empresa esté comprometida, o bien que sea la del proveedor. Sea como sea, uno de los dos interlocutores ha sufrido una intercepción ilegítima la cual ha afectado a ambas partes y solo ha beneficiado a un agente externo: el ciberdelincuente.

3. Phishing fraude del CEO

En esta modalidad de phishing se percibe que un empleado de alto rango con capacidad para realizar transferencias o acceder a los datos de las cuentas, recibe un correo de su supuesto superior, bien el CEO, presidente o director de la empresa. En dicho mensaje se le pedirá ayuda para realizar una operación financiera de carácter urgente y confidencial.

Si el usuario no detecta que se trata de una suplantación de identidad, podría responder al correo revelando datos de extrema sensibilidad.

Los ciberatacantes explotarán determinados factores para dotar de mayor credibilidad al engaño, tales como aprovechar periodos en los que el verdadero jefe esté ausente o no disponible por una reunión o viaje, acrecentando así la posibilidad de que la víctima no pueda verificar la autenticidad.

Se trata de un tipo de suplantación de identidad que emplea técnicas de ingeniería social, lo cual requerirá que los empleados estén bien concienciados para no picar en el engaño. Se le conoce como whalling, ya que es un tipo de phishing dirigido a peces gordos.

4. Phishing fraude de empresas de mensajería

La siguiente modalidad consiste en una campaña de correos fraudulentos que tratan de suplantar a empresas de mensajería. El ciberdelincuente emplea un correo señuelo el cual tiene como asunto «Re: su número de envío (x) está pendiente». En el cuerpo se informa al usuario de que su paquete no ha podido ser entregado por dirección incorrecta y se han de pagar los costos del envío.

A través de un cuerpo de correo similar al de la ilustración, se incitará al usuario a realizar el pago en cuestión, el cual consistirá en una cantidad poco significativa. Esto aumenta las posibilidades de que la víctima pique. Si esta hace clic en el enlace para pagar e introduce sus datos bancarios, estos serán sustraídos, dado que se trata de un enlace malicioso.

5. Phishing fraude de entidades bancarias

Se trata de una modalidad la cual consiste en una campaña de correos electrónicos fraudulentos que suplantan a entidades bancarias, cuyo objetivo es dirigir al usuario a una web fraudulenta con el objetivo de obtener sus credenciales de acceso e información bancaria.

En el ejemplo del banco BBVA, los ciberdelincuentes elaboran un correo con el asunto «Confirme sus datos», en cuyo cuerpo encontramos una solicitud aparentemente legítima en la cual se insta al usuario a actualizar sus datos de inicio de sesión.

Como se puede apreciar en la ilustración, los ciberdelincuentes emplean una dirección de remitente muy similar a la original, aumentando así las posibilidades de que la víctima no se fije.

Conclusiones: el phishing se crea, pero no se destruye, solo se transforma.

En base a lo desarrollado anteriormente, podemos afirmar que existen infinitas posibilidades para que los ciberdelincuentes lleven a cabo sus campañas de suplantación de identidad. Con el paso del tiempo estas se vuelven más sofisticadas y aumentan las posibilidades de caer en ellas.

Se puede observar que las argucias de los criminales se adaptan a las necesidades de los usuarios, es decir, dependiendo de la época del año, abundan unas modalidades de phishing u otras. Por tanto, se puede decir que los ciberdelincuentes se mimetizan con los acontecimientos temporales y sociales.

Los empleados deberán estar atentos a estos phishing más comunes para no elevar la cifra de usuarios afectados. Por su parte, a autónomos y empresas que trabajen mediante BYOD se les recomendará estar especialmente alerta. Trabajar con dispositivos personales aumenta exponencialmente el riesgo de sufrir brechas de seguridad en las empresas.

Se recomienda prestar atención a los emails recibidos para no ser víctimas de un ataque de tipo phishing. A continuación, se expone el siguiente checklist con una serie de pautas para prevenir de este tipo de ataques:

Recuerda que puedes contactar con el INCIBE a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Seguidamente paso a detallar información sobre VirusTotal, un sistema para analizar malware a través de la inteligencia artificial (IA).

El desarrollo de herramientas avanzadas con inteligencia artificial trae consigo una serie de riesgos que los ciberdelincuentes pueden usar para cometer delitos. Sin embargo, la IA también puede emplearse para evitar ciberataques como es el caso Virus Total, cuyo origen es español y que actualmente ha sido adquirida por Google.

VirusTotal es una herramienta multiplataforma que permite inspeccionar archivos o URL de páginas web, analizándolas con más de 70 escáneres antivirus y servicios de listas de bloqueo de dominios/URL.

¿Cómo utilizar VirusTotal?

VirusTotal es una herramienta online y totalmente gratuita, por lo que para hacer uso de ella simplemente debemos acceder al siguiente enlace desde nuestro navegador: https://www.virustotal.com. Lo primero que veremos será una página similar a la siguiente

:

Una vez que ingresamos en la web, esta nos ofrece tres pestañas diferentes en las que podemos introducir el fichero/archivo o enlace URL con el que queramos trabajar. Estas tres pestañas son “FILE”, “URL” y “SEARCH”. La elección dependerá del tipo de fichero/archivo o URL que se quiera utilizar.

Debemos escoger la pestaña “FILE” en los casos en los que queramos analizar ficheros/archivos o “URL” en los casos que queramos analizar un enlace web. Una vez seleccionadas una de estas pestañas, y adjuntado el archivo o URL, le damos a la tecla “Enter” de nuestro teclado.

Así pues, la página comenzará a escanear los mismos a través de los 70 antivirus diferentes que han sido diseñados para la identificación de posibles amenazas. Una vez escaneado, obtendremos el resultado del análisis comprobando la seguridad del archivo o de la URL.

En el caso de que haya sido detectado un posible peligro, VirusTotal nos mostrará cuál de los 70 servicios de antivirus que ofrece la plataforma lo ha detectado, como aparece en la siguiente foto:

En la pestaña “DETALLES” podremos observar datos sobre el archivo o URL como, por ejemplo, la fecha de creación del mismo, sus modificaciones, así como también información acerca del tipo de archivo o URL del que se trata.

En la pestaña “LINKS”, podremos observar qué relación existe con otros virus malignos o con otros archivos diferentes.

Por último, en la sección de resultados de “FILE” encontraremos la pestaña “COMUNIDAD”, la cual es una manera de colaborar entre usuarios para la detección de infecciones en archivos y URL. A través de ella, los usuarios registrados pueden dejar comentarios.

VirusTotal actualiza con frecuencia las firmas de malware, ya que las distribuyen las empresas de antivirus, lo que garantiza que el servicio utilice los conjuntos de firmas más recientes.

El escaneo de sitios web se realiza, en algunos casos, consultando bases de datos de proveedores que se han compartido con VirusTotal y almacenadas, y, en otro casos, mediante consultas API a la solución de una empresa antivirus. Así pues, tan pronto como un colaborador de VirusTotal incluye un archivo o URL en la lista negra, se refleja inmediatamente en los veredictos que enfrentas lo usuarios.

VirusTotal no solo nos informa si un antivirus detecta un archivo enviado como malicioso, sino que también muestra la etiqueta de detección de cada motor. Lo mismo ocurre para los escáneres de URL, pues la mayoría ditinguirán entre sitios de malware, phising, sospechos, etc.

No debemos olvidar que el Responsable del Tratamiento deberá aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuada al riesgo, por lo que el uso de herramientas con VirusTotal, entre otras, podrá ayudarnos a evitar que se produzca una brecha de seguridad y que se ponga en riesgo los derechos y libertades de los interesados.

Tened siempre en cuenta que toda la información que necesitemos sobre prevención de ataques cibernéticos la podemos encontrar en el Instituto Nacional de Ciberseguridad (INCIBE).

A continuación nos ocupamos de la práctica de suplantación de identidad a través del correo electrónico, conocida como email spoofing.

¿Qué es el spoofing?

El spoofing, término inglés que significa “falsificar”, es una técnica de suplantación de identidad que se utiliza para engañar a los destinatarios, haciéndose pasar por otra persona o entidad. Una de las modalidades más comunes para llevar a cabo el spoofing es a través del correo electrónico.

Cada día son enviados miles de correos electrónicos fraudulentos, los cuales muchos de ellos se interceptan por los filtros antispam, pero algunos logran entrar a las bandeja de entrada de nuestros correos electrónicos. Para identificar este tipo de ataques, existen varios elementos en los que podemos centrarnos, y uno de los más remendados es verificar el remitente del correo. Sin embargo, ya no es suficiente esta medida pues cada vez es más común que el correo del remitente haya sido suplantado mediante técnicas de spoofing.

¿Cómo funciona?

Lo primero que debemos tener en cuenta es que este tipo de ataques se puede presentar de las siguientes formas:

  • Usuarios que reciben correos de contacto conocidos y confían: aunque recibamos correos electrónicos de contactos conocidos, es importante que tengamos precaución pues los ciberdelincuentes pueden suplantar identidades y enviar correos maliciosos en su nombre. Lo recomendable es preguntar directamente a la persona en lugar de responder al email.
  • Usuarios que reciben correos fraudulentos que se envían en su propio nombre: en algunas ocasiones, los usuarios reciben correos que parecen ser enviados desde su propio correo electrónico.
  • Usuarios o empresas cuyas direcciones de correo electrónico son utilizadas en los ataques de spoofing: éstos son utilizados para engañar a los destinatarios, haciéndoles creer que un correo procede de una persona o entidad concreta cuando en realidad no es así. Ello podría acarrear a dichas personas o entidades daños en su reputación, privacidad o seguridad, ya que los mensajes fraudulentos parecen provenir de ellos y pueden acarrear acciones perjudiciales en su nombre.
  • Usuarios destinatarios o receptores de los correos electrónicos fraudulentos: estas personas o entidades pueden ser engañadas o manipuladas por los atacantes, quienes suplantan la identidad de otras de confianza, de tal manera que pueden ser inducidas a proporcionar información de carácter confidencial, como podrían ser contraseñas, números de cuentas o datos personales o, incluso, engañadas para realizar acciones como transferencias de dinero o descarga de archivos maliciosos en sus dispositivos.

El spoofing se caracteriza por reemplazar el correo electrónico original del atacante por el de la víctima, ya sea un usuario, entidad o servicio.

Esta suplantación se debe a que el protocolo de correo simple (SMTP), que es el principal protocolo utilizado en el envío de correos electrónicos, no incorpora mecanismos de autenticación. Quien tenga conocimientos en informática puede manipular las cabeceras del correo, modificando la información que recibimos, como es el correo del remitente. Por lo que el atacante puede enviarnos un mensaje suplantando a quien quiera.

¿Cómo saber si un correo procede realmente de quien aparenta ser?

Estar atento a los siguientes indicadores resulta importante para poder identificar posibles casos de correos spoofing y evitar caer en las trampas del ciberdelincuente:

- Verificar la autenticidad del remitente: revisar cuidadosamente la dirección de correo electrónico del remitente para poder detectar cualquier irregularidad o discrepancia en comparación con la información conocida y esperada.

- Revisar la cabecera del correo, para comprobar de quién procede realmente el correo electrónico:

• Gmail:

  1. Inicia sesión en tu cuenta de Gmail.
  2. Abre el correo en cuestión.
  3. Haz clic en los tres puntos verticales en la esquina superior derecha.
  4. Selecciona "Mostrar original" en el menú desplegable. Se mostrará el código fuente del correo con la cabecera completa, donde podrás buscar la línea "From:" (De:) para ver la dirección del remitente.

• Outlook:

  1. Abre el correo electrónico en Outlook.
  2. Haz clic con el botón derecho del ratón en el mensaje y selecciona "Opciones de mensaje".
  3. Busca el campo "Cabecera de Internet". La cabecera mostrará detalles sobre el origen del correo electrónico. Puedes copiar la información de la cabecera para analizarla o compartirla con expertos si tienes dudas sobre la autenticidad o seguridad del correo electrónico.

• Yahoo Mail:

  1. Inicia sesión en tu cuenta de Yahoo Mail.
  2. Abre el correo electrónico que quieres investigar.
  3. Haz clic en el icono "Más opciones" (tres puntos verticales) en la esquina superior derecha.
  4. Selecciona "Ver mensaje completo" o "Ver origen del mensaje".

De igual forma, es aconsejable:

  • Analizar el contenido del mensaje. Presta atención a cualquier solicitud urgente o inusual que implique la divulgación de información sensible o acciones rápidas y desconfía de los correos que generen un sentido de urgencia excesivo.
  • Examinar enlaces y adjuntos. No cliques en enlaces sospechosos sin antes verificar el origen y comprobar que sean seguros. Verifica la autenticidad del sitio web. Si te redirigen a una página web, comprueba su legitimidad observando la URL para ver si coincide con el sitio y busca señales de seguridad, como un candado en la barra de direcciones o el uso de “https” en lugar “http”.

¿Cómo protegerse de esta amenaza?

Aun aplicando diferentes medidas de seguridad, seguiremos recibiendo correos electrónicos malintencionados, por lo que deberemos tener en cuenta algunos puntos para no ser víctima de ataques y que se produzca una brecha de seguridad en el tratamiento y un riesgo para los derechos y libertades de los interesados:

  • Evita abrir archivos adjuntos de correos sospechosos.
  • Si el correo aplica mucha urgencia o peligro por una determinada situación, se debe ser extremadamente cuidadoso y visitar la web directamente desde el navegador, nunca a través del enlace proporcionado.
  • Tener instalado un antivirus actualizado y con las funciones relacionadas con el correo activas.
  • Mantener el software actualizado. Asegúrate que los sistemas operativos y programas de seguridad se encuentren actualizados, ya que las actualizaciones suelen incluir parches y soluciones a vulnerabilidades conocidas.
  • Bloquear usuarios de los que puedas sospechar. Si tras el filtro, el correo del atacante consigue entrar en nuestra bandeja de entrada, inclúyelo en la lista negra de nuestro cliente de correo al remitente.

Tened en cuenta que podéis usar la herramienta de VirusTotal para detectar enlaces y archivos maliciosos para garantizar un nivel de seguridad adecuado al tratamiento.

La herramienta Asesora Brecha tiene como objetivo ayudar a los responsables de tratamiento a decidir si deben notificar una brecha de datos personales a la AEPD mientras que Comunica-Brecha ayuda a los responsables en la toma de decisiones ante la obligación de comunicar una brecha de datos personales a los afectados.

Tras la última actualización de las dos herramientas, tanto los responsables como los delegados de protección de datos (DPDs) tienen la posibilidad de descargar un informe completo con las respuestas consignadas en la herramienta y el resultado obtenido.

De esta manera, podrán completar en el informe la información básica sobre el tratamiento afectado por la brecha y conservar el informe como parte de la documentación interna sobre la misma.

Además, el informe realizado a través de Comunica-Brecha incluye una plantilla para una posible comunicación a los afectados que los responsables del tratamiento podrán rellenar y utilizar para garantizar que la comunicación a los afectados cumple con la información mínima exigida en el art. 34 del Reglamento General de Protección de Datos.

Asesora Brecha

El RGPD establece la obligación que tienen los responsables que tratan datos de carácter personal de notificar a la autoridad de control competente la existencia de una brecha de datos, sin dilación indebida y en un plazo máximo de 72 horas desde que hayan tenido constancia de la misma, salvo que sea improbable que dicha brecha constituya un riesgo para los derechos y libertades de los interesados.

Esta herramienta asesora sobre lo siguiente:

  • quién tiene que notificar;
  • qué situaciones se corresponden con una brecha de datos personales y cuáles no;
  • cuál es el organismo competente (la AEPD como autoridad principal, autoridades autonómicas de protección de datos u otras autoridades de Estados Miembros de la U.E.);
  • y si esa brecha de datos personales debe ser notificada o no en función del riesgo mediante el formulario de notificaciones de brechas.

Esta herramienta está ordenada en secciones de tal forma que no sea necesario completar el formulario íntegro en todos los casos (obligación/responsabilidad; brecha; competencia, riesgo, confidencialidad, disponibilidad e integridad). Una vez finalizado, los datos aportados durante el proceso se eliminarán, por lo que la AEPD no podrá conocer la información aportada.

Comunica-Brecha

La AEPD dispone de esta herramienta para comunicar brechas de datos personales a los afectados. Tal y como nos indica el RGPD, todo aquel que sufra una brecha de datos personales deberá comunicárselo a los afectados cuando sea probable que suponga un alto riesgo para sus derechos y libertades.

El propósito de Comunica-Brecha es promover la transparencia y responsabilidad proactiva entre los responsables, de tal forma que los afectados por una brecha puedan conocer qué derechos y libertades pueden estar en riesgo y así poder tomar las medidas oportunas para salvaguardarlos.

Esta herramienta se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos que pueden ser indicativos del riesgo asociado a una brecha de datos personales. Al igual que Asesora Brecha, la AEPD no almacenará los datos consignados durante el proceso.

Una vez completado el formulario y en función de la información que haya sido facilitada, la herramienta ofrece como respuesta tres posibles escenarios: que se deba notificar la brecha de datos personales a los afectados al apreciarse un riesgo alto; que no será necesaria dicha comunicación o que no se puede determinar el nivel de riesgo.

En ningún caso el uso de esta herramienta sustituye la necesaria valoración del nivel del riesgo por parte del responsable, ya que es quien mejor conoce los detalles del tratamiento de datos personales que realiza, las características de los sujetos de datos, las circunstancias de la brecha de datos personales y el resto de los factores que permitirán obtener una valoración del riesgo acertada.

Por último, es muy importante tener en cuenta que en el caso de producirse cualquier incidente relacionado con la protección de los datos personales, por muy pequeño que sea, deberá ser comunicado al Delegado de Protección de Datos para poder determinar el alcance del mismo y dejarlo registrado.

A este respecto, la AEPD y el Ministerio de Consumo lanzaron una campaña con consejos para actuar ante una suplantación de identidad, que puede ser de mucha utilidad.

La Agencia Española de Protección de Datos (AEPD) y el Ministerio de Consumo han lanzado una campaña en redes sociales para difundir entre la ciudadanía qué pasos deben seguir si sufren una suplantación de identidad en estos servicios. Esta campaña coincide con la celebración del Día Internacional de la Protección de Datos, una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de protección de datos de los Estados miembros de la UE con el objetivo de impulsar entre los ciudadanos el conocimiento de sus derechos en materia de protección de datos.

En España, más de 27 millones de personas poseen perfil en redes sociales, según el último Estudio de redes sociales de IAB, en el que incluyen datos como su nombre, fotografías y otro tipo de información personal. Ello les permite estar en contacto con amigos y conocidos o contribuir a crear un perfil público profesional, si bien la información que se aporta de forma voluntaria en los diferentes servicios de Internet puede ser utilizada por terceros para suplantar la identidad.

La campaña detalla qué pasos se deben seguir para eliminar el perfil falso de la manera más rápida posible, para lo que es necesario contactar en primer lugar con la red social mediante los formularios habilitados a tal efecto. A continuación, se reproducen los enlaces de algunos de los servicios más populares:

Si la respuesta recibida por parte de la red social no es satisfactoria, la persona puede formular una reclamación ante la Agencia Española de Protección de Datos a través de la Sede electrónica, acompañando la documentación de haber contactado en primer lugar con la empresa.

¿Y si alguien publica contenidos sexuales o violentos de terceros?

El Canal Prioritario de la Agencia Española de Protección de Datos ofrece una vía rápida y gratuita para denunciar la publicación ilegítima en Internet de contenidos sensibles, sexuales o violentos. Por la especial gravedad de estas situaciones, no es necesario contactar primero con la web o la red social en la que están publicadas.

La solicitud de retirada de fotografías, vídeos o audios de contenido sexual o violento difundidos en Internet sin el consentimiento de la persona afectada puede realizarse a través de este enlace, mientras que en el caso de los menores de 18 años la Agencia ha habilitado una forma de contacto específica para denunciar la difusión de este tipo de contenidos.

La información completa sobre la campaña así como la habilitación de los enlaces comentados anteriormente la podéis encontrar en el siguiente enlace de la página web de la AEPD:

https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-ministerio-consumo-campanna-suplantacion-identidad

A continuación, listamos y describimos brevemente los tipos de conexiones más utilizados por los usuarios:

  • Wi-Fi: conexión inalámbrica que permite conectar tus dispositivos a Internet sin necesidad de cables.
  • Ethernet: conexión por cable que proporciona una conexión más estable y rápida generalmente que las redes Wi-Fi.
  • Bluetooth: tecnología inalámbrica de corto alcance (inferior a 10 metros) que permite la comunicación entre dispositivos como auriculares, altavoces, smartwatches o teclados, entre muchos otros.
  • NFC (Near Field Communication): permite la comunicación inalámbrica entre dispositivos que se encuentran a una distancia corta (inferior a 20 centímetros) y se utiliza comúnmente para transacciones sin contacto (contactless), como pagos móviles.
  • VPN: Una VPN (Red Privada Virtual) establece una conexión segura y cifrada entre tu dispositivo y una red privada en Internet. Es útil cuando deseas proteger tu privacidad y seguridad en línea, especialmente al conectarte a redes públicas o al acceder a información confidencial.

Riesgos de las conexiones no seguras

Es fundamental que seas consciente de los riesgos que implica utilizar conexiones no seguras. Te mostramos las principales amenazas a las que podrías exponerte al usar redes cuya configuración desconoces:

Robo de datos personales: los ciberdelincuentes, a través de conexiones inseguras, pueden interceptar y robar información personal como contraseñas, números de tarjetas de crédito o datos de identificación. Esto puede llevar al robo de identidad y al uso fraudulento de dichos datos.

Malware: del mismo modo, los ciberdelincuentes se aprovechan de conexiones no seguras para tratar de infectar dispositivos con malware. Estos programas maliciosos pueden dañar tus archivos, robar información o incluso tomar el control de tu dispositivo.

Suplantación de identidad: este ataque puede suceder cuando un ciberdelincuente intercepta la comunicación entre dos dispositivos, debido a una red insegura, lo que le podría permitir falsificar los mensajes que intercambias poniendo en riesgo la privacidad de tus comunicaciones.

Espionaje y vigilancia: finalmente, entre los riesgos comunes de las conexiones no seguras se encuentra el facilitar que terceros espíen tus actividades en línea. Esto puede comprometer tu privacidad y permitir que obtengan información sobre tus hábitos, preferencias o conversaciones privadas.

Uso de la red para actividades ilegales: el uso ilegal de una conexión a Internet por parte de un ciberdelincuente puede derivar en serios problemas legales para el propietario de la conexión si a través de ella se descarga o distribuye pornografía infantil. También si se descarga o distribuye contenido protegido con derechos de autor (películas, libros, música, software, etc.), compra o venta de drogas, armas, etc.

Configuración del router de casa

Es de suma importancia comprender cómo se configura adecuadamente un router para garantizar así un entorno de red seguro y fiable (Wi-Fi y Ethernet) y evitar así riesgos como que desconocidos se conecten a tu red, que intercepten tus comunicaciones, o exploten vulnerabilidades de tus dispositivos conectados a la Red.

A continuación, se mostrarán las configuraciones más importantes a tener en cuenta:

  • Cambia el nombre y la contraseña de la red Wi-Fi: El nombre predeterminado del router puede ser fácilmente identificado por los atacantes. Cambiar el nombre (SSID) y la contraseña de la red Wi-Fi es fundamental para evitar accesos no autorizados.Utiliza contraseñas fuertes que combinen letras, números y símbolos.
  • Actualiza el firmware del router: El firmware es el software interno del router. Los fabricantes de estos dispositivos lanzan actualizaciones para corregir vulnerabilidades e implementar mejoras de seguridad. Asegúrate de mantener el firmware actualizado. Si no sabes cómo se hace, haz una búsqueda en Internet por el modelo concreto del router. También puedes tratar de contactar con la operadora de Internet que te proporcionó el router para que te ayuden en este proceso.
  • Activa el cifrado de red: El cifrado de red protege la información transmitida a través de tu red evitando que los intrusos intercepten tus datos. Utiliza WPA3 siempre que esté disponible en tu router. En caso de que no sea así, configura WPA2. Si ninguno de los dos está disponible, valora cambiar de router.
  • Controla qué dispositivos se conectan a la red: Las direcciones MAC son identificadores únicos para cada dispositivo. Configura tu router para permitir únicamente las conexiones de dispositivos cuyas direcciones MAC hayas autorizado previamente. Esto restringe el acceso a tu red solo a los dispositivos confiables.
  • Desactiva la administración remota: Al desactivar la administración remota del router, evitas que los atacantes intenten acceder a la configuración de tu router desde Internet. Esto reduce la posibilidad de que modifiquen la configuración sin tu consentimiento a través de ataques a tus contraseñas.

Redes Wi-Fi públicas o abiertas

Se trata de conexiones, generalmente inalámbricas, disponibles en lugares como cafeterías, aeropuertos o centros comerciales. Son útiles, pero también pueden ser peligrosas. Suelen carecer de medidas suficientes de seguridad y cualquiera puede conectarse a ellas. Esto significa que tu información podría ser interceptada por personas malintencionadas.

Para protegerte al utilizar redes Wi-Fi de estas características, sigue estos consejos:

Utiliza una red privada virtual (VPN) para así forzar el cifrado de tu conexión y proteger tus datos.

Evita acceder a información confidencial, como contraseñas o información bancaria, mientras estés conectado a una red Wi-Fi pública.

Mantén tu dispositivo actualizado con las últimas actualizaciones de seguridad y utiliza un software antivirus confiable.

Desactiva la opción de compartir archivos o impresoras mientras estés conectado a una red pública.

Recuerda que es importante tomar precauciones al utilizar redes Wi-Fi públicas para proteger tu información personal y evitar ser víctima de ataques cibernéticos.

Qué hacer si te has conectado a una red Wi-Fi insegura

Estas son algunas pautas que pueden ser de utilidad:

  1. Desconéctate inmediatamente de la red.
  2. Elimínala de la lista de redes guardadas en tu dispositivo para evitar conexiones automáticas en el futuro.
  3. Desactiva la opción de conexión automática a una red Wi-Fi para evitar, accidentalmente, conexiones a redes inseguras en el futuro.
  4. Cambia todas las contraseñas que hayas podido utilizar mientras navegabas conectado a la red insegura, en especial, servicios bancarios y de correo electrónico.

Recomendaciones para conexiones a través de Bluetooth

Mantén desactivado el Bluetooth cuando no lo estés usando, de esta manera reduces la exposición del dispositivo a posibles ataques como, por ejemplo, ataques de emparejamiento de dispositivos sin tu conocimiento, ataques de escucha pasiva para espiar el tráfico de información transmitida, o incluso ataques de denegación de servicio enviando una gran cantidad de solicitudes de conexión a tu dispositivo, volviéndolo inestable de esta manera.

Utiliza códigos de acceso seguros. Cuando conectas dos dispositivos por primera vez, normalmente hay que introducir un código de emparejamiento para establecer la conexión segura. Es importante utilizar una combinación alfanumérica compleja, ya que los predeterminados o débiles como “0000” o “1234” son más vulnerables a posibles ataques, y te arriesgas a un emparejamiento no deseado.

Actualiza el firmware y el software en cualquier dispositivo con el que utilices la tecnología Bluetooth. Siempre es recomendable esta acción, ya que con las actualizaciones se suelen corregir vulnerabilidades de seguridad conocidas en los dispositivos.

Desactiva la visibilidad cuando no sea necesaria, así evitarás que otros dispositivos intenten conectarse sin tu permiso.

Evita los emparejamientos automáticos, desactiva esta función para prevenir que otros dispositivos desconocidos se conecten al tuyo sin tu permiso.

Elimina los dispositivos enlazados que ya no utilizas o te resultan desconocidos.

Android:

  • Accede a Ajustes.
  • Elige el apartado Dispositivos conectados.
  • Aparece un listado. Busca el dispositivo a eliminar, y pulsa sobre él.
  • Selecciona Olvidar.

iOS:

  • Accede a Ajustes.
  • Elige el apartado Bluetooth.
  • Aparece un listado. Busca el dispositivo a eliminar, y pulsa sobre el icono de i situado a su derecha.
  • Selecciona Omitir dispositivo.

MacOS:

  • Accede a Ajustes del sistema.
  • Selecciona Bluetooth.
  • Aparecerá un listado de dispositivos, selecciona el que deseas eliminar.
  • Haz clic en Eliminar.

Windows:

  • Accede al Menú Windows.
  • Escribe Configuración y selecciona dicha opción del menú.
  • Después, dirígete primero a Dispositivos y después a Bluetooth y dispositivos.
  • Aparecerá un listado de dispositivos, pulsa sobre los tres puntitos que aparecen en el elemento del listado que deseas borrar.
  • Selecciona Quitar dispositivo.
  • Conéctate a dispositivos de confianza: verifica sus reseñas de seguridad antes de conectar nuevos dispositivos, ya que estos estarán menos expuestos a posibles amenazas.
  • Bluetooth de baja energía (BLE): si tu dispositivo es compatible, utilizará automáticamente la versión Bluetooth de baja energía ya que tiene menores riesgos de seguridad en comparación con las versiones anteriores de Bluetooth y consume menos batería.

Recomendaciones para uso de tecnología NFC

  • Activa NFC solo cuando sea necesario, es aconsejable tenerlo desactivado para reducir el riesgo de posibles ataques como, por ejemplo, ataques de escucha pasiva o sniffing, en los cuales los atacantes utilizan dispositivos especializados en interceptar y registrar comunicaciones NFC en un área determinada, y aunque no se esté realizando ninguna acción, los datos transmitidos de NFC mientras está activo pueden ser capturados. Hay que tener en cuenta que incluso si no se está realizando ninguna acción, hay aplicaciones que pueden estar enviando información sin que seas consciente de ello y esta puede ser interceptada para intentar robar información sensible de tu dispositivo. Otro ataque al que puedes verte expuesto podría ser que los ciberdelincuentes intenten clonar alguna tarjeta de pago que utilice NFC y esto les permita realizar pagos de manera fraudulenta.
  • Evita acercar tu dispositivo a dispositivos desconocidos, de esta manera se reduce el riesgo de ser víctima de carding, es decir, de sufrir posibles transacciones no autorizadas o instalación de software malicioso.
  • Utiliza aplicaciones de confianza, asegúrate de descargar aplicaciones oficiales de Play Store o Apple Store, ya que, si instalas y usas aplicaciones de sitios no oficiales, corres el riesgo de que sean falsas y contengan malware diseñado para robar tu información personal y realizar pagos no autorizados.
  • Mantén tu dispositivo protegido con contraseña, PIN o mecanismos biométricos para evitar que puedan realizar transacciones con esta tecnología si te roban tu dispositivo.
  • Revisa tus transacciones con regularidad si usas esta tecnología para realizar pagos, para detectar posibles pagos no autorizados.
  • Actualiza tu dispositivo para protegerte con las ultimas correcciones de seguridad y mitigar posibles vulnerabilidades que pudieran aparecer con relación a NFC.
  • Evita leer o interactuar con dispositivos NFC desconocidos o en los que no confías.
  • El uso de carteras digitales seguras es recomendable para añadir una capa adicional de seguridad al realizar pagos a través de NFC, ya que puedes almacenar tus tarjetas en carteras digitales y hacer los pagos de manera segura a través de NFC. Esto es aplicable en dispositivos móviles y tablets, ya que puedes almacenar información bancaria en estos dispositivos y realizar pagos a través de tu dispositivo móvil utilizando NFC cómo si estuvieras utilizando una tarjeta física.

Red Privada Virtual (VPN)

Elige una herramienta VPN de confianza que tenga buena reputación y opiniones de usuarios.

Configura tu VPN para que se conecte automáticamente cuando inicies sesión en tu dispositivo o te conectes a una red Wi-Fi pública.

Utiliza el protocolo VPN adecuado, ya que puedes elegir entre varios protocolos de seguridad dependiendo de tus necesidades.

Si la seguridad es tu principal preocupación, es posible que desees optar por OpenVPN o IKEv2/IPsec.

Si necesitas una conexión rápida y estable, puedes optar por un protocolo que minimice la sobrecarga y el retardo, como IKEv2/IPsec o WireGuard.

En caso de necesitar mayor compatibilidad con diferentes dispositivos o sistemas operativos, IKEv2/IPsec es ampliamente compatible.

Conexión a servidores seguros. Hay algunos indicadores que nos pueden ayudar a elegir entre un servidor u otro. Ejemplos:

La reputación del proveedor: busca reseñas de usuarios expertos sobre su uso, verifica su política de registro, ya que no debería almacenar los registros de tu actividad en dicho servidor.

Ubicación del servidor, ya que hay países que tienen leyes de privacidad más estrictas que otros.

Presta especial atención a servidores gratuitos, ya que pueden ser operados por entidades maliciosas.

Actualiza el software VPN, para que se corrijan vulnerabilidades conocidas y mejorar la seguridad de la red.

Activación de kill switch. Esta opción es recomendable si la VPN la ofrece, así conseguirás que tu conexión a Internet se corte si tu conexión VPN se cae.

El Bluesnarfing es un tipo de ataque cibernético en el que los ciberdelincuentes acceden a dispositivos con Bluetooth de manera no autorizada para extraer información confidencial y personal.

El tipo de información que pueden extraer puede ir desde contactos, correos electrónicos, mensajes e, incluso, archivos; con el fin de utilizarlos posteriormente en actividades como phishing, spam, etc. Cualquier dispositivo con el Bluetooth activado y configurado en modo visible es vulnerable a este ataque, especialmente si el dispositivo no se encuentra actualizado o tiene configuraciones de seguridad inadecuadas.

¿Cómo se lleva a cabo el Bluesnarfing?

Ocurre cuando los ciberdelincuentes aprovechan vulnerabilidades en las conexiones Bluetooth con el fin de acceder de manera no autorizada a dispositivos cercanos que se encuentren también conectados vía Bluetooth. Ello acontece cuando dicha tecnología se encuentra activa y visible y, sobretodo, cuando no cuentan con las pertinentes actualizaciones de seguridad más recientes. Asimismo, los atacantes deben estar a poca distancia, ya que el alcance no suele superar los 15 metros generalmente.

Una de las claves que facilita este tipo de ataques es la existencia de debilidades en los protocolos de comunicación que utiliza el Bluetooth. Dichos protocolos, los cuales se encargan de permitir que los dispositivos puedan conectarse entre sí, podrían tener fallos en su diseño o implementación. Los ciberdelincuentes utilizan herramientas diseñadas específicamente para explotar este tipo de debilidades, logrando así acceder a información personal del dispositivo sin que el usuario lo detecte.

Este ataque es especialmente peligroso porque muchas personas utilizan el Bluetooth a diario para conectar dispositivos de manos libres, altavoces o articulares, y a menudo descuidan las medidas de seguridad necesarias. Lugares públicos como centros comerciales, aeropuertos o eventos concurridos, son entornos ideales para los ciberdelincuentes, ya que aprovechan la cercanía y las conexiones activas para llevar a cabo sus actividades maliciosas.

¿Cómo saber si has sido víctima de un ataque Bluesnarfing?

Detectar que un dispositivo ha sido afectado por este tipo de ataques puede ser tarea complicada, pues suelen realizarse de manera silenciosa, sin alertas inmediatas. No obstante, existen señales que podrían indicar que el dispositivo ha sido comprometido:

  • Comportamiento extraño del dispositivo: si el móvil se bloquea inesperadamente o las aplicaciones han enviado mensajes que no habéis escrito, es posible que hayan accedido sin vuestro permiso.
  • Consumo elevado de batería: un incremento repentino en el consumo de la batería, sin estar utilizando funciones exigentes o aplicaciones activas, puede indicar que hay procesos sospechosos ejecutándose en segundo plano.
  • Conexión desconocida en el historial: revisad el historial de dispositivos conectados a través del Bluetooth. Si aparece algún dispositivo que no reconocéis ni recordáis haber autorizado, podría ser signo de Bluesnarfing.
  • Actividad sospechosa en las cuentas: si detectáis inicios de sesión no reconocidos, compras no autorizadas o movimientos sospechosos en cuentas bancarias, podría ser consecuencia de la extracción de datos a través de esta técnica.

Consecuencias del Bluesnarfing.

Estos ataques pueden generar graves problemas de privacidad y seguridad para los usuarios, ya que permite a los ciberdelincuentes acceder y utilizar datos personales con fines maliciosos. Las principales consecuencias son las siguientes:

  • Robo de información personal: pueden acceder a datos como contactos, mensajes, fotografías, correos electrónicos o credenciales bancarias que se encuentren almacenadas en el dispositivo. Esta información puede ser utilizada para cometer fraudes, chantajes, extorsiones o, incluso, para dirigir ataques a personas cercanas a las víctimas.
  • Fraudes financieros: con las claves o números de cuenta, los atacantes pueden realizar transacciones no autorizadas.
  • Riesgos para la privacidad: fotografías, documentos o información confidencial pueden ser publicadas, utilizadas como medio de chantaje o vendidas en la deepweb.
  • Propagación mediante otros ataques: el acceso a la lista de contactos les permite enviar mensajes de smishing o phishing a otras personas. Esto no solo multiplica los daños, sino que expone a más usuarios al riesgo de ciberataques.

¿Cómo podemos proteger nuestros dispositivos?

Podemos evitar este tipo de ataques con hábitos de seguridad simples pero efectivos:

  • Desactivad el Bluetooth cuando no lo estéis usando: mantenerlo apagado si no se va usar es la manera más sencilla de evitar que los dispositivos sean detectados. Activadlo solo cuando sea necesario.
  • Evitad el modo visible: si el dispositivo lo permite, configurad el Bluetooth para que no sea visible para otros dispositivos cercanos. De tal manera se reduce significativamente el riesgo de ser objeto de ataque.
  • Evitad conexiones desconocidas o automáticas: no aceptéis solicitudes de emparejamiento Bluetooth de dispositivos que no reconozcáis. Además, configurad el dispositivo para que requiera de autorización antes de conectarse automáticamente a otro.
  • Cambiad la contraseña predeterminada del Bluetooth: si el dispositivo permite usar una contraseña, cambiadla por una clave única, larga y segura. Las predeterminadas son fáciles de adivinar por los atacantes.
  • Eliminad los dispositivos enlazados que ya no utilicéis: revisad periódicamente la lista de dispositivos emparejados y eliminad aquellos que no reconozcáis o que ya no utilicéis.

En caso de que tengáis algún problema relacionado con esta temática o cualquier aspecto de ciberseguridad, no dudéis en poneros en contacto con la Línea de Ayuda en Ciberseguridad de INCIBE. Podéis comunicaros de forma gratuita llamando al número 017, o a través de las plataformas de mensajería instantánea, como WhatsApp (900 116 117) y Telegram (@INCIBE017).

El dropper es un tipo de malware que se caracteriza por contener un archivo ejecutable, como puede ser un .exe, .msi, .docm, etc. En ocasiones, únicamente está compuesto por un código inofensivo a simple vista que se activará cuando reciba la orden para descargar el malware que se encargará de infectar la máquina.

El principal propósito de los droppers es instalar otro malware en el equipo aprovechándose de las vulnerabilidades que pueda tener ese equipo, como por ejemplo, que se encuentre desactualizado o que use software que no ha sido parcheado. Los dropper también pueden llegar a realizar modificaciones en la configuración del equipo necesarias para instalar el malware que pasan desapercibidas para el software de protección.

Los dropper suelen ocultarse bajo un archivo comprimido aparentando ser un archivo inofensivo, como una imagen o un documento pdf. También puede suceder que se descargue en la máquina al visitar una página web infectada previamente, inyectando código malicioso.

Una vez se ejecuta el dropper en el equipo de la víctima, este se realizará en segundo plano y sin que el usuario se dé cuenta de todas las acciones maliciosas para las que esté diseñado. Una vez ha finalizado, se desinstala automáticamente eliminando cualquier rastro que haya podido dejar durante su ejecución en el equipo infectado.

Fuentes de infección

Los malware de tipo dropper se aprovechan de una serie de vulnerabilidades presentes en los equipos, así como de los despistes cometidos por los usuarios para infectar el equipo de la víctima. Entre estas fuentes destacan las siguientes:

  • Cuando la víctima visita una página web infectada por los ciberdelincuentes con contenido malicioso embebido o clica sobre un supuesto vídeo que, en realidad, descarga el malware en el equipo.
  • Al clicar en un enlace que simula ser legítimo, y que redirige al usuario afectado hacia contenido malicioso.
  • A clicar sobre una notificación o mensaje de advertencia falso que aparece en el sistema, y que en realidad sirve para descargar el dropper en el equipo.
  • Al abrir adjuntos de correos maliciosos que pueden contener malware de este tipo.
  • Al usar memorias USB u otro tipo de dispositivos que el empleado haya encontrado abandonados o que se encuentren infectados con malware.
  • Al descargar software desde mercados de aplicaciones no oficiales, es decir, que no han pasado los test de seguridad de las empresas responsables de dichos mercados, como Play Protect de Google o desde páginas web no oficiales.

Tipos

No todos los dropper se comportan de la misma manera, por ello aumenta la dificultad para detectarlos. Pueden ser de dos tipos:

  • Persistentes: se caracteriza por realizar modificaciones en el registro del equipo infectado. Hasta que no se detecten y eliminen las modificaciones provocadas en el registro, el malware se seguirá autodescargando en el equipo.
  • No persistentes: son los más numerosos de este tipo de malware. Si bien es menos dañina que la anterior, se caracteriza por su autoeliminación cuando ha realizado su objetivo.

Buenas prácticas para combatirlo.

Para evitar esta amenaza para la seguridad del equipo y poder así mitigar sus posibles riesgos, hay que seguir una serie de buenas prácticas que nos ayudarán a evitar ser víctima de este malware:

  • Mantener actualizados tanto el software instalado como el sistema operativo a la última versión disponible.
  • Establecer listas negras de acceso a internet para evitar que los empleados visiten páginas webs de dudosa fiabilidad.
  • No abrir archivos adjuntos de remitentes desconocidos sin haberlos escaneado previamente con un antivirus.
  • Realizar copias de seguridad de forma periódica.
  • Seguir una política de buenas prácticas, como pueden ser: actualizaciones automática de software, registro de actividades, configuración proactiva del software de protección (configuración del cortafuegos, realización de escaneos automáticos), etc.
  • Realizar labores de formación y concienciación entre los empleados para evitar que pongan en riesgo la ciberseguridad de la empresa.

Una lista negra o “blacklist” es un grupo de páginas web o direcciones de correo que han sido denunciadas previamente por tener un comportamiento fraudulento o por el envío de correo electrónico considerado como publicidad no deseada. Esto significa que usuarios que no han solicitado estos correos electrónicos anteriormente los han recibido en su bandeja y los han reportado como spam.

En el caso de las páginas web, el motivo por el cual pueden haber entrado en una lista negra puede ser, bien porque hayan mostrado contenido no deseado, o bien porque el dominio desde el cual realizan la comunicación con el servidor sea el mismo que el de otras webs fraudulentas.

Estas listas nacen con el objetivo de conseguir un Internet más “aseado" y exento de prácticas molestas y abusos hacia los navegantes. Su finalidad es establecer un filtro de seguridad para evitar poner en peligro de infecciones la integridad de los dispositivos y mejorar la experiencia de los usuarios.

Las listas negras, cumplen la función de cribar el contenido de los emails, castigando a los usuarios que los emplean para llevar a cabo prácticas ilegítimas. Este cribado, en la práctica puede resultar a veces contraproducente, ya que sus métodos no son infalibles. Es muy común que una web o dirección de correo legítima se vea perjudicada por estas “blacklists”, cuya función es justo la contraria.

A menudo, no se realiza una buena planificación de las estrategias de envío de correos y se puede incurrir en acciones susceptibles de ser consideradas motivo de inclusión en una lista negra.

Malas prácticas, como el envío masivo de emails, aunque no tengan mala intención, pueden ser castigadas por los destinatarios reportando perjuicios fatales. Algunos ejemplos de estos son:

  • Disminución del efecto de las campañas de email marketing. Si una web se incluye en una lista negra verá mermados los efectos de sus campañas dado que muchos de los correos electrónicos que se envíen jamás llegarán al destinatario, lo harán en la bandeja de correo no deseado.
  • Consecuencias directas en el posicionamiento SEO. El hecho de que una web esté en una de estas listas afectará directamente a la manera en que se indexa en los motores de búsqueda. Sus resultados pueden descender a las últimas posiciones de los buscadores a causa de formar parte de una lista de empresas «maliciosas».
  • Pérdida de capacidades en el envío de emails. Una lista negra vetará automáticamente todos los correos que contengan archivos con extensiones que son susceptibles de ser contenido malicioso.

¿Cómo ha llegado nuestra web o email a una lista negra?

Esta pregunta tiene múltiples respuestas, algunas de ellas pueden ser:

  • En la mayoría de los casos esto se produce a causa de que los contactos a los que se ha enviado el correo lo han clasificado como spam. Prácticas como la compra de listas de contactos aumentan enormemente la posibilidad de que los emails de una empresa lleguen a usuarios que no están realmente interesados y lo reporten como correo no deseado.
  • Otra causa bastante común es que la empresa haya sido víctima de un ataque de phishing. Si un ciberdelincuente suplanta la identidad de una empresa y con ello accede al control del email, puede perfectamente orquestar una campaña en su beneficio que desemboque en la inclusión del dominio o dirección de correo en una lista negra.
  • Existe la posibilidad de que un ISP (Internet Service Provider) o región forme parte de la lista negra. El ISP es el proveedor de acceso a Internet, es decir, la compañía que se contrata para conseguir el acceso a la red a través del router. Además, este también puede ser la fuente del problema en la medida en que pueda estar infectado de malware o que cuente con una configuración inadecuada.

Si se dan prácticas como las anteriormente mencionadas, el correo de la empresa podría entrar en una “blacklist”.

¿Cómo podemos salir de ella?

Afortunadamente, al igual que se entra en una lista negra se puede salir de ella. El primer paso será confirmar que la empresa forma parte de una. Existen múltiples páginas web en las que, introduciendo el dominio o dirección IP se realiza un escaneo de las bases de datos de las listas negras y se da respuesta a si la dirección introducida pertenece o no a alguna de ellas. De igual manera sucede con las direcciones de correo electrónico.

- Incidencias en Correo Electrónico:

  1. Comprobar si el proveedor de Internet emplea un protocolo seguro para la comunicación con el cliente de correo.
  2. Asegurar que la contraseña de la cuenta de correo cumple los estándares de seguridad, dotándola de complejidad y robustez.
  3. Si no se emplea un servidor de correo propio o de empresa se recomienda aplicar mecanismos de seguridad en el que se esté empleando.
  4. Revisar la configuración DNS, corrigiendo anomalías en caso de detectarse alguna.
  5. Contactar con el proveedor de Internet (ISP) por si este hubiera bloqueado el servicio de correo por una posible detección de spam.
  6. Averiguar si la cuenta de correo electrónico ha sido víctima de algún tipo de vulnerabilidad. Para ello se puede emplear la siguiente web gratuita: https://haveibeenpwned.com/
  7. Por otro lado, se recomienda analizar los equipos y así poder saber si han sido infectados con malware.

Incidencias en Página Web:

  1. Notificar al proveedor de servicios de alojamiento (hosting) que la web ha sido comprometida.
  2. Documentar la fecha en que se modificaron o crearon los ficheros anómalos de manera previa a eliminarlos o restaurar la configuración original de la web.
  3. Se recomienda realizar una copia de seguridad de la página web fraudulenta por si se diera alguna reclamación de algún tipo.
  4. Al igual que en el caso de las direcciones de correo, se recomienda revisar la configuración DNS, corrigiendo anomalías en caso de detectarse alguna.
  5. Revisar los registros del servidor y de los servicios de subida de ficheros en busca de movimientos fuera de lo normal.

En ambos casos será recomendable ponerse en contacto con los servicios de listas negras en los que se encuentre la página web o dirección de correo solicitando la eliminación de la IP del servidor de listas negras. También se deberá informar cuando el problema haya sido resuelto.

Por otro lado, si se puede asegurar que el problema es ocasionado por el proveedor de Internet (ISP), se debe realizar el trámite a través del formulario correspondiente. Existe uno para Gmail, otro para Hotmail, otro para Yahoo, etc.

Estos incidentes deben ser denunciados ante las Fuerzas y Cuerpos de Seguridad del Estado para que se investigue el origen del delito y así contribuir a la lucha contra la ciberdelincuencia.

En caso de no que haya logrado resolver su problema con nuestras indicaciones (por vía telefónica o email), recomendamos contactar con el equipo de INCIBE-CERT. Adjuntando la dirección IP y dominio afectado, así como alguno de los mensajes que han sido rechazados o el motivo por el que han detectado el problema. Uno de nuestros especialistas analizará el caso y le dará respuesta en la mayor brevedad posible.

Buenas prácticas: siempre es mejor prevenir que curar.

Con todo lo descrito anteriormente, una buena manera de asegurar que un sitio web o dirección de correo electrónico no caiga en una de estas listas negras será seguir una serie de buenas prácticas que reduzcan al mínimo las posibilidades de ser afectados por esta problemática:

  1. Emplear el doble opt-in en los procesos de registro. Con esto se logrará asegurar que las direcciones de correo son reales y que las nuevas que se van añadiendo también lo son.
  2. Evitar el uso de acortadores de enlaces. El empleo de estos puede ser beneficios para reducir el tamaño de la URL largas, pero pueden ser material susceptible de ser perjudicial para un ISP.
  3. Vigilar el uso de las mayúsculas. Se trata de una práctica muy castigada, por tanto, no se recomienda redactar correos íntegra o parcialmente en mayúsculas.
  4. Elaborar contenidos variados. Si se emplean las mismas expresiones constantemente, se incurrirá en una mala práctica que será susceptible de ser considerada obra de un robot de spam.
  5. Emplear direcciones de email con dominio propio. Los proveedores genéricos como Gmail y Hotmail no están bien vistos por ISP. Así pues, se recomienda el empleo de direcciones de dominio propio para mejorar la credibilidad de los emails.
  6. Realizar revisiones periódicas. Se recomienda encarecidamente llevar a cabo análisis periódicos de los dominios y direcciones IP para comprobar que no pierden credibilidad de un día para otro.
  7. Llevar a cabo un control de las cancelaciones de suscripción. Es importante mantener actualizada una lista de contactos, dando de baja las direcciones que así lo han solicitado y respondiendo a los patrones que se observen.
  8. Identificarse ante los contactos empleando siempre datos de contacto. Se debe evitar el uso de direcciones de correo del tipo “no-responder” / “no-reply” y establecer como remitente algún término que identifique a la empresa. Todo ello con el objetivo de mejorar la confianza con los contactos de la red corporativa.
  9. Mantener actualizados los conocimientos acerca de las tendencias del spam. La manera en que trabajan los ISP se encuentra en constante actualización y perfeccionamiento. Así pues, será muy útil para la prevención estar al día en este ámbito.
  10. Realizar una buena gestión de los archivos adjuntos. La mayoría de los ataques phishing llegan a los usuarios por esta vía. Se recomienda evitar el uso de archivos adjuntos, creando, por ejemplo, una página destino en una web en lugar de emplear un PDF para hacer llegar una información concreta.
  11. Solicitar a los usuarios que agreguen la dirección de email. Si se consigue que los destinatarios agreguen al remitente se reportará un claro beneficio ya que los ISP verán ese remitente como un contacto personal del destinatario. Con ello se logrará registrar la dirección web o IP en las listas de permitidos, también llamados “enallowlists”, que son el concepto contrario a las “blacklist”.

Hoy en día la seguridad de la información se ha convertido en una cuestión clave para las empresas. La gran cantidad de datos que se tratan en el día a día, junto al crecimiento de la ciberdelincuencia, ponen en riesgo constante la información que se maneja en las organizaciones y, por consiguiente, la integridad de estas.

Ante esta situación, las empresas han tomado medidas de seguridad para proteger uno de sus principales activos de las amenazas externas pero, ¿qué ocurre cuando el peligro nace dentro de la organización?

Se conoce como insider a una persona con acceso legítimo a la información de una empresa que utiliza este privilegio indebidamente, poniendo en riesgo la seguridad de la organización. Puede tratarse de un empleado, exempleado, proveedor o cualquier otra persona que tenga acceso a la información o sistemas empresariales.

Los insiders pueden suponer un gran peligro para las empresas ya que, dada la confianza que depositan en ellos las organizaciones, pueden causar grandes daños. Una fuga de información no solo puede implicar consecuencias económicas para las empresas, sino que también puede afectar gravemente a la reputación de las mismas, haciéndoles perder la confianza de los clientes e, incluso, tener repercusiones legales.

¿Puede haber insiders en mi empresa que no saben que lo son?

Aunque la figura del insider nos hace pensar en un agente malintencionado, lo cierto es que no siempre actúan de manera consciente. Por este motivo, podemos definir dos tipos de insiders: maliciosos y negligentes.

  • Los maliciosos son aquellos que, deliberadamente, intentan causar algún daño a la organización aprovechando sus privilegios. Las motivaciones pueden ser diferentes, bien pueden actuar para obtener algún beneficio propio, normalmente económico, pero también puede tratarse de personal descontento que lo haga con la finalidad de vengarse por algún motivo, por ejemplo, un despido, o simplemente para crear un problema o conflicto en la empresa.
  • Los negligentes, sin embargo, no son conscientes del daño que están causando. Su intención no es poner en riesgo la información de la empresa pero, ya sea por errores, despistes o desinformación, cometen actos imprudentes que pueden llevar a una situación peligrosa. Anotar las contraseñas a la vista de otras personas, descargar información confidencial en dispositivos personales o acceder a enlaces maliciosos son algunas de las malas prácticas que muchos empleados cometen y ponen en riesgo la seguridad de la organización.

Asimismo, en ocasiones, los insiders pueden ser coaccionados por agentes externos que les obliguen a realizar conductas maliciosas a través del chantaje o la extorsión.

¿Cómo actuar? Detección, prevención y respuesta ante los insiders.

Si bien puede resultar complicado adelantarse a las intenciones de aquellas personas con las que trabajamos, existe una serie de medidas que pueden ayudar a reducir el riesgo de producirse una fuga de información desde dentro de la empresa.

  • Concienciación y formación de todos los empleados. Tal y como hemos mencionado con anterioridad, algunos de los insiders de las empresas no son conscientes de que lo son. Y es que el desconocimiento es una de las principales vulnerabilidades de las organizaciones. Es imprescindible formar a los empleados para que puedan comprender la importancia de la seguridad de la información, para así prevenir las posibles amenazas.
  • Implantar políticas y procedimientos de seguridad claros para todos los empleados, como son políticas de contraseñas seguras, respuesta ante incidentes, gestión de accesos, etc.
  • El monitoreo y registro de actividades de los empleados puede ayudar en la detección de posibles amenazas debidas a insiders y, en caso de incidente, trazar el recorrido de la información que se ha visto comprometida.
  • Restringir los accesos es de suma importancia para la seguridad de la información. Cada empleado debe tener acceso exclusivamente a la información que necesita para desarrollar su trabajo. Ninguna otra más. Adoptar un modelo Zero Trust puede evitar muchas filtraciones indeseadas.
  • Controlar el acceso físico de las personas a los edificios, zonas restringidas y dispositivos de nuestra organización puede evitar que personas no autorizadas se hagan con información sensible.

En definitiva, los ciberdelincuentes no siempre actúan desde un sótano oscuro, como podemos pensar, pueden estar donde menos lo esperas. Debemos observar a nuestro alrededor, ya que cualquiera puede ser un insider. Incluso nosotros mismos, sin darnos cuenta, podemos estar poniendo en riesgo la seguridad de la información de la empresa.

No debemos de olvidar que los empleados son un pilar fundamental en toda empresa y debemos depositar en ellos la confianza que se merecen, pero es importante tener en cuenta que esas situaciones pueden ocurrir y lo mejor es prevenirlas. Unos empleados educados y concienciados en materia de ciberseguridad entenderán que es necesario tomar estas medidas y harán lo posible para que se cumpla los requisitos de seguridad de la organización.

A finales de la primera década de los 2000, cuando los ordenadores e Internet empezaban a formar parte de nuestro día a día, un grupo de ciberdelincuentes consiguió inyectar malware en DoubleClick, la red publicitaria de Google.

Si bien la publicidad maliciosa en Internet existía desde hacía tiempo, este ciberataque distribuyó malware a través de anuncios que se encontraban en páginas web de alto tráfico, infectando a una cantidad importante de usuarios. Fue así como el malvertising, o publicidad maliciosa, empezó a desarrollarse, siendo cada vez más sofisticado y convirtiéndose, también hoy en día, en una amenaza para usuarios y empresas.

El malvertising es la técnica mediante por la que los ciberdelincuentes inyectan malware en los anuncios publicitarios de la Red. Este tipo de anuncios maliciosos están hechos de tal manera que inciten a la víctima a clicar en ellos. En el caso de clicar en ellos, estos descargan malware automáticamente en el dispositivo o redirigen al usuario a una página web maliciosa.

¿Qué formas de malvertising podemos encontrar?

Aunque la finalidad de este tipo de ataques es la misma, existen diferentes tipos de publicidad maliciosa en la Red.

Los más comunes son los anuncios, por ejemplo, con forma de banner, que descargan automáticamente el malware en el dispositivo al clicar sobre ellos, sin el consentimiento del usuario. Una vez descargado, el ciberdelincuente podría realizar diferentes acciones maliciosas en el dispositivo de la víctima. Otros están configurados de forma que redirigen al usuario a otra página web, también de contenido malicioso. De esta manera, se intentará engañar a la víctima para que descargue software malicioso.

En cualquier caso, esta situación es peligrosa, pero más aún cuando se trata de dispositivos de empresa. La descarga de un malware puede llegar a comprometer la información confidencial del negocio, incluso llegando a exigir rescates económicos por ella (ransomware).

Los contenidos del anuncio pueden variar pero, normalmente, los ciberdelincuentes hacen uso de la ingeniería social para atraer a sus víctimas: descuentos u oportunidades, a través de un formato llamativo, que luego resultan no ser reales.

Asimismo, son también frecuentes los anuncios que informan sobre actualizaciones u otros avisos de seguridad y que, si bien pueden parecer legítimos, también contienen malware.

En cualquiera de estos casos, los ciberdelincuentes utilizan un señuelo para perpetuar su ataque, es decir, necesitan que la víctima interactúe, aunque no siempre hace falta clicar para caer en la trampa. Los ataques Drive by Download funcionan de manera que resultan prácticamente imperceptibles para el usuario. Simplemente accediendo a la web donde está alojado el anuncio malicioso, los ciberdelincuentes podrían aprovechar vulnerabilidades en el navegador o el dispositivo para hacerse con el control del equipo de la víctima.

¿Cómo puede afectar el malvertising a mi organización?

La publicidad maliciosa va dirigida a cualquier usuario que puede ser víctima de ella. Afecta también a las empresas, cuyos empleados navegan a menudo por Internet a través de los dispositivos de esta. La descarga de malware en los equipos corporativos puede suponer un gran riesgo, pero no es la única forma en la que el malvertising puede afectar a una organización.

Además del papel de víctima, una empresa podría adoptar, sin saberlo, el de canal de ataque. Los ciberdelincuentes suelen utilizar la popularidad de empresas confiables para alojar la publicidad maliciosa en sus páginas web, y así atraer a más posibles víctimas.

También, a través de la ingeniería social, consiguen hacerse pasar por marcas conocidas y hacer un mal uso de ellas para perpetuar su ataque. En cualquier caso, formar parte de la cadena de este ataque puede significar para la organización pérdidas económicas, de clientes e inversores, e incluso llegar a incurrir en responsabilidades legales.

Pero si esta técnica es cada vez más sofisticada, ¿cómo podemos distinguir la publicidad maliciosa de la publicidad real?

Para evitar caer en el malvertising es esencial que todo el personal de la empresa esté concienciado y siga unas pautas básicas para poder diferenciar dicha práctica de la publicidad real.

En general, se puede evitar caer en la publicidad maliciosa aplicando el sentido común. Los anuncios legítimos suelen provenir de una empresa legítima, es decir, una empresa conocida. Si no se puede identificar la fuente, lo más probable es que se trate de publicidad maliciosa.

También es importante analizar el lenguaje y la forma del anuncio. En el malvertising, se suelen utilizar mensajes llamativos o alarmistas, pretendiendo atraer la atención de la víctima. Es importante recordar que si es demasiado bueno para ser verdad, lo mejor será evitarlo.

Los ciberdelincuentes suelen recurrir al uso del pop-up o ventanas emergentes para llamar la atención de los usuarios hacia la publicidad maliciosa. Por lo general, es mejor cerrar directamente este tipo de anuncios y evitar clicar en ellos.

Por último, es importante comprobar la URL de la página web de destino. Los anuncios reales contarán con una URL sencilla, fácilmente identificable respecto al sitio web fiable. Si la dirección web resulta sospechosa, es preferible evitarla.

¿Qué medidas de protección podemos tomar para evitar ser víctimas de malvertising?

Es de suma importancia tener en cuenta una serie de buenas prácticas para evitar que los equipos de nuestra empresa se vean afectados por la publicidad maliciosa, poniendo así en riesgo la seguridad de la organización.

  • Verificar siempre la legitimidad de los sitios web que se visitan. Antes de acceder a cualquier sitio web es imprescindible asegurarse de que se trata de una página legítima. Si bien estas también pueden contener publicidad maliciosa, las menos seguras son más propensas a estar infectadas.
  • Mantener el software actualizado a la última versión. Todas las vulnerabilidades de un software desactualizado constituyen una puerta abierta a los ciberdelincuentes.
  • Utilizar medidas de protección adecuadas. Además del antivirus y el cortafuegos, existen bloqueadores de anuncios en los navegadores que pueden filtrar, en gran medida, la publicidad maliciosa.
  • No revelar nunca información personal a través de anuncios. Aunque pueda parecer que provienen de una página web fiable, podría tratarse de un engaño.
  • Concienciar a todos los empleados y formarlos para que aprendan a distinguir entre la publicidad real y maliciosa.

Además, las empresas, cuya actividad está presente en la Red, deben preocuparse de que su página web no presente publicidad maliciosa. Si un usuario fuese víctima de malvertising a través de un anuncio alojado en la página web de una empresa, la reputación y credibilidad de la misma se vería gravemente afectada, pudiendo llegar a perder la confianza de los clientes.

Los dispositivos de almacenamiento extraíble, como memorias USB, discos duros portátiles o tarjetas de memoria, se han convertido en un complemento más de nuestro día a día, casi tan imprescindibles como un ordenador o teléfono móvil, pero a la vez tan pequeños y discretos que no les prestamos el nivel de atención y seguridad necesarios. ¿Cuántas veces hemos escuchado pedir un USB o disco duro para poder compartir un archivo, ese último informe o toda una recopilación de materiales para un compañero que acaba de incorporarse al proyecto?

Este tipo de prácticas pueden tener consecuencias indeseadas si no se toman las medidas de seguridad adecuadas como, por ejemplo, infectar la red corporativa con algún tipo de malware. Esta infección podría ser no intencionada al compartir un USB entre compañeros sin saber que contiene un archivo malicioso o formar parte de un ataque deliberado contra la empresa como en el caso de regalos que se conectan a la red o warshipping. Por este motivo, aquellos dispositivos extraíbles que sean de tipo promocional o no estemos seguros de las manos por las que han pasado con anterioridad, no deberemos usarlos en el ámbito laboral bajo ningún concepto y mucho menos estrenarlos en un equipo corporativo.

Cada organización debe disponer de una política de uso de dispositivos de almacenamiento externo, conocida por todos los empleados, que indique entre otras cuestiones si su uso está o no permitido, y en caso de que esté permitido, qué tipo de información puede o no almacenarse en ellos.

Los riesgos principales del uso de estos dispositivos van desde el extravío, el acceso a la información contenida por personas no autorizadas o la infección por malware. A continuación mostramos una serie de medidas para evitar posibles incidentes de seguridad:

  • Si vamos a almacenar información sensible o confidencial en un dispositivo externo, debemos utilizar siempre discos duros y USB corporativos debidamente protegidos y con las medidas de seguridad adecuadas, según lo establecido en la política de uso de dispositivos de almacenamiento externo, cifrando la información, almacenándolos en lugares seguros e informando al departamento informático de cualquier incidente que pueda ocurrir, como puede ser el robo o pérdida del dispositivo.
  • Debemos tener especial cuidado con la información altamente sensible que manejamos en nuestra organización y añadir medidas de seguridad adicionales para evitar que esta información pueda ser sustraída o robada, bloqueando los puertos USB en los equipos que contengan este tipo de información.
  • Si utilizamos un dispositivo personal para almacenar información no confidencial (por ejemplo, una presentación corporativa, manuales o instrucciones de un producto o servicio para mostrar a un cliente, etc.), por seguridad, debemos de contar con la autorización del responsable técnico y aplicar las mismas medidas de protección establecidas en la organización para los dispositivos corporativos, cumpliendo con las políticas de uso de estos medios (cifrado, borrado seguro, etc.).
  • Establecer cambios periódicos de contraseña de acceso a los dispositivos y controlar los permisos de lectura y escritura.
  • Llevar a cabo análisis frecuentes para detectar cualquier tipo de malware.
  • Registrar los dispositivos externos utilizados dentro de la empresa mediante un inventario que incluya un identificador para cada uno, comprobando periódicamente su ubicación física y su contenido, y evitando que los dispositivos que no estén registrados puedan conectarse a cualquier equipo de la organización.
  • Siempre que sea posible, verificar que los dispositivos son seguros y están actualizados en un entorno de prueba.
  • Utilizar soluciones denominadas DLP o Data Loss Prevention (sistema de prevención de pérdida de datos).
  • Formar a los empleados para garantizar el buen uso de estos dispositivos. La prevención y el sentido común son las claves principales para evitar sufrir un incidente de seguridad debido a un mal uso.

Otro de los aspectos al que debemos prestar especial atención es la eliminación de la información contenida en este tipo de dispositivos, ya que es muy habitual utilizar los comandos de borrado del sistema operativo para eliminarlos sin realizar ninguna acción adicional. Sin embargo, no se puede considerar una forma de borrado seguro porque no se elimina totalmente la información, ya que con las herramientas adecuadas es posible recuperar los datos de un dispositivo formateado o ficheros después de vaciar la papelera de reciclaje.

Por ello, para deshacerse de la información de forma definitiva, con la certeza de que nadie podrá acceder a los datos una vez sean eliminados, existen métodos de borrado seguro, como la destrucción física del dispositivo, la desmagnetización, la sobrescritura y el borrado criptográfico. Según el tipo de dispositivo habrá que elegir el borrado más conveniente.

Aunque con estas medidas hemos cubierto la protección de dispositivos extraíbles, no debemos olvidar que también hay que proteger aquello a lo que van ligado, es decir, los equipos de trabajo donde vamos a conectarlos. Desactivando la opción de autoarranque obtendremos una capa de protección adicional al no permitir que los dispositivos realicen cualquier acción en cuanto son enchufados, pues en caso contrario estas acciones podrían no ser reversibles e infectar todos los equipos de la red corporativa.

En definitiva, hay mucho que hacer para proteger la integridad de nuestros datos, por eso os animamos a realizar una campaña de concienciación en vuestra empresa para concienciar a tu equipo de los riesgos existentes y que, además, puedan evitarlos y actuar en consecuencia frente a ellos. La prevención es nuestra mejor aliada.

En los últimos años, ha aumentado la preocupación por la ciberseguridad al existir cada vez más diferentes métodos de ciberataques. En concreto, los ataques de ransomware se presentan como una amenaza potencial para la información de las organizaciones.

Un ejemplo claro de esta amenaza se produjo en 2017, con el ataque WannaCry, que afectó a miles de organizaciones de todo el mundo. El ciberataque paralizó las operaciones en las empresas y les exigía rescates exorbitantes. Además de dejar al descubierto la vulnerabilidad de las empresas ante los ataques de ransomware, este incidente marcó un precedente y evidenció la necesidad urgente de implementar medidas de seguridad efectivas que protegiesen la información crítica.

Cada vez son más comunes este tipo de ataques que ponen en jaque a empresas de todos los tamaños y sectores y su información, así como la de sus clientes y proveedores.

¿En qué consiste el ransomware?

El ransomware es un tipo de software malicioso o malware diseñado para cifrar los datos de una empresa, haciéndolos inaccesibles para los usuarios legítimos. De esta forma, la información se vuelve inutilizable para la empresa y los ciberdelincuentes exigen un rescate económico para devolverla a su estado original.

¿Por qué atacan los ciberdelincuentes a las pymes?

Aunque pueda llegar a parecer que los datos de las pequeñas y medianas empresas no son tan valiosos como los de las grandes organizaciones, en realidad, las pymes son uno de los principales objetivos de los ciberdelincuentes para realizar ataques de ransomware.

Las pymes no siempre cuentan con sistemas de seguridad avanzados y suelen tener menos recursos dedicados a la ciberseguridad, lo que las convierte en objetivos más fáciles que las grandes empresas.

Además, aunque sean pequeñas, estas empresas a menudo manejan información sensible, de gran valor para los ciberdelincuentes, es decir, las pymes son un blanco perfecto para el ransomware.

¿Cuáles son las estrategias de ataque más comunes?

El correo electrónico es una herramienta que la mayoría de pequeñas y medianas empresas utilizan en su día a día. Casi todos sus empleados tienen acceso al correo electrónico y, en ocasiones, no son conscientes de los peligros que acarrea por falta de concienciación.

Los correos electrónicos fraudulentos, de tipo phishing, son una amenaza latente para este tipo de empresas. Estos correos están diseñados para engañar y manipular a las víctimas, haciéndoles proporcionar información confidencial o descargar archivos maliciosos. Estos archivos pueden instalar el ransomware en el dispositivo, haciendo que se propague inmediatamente a través de la red empresarial.

Asimismo, las vulnerabilidades en el software no actualizado pueden permitir a los ciberdelincuentes infiltrarse en los sistemas y hacerse con el control de estos, infectándolos con ransomware para, posteriormente, extorsionar a la empresa.

Visitar sitios web comprometidos que descarguen el software malicioso sin el conocimiento ni consentimiento de la víctima, malvertising (publicidad maliciosa), la descarga de software y aplicaciones piratas, un USB infectado y otras técnicas de ingeniería social pueden llevar a las empresas a sufrir un ataque de ransomware y poner en riesgo la información empresarial y la continuidad del negocio.

Ransomware más frecuentes

Según el informe de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en su Threat Landscape Report 2023, el número de ataques de tipo ransomware han seguido aumentando en los últimos años significativamente, siendo LockBit3 el más común. LockBit es un tipo de malware que, en los últimos años, los ciberdelincuentes han utilizado para extorsionar a sus víctimas y que ha destacado por su sofisticación y efectividad. Además, este ransomware es capaz de cifrar no solo los datos locales de la víctima, sino también las copias de seguridad almacenadas en la nube.

Esta versión opera bajo un modelo de negocio llamado RaaS, Ransomware as a Service, en el que los ciberdelincuentes pueden vender o alquilar sus servicios y herramientas maliciosas a otros ciberdelincuentes, obteniendo un porcentaje del rescate como beneficio.

Aunque a principios de 2024 se informó sobre el desmantelamiento de uno de los principales grupos afiliados a LockBit, a día de hoy, esta familia de ransomware sigue siendo responsable de gran parte de los incidentes reportados.

Todos estos ataques, y otros menos comunes, suponen una gran amenaza para pequeñas y medianas empresas, ya que las consecuencias de sufrirlos pueden llegar a la interrupción de las operaciones y la pérdida de datos sensibles. Otros nombres conocidos en el mundo del ransomware son los siguientes:

  • Ryuk: aunque este tipo de ransomware se enfoca principalmente en las grandes organizaciones, también ha afectado a pequeñas y medianas empresas. Se propaga a través de correos electrónicos maliciosos y explota vulnerabilidades en la red. Además, este ransomware deshabilita la opción de restauración de los sistemas operativos Windows, dificultando a las víctimas recuperar sus sistemas si no pagan el rescate.
  • Sodinokibi: este ataque se propaga principalmente a través de vulnerabilidades en el software y correos electrónicos maliciosos. Amenaza con filtrar datos si no se paga un rescate sustancialmente alto. El hecho de que pueda proliferar por las redes sin intervención humana lo convierte en una amenaza altamente efectiva. También conocido como REvil, fue descubierto por primera vez en 2019 y se desarrolla mediante RaaS. Para infectar los sistemas, Sodinokibi utiliza diversas técnicas de ofuscación, basadas, principalmente, en criptografía, que dificulta su análisis y la identificación de sus firmas por parte de antivirus o sistemas de detección de intrusos. La capacidad de eludir controles de seguridad lo hace más peligroso y capaz de pasar desapercibido ante medidas de protección estándar.
  • Dharma: se propaga a través de protocolos de escritorio remoto (RDP) que no cuentan con las medidas de seguridad adecuadas. RDP es una herramienta que permite a un usuario conectarse de forma remota, desde cualquier ubicación, a otro dispositivo y controlarlo como si estuviese delante de él. Sin embargo, cuando no se implementan medidas de protección efectivas, los ciberdelincuentes pueden aprovechar esta vulnerabilidad para acceder a la red de la víctima y cifrar su información. Dharma utiliza criptografía asimétrica para cifrar los archivos de sus víctimas, es decir, genera una clave pública y una privada. Solo los ciberdelincuentes poseen la clave privada, necesaria para descifrar los archivos, dificultando la recuperación de los datos si no se paga un rescate.
  • Maze: además de cifrar la información, los ciberdelincuentes la roban y amenazan con hacerla pública si no se paga el rescate. Esta táctica, conocida como doble extorsión, es común en muchas variantes de ransomware actuales, como REvil (Sodinokibi), JSWorm (Nemty/Nefilim) y CL0P. Este tipo de ransomware no solo afecta a la integridad de los datos, sino que también implica una posible filtración de datos y vulneraciones de privacidad, ante la posibilidad de exposición de información sensible de la víctima. La táctica de doble extorsión aumenta la presión sobre las empresas, ya que las consecuencias, además de la pérdida de acceso a la información, podrían implicar la divulgación pública.

¿Cómo proteger mi empresa frente al ransomware?

  • En primer lugar, es fundamental capacitar a los empleados sobre buenas prácticas en ciberseguridad e invertir en su formación y concienciación para convertirse en una empresa segura.
  • Realizar copias de seguridad de los datos importantes de forma periódica asegura la posibilidad de recuperar la información en caso de que la empresa sea atacada. Estas copias de seguridad deben cifrarse para proteger los datos ante cualquier vulnerabilidad y al menos una debe almacenarse en un lugar aislado de la red empresarial.
  • Mantener el software actualizado ayuda a evitar vulnerabilidades que pueden convertirse en una puerta de entrada para los ciberdelincuentes.
  • Además, implantar firewalls, antivirus y sistemas de detección de intrusiones aumentará la seguridad de la red empresarial, protegiéndola de ciberataques.
  • Monitorizar de forma continua la red empresarial ayudará a detectar actividades sospechosas y responder rápidamente ante cualquier amenaza.
  • Implementar políticas de seguridad y revisarlas de forma regular protegerá la información de accesos no autorizados.