Preguntas Frecuentes sobre Seguridad y Protección de Datos

¿Qué se considera un dato personal?
Es toda la información sobre una persona física identificada o identificable, entendiéndose por persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante un identificador como, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
¿Qué se considera tratamiento de datos personales?
Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
¿Quién es responsable del tratamiento?
Aquella persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
Si una empresa tiene mis datos ¿dejan de ser míos?
No. El interesado jamás deja de ser el titular de su información personal. Podrán existir distintos responsables de tratamiento de tu información personal, de manera que cada uno los trate para las finalidades que te hayan indicado. Por ejemplo, cuando contratas un servicio con un proveedor, este proveedor será responsable del tratamiento de tus datos para la prestación del mismo, así como para el resto de las finalidades que éste te haya trasladado. Cada responsable de tratamiento tratará datos personales de conformidad con sus Políticas de Privacidad, y el titular de los datos siempre podrá ejercer sus derechos de acceso, rectificación, supresión, limitación, oposición o portabilidad respecto al tratamiento de su información personal.
¿Qué derechos pueden ejercer los titulares?
En España, los derechos de protección de datos que asisten al titular de los datos son:
- derecho de acceso, que le permite visualizar y obtener información sobre sus datos de carácter personal sometidos a tratamiento.
- derecho de rectificación, que le permite corregir errores y modificar los datos que resulten ser inexactos o incompletos.
- derecho de supresión, que le permite que los datos sean suprimidos y que dejemos de tratarlos, salvo que exista obligación legal de conservarlos y/o no prevalezcan otros motivos legítimos para su tratamiento.
- derecho de limitación, que, bajo las condiciones establecidas legalmente, le permite que el tratamiento de datos se paralice, de tal manera que se evite que los tratemos en un futuro, y que únicamente los conservemos para el ejercicio o la defensa de reclamaciones
- derecho de oposición, que, en determinadas circunstancias y por motivos relacionados con su situación particular, le permite oponerse al tratamiento de sus datos, salvo que, por motivos legítimos imperiosos, o el ejercicio o la defensa de posibles reclamaciones, sea necesario dicho tratamiento
- derecho de portabilidad, que le permite recibir los datos personales que nos haya facilitado en un formato de uso común que le permita transmitirlos directamente a otro responsable. Para el ejercicio de este derecho, será necesario que proporcione un correo electrónico válido
Para otras jurisdicciones pueden consultar en los diferentes centros de transparencia locales.
¿Quién es la autoridad responsable de proteger mis derechos en materia de datos personales?
En España, la autoridad pública independiente encargada de velar por la privacidad y la protección de datos de los ciudadanos es la Agencia Española de Protección de Datos. Su página web www.aepd.es tiene como objetivo, por un lado, fomentar que los ciudadanos conozcan sus derechos y las posibilidades que la Agencia les ofrece para ejercerlos y, por otro, que los sujetos obligados tengan a su disposición un instrumento ágil que les facilite el cumplimiento de la normativa.
Para otras jurisdicciones pueden consultar en los diferentes centros de transparencia locales.
¿Cuál es la importancia de la seguridad de la información personal?
Antes de facilitar tus datos personales, debes analizar quién te los está pidiendo, para qué los va a utilizar y si es necesario que disponga de esa información. No es lo mismo la información personal que tienes que facilitar para contratar un producto o servicio, que para utilizar una aplicación móvil. Probablemente, en el primer caso será necesario que aportes muchos datos personales; sin embargo, en el segundo sólo será necesario cumplimentar aquellos datos o proporcionar los permisos que estén relacionados con las funcionalidades que tenga la aplicación.
Uno de los principales motivos para proteger nuestra información personal y la de aquellas personas con las que nos comunicamos (contactos, fotografías, vídeos, correos electrónicos, etc.) es la de protegernos de ciberdelincuentes.
Para más información sobre esto consultar en la Guía de privacidad y seguridad en internet de la AEPD .
¿Cómo se previene la fuga de datos personales o brecha de seguridad de datos personales?
Se denomina fuga de información al incidente de seguridad que implica una pérdida de la confidencialidad, de forma que personal no autorizado o ajeno a la organización, accede ilícitamente a información privilegiada. Con el objetivo de reducir la probabilidad de que ocurra este tipo de incidentes y minimizar su posible impacto, se establecen distintos tipos de medidas de seguridad, tales como:
- Organizativas: conjunto de políticas, reglamentos y procedimientos que permiten, desde el punto de vista corporativo, identificar los controles que se deben implementar, supervisar, revisar y mejorar para asegurar la protección de la información según su grado de criticidad, así como establecer diversas acciones de formación y concienciación para todos los empleados.
- Técnicas: se trata de medidas que permiten velar por la seguridad física y lógica de los activos de información, tales como soluciones o sistemas de seguridad aplicados a la información o al ciclo de vida del dato, que ayudan a controlar, prevenir y reaccionar a tiempo ante una posible fuga de datos. Ejemplos de este tipo de medidas son la protección del correo electrónico, gestión de parches y actualizaciones, realización de copias de seguridad, cifrado de la información y comunicaciones, protección avanzada del puesto de trabajo, implementación de soluciones de seguridad perimetral, gestión de usuarios, roles y privilegios, monitorización y vigilancia digital, etc.
- Jurídicas: se trata de medidas asociadas a garantizar el cumplimiento normativo y regulatorio, entre las que se incluyen aspectos tales como la firma de acuerdos de confidencialidad (NDA), acuerdos de nivel de servicio (SLA), acuerdos de procesamiento de datos personales con proveedores (DPA), cláusulas contractuales, etc.
Todas las medidas de seguridad se someten a un proceso de revisión periódica y mejora continua con el objetivo de minimizar fallos, aumentar la eficacia y eficiencia de las mismas, prevenir y solucionar problemas y garantizar que dan una respuesta adecuada a los distintos escenarios y amenazas que van apareciendo y evolucionando en el tiempo.
¿Cómo actuamos ante una brecha de seguridad?
El enfoque relativo a la gestión de incidentes de seguridad o ciber incidentes se basa en comunicar adecuadamente los mismos, minimizar su impacto, identificar tendencias o patrones de actividades sospechosas, recuperar lo antes posible la disponibilidad, analizar las causas, aprender de los incidentes y tomar las medidas oportunas para que no sucedan de nuevo.
La gestión de ciber incidentes se basa en tres pilares fundamentales: las personas, los procedimientos y la tecnología. Con este objetivo, el CSIRT (equipo de respuesta ante emergencias informáticas) de Telefónica está compuesto por un equipo entrenado y con habilidades en la gestión de incidentes, siendo los encargados del análisis, coordinación y contención de las brechas para mitigar el efecto ante cualquier ataque y minimizar su posible impacto, gestionando y dando respuesta durante todo el ciclo de vida de la brecha de seguridad.
En el caso de ser necesario, se notificará el incidente a las partes interesadas, tanto internas de la organización como externas (CERT nacionales e internacionales, autoridades nacionales de protección de datos, sujetos afectados, etc.), tal y como se establece en las distintas regulaciones de aplicación.
¿Qué es una cookie?
Las cookies son pequeños archivos de texto que enviamos a tu ordenador, Tablet o cualquier otro dispositivo que te permita navegar por Internet cuando accedes a determinadas páginas web.
Constituyen una herramienta empleada por los servidores web para almacenar y recuperar información acerca de sus visitantes y permiten, entre otras cosas, mantener un registro sobre tus hábitos de navegación o de tu equipo, tus preferencias y recordarlas a su regreso.
¿Qué puedo hacer si mis datos están publicados en internet en una página web y quiero eliminarlos/que dejen de estarlo?
En aplicación del llamado «derecho al olvido», podrás solicitar tu derecho de supresión ante el responsable de tratamiento de la página web que tenga publicados tus datos. Asimismo, los motores de búsqueda facilitan la posibilidad de que solicites borrar tus datos del buscador, de manera que, tus datos no se borrarán de la web donde se encuentran publicados, pero los enlaces a los datos se desindexarán del buscador.
Dado que Telefónica no publica datos personales de sus clientes, exceptuando las Guías telefónicas y previo consentimiento del cliente para su inclusión en ellas, únicamente podremos proporcionar la supresión de tus datos personales en las guías oficiales, lo cual no incluye la publicación por parte de terceros ajenos a Telefónica que hayan podido obtener tus datos personales de estas Guías o de formularios que no sean responsabilidad de Telefónica. Para ello, tendrás que dirigirte al titular de la página web en concreto y/o al motor de búsqueda.
¿La compañía puede negarse a entregar información que solicitan las Autoridades?
Telefónica está en la obligación legal de responder las peticiones cursadas por las Autoridades Competentes, en el ejercicio legítimo de sus competencias, para el desarrollo de investigaciones criminales y administrativas y para el cumplimiento y protección de derechos de los ciudadanos. Las peticiones son rechazadas si no proceden de Autoridades Competentes facultadas por la ley (por ejemplo, las solicitudes presentadas por entidades o personas privadas), o si no se ajustan a los procedimientos legales establecidos. Las peticiones que, por su carácter excepcional así lo requieran, son elevadas dentro de la empresa y tratadas de forma acorde.
¿Puede un sitio web o contenido específico ser bloqueado por el tipo de contenido que aloja?
Sí. Telefónica bloquea algunos sitios web y/o contenidos en Internet que son contrarios a las leyes locales (suelen estar relacionados con material de abuso sexual infantil, los juegos ilegales de azar online, vulneración de derechos de autor, difamación, venta ilegal de medicamentos, armas, uso no autorizado de marca comercial, etc.).