El 90% de los empleados necesita formación básica en ciberseguridad
Sólo el 11% de 3.907 empleados demostró un alto nivel de conocimiento sobre ciberseguridad en la prueba de la herramienta de evaluación gamificada de Kaspersky. Como resultado, y dado que el 90% de las personas sobrestiman sus habilidades de ciberseguridad, la herramienta de evaluación gamificada de Kaspersky está diseñada no sólo para cambiar el comportamiento y la concienciación de los empleados, sino también para ayudar a los CIOs y a los departamentos de recursos humanos a medir las habilidades cibernéticas de los trabajadores, y proporcionar a sus equipos un entorno educativo relevante. Así mismo, durante el juego, los empleados reciben puntos por las decisiones que toman durante las situaciones más comunes que se dan mientras trabajan a distancia -en casa o de viaje- y en la oficina. Se les pide que evalúen si sus acciones conllevan riesgos cibernéticos y el grado de confianza que tienen en sus suposiciones. Podría interesarle: Estos son los desafíos de la ciberseguridad en la Nube Los empleados preparados son significativamente menos que los que no lo están, refleja el reporte Como resultado, uno de cada diez (11%) de los participantes en la prueba recibió un Certificado de Excelencia, lo que significa que dieron respuestas correctas y obtuvieron más del 90% de los puntos posibles. La mayoría de los usuarios -el 61%- obtuvo un resultado «medio» que oscilaba entre el 82% y el 90% de los puntos, mientras que el 28% no pudo demostrar un conocimiento suficiente de la ciberseguridad, obteniendo una puntuación inferior al 75%. La herramienta de evaluación gamificada abarca seis ámbitos de seguridad: contraseñas y cuentas, correo electrónico, navegación web, redes sociales y mensajería, seguridad del PC y dispositivos móviles. El tema de la navegación web parece ser el más difícil para los usuarios: sólo el 24% definió las acciones correctamente. Los escenarios relacionados con los dispositivos móviles fueron los menos complejos: el 43% de los empleados no cometió ningún error al identificar los ciberriesgos en estos escenarios. Contenido relacionado: 5 amenazas que sufren las empresas a causa de la ciberseguridad La opinión de los encargados del estudio «La Herramienta de Evaluación Gamificada se incluye en la ‘fase de compromiso’ de nuestra Cartera de Concienciación de Seguridad. Precede a la fase de formación en la Plataforma de Concienciación de Seguridad Automatizada de Kaspersky, lo que permite a los empleados obtener una motivación más clara para el aprendizaje y ayuda a las organizaciones a averiguar qué programa educativo se ajusta mejor a las necesidades específicas de sus trabajadores», comenta Alexander Lunev, Product Manager, Security Awareness & Academic Affairs en Kaspersky. «Sin embargo, incluso el mejor resultado posible obtenido en el juego no es un indicador de que un usuario no necesite más formación avanzada o refrescar sus conocimientos periódicamente. Los métodos de los adversarios pueden cambiar, y la vigilancia de una persona puede debilitarse. Por eso también nos aseguramos de que las partes de aprendizaje y refuerzo de nuestro producto sean interesantes para todos los alumnos de todos los niveles”. FUENTE: Secciones. »El 90% de los empleados necesita formación básica en ciberseguridad» Rrhhdigital.com. 10/12/2022. (https://www.rrhhdigital.com/secciones/tecnologia-e-innovacion/155722/El-90-de-los-empleados-necesita-formacion-basica-en-ciberseguridad).
Marruecos lanza una plataforma para datos personales y protección de la privacidad.
La Comisión Nacional Marroquí para el Control de la Protección de Datos Personales (CNDP) lanzó en la Biblioteca Nacional de Marruecos recientemente “Koun3labal”, una plataforma dedicada a la protección de la privacidad y el procesamiento de datos personales en Marruecos y África. La plataforma tiene como objetivo sensibilizar a niños, adolescentes, mujeres, padres y docentes sobre los peligros y riesgos que rodean la privacidad digital, así como los medios de protección y remedios legales, según nota de prensa de la CNDP. Así mismo, la plataforma también aspira a establecerse como una fuente de referencia de guías, mejores prácticas y recursos educativos utilizando varios tipos de medios y creaciones artísticas, como dibujos, videos educativos y juegos educativos. Podría interesarle: Datos personales: Argentina adhirió al Convenio 108+ Además, busca promover la investigación y el desarrollo en los campos de la protección de datos personales y la privacidad digital, así como brindar herramientas a la sociedad civil y las partes interesadas para orientar y sensibilizar mejor a los jóvenes y mujeres en sus comunidades. El evento, que está en el calendario del Secretario General de las Naciones Unidas, forma parte de las actividades que se realizan dentro de la campaña internacional anual “Los 16 días de activismo contra la violencia de género”. La gestación de esta plataforma disruptiva para Marruecos Como resultado, la plataforma se dio gracias a la colaboración con el sistema de desarrollo de las Naciones Unidas en Rabat, así como con instituciones asociadas nacionales como el Ministerio de Educación Nacional, Preescolar y Deportes, y el Ministerio de Juventud, Cultura y Comunicación, entre otros. También, el CNDP ha lanzado una serie de ambiciosos proyectos de digitalización destinados a proteger los datos privados. En mayo, el CNDP firmó dos acuerdos de asociación destinados a proteger los datos personales con las autoridades de Chad y Níger. Finalmente la comisión también firmó un acuerdo de asociación multilateral, con el objetivo de impulsar la seguridad de los datos en el país con el departamento de policía nacional de Marruecos (DGSN), el banco central del país, Bank Al-Maghrib (BAM), la Comisión Nacional para el Control de Protección de Datos Personales (CNDP ), y GBPM. FUENTE: »Marruecos lanza una plataforma para datos personales y protección de la privacidad.» Paradavisual.com. 12/12/2022. (https://www.paradavisual.com/marruecos-lanza-una-plataforma-para-datos-personales-y-proteccion-de-la-privacidad/).
Apple debería ser multada con 6 millones de euros: asesor francés de protección de datos
Apple debería enfrentarse a una multa de 6 millones de euros (6,3 millones de dólares) por incumplimiento de las normas sobre privacidad, recomendó el lunes el principal asesor del órgano sancionador de la autoridad francesa de protección de datos. La CNIL es libre de ignorar las recomendaciones del ponente, pero estas suelen tener mucho peso en la decisión final del organismo. El ponente, Francois Pellegrini, hizo su recomendación tras una investigación de la autoridad, desencadenada a su vez por una denuncia presentada el año pasado por el grupo de presión France Digitale. En la denuncia, el grupo, que representa a la mayor parte de los empresarios digitales y capitalistas de riesgo de Francia, alegó que el anterior software operativo de Apple, iOS 14, incumplía los requisitos de privacidad de la Unión Europea. France Digitale alegó que, aunque en iOS 14 se preguntaba a los usuarios de iPhones si permitían que las aplicaciones móviles instaladas recopilaran un identificador clave usado para definir campañas publicitarias y enviar anuncios específicos, la configuración por defecto permitía a Apple llevar a cabo sus propias campañas de anuncios específicos sin pedir claramente su consentimiento previo. Podría interesarle: Multa a empresa Glovo por más de 25.000 euros por no contar con delegado de Protección de Datos App Tracking Transparency y el problema de privacidad de Apple Las actualizaciones de privacidad de Apple, denominadas App Tracking Transparency, dan a los usuarios la opción de bloquear las aplicaciones para que no rastreen la actividad en apps y sitios web propiedad de otras empresas. En sus observaciones, Pellegrini dijo que la versión anterior del sistema operativo de Apple, iOS 14.6, no pedía de forma adecuada a los usuarios su consentimiento previo para la recopilación de datos personales, lo que constituía una infracción de las normas de privacidad de la directiva sobre privacidad y comunicaciones electrónicas de la UE. Añadió que los cambios introducidos en una versión posterior del sistema operativo de Apple, iOS 15, permitían dicho consentimiento previo. Lea también: Meta en Europa: La compañía ya no podría mostrar anuncios personalizados en el viejo continente Gary Davis, responsable de privacidad de Apple, rebatió las conclusiones del ponente en la audiencia, afirmando que la firma estadounidense está comprometida con la protección de la privacidad de los usuarios. «La ausencia de gravedad de la infracción (…) significa que el importe de la multa debería reducirse», dijo, solicitando que no se hiciera público el importe de ninguna multa. El órgano sancionador de la CNIL no precisó cuándo tomará una decisión. FUENTE: Roseiman, Mathieu. »Apple debería ser multada con 6 millones de euros: asesor francés de protección de datos» Infobae.com. 12/12/2022. (https://www.infobae.com/america/agencias/2022/12/12/apple-deberia-ser-multada-con-6-millones-de-euros-asesor-frances-de-proteccion-de-datos/).
Datos personales: Argentina adhirió al Convenio 108+
La sanción de la norma implica un paso significativo en pos de mantener el estatus de “país seguro” en relación a la protección de datos personales otorgado por la Unión Europea. El rol de la Agencia de Acceso a la Información Pública de Argentina se va a ver fortalecido con la adición al Convenio 108+ El Congreso Nacional sancionó la Ley 27.699 de Protección de las Personas con respecto al tratamiento automatizado de datos de carácter personal. Esto convierte a Argentina en el segundo país de América Latina, luego de Uruguay, en ratificar el Convenio 108+. La adhesión al nuevo convenio implica un paso significativo en pos de que Argentina mantenga el estatus de “país seguro” en relación a la protección de datos personales otorgado por la Unión Europea. Sobre el convenio 108+ El Convenio 108+, según la Agencia de Acceso a la Información Pública (AAIP), es una versión modernizada del Convenio 108, suscripto en 1981 en la ciudad de Estrasburgo, Francia. Constituye el “único instrumento multilateral” de carácter vinculante en materia de protección de datos personales, que tiene por objetivo proteger la privacidad de los individuos contra posibles abusos en el tratamiento de sus datos. Podría interesarle: Ley Google: Protección de Datos Personales en Argentina Dado que se encuentra abierta la adhesión a todos los Estados, es el único estándar vinculante que tiene el potencial de ser aplicado en todo el mundo, proporcionando seguridad jurídica y previsibilidad en las relaciones internacionales. Avances en la protección de datos personales en América Latina “Desde un primer momento tuvimos como objetivo poner en agenda la ratificación del Convenio 108+, ya que representa un avance en el marco normativo de la protección de los datos personales en la Argentina”, afirmó Beatriz Anchorena, titular de la AAIP. En detalle, la aprobación del instrumento fortalece a la agencia, autoridad de aplicación en materia de protección de datos personales, con el fin de preservar y garantizar estos derechos a la ciudadanía. Asimismo, esto implica un avance significativo en términos de protección de la privacidad de las personas contra posibles abusos en el tratamiento de sus datos, ya que este Convenio constituye el estándar internacional más reciente en resguardo de la privacidad. Lea también: ¿Cuáles son los objetivos de la nueva Ley de servicios digitales de la Unión Europea? ¿Qué modificaciones se incorporan? La actualización del Convenio internacional reconoce nuevos derechos para los titulares de datos, así como también se amplía el concepto de “datos sensibles”, pasando a incluir información genética y biométrica. La Agencia de Acceso a la Información Pública indicó, por otro lado, que con este convenio se incorporan requisitos más estrictos respecto a los principios generales sobre tratamiento de datos, como el principio de proporcionalidad, de minimización de datos y licitud. Además, se refuerza la exigencia de la destrucción o anonimización de datos personales, y se agregan condiciones especiales para el tratamiento de información de niños y niñas. Actualización de la Ley de Protección de Datos Personales A su vez, en conjunto con la ratificación del Convenio 108 +, la AAIP inició el proceso de modificación de la Ley N°25.326 de Protección de Datos Personales. El objetivo de la Agencia es elaborar un proyecto que permita dar respuesta a los nuevos desafíos que imponen las transformaciones tecnológicas y el desarrollo de la economía digital y, a su vez, armonice con los más altos estándares regionales e internacionales, desde un enfoque de derechos humanos, con una mirada situada y soberana. “Si bien la Argentina fue precursora en la región en materia de Protección de Datos Personales, sentando las bases y brindando un marco regulatorio robusto, se trata de una legislación que cuenta con más de 20 años de antigüedad y, por lo tanto, se torna necesaria su actualización”, indicaron desde la AAIP. Es así como el organismo inició un proceso de “debate participativo, abierto y transparente” llevando adelante mesas de diálogo con diversos sectores de la sociedad, durante julio y agosto. A través de la consulta pública se recibieron 173 opiniones, aportes y comentarios presentados por 123 participantes correspondientes a la ciudadanía en general, organizaciones de la sociedad civil, universidades e investigadores, sector privado y sector público nacional e internacional. FUENTE: Derechos. »Datos personales: Argentina adhirió al Convenio 108+» Elauditor.info. 12/12/2022. (https://elauditor.info/actualidad/datos-personales–argentina-adhirio-al-convenio-108-_a6390af10207c407810f06539).
Ataque de ciberseguridad al Grupo EPM también afectó los pagos electrónicos de la Essa
Debido al ataque cibernético dirigido al Grupo EPM, que impactó a sus filiales como la Electrificadora de Santander, las transacciones de Essa, a través de los canales digitales y electrónicos están inhabilitadas. Sin embargo, los usuarios podrán pagar sus facturas a través de la red de recaudo físico y corresponsales bancarios. La Electrificadora de Santander indicó, a través de un comunicado, que debido al ataque de ciberseguridad a Grupo EPM, Essa activó los protocolos para mitigar los efectos de esta situación y garantizar a sus usuarios el menor impacto posible. “El incidente afecta algunas plataformas tecnológicas, por tal razón las transacciones a través de los canales digitales y electrónicos están inhabilitadas. Sin embargo, las oficinas de atención al cliente y la línea 01 8000 97 19 03 se encuentran disponibles”, indicó la compañía. Podría interesarle: EPM, víctima de un ciberataque ¿Dónde pueden gestionar sus pagos los clientes de EPM y Essa? Tenga en cuenta que podrá realizar los pagos de sus facturas a través de la red de recaudo, corresponsales bancarios: Coopenessa, La Perla, Coessa, Finecoop, Banco de Bogotá, Banco Colpatria, Banco Sudameris, Efecty, ATH Villas, Redeban, Bancolombia. Llevando la factura física para lectura del código de barras. Asimismo, los clientes con servicio de energía prepago, deben comunicarse a línea gratuita 01 8000 97 19 03 para realizar la activación de pines del servicio de energía prepago. Se espera el restablecimiento de las operaciones y transacciones comerciales lo antes posible para superar los inconvenientes presentados. “En relación con los procesos de contratación en curso, informamos a nuestros Proveedores y Contratistas que Essa ajustará los cronogramas de los procesos contractuales afectados por la contingencia en el sistema Ariba y Te Cuento, lo cual será informado a los interesados”, precisó la empresa en el comunicado. FUENTE: Del Río, Jaime. »Ataque de ciberseguridad al Grupo EPM también afectó los pagos electrónicos de la Essa» Vanguardia.com. 14/12/2022. (https://www.vanguardia.com/economia/local/ataque-de-ciberseguridad-al-grupo-epm-tambien-afecto-los-pagos-electronicos-de-la-essa-CB6021235).
Elon Musk está considerando vender los datos de los usuarios de Twitter
Desde que Elon Musk adquirió Twitter, no paramos de ver al magnate presentar numerosos cambios y propuestas a la plataforma para convertirla en la que él llama Twitter 2.0. La red social está en manos del hombre más rico del mundo, hasta hace poco, que gobierna con puño de hierro, pues si no cumples sus expectativas estás despedido. Sabiendo que Twitter tiene pérdidas millonarias a pesar de los numerosos despidos y recortes, ahora Elon Musk está planteándose vender los datos de los usuarios de Twitter y en caso de hacerlo, infringiría la normativa de la App Store de Apple. La adquisición de Twitter por parte de Elon Musk duró varios meses y en más de una ocasión el CEO de Tesla y SpaceX quiso retirarse de la compra. En aquel entonces, decía que la plataforma estaba llena de bots y que el sistema de negocio que tenía la compañía era deficiente. Ahora que Twitter está en su poder, ha podido experimentar como la red social genera pérdidas con cada día que pasa. Como primer paso para solventar esto, Elon Musk decidió expulsar a más de la mitad de la plantilla de Twitter y además cambiar su modelo de negocio. Twitter se centraría en obtener la mayoría de sus beneficios mediante la nueva suscripción Twitter Blue, la cual relanzó hace poco por 8 dólares al mes en la web y 11 dólares al mes para usuarios de iOS. Contenido relacionado: Bruselas lo advierte: Twitter debe ceñirse a las leyes digitales europeas Twitter obligará a los usuarios a compartir sus datos Para evitar que Twitter pierda más dinero y en un intento de convertir a la red social en un negocio más rentable, Elon Musk está planeando una decisión muy controvertida. Musk tiene pensado obligar a los usuarios a compartir sus datos, presentándoles una notificación a pantalla completa. En el caso de que los usuarios quieran seguir utilizando Twitter, tendrán que estar conformes con entregar sus datos. Según parece, este cambio en la política del uso de datos y seguimiento solo se aplicará inicialmente a aproximadamente el 1% de los usuarios estadounidenses para ver como reaccionan. En el caso de que esto proporcione resultados acordes a Elon Musk, este decidirá implementarlo de forma global. Eso sí, los rumores indican que pagando la suscripción Twitter Blue sería posible evitar entregar nuestros datos y entonces la estrategia de Elon Musk cobraría sentido. La implementación de esta política infringiría las normas de App Store y Play Store Ceder nuestros datos a Twitter es el equivalente a literalmente venderlos, pues a cambio de usar la red social «de forma gratuita», ellos tendrán nuestra información. En caso de que esto se cumpla, vendiendo nuestros datos a Elon Musk y Twitter, permitirá que podamos ser rastreados por el servicio, algo que sin duda no le gustará a Apple. Y es que, esto supone una violación directa de las normas de la App Store de Apple, lugar donde también se puede adquirir la suscripción Twitter Blue. Lea también: ¡Twitter permitirá a Elon Musk acceder a sus bancos de datos, incluyendo los datos privados de sus usuarios! Recordemos lo mucho que Elon Musk odia las comisiones de Apple, que decidió subir el precio de la suscripción en 3 dólares para así evitar pagarlas y perder más dinero. Para Elon Musk, el hombre más rico del mundo, primero vienen los beneficios y estamos seguros de que hará cualquier cosa para hacer Twitter más rentable. Sin embargo, si todo se implementa, se las tendrá que ver cara a cara con Apple, pudiendo perder una enorme cantidad de clientes potenciales de iOS. Pues en el peor de los casos, Apple podría eliminar Twitter de la App Store. Mientras tanto, Elon Musk está reduciendo gastos de Twitter por todos lados, como por ejemplo, evitando pagar indemnizaciones a los empleados despedidos. FUENTE: Colomer, Borja. »Elon Musk está considerando vender los datos de los usuarios de Twitter» Elchapuzasinformatico.com. 15/12/2022. (https://elchapuzasinformatico.com/2022/12/elon-musk-twitter-usuarios/).
EPM, víctima de un ciberataque
La empresa EPM suspendió su servicio al cliente presencial y virtual, hasta nuevo aviso. Sobre las 7:00 de la mañana de este martes, EPM informó que fue víctima de un incidente de ciberseguridad. El episodio no resultó en afectaciones en la prestación de los servicios de energía, agua y gas. Sin embargo, el servicio de atención al cliente fue suspendido. La empresa informó, a través de un comunicado, que debido al incidente le solicitó a sus colaboradores trabajar desde casa. La medida, mientras se conocen detalles de lo ocurrido, es preventiva. Podría interesarle: Keralty, del grupo EPS Sanitas, sufre un ciberataque “EPM se permite informar a la opinión pública que se encuentra atendiendo un incidente de ciberseguridad, por lo que ha solicitado a sus funcionarios trabajar hoy desde sus casas. Esta situación no tiene afectación en la prestación de los servicios públicos de energía, agua y gas”, expresaron desde la empresa. Aunque los servicios públicos que presta EPM no se han visto afectados por la situación, los canales virtuales y las oficinas de atención al cliente no se encuentran en funcionamiento. La suspensión cesará una vez concluya la contingencia reportada. Lea también: Compañías de telecomunicaciones y BPO bajo ciberataque a través de intercambio de SIM “La organización estará informando en la medida que estos sean habilitados nuevamente”, insistieron desde EPM. Es decir: todas las operaciones virtuales que permite la empresa estarán suspendidas hasta que estas puedan adelantarse de forma segura. FUENTE: El Colombiano. »EPM fue víctima de un ciberataque y suspendió atención al cliente, ¿qué pasó?» Elcolombiano.com. 13/12/2022. (https://www.elcolombiano.com/antioquia/epm-fue-victima-de-un-ataque-de-ciberseguridad-LO19605907).
El negocio del robo de datos
Un nuevo grupo de ransomware llamado BackMagic podría estar realizando ataques de robo de datos, dirigidos contra los sectores de transporte y logística Israelíes. Los intereses del grupo por ahora parecen dirigirse a la venta de la información robada, a través del robo de datos, en diferentes foros, no pidiendo rescate por los datos en su nota tras la infección. El objetivo en este caso de usar un ransomware para la infección parece ser inhabilitar las bases de datos de las compañías afectadas, y a la vez hacerse notar. A tal efecto, el ransomware es un vehículo como podría serlo cualquier otro para impedir el acceso a los legítimos propietarios de los datos. El grupo asegura estar en posesión de datos sensibles del 65% de los ciudadanos israelíes. Algo que da bastante para pensar: los ataques dirigidos contra las administraciones públicas permiten la obtención de datos de ciudadanos de forma masiva, pero obviamente no son el único camino para conseguir dicho objetivo. Podría interesarle: Ransomware y phishing, los nuevos riesgos de ciberseguridad El comportamiento del malware se asemeja al de otras muestras, intentando evadir su ejecución en sandbox para dificultar su detección y posterior análisis, y parando la ejecución de procesos específicos. Durante la infección el malware comunica con un servidor externo y posteriormente cifra el contenido de los discos que identifica durante el reconocimiento inicial, incluyendo ficheros ejecutables, salvo algunos específicos (requeridos por el sistema). Aspectos destacables Habitualmente se relaciona ransomware con robo de datos pero también con su rescate, la posibilidad de la víctima de negociar con el atacante una salida airosa tras la brecha de seguridad. A pesar de que siempre se recomiende no negociar con los atacantes, para muchas empresas es eso o la bancarrota. Este es un ejemplo de ataque que se basa en ransomware, pero cuyo objetivo no es lucrarse de forma inmediata por medio de la víctima directa, sino la venta de sus datos a terceros. De hecho, el ransomware, como se ha mencionado, es sólo un instrumento que sirve a múltiples propósitos, y algunos autores que persigan la mera destrucción podrían emplear malware más nocivo. En la mayoría de casos el ransowmare simplemente es la vía cómoda. Mientras más se conozca sobre la organización, más daño podría hacerse. Este ejemplo sirve para hablar de otro tipo de malware, que igual no hace tanto ruido como el ransomware porque siempre estuvo ahí, pero del que ya hay algunos artículos que se centran en su problemática. Stealers: malware que no destruirá pero sí permitirá el robo de datos El robo de datos, ya sea para la obtención de credenciales o bien otra información sensible, es muy antiguo. Es un comportamiento habitual en troyanos. A finales de noviembre se publicaba un artículo hablando de plataforma empleadas por stealers, malware cuya principal función es robar información sensible. De hecho, hay familias de malware centradas en esto a las que no se presta tal vez la atención debida porque otras hacen más ruido. Lea también: Filtración de datos de Toyota El artículo en cuestión sobre los stealers es muy curioso por varios motivos. Primero, porque muestra cómo haciendo uso de servicios como Shodan podemos obtener información sobre la actividad registrada de los stealers, que se dejan reconocer por el patrón de búsqueda. Veremos los patrones que se pueden emplear para obtener información de malware conocido de este tipo (como Misha Stealer o Patriot Stealer) en servicios como Shodan o URLscan. El segundo punto de interés radica en el conocimiento explícito de que este malware es parte de la cadena que permite o facilita acciones más complejas en los sistemas llevadas a cabo por los atacantes especialmente motivados. FUENTE: Nieto, Ana. »BlackMagic ransomware y el negocio del robo de datos» Unaaldia.hispasec.com. 09/12/2022. (https://unaaldia.hispasec.com/2022/12/blackmagic-ransomware-y-el-negocio-del-robo-de-datos.html).
Multa a empresa Glovo por más de 25.000 euros por no contar con delegado de Protección de Datos
En agosto de 2020, Glovo fue multada con 25.000 euros, pero esta vez, el asunto no tenía nada que ver con los riders. Y es que la Agencia Española de Protección de Datos (AEPD) le sancionó por no tener un delegado de Protección de Datos (DPO) al que dirigir las reclamaciones. Contra esta resolución, Glovo interpuso un recurso contencioso-administrativo ante la Audiencia Nacional y ahora, más de dos años después, ha dictado sentencia pero no le ha dado la razón a la empresa al considerar que ha quedado acreditada la falta de esta persona física o jurídica. Esta compañía es una entidad que, según ha descrito la sentencia, se dedica a desarrollar y gestionar una plataforma tecnológica que a través de la aplicación móvil o la web permite a determinadas tiendas locales ofertar sus productos para que los usuarios puedan comprarlos. De tal forma que puedan adquirirlos inmediatamente. Podría interesarle: La Agencia Española de Protección de Datos multa a CaixaBank Payments & Consumer con tres millones ¿De dónde surge esta nueva multa a Glovo? El recurso se interpone contra la resolución de la AEPD que surgió porque dos personas denunciaron el 21 de mayo y el 4 de junio de 2019 que la empresa no contaba con delegado de Protección de Datos. Por tanto, para ejercer el derecho de acceso había que descargar un formulario del portal web, rellenarlo y enviarlo por vía postal junto con una fotocopia del DNI a la sede de la empresa. Cuando tuvo constancia de la reclamación nombró a finales de enero de 2020 a un responsable de protección de datos, pero ya era tarde. La empresa alegó que sí contaba con un comité de Protección de Datos Glovo, en la resolución, alegó que contaban con un comité de protección de datos que realizaba todas las gestiones encargadas al delegado, pero la AEPD observó que no tenía nombrado a nadie en ese puesto. Y como la empresa trataba datos personales a gran escala como, por ejemplo, la geolocalización de los usuarios que utilizan la plataforma, les multó con 25.000 euros. Contra aquella resolución de 31 de agosto de 2020 se interpuso el recurso contencioso-administrativo. Glovo manifestó que de 2014 a 2018 la función de protección de datos lo realizaba el servicio jurídico de la empresa y en 2018 y 2019 se llevaba a cabo a través del comité y un subcomité. Lea también: La AEPD lanza la versión online de Evalúa_Riesgo Asimismo, ha explicado que siempre ha atendido de manera correcta todas las solicitudes de gestión de derechos de los interesados a través del comité; que no realiza una monitorización, rastreo ni seguimiento de los clientes dentro de la plataforma; que la app no permite elaborar perfiles a gran escala y que ha sido sancionada por unos hechos que no son constitutivos de infracción administrativa. Pues “la AEPD no contiene ningún razonamiento, cálculo o criterio que permita sostener de forma objetiva que Glovo realiza un tratamiento a gran escala” y que tampoco ha establecido el número de afectados o cifras concretas. Por ello, solicitaron la nulidad de la multa. El fallo final de la autoridad española El Abogado del Estado en su escrito de contestación a la demanda se opuso a la estimación con imposición de costas a Glovo al considerar que “es un hecho incontrovertido que la actora no tenía asignado un DPD y es incuestionable puesto que cuando conoció las reclamaciones procedió a nombrarlo y a comunicarlo a la AEPD». FUENTE: Valdés, Blanca. »La Audiencia Nacional confirma la multa de 25.000 euros a Glovo por no tener delegado de Protección de Datos» Confilegal.com. 09/12/2022. (https://confilegal.com/20221209-la-audiencia-nacional-confirma-la-multa-de-25-000-euros-a-glovo-por-no-tener-delegado-de-proteccion-de-datos/?amp).
