El pasado 31 de octubre vencía el plazo para que los titulares de las páginas web actualizaran las políticas de cookies, permitieran su configuración, etcétera. Esta semana se conocía que la AEPD ha sancionado al titular de una web por, entre otros elementos, carecer de las medidas de seguridad apropiadas para proteger los datos personales como HTTPS. Una vez más, nos encontramos la necesidad imperiosa de mantener las páginas web actualizadas conforme a la legislación vigente. En caso contrario, podemos sufrir multas como la establecida en la Resolución PS/00185/2020, de 1000 euros, por no disponer de un certificado de seguridad apropiado.
En este sentido, resulta conveniente hacer una breve introducción a los tipos de certificados web más frecuentes y sus características:
Protocolo HTTP: el que tenía activo la web sancionada
- Hypertext Transfer Protocol
- Es la base de cualquier intercambio de datos en la web.
- Está basado en un esquema de petición-respuesta entre cliente y servidor.
- No guarda los datos de las conexiones realizadas, pero sí almacenan cookies.
¿Por qué no se recomienda su uso?
- Su nivel de seguridad es bajo y es bastante accesible para los piratas informáticos.
- Los datos son accesibles si se intercepta la comunicación.
- La información no está cifrada.
- No requiere validación de dominio.
Protocolo HTTPS: el que deberían tener todas las webs, según la resolución de la AEPD
- Hypertext Transfer Protocol Secure.
- Los datos se transfieren de forma segura gracias al certificado SSL.
- La información viaja cifrada.
- Incorpora el sistema TLS (Transport Layer Security) como capa de seguridad adicional.
- Requiere validación de dominio.
Como se puede observar, las diferencias entre ambos protocolos son en relación con la privacidad y seguridad de la información transmitida. En este sentido, el artículo 32 del Reglamento General de Protección de Datos, establece que deberán aplicarse las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Entre estas medidas, se incluye el cifrado de los datos y la seguridad de los sistemas utilizados. Además, establece que al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos.
En definitiva, si atendemos a la última resolución de la agencia, el no tener un certificado HTTPS supone una vulneración del artículo 34 RGPD y, por tanto, es susceptible de sanción. Para evitar que se dé este tipo de situación, es conveniente dotar a la web de un mantenimiento constante y de calidad.
En UBT L&C le proporcionamos el servicio de mantenimiento de las páginas web, que incluye la implantación del protocolo HTTPS. También ofertamos la revisión y actualización de la Política de Privacidad y Cookies.
Sanción AEPD: https://www.aepd.es/es/documento/ps-00185-2020.pdf
Juan Ríos García, Departamento de privacidad.
- Nuevas obligaciones laborales para empresas: medidas para la igualdad LGTBI
- Actualización en las Normas ISO 27001, ISO 37001 e ISO 37301
- Análisis del Índice de Percepción de la Corrupción de 2023
- Autoridades independientes de protección al informante en España a enero de 2024
- Cumplimiento Normativo en España 2024: Pilares Fundamentales para el Éxito Empresarial
- ISO 9001: Garantizando la Calidad en el Mundo Empresarial