Microlab Hard S.L.

El Reglamento General de Protección de Datos (RGPD) define la violación o brecha de seguridad como cualquier acto que ocasione “la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. De acuerdo con esta definición, la violación de seguridad abarca un gran abanico de supuestos, desde la perdida de un pendrive, el robo de un ordenador o la encriptación de un servidor.

Además de lo anterior, el RGPD prevé en su artículo 33 la obligación de notificar a la autoridad de control competente las violaciones de seguridad que sufra cualquier empresa o entidad en un plazo máximo de 72 horas desde que se tenga constancia de ella.

En este contexto, la Agencia Española de Protección de Datos (AEPD) impuso una sanción de 24.000 euros a una de las principales cadenas de tiendas autorizadas de Vodafone a nivel nacional, tras comunicar a la Agencia haber sido victima de un ataque informático.

La violación de la seguridad

La empresa sancionada comunicó a la AEPD haber sido victima de un ataque informático. En particular, detectó un incorrecto funcionamiento de sus sistemas y, a continuación, la existencia de ficheros cifrados y notas de rescate en los servidores corporativos.

En el incidente se vieron comprometidos nombre, apellidos, DNI y datos de contacto como dirección postal, correo electrónico y número de teléfono de 641 empleados y exempleados de la empresa, por lo que decidió comunicar a la AEPD la brecha de seguridad, de acuerdo con lo establecido en el RGPD.

Procedimiento de investigación

Tras recibir la notificación, la AEPD inició las actuaciones previas de investigación, observando claras deficiencias en las medidas de seguridad de la empresa sancionada. Entre otras cuestiones, la AEPD encontró evidencias claras de que se dejó activo un usuario genérico de la VPN (“Guest” o “invitado”) cuyas credenciales no habían sido actualizadas.

Como señala la AEPD, al atacante le bastó con un ataque de fuerza bruta para obtenerlas, utilizando el método de ensayo y error para adivinar la información de inicio de sesión. Así mismo, esta empresa no tenía establecido un número máximo de intentos de autenticación antes vetar el acceso, lo que constituye una grave falta de seguridad.

También se detectaron evidencias claras de que el controlador del dominio era un equipo vulnerable, antiguo y con una insuficiencia clara de medidas técnicas y organizativas que permitió vulnerar la confidencialidad de los datos personales.

Asimismo, de las medidas adoptadas tras la brecha se pueden deducir, según el criterio de la AEPD, importantes insuficiencias relacionadas con la pérdida de confidencialidad de la información relativa a los 641 trabajadores, lo que pudo derivar en un riesgo para los afectados (como casos de suplantación de identidad, perdida de control sobre sus datos…).

Incumplimiento del principio de integridad y confidencialidad

Los hechos descritos suponen un claro incumplimiento del principio de integridad y confidencialidad consagrado en el RGPD, por el cual las empresas deben garantizar una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.

La AEPD determinó que concurrieron graves negligencias causadas por la falta de medidas básicas de seguridad. Teniendo en cuenta esto, la naturaleza de los datos personales que se vieron involucrados (en particular el número del DNI/NIE es un dato sensible, pues permite la identificación directa e inequívoca de una persona física), así como la vinculación de la actividad del infractor con la realización de tratamientos de datos personales, la Agencia calculó una sanción de 30.000 euros, que finalmente se redujeron en 24.000 euros tras el reconocimiento de la responsabilidad por parte de la empresa sancionada.

Esta resolución pone de manifiesto la importancia de que las empresas implementen medidas que garanticen un nivel de seguridad adecuado al riesgo, no solamente con el ánimo de evitar sanciones administrativas, sino también para garantizar la continuidad del negocio y la buena reputación como un activo empresarial.

En Microlab Hard, asesoramos a empresas para proteger los datos personales frente a violaciones de seguridad, garantizando el cumplimiento del RGPD y la LOPDGDD. Ayudamos a identificar riesgos, implementar medidas de seguridad adecuadas y establecer protocolos de notificación ante brechas de datos. Si tu empresa maneja información sensible y aún no cuenta con las garantías necesarias para prevenir incidentes, es el momento de actuar. Contacta con nosotros sin compromiso.

La Agencia Española de Protección de Datos (AEPD) ha podido comprobar tras una investigación que la empresa que gestiona Loro Parque, famoso parque zoológico canario, utilizaba un sistema de control de accesos basado en la captura y almacenamiento de huellas dactilares de algunos visitantes para validar el uso de unas entradas especiales, denominadas “Twin Ticket”, que permitían el acceso a dos parques temáticos propiedad de la empresa.

Para evitar fraudes en el acceso, la empresa responsable utilizaba este sistema con el ánimo de identificar inequívocamente a los usuarios, ya fuesen adultos o menores de edad, sin ofrecer alternativa al uso de la biometría.

El Reglamento General de Protección de Datos (RGPD) prevé una especial protección para las categorías especiales de datos personales, entre las que se encuentran los datos biométricos. Esta clase de datos están dirigidos a identificar de manera unívoca a una persona a través de sus características físicas o fisiológicas, como pueden ser la huella dactilar, el reconocimiento facial o del iris.

El código numérico derivado de la lectura de la huella dactilar es un dato personal

El Loro Parque sostuvo durante todo el procedimiento que el sistema no trataba la huella dactilar de los usuarios, sino que a través de un sistema logarítmico convertía la huella en un código numérico que se asociaba al usuario, de tal manera que no permitía su identificación. De esta manera, la empresa afirmaba que el sistema no comportaba un tratamiento de datos personales.

Sin embargo, la AEPD rechazó estas alegaciones, recordando que los datos biométricos son personales siempre que permitan, directa o indirectamente, identificar a una persona física, y que en este caso existía trazabilidad entre la compra online de entradas (que exigía datos nominativos) y la huella dactilar recogida en el acceso.

En definitiva, la biometría se considera un dato personal, aunque se almacene en forma cifrada o pseudonimizada, siempre que exista la posibilidad de relacionarla con un individuo.

Además, la implantación de sistemas biométricos exige necesariamente una evaluación de impacto con carácter previo, debido al uso de las nuevas tecnologías.

Infracción grave del RGPD

El Reglamento General de Protección de Datos consagra entre sus principios el de la minimización de datos, por el cuál siempre se debe escoger el tratamiento que resulte menos intrusivo. Así, se desprende de la resolución de la AEPD que existían sistemas para el control de accesos menos intrusivos, que no precisaran del tratamiento de datos biométricos de los visitantes.

La AEPD calificó los hechos como infracción muy grave, al tratar datos biométricos sin que concurran alguna de las circunstancias que lo legitimen.
A mayores, el responsable del tratamiento tampoco realizó una evaluación de impacto con carácter previo al tratamiento ni informaba correctamente a los interesados del tratamiento de sus datos derivado de la lectura de la huella dactilar.

Necesidad de una evaluación de impacto

En casos de tratamiento de datos biométricos, el RGPD en su artículo 35 exige realizar una Evaluación de Impacto en Protección de Datos (EIPD), al tratarse de un tratamiento de alto riesgo para los derechos y libertades de las personas, que conlleva además el uso de nuevas tecnologías. Esta evaluación consiste en analizar previamente la naturaleza, alcance, contexto y fines del tratamiento, identificar los riesgos potenciales para la privacidad (por ejemplo, uso indebido, accesos no autorizados, impacto en menores), y definir medidas técnicas y organizativas adecuadas para mitigarlos, garantizando así la proporcionalidad, necesidad y legalidad del tratamiento. Puedes ampliar en la Guía de gestión de riesgos y EIPD de la AEPD y en la lista de tratamientos que requieren EIPD (art. 35.4).

Conclusiones

En definitiva, la resolución de la Agencia constituye un ejemplo paradigmático de la aplicación de este marco normativo a contextos empresariales distintos del ámbito laboral o sanitario (como son los parques de ocio). Además, pone de manifiesto que el uso de la biometría en entornos comerciales debe estar estrictamente justificado y acompañado de garantías reforzadas. La AEPD mantiene un criterio riguroso en la interpretación del art. 9 RGPD, protegiendo especialmente a los menores de edad y reforzando la idea de que la comodidad empresarial no legitima un tratamiento de alto riesgo.

En Microlab Hard, asesoramos a empresas sobre el uso seguro de datos biométricos y otros datos personales, garantizando el cumplimiento del RGPD y la LOPDGDD. Ayudamos a implementar evaluaciones de impacto, minimizar riesgos y establecer medidas técnicas y organizativas adecuadas. Si tu empresa utiliza sistemas biométricos o datos sensibles y aún no cuenta con las garantías necesarias, es el momento de actuar. Contacta con nosotros sin compromiso.

En cualquier empresa que trate datos personales, es imprescindible tener claro quién asume cada una de las funciones relacionadas con su gestión, control y supervisión. El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPDGDD) establecen tres figuras clave: el responsable del tratamiento, el encargado del tratamiento y el delegado de protección de datos (DPD). Cada una tiene obligaciones distintas y un papel específico dentro del sistema de cumplimiento normativo.

En Microlab Hard  analizamos las diferencias entre estas figuras y explicamos qué implica cada rol en la práctica, para ayudar a las empresas a aplicar correctamente la normativa vigente y evitar sanciones por parte de la Agencia Española de Protección de Datos (AEPD).

Marco legal aplicable en España

Antes de analizar cada figura, es necesario tener presente qué normas regulan el tratamiento de datos personales en el entorno empresarial español. Las más relevantes son:

• Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) : norma de aplicación directa en todos los Estados miembros de la Unión Europea, que define principios, derechos y obligaciones en materia de protección de datos.
• Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): desarrolla y adapta el RGPD al ordenamiento jurídico español.
• Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE): aplica a servicios prestados por vía electrónica, especialmente en relación con comunicaciones comerciales y uso de cookies.

Estas leyes definen los distintos roles implicados en el tratamiento de datos y establecen los límites de responsabilidad de cada uno.

Responsable del tratamiento

El responsable del tratamiento es el eje central en cualquier gestión de datos personales. Se trata de la figura que toma las decisiones fundamentales sobre la finalidad y los medios del tratamiento.

¿Quién es el responsable del tratamiento? 

Es la persona física o jurídica, entidad pública o privada, que decide para qué se van a utilizar los datos personales y cómo se van a tratar. Tiene el control directo sobre la información, define los procesos y establece las bases legales para su uso.

Principales obligaciones del responsable 

• Determinar la legitimación del tratamiento (por ejemplo, consentimiento, contrato o interés legítimo).
• Informar a los usuarios de forma clara sobre el uso de sus datos.
• Facilitar el ejercicio de los derechos reconocidos por el RGPD: acceso, rectificación, supresión, oposición, limitación y portabilidad.
• Adoptar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos.
• Notificar cualquier violación de seguridad a la AEPD en los plazos establecidos.
• En su caso, designar un delegado de protección de datos.

Ejemplo habitual en el sector digital 

Una tienda online que gestiona su propia base de datos de clientes para enviar campañas de email marketing o tramitar pedidos actúa como responsable del tratamiento. Decide tanto la finalidad como el modo en que se gestionan los datos.

Encargado del tratamiento 

Cuando una empresa externaliza parte del tratamiento de datos, entra en juego la figura del encargado. Aunque interviene directamente en la manipulación de los datos, lo hace siguiendo las instrucciones del responsable.

¿Quién es el encargado del tratamiento? 

Es cualquier entidad o profesional que trata los datos personales por cuenta del responsable, sin tomar decisiones sobre el uso o la finalidad. Actúa como un prestador de servicios que accede a los datos únicamente para prestar la función que se le ha encomendado.

Obligaciones del encargado del tratamiento 

• Formalizar un contrato de encargo del tratamiento que detalle las instrucciones del responsable.
• No tratar los datos para fines propios ni más allá de lo estipulado en el contrato.
• Aplicar medidas de seguridad que garanticen la confidencialidad y la integridad de los datos.
• Obtener autorización previa para subcontratar a terceros.
• Asistir al responsable en el cumplimiento de sus obligaciones (por ejemplo, en la gestión de derechos de los usuarios).
• Suprimir o devolver los datos una vez finalice la prestación del servicio.

Ejemplo frecuente en entornos tecnológicos

Un proveedor de servicios de alojamiento web (hosting) que almacena bases de datos de usuarios por cuenta de un ecommerce actúa como encargado del tratamiento. No decide nada sobre el uso de los datos, pero los trata técnicamente según las instrucciones recibidas.

Delegado de Protección de Datos (DPD)

El delegado de protección de datos no participa directamente en el tratamiento, pero tiene un papel esencial de supervisión y asesoramiento. Es una figura clave para garantizar el cumplimiento normativo dentro de la organización.

¿Qué es un DPD y cuándo es obligatorio? 

El DPD es un profesional, interno o externo, que asesora a la empresa sobre el cumplimiento del RGPD y actúa como canal de comunicación con la AEPD. Su designación es obligatoria en los siguientes casos:

• Cuando el tratamiento lo realiza una autoridad u organismo público.
• Cuando la actividad principal de la empresa implica una observación habitual y sistemática de personas a gran escala (por ejemplo, plataformas de análisis de datos o publicidad segmentada).
• Cuando se tratan categorías especiales de datos (como salud, ideología o biometría) a gran escala.

Además, la normativa española prevé otros supuestos en los que es legalmente exigible esta figura, como los centros docentes, las empresas de seguridad privada o los centros sanitarios.

En otros casos, su nombramiento es voluntario, pero recomendable si la empresa quiere reforzar su estrategia de cumplimiento o mejorar su reputación digital.

Funciones del delegado de protección de datos 

• Informar y asesorar al responsable y al encargado del tratamiento sobre sus obligaciones legales.
• Supervisar el cumplimiento del RGPD y la LOPDGDD.
• Realizar auditorías internas y controles de protección de datos.
• Asistir en la elaboración de evaluaciones de impacto (EIPD).
• Ser el punto de contacto con la AEPD en caso de consultas o inspecciones.
• Promover la formación en protección de datos dentro de la organización.

Independencia y garantías del DPD

El delegado debe actuar con plena autonomía e independencia. No puede recibir instrucciones sobre el ejercicio de sus funciones, y la empresa está obligada a facilitarle los recursos necesarios para desempeñar su labor con eficacia. Además, no puede ser sancionado ni destituido por el cumplimiento de sus responsabilidades.

Por qué es importante diferenciar correctamente estas figuras 

Confundir los roles o no definirlos de forma adecuada puede tener consecuencias graves. Desde sanciones por parte de la AEPD hasta problemas contractuales con terceros o incumplimientos en el tratamiento de datos personales.

Identificar correctamente quién es el responsable, el encargado y el DPD permite:

• Establecer relaciones contractuales adecuadas con proveedores.
• Redactar textos legales claros, como políticas de privacidad y cláusulas de tratamiento de datos.
• Cumplir con los principios del RGPD en materia de transparencia y responsabilidad proactiva.
• Atender correctamente los derechos de los usuarios y las obligaciones frente a la AEPD.

Entender las diferencias entre responsable, encargado y delegado de protección de datos no es solo una cuestión técnica o legal: es una parte esencial de la gestión empresarial en entornos digitales. Cada figura tiene su función y su marco de actuación, y aplicarlas correctamente permite garantizar el cumplimiento normativo, proteger los datos personales y generar confianza entre los usuarios.

En Microlab Hard, ayudamos a las empresas a definir y organizar estos roles de forma clara, con soluciones adaptadas al entorno legal español y con el apoyo de profesionales especializados en privacidad y protección de datos. Si tu empresa trata datos personales y no tiene definidos estos perfiles, es momento de actuar. Contacta con nosotros sin compromiso.