GUÍA DE GESTIÓN DE RIESGOS Y EVALUACIÓN DE IMPACTO

INTRODUCCIÓN

La Ley Orgánica de Protección de Datos Personales se fundamenta en la gestión de riesgos. En este contexto, la finalidad de la gestión de riesgos es reducir la incertidumbre de los responsables y encargados del tratamiento, con el propósito de que puedan tomar decisiones informadas para la protección efectiva y eficaz de los derechos y libertades de los titulares de datos personales. No obstante, tenemos que comprender que la gestión del riesgo no funciona por defecto, pues no se trata de elaborar listas de chequeo, estimar los niveles del riesgo sin fundamentos o escribir largos reportes sin sustancia desde una lógica de cumplimiento “en el papel”. Al contrario, se trata de construir una cultura de la conformidad en riesgos; para lo cual, es fundamental aprender a utilizar datos confiables, calibrar las opiniones de expertos, construir métricas significativas y desarrollar modelos de riesgo adecuados.

La presente obra ha sido desarrollada con el fin de orientar a responsables y encargados del tratamiento hacia un cumplimiento real de la Ley Orgánica de Protección de Datos Personales (LOPDP), de una manera escalable. Consecuentemente, se establecen principios fundamentales para la gestión de riesgos y se exponen diversos métodos cuantitativos y cualitativos que pueden ser adaptados a las diferentes circunstancias de los responsables y encargados del tratamiento.

Los métodos expuestos para la evaluación de impacto del tratamiento de datos personales se fundamentan en la elaboración de escenarios de riesgos reales que pueden vulnerar los derechos y libertades de los titulares de datos personales.

La Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales tiene el agrado de presentar la "Guía de gestión de riesgos y evaluación de impacto del tratamiento de datos personales – Versión 1" . Este documento fue elaborado por Luis Enríquez, Intendente General de Innovación Tecnológica y Seguridad de Datos Personales, y editado por Vanessa Hervás, asesora de la SPDP, bajo el liderazgo del Superintendente de Protección de Datos Personales, Fabrizio Peralta-Díaz.

ii

Artículo 1

1. Fundamentos

Contenido del artículo 1.

Artículo 1

2. Objetivo

Contenido del artículo 1.

Artículo 1

3. Etapas

Contenido del artículo 1.

Artículo 1

1. Criterios de evaluación de riesgos para la protección de derechos y libertades

Contenido del artículo 1.

Artículo 1

2. Criterios cualitativos de impacto

Contenido del artículo 1.

Artículo 1

3. Criterios cuantitativos de impacto

Contenido del artículo 1.

Artículo 1

4. Criterios de la probabilidad de ocurrencia

Contenido del artículo 1.

Artículo 1

5. Integración en los criterios de evaluación de seguridad de la información

Contenido del artículo 1.

Artículo 1

6. Aceptación del riesgo.

Contenido del artículo 1.

Artículo 1

7. Integración entre el delegado de protección de datos y el departamento de seguridad de

Contenido del artículo 1.

Artículo 1

8. Integración entre el delegado de protección de datos y el departamento jurídico

Contenido del artículo 1.

Artículo 1

9. Integración entre el delegado de protección de datos y el departamento de gestión de

Contenido del artículo 1.

personales, esta guía propone ahondar en el análisis de riesgos del tratamiento de datos personales; y, en una visión holística y multidimensional del riesgo.

4.2. Etapas previas. La evaluación de impacto del tratamiento de datos personales debe ser el resultado del establecimiento del contexto, de la identificación y del análisis de riesgos de protección de datos personales. Es importante considerar que la principal finalidad es evaluar el impacto que pueden tener los titulares de datos en sus derechos y libertades, debido al tratamiento de sus datos personales. No obstante, no es posible evaluar de manera eficaz y eficiente el impacto, si no se han construido los criterios de evaluación de riesgos, si no se han identificado riesgos jurídicos, organizacionales y técnicos y si no se han analizado los riesgos en función de su probabilidad o frecuencia de ocurrencia e impacto. Esto ha generado confusiones, pues la palabra "Assessment " [21] en inglés incluye la identificación, análisis y evaluación de riesgos y no tiene una traducción exacta al español. Por otro lado, el impacto es solo una dimensión del riesgo. Si bien la idea es estimar el impacto en los derechos y libertades de los titulares de datos, no es realista prescindir de la dimensión de la probabilidad

• frecuencia de ocurrencia, pues siempre está presente.

Es obligatorio que la evaluación de impacto del tratamiento de datos personales sea tratada como una gestión de riesgos para reducir la incertidumbre y tomar decisiones informadas para la protección de los derechos y libertades de los titulares de datos; y, no simplemente, una lista chequeo en la que se procede a evaluar riesgos sin ningún sustento. Esta deberá ser el resultado al menos los siguientes pasos:

20 Para expandir su conocimiento en la necesidad de mejorar los PIA, se recomienda leer el siguiente artículo: Shapiro S. (2021), Time to Modernize Privacy Impact Assessment, en Issues in Science and Technology, Vol.38, No.1, pp. 19-22. 21 Se recomienda revisar el estándar ISO/IEC 27005:2022, cláusula 5.1.

56

Contenidos: Evaluación de impacto del tratamiento de datos personales

• Establecer los criterios de evaluación de riesgos para la protección de los

derechos y libertades de los titulares.

• Una descripción de los procesos que implican tratamiento de datos personales.

• La identificación de los tipos de datos personales tratados.

• Los activos de los cuales dependen los datos personales.

• Elaborar escenarios de riesgo.

• Los mecanismos para el ejercicio de los derechos por parte de los titulares de

los datos.

• El perfilamiento de amenazas.

• La identificación de vulnerabilidades jurídicas, organizacionales y técnicas.

• El análisis de riesgos en función de su probabilidad o frecuencia de ocurrencia

y de su impacto en cada escenario de riesgo.

• La calibración del impacto en función del impacto mayor que pueden sufrir

ciertos grupos especialmente vulnerables de titulares de los datos.

• La evaluación de impacto de cada escenario de riesgo.

• Las medidas de tratamiento para reducir el nivel del riesgo evaluado.

4.3. Contenidos. La evaluación de riesgos contendrá fundamentalmente los niveles de riesgo obtenidos, comparados a los criterios de evaluación del riesgo. No existe un estilo definido, pero hay que tener mucho cuidado en visualizar el nivel del riesgo como un producto, pues no es lo mismo una gestión de riesgos para la protección de activos, que una gestión de riesgos para la protección de derechos y libertades. Es común pensar en el valor del riesgo (R) como un producto de la probabilidad de ocurrencia (P) multiplicado por el impacto (I). Formula R= PI. No obstante, esto puede ofuscar el valor real del impacto, considerando que estamos protegiendo derechos, no activos. Si bien se puede agregar el porcentaje de vulnerabilidad (V) que tienen grupos especialmente vulnerables de titulares de datos implementando la fórmula: R = (P) (I * V), en ciertos escenarios de riesgo, multiplicar las dimensiones del riesgo puede ofuscar la claridad de la información obtenida en el análisis de riesgos así como sus rationales. Sin embargo, otra opción es más bien utilizar registros de evaluación de riesgos que mantengan los resultados de ambas dimensiones del riesgo.

Se puede implementar una lista de los artículos de la LOPDP y sus niveles de riesgo, una modalidad de cuestionario en donde se incluyan preguntas ilustrativas relacionadas con las obligaciones establecidas en la LOPDP, curvas de exceso de pérdidas en caso de análisis cuantitativo, histogramas y cualquier otra que sea de utilidad para comunicar los niveles de

57

riesgo. A partir de ello, es importante priorizar los riesgos, lo cual involucra un proceso de toma de decisiones informadas, gracias a haber realizado una gestión de riesgos eficiente y eficaz.

El siguiente ejemplo muestra la evaluación de riesgos cualitativa, considerando los criterios de evaluación de riesgos previamente establecidos y los resultados del análisis de riesgos. Este ejemplo está enfocado en la evaluación del impacto en los derechos y libertades de los titulares de datos y utiliza varios de los artículos de la LOPDP. Consecuentemente, el criterio de aceptación de riesgo no aplica, pues el cumplimiento es al 100 %:

CRITERIOS DE EVALUACIÓN DEL IMPACTO Y DE LA PROBABILIDAD Y FRECUENCIA DE OCURRENCIA (CUALITATIVO):

58

EVALUACIÓN DE RIESGOS (CUALITATIVO)

Riesgos jurídicos por vulneración de derechos y libertades de los titulares de datos

|ARTÍCULO|PROBABILIDAD DE<br>OCURRENCIA|IMPACTO TITULARES<br>PROMEDIO|IMPACTO<br>GRUPOS MAS<br>VULNERABLES| |---|---|---|---| |Art. 7. Tratamiento<br>legítimo de datos<br>personales|Poco probable|Medio|Alto| |Art. 10 (c) Transparencia|Poco probable|Alto|Muy alto| |Art. 10 (d) Finalidad|Poco probable|Bajo|Medio| |Art. 10 (e) Pertinencia y<br>minimización de datos<br>personales|Probable|Medio|Alto| |Art. 10 (i) Conservación|Muy probable|Medio|Alto| |Art. 12. Derecho a la<br>información|Poco probable|Alto|Muy alto| |Art. 13. Derecho de<br>acceso|Poco probable|Bajo|Medio| |Art. 14. Derecho de<br>rectificación y<br>actualización|Insignificante|Muy Bajo|Bajo| |Art. 15. Derecho de<br>eliminación|Probable|Alto|Muy alto| |Art. 16. Derecho de<br>oposición|Poco probable|Medio|Alto| |Art. 17. Derecho a la<br>portabilidad|Insignificante|Bajo|Medio| |Art. 20. Derecho a no ser<br>objeto de una decisión<br>basada única o|Poco probable|Alto|Muy alto|

59

|parcialmente en<br>valoraciones<br>automatizadas|Col2|Col3|Col4| |---|---|---|---| |Art. 55. Transferencia o<br>comunicación<br>internacional de datos<br>personales|Poco probable|Medio|Alto|

Riesgos operacionales de seguridad de datos personales (confidencialidad)

|ARTÍCULO|PROBABILIDAD DE<br>OCURRENCIA|IMPACTO TITULARES<br>PROMEDIO|IMPACTO GRUPOS<br>MÁS<br>VULNERABLES| |---|---|---|---| |Art. 37. Seguridad<br>de datos personales|<br>Probable|Alto|Muy alto|

Riesgos operacionales de seguridad de datos personales (integridad)

|ARTÍCULO|PROBABILIDAD DE<br>OCURRENCIA|IMPACTO TITULARES<br>PROMEDIO|IMPACTO GRUPOS<br>MÁS<br>VULNERABLES| |---|---|---|---| |Art. 37, art. 10 (j).<br>Seguridad de datos<br>personales|Poco probable|Medio|Alto|

Riesgos operacionales de seguridad de datos personales (disponibilidad)

|ARTÍCULO|PROBABILIDAD DE<br>OCURRENCIA|IMPACTO TITULARES<br>PROMEDIO|IMPACTO GRUPOS<br>MÁS<br>VULNERABLES| |---|---|---|---| |Art. 37, art. 10 (j).<br>Seguridad de datos<br>personales|Probable|Medio|Alto|

Gracias a este registro de evaluación de riesgos es posible priorizar los riesgos que deben ser mitigados. Los criterios de evaluación del impacto están calibrados de acuerdo con dos criterios: el tipo de datos personales y el nivel de vulnerabilidad de los titulares de los datos. Esto fue planteado así por cuanto el cumplimiento en derechos es al 100%. La única opción de mitigación sería dejar de tratar ciertos tipos de datos de mayor riesgo o no tratar datos de grupos especialmente vulnerables.

Sin embargo, los criterios de evaluación de probabilidad de ocurrencia sí tienen un criterio de aceptación al riesgo ubicado en el nivel "poco probable". Esto quiere decir, que se tendrán que mitigar los niveles que sobrepasen este criterio y priorizarlos de acuerdo con su nivel. Es recomendable incluir los rationales de cada riesgo en esta lista de riesgos a mitigar:

60

|ARTÍCULO|PROBABILIDAD DE<br>OCURRENCIA|IMPACTO<br>TITULARES<br>PROMEDIO|IMPACTO GRUPOS<br>MÁS<br>VULNERABLES| |---|---|---|---| |Art. 10(e). Pertinencia y<br>minimización de datos<br>personales|Probable|Medio|Alto| |Art. 10(i). Conservación|Muy probable|Medio|Alto| |Art. 15. Derecho de<br>eliminación|Probable|Alto|Muy alto| |Art. 37. Seguridad de datos<br>personales<br>(CONFIDENCIALIDAD)|Probable|Alto|Muy alto| |Art. 37, art. 10 (j). Seguridad<br>de datos personales<br>(DISPONIBILIDAD)|<br>Probable|Medio|Alto|

Con esta información, los responsables y encargados del tratamiento pueden pasar a la fase de tratamiento de riesgos de manera informada, priorizando estos riesgos como resultado de las respectivas auditorias jurídicas, organizacionales y técnicas. No hay que olvidar que la gestión de riesgos es fundamental para poder tomar decisiones informadas. Pero la toma de decisiones podría considerarse como un arte; y, a la final, dependerá de los objetivos, de la voluntad y del presupuesto de cada responsable y encargado del tratamiento en particular.

Por un lado, una ventaja de la evaluación de riesgos cualitativa es que es relativamente más fácil de comprender para el usuario no entrenado. No obstante, una desventaja de la evaluación de riesgos cualitativa es que no está vinculada directamente el valor del riesgo en caso de materializarse. Si bien es aún poco usual el realizar un análisis y evaluación de riesgos cuantitativa en riesgos primordialmente de cumplimiento jurídico, es mucho más utilizada en los riesgos operacionales como los de la seguridad de la información. Hay opciones para implementarlo, algunas fundamentadas en una lógica del Valor al Riesgo de Datos Personales (Pd-VaR) que ya fueron presentadas anteriormente.

La primera consiste en evaluar el valor al riesgo fundamentado en el análisis jurimétrico de sanciones administrativas ya existentes; esto, bajo la lógica de que las autoridades de protección de datos y los jueces son quienes cuantifican el impacto en los derechos y libertades de los titulares de datos [22] . Esta alternativa es funcional, pero depende de la eficacia y eficiencia de la autoridad de protección de datos personales en la cuantificación de las sanciones.

La segunda consiste en estimar el impacto material utilizando métodos estadísticos y probabilísticos con el fin de calibrar el promedio del impacto que pueden sufrir los titulares de los datos ante una vulneración de sus derechos. Esta alternativa, bien implementada,

22 Para expandir sus conocimientos en jurimetría y analítica predictiva legal, se recomiendan los siguientes trabajos: Aletras, N., Lampos, V. (2016). Predicting judicial decisions of the European Court of Human Rights: A Natural Language Processing Perspective, Pee J. Computer Science 2, e93, 1-19. Katz, D., et al . (2017). A General Approach for Predicting the Behavior of the Supreme Court of the United States, arXiv:1612.03473

[physics.soc-ph], pp.1-15. Enriquez, L. (2024). Personal data Breaches: towards a deep integration between information security risks and GDPR compliance risks, Université de Lille, Francia. Ashley K. (2017), Artificial Intelligence and Legal Analytics: New Tools for Law Practice in the Digital Age, Cambridge University Press, Reino Unido.

61

puede tener grados altos de acierto; sin embargo, corre el riesgo de que las autoridades de protección de datos y jueces cuantifiquen el impacto de las vulneraciones de derechos y libertades de otra manera.

En el ámbito de la probabilidad o frecuencia de ocurrencia en áreas de riesgos operacionales como la seguridad de la información, es mejor utilizar frecuencia de ocurrencia, por cuanto es más común que haya varios incidentes en un lapso determinado. Por ejemplo, una violación de consentimiento será reconocida como tal únicamente cuando la SPDP la sancione. En cambio, pueden existir varios incidentes de vulneración a la seguridad de datos, al margen de que sean sancionados o no por la SPDP.

Por lo tanto, en una evaluación cuantitativa de riesgos, en ciertos casos puede resultar más adecuado emplear criterios basados en la frecuencia de ocurrencia.

El siguiente ejemplo muestra el ejemplo anterior, pero con criterios de evaluación cuantitativos en cuanto al impacto, a la probabilidad de ocurrencia para riesgos de cumplimiento primordialmente jurídicos; y, a la frecuencia de ocurrencia para riesgos operacionales de seguridad de datos:

CRITERIOS DE EVALUACIÓN DE RIESGOS (IMPACTO)

62

CRITERIOS DE EVALUACIÓN DE RIESGOS (PROBABILIDAD DE OCURRENCIA EN RIESGOS PRIMORDIALMENTE DE CUMPLIMIENTO JURÍDICO)

CRITERIOS DE EVALUACIÓN DE RIESGOS (FRECUENCIA DE OCURRENCIA EN RIESGOS DE SEGURIDAD DE DATOS)

63

EVALUACIÓN CUANTITATIVA DE RIESGOS

Riesgos jurídicos por vulneración de derechos y libertades de los titulares de datos

|ARTÍCULO|PROBABILIDAD DE<br>OCURRENCIA|IMPACTO TITULARES<br>PROMEDIO|IMPACTO<br>GRUPOS MÁS<br>VULNERABLES| |---|---|---|---| |Art. 7. Tratamiento<br>legítimo de datos<br>personales|Mínimo: 0.01<br>Más probable: 0.04<br>Máximo: 0.09|Mínimo: $5 000<br>Más probable: $14 000<br>Máximo: $22 000|Mínimo: $20 000<br>Más probable:<br>$30 000<br>Máximo: $50 000| |Art. 10(c). Transparencia|Mínimo: 0.02<br>Más probable: 0.06<br>Máximo: 0.2|Mínimo: $32 000<br>Más probable: $60 000<br>Máximo: $90 000|Mínimo: $90 000<br>Más probable:<br>$110 000<br>Máximo: $180 000| |Art. 10(d). Finalidad|Mínimo: 0.005<br>Más probable: 0.03<br>Máximo: 0.08<br>|Mínimo: $1 000<br>Más probable: $7 000<br>Máximo: $12 000|Mínimo: $5 000<br>Más probable: $12<br>000<br>Máximo: $19 000| |Art. 10(e). Pertinencia y<br>minimización de datos<br>personales|Mínimo: 0.1<br>Más probable: 0.22<br>Máximo: 0.3<br>|Mínimo: $8 000<br>Más probable: $13 000<br>Máximo: $18 000|Mínimo: $16 000<br>Más probable:<br>$34 000<br>Máximo: $60 000| |Art. 10(i). Conservación|Mínimo: 0.35<br>Más probable: 0.6<br>Máximo: 0.85<br>|Mínimo: $8000<br>Más probable: $15 000<br>Máximo: $22 000|Mínimo: $17 000<br>Más probable: $34<br>000<br>Máximo: $42 000| |Art. 12. Derecho a la<br>información|Mínimo: 0.2<br>Más probable: 0.7<br>Máximo: 1|Mínimo: $18 000<br>Más probable: $40 000<br>Máximo: $80 000|Mínimo: $70 000<br>Más probable:<br>$105 000<br>Máximo: $150 000| |Art. 13. Derecho de<br>acceso|Mínimo: 0.02<br>Más probable: 0.07<br>Máximo: 0.1|Mínimo: $4 000<br>Más probable: $8 000<br>Máximo: $12 000|Mínimo: $7 000<br>Más probable:<br>$12 000<br>Máximo: $19 000| |Art. 14. Derecho de<br>rectificación y<br>actualización|Mínimo: 0<br>Más probable: 0.001<br>Máximo: 0.005|Mínimo: $100<br>Más probable: $500<br>Máximo: $800|Mínimo: $1 000<br>Más probable:<br>$2 000<br>Máximo: $4 000| |Art. 15. Derecho de<br>eliminación|Mínimo: 0.05<br>Más probable: 0.2<br>Máximo: 0.35|Mínimo: $25 000<br>Más probable: $50 000<br>Máximo: $80 000|Mínimo: $80 000<br>Más probable:<br>$120 000<br>Máximo: $180 000| |Art. 16. Derecho de<br>oposición|Mínimo: 0.05<br>Más probable: 0.08<br>Máximo: 1.2|Mínimo: $10 000<br>Más probable: $15 000<br>Máximo: $25 000|Mínimo: $20 000<br>Más probable:<br>$30 000<br>Máximo: $50 000| |Art. 17. Derecho a la<br>portabilidad|Mínimo: 0<br>Más probable: 0.005<br>Máximo: 0.008|Mínimo: $50<br>Más probable: $200<br>Máximo: $400|Mínimo: $800<br>Más probable:<br>$2 000<br>Máximo: $4 000| |Art. 20. Derecho a no ser|Mínimo: 0.001|Mínimo: $18 000|Mínimo: $80 000|

64

|objeto de una decisión<br>basada única o<br>parcialmente en<br>valoraciones<br>automatizadas|Más probable: 0.004<br>Máximo: 0.1|Más probable: $35 000<br>Máximo: $50 000|Más probable:<br>$180 000<br>Máximo: $300 000| |---|---|---|---| |Art. 55. Transferencia o<br>comunicación<br>internacional de datos<br>personales|Mínimo: 0.01<br>Más probable: 0.04<br>Máximo: 0.09|Mínimo: $12 000<br>Más probable: $18 000<br>Máximo: $30 000|Mínimo: $25 000<br>Más probable:<br>$50 000<br>Máximo: $80 000|

Riesgos operacionales de seguridad de datos personales (Confidencialidad)

|ARTÍCULO|FRECUENCIA ANUAL|IMPACTO TITULARES<br>PROMEDIO|IMPACTO GRUPOS<br>MÁS<br>VULNERABLES| |---|---|---|---| |Art. 37. Seguridad<br>de datos personales|<br>Mínimo: 1<br>Más probable: 6<br>Máximo: 11|Mínimo: $50 000<br>Más probable: $95 000<br>Máximo: $150 000|Mínimo: $120 000<br>Más probable:<br>$200 000<br>Máximo: $280 000|

Riesgos operacionales de seguridad de datos personales (Integridad)

|ARTÍCULO|FRECUENCIA ANUAL|IMPACTO TITULARES<br>PROMEDIO|IMPACTO GRUPOS<br>MÁS<br>VULNERABLES| |---|---|---|---| |Art. 37, art. 10 (j).<br>Seguridad de datos<br>personales|Mínimo: 0<br>Más probable: 2<br>Máximo: 5|Mínimo: $4 000<br>Más probable: $10 000<br>Máximo: $16 000|Mínimo: $18 000<br>Más probable: $40 000<br>Máximo: $70 000|

Riesgos operacionales de seguridad de datos personales (Disponibilidad)

|ARTÍCULO|FRECUENCIA ANUAL|IMPACTO TITULARES<br>PROMEDIO|IMPACTO GRUPOS<br>MÁS<br>VULNERABLES| |---|---|---|---| |Art. 37, art. 10 (j).<br>Seguridad de datos<br>personales|Mínimo: 2<br>Más probable: 8<br>Máximo: 13|Mínimo: $6 000<br>Más probable: $15 000<br>Máximo: $30 000|Mínimo: $25 000<br>Más probable: $60 000<br>Máximo: $100 000|

De igual manera, se procede a priorizar los riesgos en donde el nivel informativo del impacto ayudará a una inversión más informada en medidas de seguridad que se consideren necesarias. En conclusión, se recomienda a los responsables y encargados del tratamiento escoger la metodología de evaluación de riesgos que consideren más adecuada, adaptable, implementable; y, que cuenten con el conocimiento necesario, siempre y cuando cumplan con los principios fundamentales establecidos en esta guía.

65

Es común que bancos, seguros y empresas de seguridad de la información estén mucho más familiarizados con el análisis y la evaluación cuantitativa de riesgos, dado que realizan tratamiento de datos personales a gran escala y estimar el retorno a la inversión es prioritario. En cambio, es común que pymes o estudios jurídicos estén más familiarizados con el análisis y evaluación cualitativa de riesgos. El ANEXO contiene un tutorial práctico de evaluación de impacto del tratamiento de datos personales, con una metodología híbrida: cualitativa para riesgos de cumplimiento primordialmente jurídico y cuantitativa para riesgos operacionales como los de seguridad de la información.

4.4. Integración de resultados. Se recomienda que los resultados de la evaluación de impacto sean integrados de manera omnipresente en la gestión de riesgos jurídicos, operacionales y financieros de los responsables y encargados del tratamiento. Esto con el fin de cumplir de manera efectiva con el principio de protección de datos desde el diseño y por defecto; y, la reducción de riesgos para la protección de derechos y libertades en todos los procesos organizacionales.

4.5. Integración en una evaluación holística de riesgos. Con el objeto de realizar una mejor inversión en medidas de seguridad de protección de datos personales, la evaluación de impacto realizada desde un enfoque de protección de los derechos y libertades de los titulares debe ser integrada en la práctica con la evaluación de riesgos de seguridad de la información. Esto por cuanto los riesgos de seguridad de la información y los riesgos jurídicos de conformidad a la LOPDP son interdependientes.

66

personales. pág. 75

v

-------------------------------

• Vulnerabilidad: El departamento jurídico de la empresa MalaKompra S.A no

realiza los debidos controles de cada finalidad del tratamiento de manera periódica.

• Rationale: La política de protección de datos personales no incluye esta

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (70%)

82

• Rationale: El equipo de auditoría utilizó el método Delphi para promediar las

-------------------------------

• Impacto: El derecho a la información de los titulares de datos es vulnerado,

pues ellos no conocen que sus datos serán utilizados en marketing digital. Esto puede producir vulneraciones de la confidencialidad de sus datos.

• Rationale: El equipo de auditoría determinó que los datos utilizados para

campañas de marketing digital son datos simples, comportamentales y financieros de personas promedio. Sin embargo, vulnera los derechos de al

Evaluación del impacto

• Titulares promedio: Alto.

• Titulares especialmente vulnerables: Muy Alto.

Tratamiento del riesgo

Agregar esta finalidad del tratamiento a la política de protección de datos.

2.2. Riesgo de no cumplir con el tratamiento legítimo de datos personales

Concordancia: Art. 7 LOPDP.

Identificación del riesgo

¿Cuáles son las causales que hacen que el tratamiento sea legal?

La empresa MalaKompra S.A. justifica su base legal por el consentimiento obtenido de los titulares de datos y por su interés legítimo para utilizar los datos en campañas de marketing por cuanto es para el beneficio de sus clientes. No obstante, esta justificación no tiene proporcionalidad y por tanto puede vulnerar los derechos de los titulares de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento,

la empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al adoptar una interpretación abusiva del interés legítimo.

83

• Rationale: El interés legítimo debe ser proporcional y de ninguna manera

utilizarse como un mecanismo que sea manipulado para los intereses del

-------------------------------

• Vulnerabilidad: La empresa MalaKompra S.A. no cuenta con abogados

especializados en protección de datos personales.

• Rationale: La auditoría informó que hay un bajo nivel de preparación del área

jurídica del responsable del tratamiento en temas de protección de datos

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Inminente (90%).

• Rationale: El equipo de auditoría utilizó el modelo Delphi para promediar las

-------------------------------

• Impacto: El derecho de confidencialidad de los titulares de datos es

vulnerado, pues ellos no conocen que sus datos serán utilizados en marketing digital. Esto puede producir vulneraciones de la confidencialidad de sus datos.

• Rationale: El equipo de auditoría establece que no se puede realizar el

tratamiento de datos personales sin una base legal que justifique el tratamiento. Utilizar sus datos para marketing digital equivale a vulnerar el derecho de protección de datos personales de todos los clientes (agregar

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Eliminar el interés legítimo como base legal para realizar el tratamiento de datos con propósitos de marketing. En su lugar, incluir una forma específica en la aplicación web en la cual, inequívocamente, el titular de datos da el consentimiento para el tratamiento de sus datos con propósitos de marketing.

84

2.3. Riesgo no cumplir con las condiciones del consentimiento

Concordancia: Art. 8 LOPDP.

Identificación del riesgo

¿Cómo se obtiene el consentimiento de los interesados?

Se lo obtiene en la URL: https://malakompra.ec/signup y en persona en la matriz y sucursales de la empresa.

¿Es el consentimiento legítimo y lícito?

El consentimiento para el tratamiento de datos de la salud podría no cumplir con ser legítimo y lícito, por cuanto ofrecer dinero a cambio puede ser un mecanismo para aprovecharse de grupos vulnerables por condiciones de pobreza.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos que entreguen sus datos de la salud.

• Rationale: La auditoría jurídica realizada ha concluido que el consentimiento para

el tratamiento de datos de la salud a cambio de beneficios económicos no es transparente, por cuanto no se informa a los titulares de datos los fines del tratamiento de sus datos de la salud. Por ello, no se trata de un consentimiento informado (agregar

-------------------------------

• Vulnerabilidad: La empresa Ventas online no cuenta con abogados especializados en

protección de datos personales.

• Rationale: La auditoría informó que hay un bajo nivel de preparación del área jurídica

del responsable del tratamiento en temas de protección de datos personales (agregar

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (50%)

• Rationale: El equipo de auditoria realizó un análisis de la posición de la SPDP

con respecto al impacto de grupos especialmente vulnerables y ha calibrado las opiniones de cinco expertos utilizando el modelo Lens (agregar respaldo

-------------------------------

85

• Impacto: Los datos de la salud son datos sensibles, produciendo un elevado

impacto en grupos especialmente vulnerables de titulares de datos. Su mal uso puede afectar sus derechos al trabajo, su derecho a la salud, entre otros.

• Rationale: Se utilizó un método estadístico para verificar la empleabilidad de

personas con enfermedades en el mercado laboral ecuatoriano (agregar

Evaluación del impacto

Titulares promedio: Muy alto.

Titulares especialmente vulnerables: Muy alto.

Tratamiento del riesgo

Informar de manera adecuada y eficiente a los titulares de los datos acerca de los fines del tratamiento de sus datos de la salud, de las medidas de seguridad que estos tendrán; y, del impacto que puede tener la divulgación de estos datos en el mercado laboral, así como el impacto en el potencial costo de coberturas de seguros médicos, entre otros afines. Asimismo, informar con un lenguaje comprensible y darles el tiempo necesario para comprender los riesgos del tratamiento de sus datos de la salud.

2.4. Riesgo de guardar los datos personales de manera excesiva

Concordancia: Art. 10 (I) de la LOPDP.

¿Cuál es la duración de almacenamiento de los datos?

Los datos son conservados por dos meses posteriores a haber cumplido con las finalidades del tratamiento.

¿Qué método se utiliza para borrar los datos de manera segura?

Se utilizan sistema de sobre escritura de caracteres. Para el borrado de dispositivos de almacenamiento se utiliza el Estándar NIST SP 800-88.

Identificación del riesgo

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al conservar los datos de manera indefinida y al no utilizar mecanismos de borrado seguro.

86

• Rationale: Los auditores identificaron que la empresa conserva los datos y metadatos

de manera indefinida en los backups . Por tanto, no cumple con lo establecido en su

-------------------------------

• Vulnerabilidad: Las políticas de seguridad de la información; y, en particular, el plan

de Continuidad de actividades ( Business Continuity Plan ) no ha sido adaptado a las obligaciones de la LOPDP. La falta de comunicación entre el DPD y el CISO es una vulnerabilidad organizacional.

• Rationale: El equipo de auditoría de seguridad organizacional encontró esta

vulnerabilidad en las políticas de seguridad de la información y solicitó revisar los backups constatando que los datos no eran borrados de los discos duros utilizados

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (70%)

• Rationale: Los auditores de seguridad organizacional encontraron que alrededor del

60% de los datos personales tratados se conservan en los backups de manera

-------------------------------

• Impacto: La consecuencia para los titulares de datos es el aumento del riesgo de una

vulneración de la confidencialidad de los datos personales. Con ello, se pueden vulnerar su derecho a la protección de datos personales y otros derechos como impacto secundario.

• Rationale: Los auditores constataron que los datos personales que constan en los

backups son simples, comportamentales, financieros y sensibles (agregar respaldo en

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Mejorar el plan de continuidad de actividades incorporando un proceso para borrar datos personales de los backups . Implementar y cumplir con un borrado seguro en el que se sobreescriba cada sector. Se recomiendan seguir los procesos de los estándares DoD 5220.22, o el NIST 800-88.

87

2.4. Riesgo de no cumplir con el principio de pertinencia y minimización de datos

Concordancia: Art. 10 (e) LOPDP.

Identificación del riesgo

¿Los datos recopilados son adecuados, relevantes y limitados a lo que es necesario en relación con los fines para los que se procesan ('minimización de datos')?

Los datos recolectados son biográficos, de contacto, geolocalización, preferencias, financieros y datos sensibles de la salud en alrededor del 25% de titulares de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento,

la empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al recopilar datos de manera excesiva y al no tener ninguna pertinencia para el tratamiento de datos necesario.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes para auditar que datos personales eran requeridos al abrir una cuenta. Se identificó que se están recopilando datos biográficos (nombres, apellidos y edad) acerca de los hijos de los clientes al abrir cuentas, en la página web: https://malakompra.ec/signup. (agregar respaldo en

-------------------------------

• Vulnerabilidad: Los formularios los hace el webmaster, sin ningún control de

la Dirección Jurídica.

• Rationale: El equipo de auditores jurídicos identificó que no hay

procedimientos internos para auditar el desarrollo de formularios que

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (75%)

• Rationale: Tres de los cuatro expertos consideraron que los datos personales

-------------------------------

• Impacto: Los datos personales de menores de edad son datos sensibles. El

impacto primario es vulnerar el derecho a la confidencialidad de sus datos personales. El impacto secundario es exponerlos a riesgos de seguridad en un país con altos índices de delincuencia.

88

• Rationale: Estadísticas de extorsiones y secuestros en el Ecuador (agregar

Evaluación del impacto

Titulares promedio: Alto. Titulares especialmente vulnerables: Muy alto.

Tratamiento del riesgo

Elaborar un proceso en el cual la dirección jurídica deba revisar y aprobar los formularios desarrollados por la dirección de tecnologías de la información; eliminar los datos de menores de edad de los formularios pertinentes y borrar todos los datos personales de edad que ya hayan sido recopilados y almacenados.

2.5. Riesgo de no cumplir con los derechos de acceso y portabilidad de datos

Concordancia: Art. 13 LOPDP.

Identificación del riesgo

¿Qué métodos se utilizan para garantizar el acceso de los titulares a sus datos personales?

Los titulares de datos tienen acceso directo y permisos de edición de todos los datos que generen en su espacio web. Para los datos y metadatos que estén fuera del control del titular de datos, se puede enviar un correo electrónico a derechos@malkompra.ec.

¿Qué métodos se utilizan para garantizar el derecho a la portabilidad de datos?

Los titulares de datos podrán ejercer su derecho de portabilidad de datos escribiendo a derechos@malakompra.ec. Los datos serán entregados en formato pdf y/o csv de acuerdo con el tipo de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al no proporcionar mecanismos para ejercer el derecho de acceso y el derecho de portabilidad de datos a los titulares de datos.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes para auditar los mecanismos implementados para el ejercicio de

89

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada. El

equipo jurídico abrió cuentas como clientes y verificó el control sobre toda su información propia generada en menos de diez días. Además, solicitó todos sus datos personales en un formato estandarizado, recibiendo respuesta también en un plazo razonable, con un enlace de descarga de un archivo en formato PDF (agregar respaldo

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Dos solicitudes se cumplieron en cinco días. Una solicitud se cumplió en seis días. Los expertos concluyeron una eficiencia del 95%

-------------------------------

• Impacto: El impacto puede generar una vulneración de disponibilidad de los

datos personales de los titulares, ocasionando además la vulneración de su derecho a la protección de datos personales y pérdidas financieras debido a la falta de acceso.

• Rationale: El equipo de auditores estimó que el impacto es importante, pero

influye que la empresa tiene mecanismos que funcionan (agregar respaldo en

Evaluación del impacto

Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.6. Riesgo de no cumplir con el derecho de rectificación y actualización

Concordancia: Art. 14 LOPDP.

90

Identificación del riesgo

¿Cómo pueden los interesados ejercer sus derechos de rectificación y actualización?

Los titulares de datos tienen los privilegios correspondientes para rectificar y actualizar todos los datos que generen en su espacio web. Para rectificar y actualizar los datos y metadatos que estén fuera del control del titular de datos, se puede enviar un correo electrónico a derechos@malakompra.ec.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de rectificación y actualización los titulares de datos al no proporcionar mecanismos para su ejercicio.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes, para auditar los mecanismos implementados para el ejercicio de los derechos de rectificación y actualización (agregar respaldo en

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada.

El equipo jurídico abrió cuenta como clientes y verificó el control sobre toda su información propia generada. Además, pudo rectificar y actualizar otros datos personales sin permiso de edición, recibiendo respuesta también en un

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Las solicitudes se cumplieron en tres días. Una solicitud se cumplió en seis días. Los expertos estimaron una eficiencia del 98% (agregar respaldo

-------------------------------

• Impacto: El impacto puede generar una vulneración de integridad de los datos

personales de los titulares, ocasionando además la vulneración de su derecho a la protección de datos personales; y, pueden vulnerarse otros derechos y libertades debido a no poder rectificar su información.

91

• Rationale: El equipo de tres auditores estimó que el impacto es importante,

pero infiere que la empresa tiene mecanismos que funcionan (agregar

Evaluación del impacto

Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.7. Riesgo de no cumplir con el derecho de eliminación

Concordancia: Art. 15 LOPDP.

Identificación del riesgo

¿Cómo pueden los interesados ejercer su derecho de eliminación de datos?

Los titulares de datos pueden ejercer su derecho de eliminación de datos que ellos generen desde su propio espacio web. Sin embargo, los datos personales publicados en la sección “Prensa” no tienen un mecanismo para ser eliminados.

¿Qué método de borrado seguro es utilizado?

El responsable del tratamiento supuestamente utiliza herramientas basadas en el Estándar NIST 800-88.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al no proporcionarles mecanismos para ejercer el derecho de acceso de eliminación.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como potenciales

clientes para auditar los mecanismos implementados para el ejercicio del derecho de eliminación de datos. El equipo de auditores técnicos procedió a implementar una estrategia de file carving para verificar si los datos son borrados de manera segura

-------------------------------

• Vulnerabilidad: No hay mecanismos para ejercer el derecho de eliminación para los

datos de la salud. La empresa no cumple con un sistema de borrado seguro en sus dispositivos de almacenamiento.

92

• Rationale: El equipo de auditores jurídicos identificó que la dirección jurídica no

había considerado que dar beneficios financieros a sus clientes no presupone que la empresa se vuelva propietaria de esos datos de la salud, lo cual es ilegal a la luz de la LOPDP. Esto debido a la baja capacitación de la dirección jurídica en derecho de protección de datos personales. Además, el equipo de auditores técnicos procedió a extraer una copia de bit a bit de un disco duro de la empresa y utilizó la herramienta Data Extractor ; con lo cual, identificó que los datos personales no son eliminados de manera segura. Por ello, la segunda vulnerabilidad identificada es la negligencia del departamento de seguridad de la información al no implementar los mecanismos adecuados de borrado seguro en todos los dispositivos de almacenamiento (agregar

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (85%)

• Rationale: Hubo tres auditores jurídicos que calibraron a partir del método Delphi,

una probabilidad del 100%. Los dos auditores técnicos por su lado calibraron la probabilidad de ocurrencia en el 70%, con base en la aplicación del teorema de Bayes para calibrar la probabilidad condicional de tener una vulneración de seguridad de

-------------------------------

• Impacto: Los derechos y libertades de los titulares que entregan datos médicos están

siendo sistemáticamente vulnerados por parte del responsable del tratamiento. La confidencialidad de los datos personales de todos los titulares presenta un alto riesgo debido a la negligencia de no implementar métodos de borrado seguro.

• Rationale: Los auditores jurídicos estimaron, utilizando el método Delphi, con un

nivel de muy alto por tratarse de datos sensibles que afectan a más de 1 000 titulares, de acuerdo con lo establecido en los criterios de evaluación (agregar respaldo en

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

En primer lugar, es necesario implementar un mecanismo para que los titulares de datos de la salud puedan eliminar sus datos. En segundo lugar, se debe capacitar a la dirección jurídica en las obligaciones de conformidad a la LOPDP. En tercer lugar, es necesario cumplir con la implementación de mecanismos de borrado seguro que sobreescriban en la práctica, los sectores de los discos duros con varias capas de caracteres.

93

2.8. Riesgo de no cumplir con los derechos de oposición y suspensión del tratamiento

Concordancia: Arts. 16, 19 LOPDP.

Identificación del riesgo

¿Cómo pueden los interesados ejercer sus derechos de oposición y de suspensión?

Los titulares de datos pueden ejercer sus derechos de oposición y suspensión escribiendo al correo electrónico: derechos@malakompra.ec.

• Amenaza: La empresa MalaKompra S.A. puede vulnerar los derechos de los

titulares de datos al no proporcionarles mecanismos para ejercer los derechos de oposición y suspensión.

• Rationale: Considerando que la amenaza es el responsable del tratamiento, el

equipo de auditores jurídicos abrió cuentas como potenciales clientes, para auditar los mecanismos implementados para el ejercicio de los derechos de

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada.

El equipo de auditores jurídicos verificó que tres clientes escriban al correo electrónico derechos@malakompra.ec y sus pedidos fueron realizados en un

Análisis del riesgo

Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Se cumplió con ellos en el plazo establecido (agregar respaldo en

• Impacto: El impacto puede generar una vulneración de confidencialidad de

los datos personales de los titulares, ocasionando además de la vulneración de su derecho a la protección de datos personales, probables vulneraciones a otros derechos y libertades.

94

-------------------------------

• Rationale: Un equipo de cuatro auditores estimó que el impacto es

importante, pero intuye que la empresa tiene mecanismos que funcionan

Evaluación del impacto Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.9. Riesgo de que los encargados del tratamiento no cumplan con sus obligaciones

Concordancia: Arts. 34, 47 LOPDP.

Identificación del riesgo

¿Las obligaciones de los encargados del tratamiento están claramente identificadas y regidas por un contrato?

La empresa declara tener dos encargados del tratamiento: (1) DataKuy Ltd. Servicios de marketing digital. Empresa Ecuatoriana. (2) BestKloud: Servicios de nube Infrastructure as a Service (IaaS) en la nube. Empresa Estadounidense registrada en el Estado California. Ambos están regidos por contratos que contemplan la conformidad al reglamento General de Protección de Datos (UE) 2016/679. No obstante, hay la sospecha de si existe un tercer encargado del tratamiento no declarado en lo que concierne a los datos de la salud.

• Amenaza: La amenaza son los encargados del tratamiento que podrían

incumplir con la protección de los derechos y libertades de los titulares de datos, conforme a la LOPDP. El equipo auditor identifica que los datos de la salud recopilados están siendo entregados a la empresa de seguros médicos Asegúrate S.A. sin ningún contrato de protección de datos personales.

• Rationale: El equipo de auditores técnicos auditó los flujos de datos

personales y encontró un encargado del tratamiento no declarado,

-------------------------------

95

• Vulnerabilidades: El equipo de auditores identificó dos vulnerabilidades. En

primer lugar, el encargado del tratamiento DataKuy Ltd. no tiene políticas de seguridad de la información, poniendo en alto riesgo la seguridad de los datos personales encargados. La vulnerabilidad es la falta de debida diligencia de la dirección jurídica. En segundo lugar, la empresa AseguraTe S.A. no tiene un Convenio de protección de datos, y sin embargo está tratando los datos de la salud. La vulnerabilidad es la falta de capacitación de la dirección jurídica.

• Rationale: El equipo de auditores jurídicos procedió a auditar los convenios

de procesamiento de datos personales ( Data protection Agreements ). Además, solicitó a los auditores técnicos, auditar el flujo de datos desde la

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Inminente (95%)

• Rationale: Los auditores utilizaron un modelo de predicción conformal

inductiva ( inductive conformal prediction ), para establecer el rango de confianza en el cumplimiento de obligaciones de encargados del tratamiento

-------------------------------

• Impacto: Los derechos y libertades de los titulares están en muy alto riesgo,

debido a la falta de medidas de seguridad organizacional y técnica por parte de la empresa DataKuy LTD; y, por la falta de un Convenio de protección de datos con la empresa AseguraTe S.A.

• Rationale: Los auditores utilizaron el modelo de aprendizaje automático

supervisado Decision Trees para analizar el impacto de la falta de debida diligencia para contratar a los respectivos encargados del tratamiento como

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Se debe capacitar a la dirección jurídica en temas de convenios de protección de datos personales con los encargados de datos y para realizar la debida diligencia al escogerlos. También es necesario que el DPD asuma su rol de auditor de auditores, identificando a los encargados del tratamiento de manera adecuada y revisando el flujo de datos personales.

96

[ SE HAN PRESENTADO VARIOS ESCENARIOS DE RIESGO, PERO SIEMPRE SERÁ NECESARIO AUMENTAR LOS ESCENARIOS QUE SEAN PERTINENTES PARA LA SITUACIÓN PARTICULAR DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO]

-------------------------------

• Vulnerabilidad: El departamento jurídico de la empresa MalaKompra S.A no

realiza los debidos controles de cada finalidad del tratamiento de manera periódica.

• Rationale: La política de protección de datos personales no incluye esta

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (70%)

82

• Rationale: El equipo de auditoría utilizó el método Delphi para promediar las

-------------------------------

• Impacto: El derecho a la información de los titulares de datos es vulnerado,

pues ellos no conocen que sus datos serán utilizados en marketing digital. Esto puede producir vulneraciones de la confidencialidad de sus datos.

• Rationale: El equipo de auditoría determinó que los datos utilizados para

campañas de marketing digital son datos simples, comportamentales y financieros de personas promedio. Sin embargo, vulnera los derechos de al

Evaluación del impacto

• Titulares promedio: Alto.

• Titulares especialmente vulnerables: Muy Alto.

Tratamiento del riesgo

Agregar esta finalidad del tratamiento a la política de protección de datos.

2.2. Riesgo de no cumplir con el tratamiento legítimo de datos personales

Concordancia: Art. 7 LOPDP.

Identificación del riesgo

¿Cuáles son las causales que hacen que el tratamiento sea legal?

La empresa MalaKompra S.A. justifica su base legal por el consentimiento obtenido de los titulares de datos y por su interés legítimo para utilizar los datos en campañas de marketing por cuanto es para el beneficio de sus clientes. No obstante, esta justificación no tiene proporcionalidad y por tanto puede vulnerar los derechos de los titulares de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento,

la empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al adoptar una interpretación abusiva del interés legítimo.

83

• Rationale: El interés legítimo debe ser proporcional y de ninguna manera

utilizarse como un mecanismo que sea manipulado para los intereses del

-------------------------------

• Vulnerabilidad: La empresa MalaKompra S.A. no cuenta con abogados

especializados en protección de datos personales.

• Rationale: La auditoría informó que hay un bajo nivel de preparación del área

jurídica del responsable del tratamiento en temas de protección de datos

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Inminente (90%).

• Rationale: El equipo de auditoría utilizó el modelo Delphi para promediar las

-------------------------------

• Impacto: El derecho de confidencialidad de los titulares de datos es

vulnerado, pues ellos no conocen que sus datos serán utilizados en marketing digital. Esto puede producir vulneraciones de la confidencialidad de sus datos.

• Rationale: El equipo de auditoría establece que no se puede realizar el

tratamiento de datos personales sin una base legal que justifique el tratamiento. Utilizar sus datos para marketing digital equivale a vulnerar el derecho de protección de datos personales de todos los clientes (agregar

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Eliminar el interés legítimo como base legal para realizar el tratamiento de datos con propósitos de marketing. En su lugar, incluir una forma específica en la aplicación web en la cual, inequívocamente, el titular de datos da el consentimiento para el tratamiento de sus datos con propósitos de marketing.

84

2.3. Riesgo no cumplir con las condiciones del consentimiento

Concordancia: Art. 8 LOPDP.

Identificación del riesgo

¿Cómo se obtiene el consentimiento de los interesados?

Se lo obtiene en la URL: https://malakompra.ec/signup y en persona en la matriz y sucursales de la empresa.

¿Es el consentimiento legítimo y lícito?

El consentimiento para el tratamiento de datos de la salud podría no cumplir con ser legítimo y lícito, por cuanto ofrecer dinero a cambio puede ser un mecanismo para aprovecharse de grupos vulnerables por condiciones de pobreza.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos que entreguen sus datos de la salud.

• Rationale: La auditoría jurídica realizada ha concluido que el consentimiento para

el tratamiento de datos de la salud a cambio de beneficios económicos no es transparente, por cuanto no se informa a los titulares de datos los fines del tratamiento de sus datos de la salud. Por ello, no se trata de un consentimiento informado (agregar

-------------------------------

• Vulnerabilidad: La empresa Ventas online no cuenta con abogados especializados en

protección de datos personales.

• Rationale: La auditoría informó que hay un bajo nivel de preparación del área jurídica

del responsable del tratamiento en temas de protección de datos personales (agregar

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (50%)

• Rationale: El equipo de auditoria realizó un análisis de la posición de la SPDP

con respecto al impacto de grupos especialmente vulnerables y ha calibrado las opiniones de cinco expertos utilizando el modelo Lens (agregar respaldo

-------------------------------

85

• Impacto: Los datos de la salud son datos sensibles, produciendo un elevado

impacto en grupos especialmente vulnerables de titulares de datos. Su mal uso puede afectar sus derechos al trabajo, su derecho a la salud, entre otros.

• Rationale: Se utilizó un método estadístico para verificar la empleabilidad de

personas con enfermedades en el mercado laboral ecuatoriano (agregar

Evaluación del impacto

Titulares promedio: Muy alto.

Titulares especialmente vulnerables: Muy alto.

Tratamiento del riesgo

Informar de manera adecuada y eficiente a los titulares de los datos acerca de los fines del tratamiento de sus datos de la salud, de las medidas de seguridad que estos tendrán; y, del impacto que puede tener la divulgación de estos datos en el mercado laboral, así como el impacto en el potencial costo de coberturas de seguros médicos, entre otros afines. Asimismo, informar con un lenguaje comprensible y darles el tiempo necesario para comprender los riesgos del tratamiento de sus datos de la salud.

2.4. Riesgo de guardar los datos personales de manera excesiva

Concordancia: Art. 10 (I) de la LOPDP.

¿Cuál es la duración de almacenamiento de los datos?

Los datos son conservados por dos meses posteriores a haber cumplido con las finalidades del tratamiento.

¿Qué método se utiliza para borrar los datos de manera segura?

Se utilizan sistema de sobre escritura de caracteres. Para el borrado de dispositivos de almacenamiento se utiliza el Estándar NIST SP 800-88.

Identificación del riesgo

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al conservar los datos de manera indefinida y al no utilizar mecanismos de borrado seguro.

86

• Rationale: Los auditores identificaron que la empresa conserva los datos y metadatos

de manera indefinida en los backups . Por tanto, no cumple con lo establecido en su

-------------------------------

• Vulnerabilidad: Las políticas de seguridad de la información; y, en particular, el plan

de Continuidad de actividades ( Business Continuity Plan ) no ha sido adaptado a las obligaciones de la LOPDP. La falta de comunicación entre el DPD y el CISO es una vulnerabilidad organizacional.

• Rationale: El equipo de auditoría de seguridad organizacional encontró esta

vulnerabilidad en las políticas de seguridad de la información y solicitó revisar los backups constatando que los datos no eran borrados de los discos duros utilizados

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (70%)

• Rationale: Los auditores de seguridad organizacional encontraron que alrededor del

60% de los datos personales tratados se conservan en los backups de manera

-------------------------------

• Impacto: La consecuencia para los titulares de datos es el aumento del riesgo de una

vulneración de la confidencialidad de los datos personales. Con ello, se pueden vulnerar su derecho a la protección de datos personales y otros derechos como impacto secundario.

• Rationale: Los auditores constataron que los datos personales que constan en los

backups son simples, comportamentales, financieros y sensibles (agregar respaldo en

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Mejorar el plan de continuidad de actividades incorporando un proceso para borrar datos personales de los backups . Implementar y cumplir con un borrado seguro en el que se sobreescriba cada sector. Se recomiendan seguir los procesos de los estándares DoD 5220.22, o el NIST 800-88.

87

2.4. Riesgo de no cumplir con el principio de pertinencia y minimización de datos

Concordancia: Art. 10 (e) LOPDP.

Identificación del riesgo

¿Los datos recopilados son adecuados, relevantes y limitados a lo que es necesario en relación con los fines para los que se procesan ('minimización de datos')?

Los datos recolectados son biográficos, de contacto, geolocalización, preferencias, financieros y datos sensibles de la salud en alrededor del 25% de titulares de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento,

la empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al recopilar datos de manera excesiva y al no tener ninguna pertinencia para el tratamiento de datos necesario.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes para auditar que datos personales eran requeridos al abrir una cuenta. Se identificó que se están recopilando datos biográficos (nombres, apellidos y edad) acerca de los hijos de los clientes al abrir cuentas, en la página web: https://malakompra.ec/signup. (agregar respaldo en

-------------------------------

• Vulnerabilidad: Los formularios los hace el webmaster, sin ningún control de

la Dirección Jurídica.

• Rationale: El equipo de auditores jurídicos identificó que no hay

procedimientos internos para auditar el desarrollo de formularios que

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (75%)

• Rationale: Tres de los cuatro expertos consideraron que los datos personales

-------------------------------

• Impacto: Los datos personales de menores de edad son datos sensibles. El

impacto primario es vulnerar el derecho a la confidencialidad de sus datos personales. El impacto secundario es exponerlos a riesgos de seguridad en un país con altos índices de delincuencia.

88

• Rationale: Estadísticas de extorsiones y secuestros en el Ecuador (agregar

Evaluación del impacto

Titulares promedio: Alto. Titulares especialmente vulnerables: Muy alto.

Tratamiento del riesgo

Elaborar un proceso en el cual la dirección jurídica deba revisar y aprobar los formularios desarrollados por la dirección de tecnologías de la información; eliminar los datos de menores de edad de los formularios pertinentes y borrar todos los datos personales de edad que ya hayan sido recopilados y almacenados.

2.5. Riesgo de no cumplir con los derechos de acceso y portabilidad de datos

Concordancia: Art. 13 LOPDP.

Identificación del riesgo

¿Qué métodos se utilizan para garantizar el acceso de los titulares a sus datos personales?

Los titulares de datos tienen acceso directo y permisos de edición de todos los datos que generen en su espacio web. Para los datos y metadatos que estén fuera del control del titular de datos, se puede enviar un correo electrónico a derechos@malkompra.ec.

¿Qué métodos se utilizan para garantizar el derecho a la portabilidad de datos?

Los titulares de datos podrán ejercer su derecho de portabilidad de datos escribiendo a derechos@malakompra.ec. Los datos serán entregados en formato pdf y/o csv de acuerdo con el tipo de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al no proporcionar mecanismos para ejercer el derecho de acceso y el derecho de portabilidad de datos a los titulares de datos.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes para auditar los mecanismos implementados para el ejercicio de

89

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada. El

equipo jurídico abrió cuentas como clientes y verificó el control sobre toda su información propia generada en menos de diez días. Además, solicitó todos sus datos personales en un formato estandarizado, recibiendo respuesta también en un plazo razonable, con un enlace de descarga de un archivo en formato PDF (agregar respaldo

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Dos solicitudes se cumplieron en cinco días. Una solicitud se cumplió en seis días. Los expertos concluyeron una eficiencia del 95%

-------------------------------

• Impacto: El impacto puede generar una vulneración de disponibilidad de los

datos personales de los titulares, ocasionando además la vulneración de su derecho a la protección de datos personales y pérdidas financieras debido a la falta de acceso.

• Rationale: El equipo de auditores estimó que el impacto es importante, pero

influye que la empresa tiene mecanismos que funcionan (agregar respaldo en

Evaluación del impacto

Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.6. Riesgo de no cumplir con el derecho de rectificación y actualización

Concordancia: Art. 14 LOPDP.

90

Identificación del riesgo

¿Cómo pueden los interesados ejercer sus derechos de rectificación y actualización?

Los titulares de datos tienen los privilegios correspondientes para rectificar y actualizar todos los datos que generen en su espacio web. Para rectificar y actualizar los datos y metadatos que estén fuera del control del titular de datos, se puede enviar un correo electrónico a derechos@malakompra.ec.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de rectificación y actualización los titulares de datos al no proporcionar mecanismos para su ejercicio.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes, para auditar los mecanismos implementados para el ejercicio de los derechos de rectificación y actualización (agregar respaldo en

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada.

El equipo jurídico abrió cuenta como clientes y verificó el control sobre toda su información propia generada. Además, pudo rectificar y actualizar otros datos personales sin permiso de edición, recibiendo respuesta también en un

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Las solicitudes se cumplieron en tres días. Una solicitud se cumplió en seis días. Los expertos estimaron una eficiencia del 98% (agregar respaldo

-------------------------------

• Impacto: El impacto puede generar una vulneración de integridad de los datos

personales de los titulares, ocasionando además la vulneración de su derecho a la protección de datos personales; y, pueden vulnerarse otros derechos y libertades debido a no poder rectificar su información.

91

• Rationale: El equipo de tres auditores estimó que el impacto es importante,

pero infiere que la empresa tiene mecanismos que funcionan (agregar

Evaluación del impacto

Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.7. Riesgo de no cumplir con el derecho de eliminación

Concordancia: Art. 15 LOPDP.

Identificación del riesgo

¿Cómo pueden los interesados ejercer su derecho de eliminación de datos?

Los titulares de datos pueden ejercer su derecho de eliminación de datos que ellos generen desde su propio espacio web. Sin embargo, los datos personales publicados en la sección “Prensa” no tienen un mecanismo para ser eliminados.

¿Qué método de borrado seguro es utilizado?

El responsable del tratamiento supuestamente utiliza herramientas basadas en el Estándar NIST 800-88.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al no proporcionarles mecanismos para ejercer el derecho de acceso de eliminación.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como potenciales

clientes para auditar los mecanismos implementados para el ejercicio del derecho de eliminación de datos. El equipo de auditores técnicos procedió a implementar una estrategia de file carving para verificar si los datos son borrados de manera segura

-------------------------------

• Vulnerabilidad: No hay mecanismos para ejercer el derecho de eliminación para los

datos de la salud. La empresa no cumple con un sistema de borrado seguro en sus dispositivos de almacenamiento.

92

• Rationale: El equipo de auditores jurídicos identificó que la dirección jurídica no

había considerado que dar beneficios financieros a sus clientes no presupone que la empresa se vuelva propietaria de esos datos de la salud, lo cual es ilegal a la luz de la LOPDP. Esto debido a la baja capacitación de la dirección jurídica en derecho de protección de datos personales. Además, el equipo de auditores técnicos procedió a extraer una copia de bit a bit de un disco duro de la empresa y utilizó la herramienta Data Extractor ; con lo cual, identificó que los datos personales no son eliminados de manera segura. Por ello, la segunda vulnerabilidad identificada es la negligencia del departamento de seguridad de la información al no implementar los mecanismos adecuados de borrado seguro en todos los dispositivos de almacenamiento (agregar

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (85%)

• Rationale: Hubo tres auditores jurídicos que calibraron a partir del método Delphi,

una probabilidad del 100%. Los dos auditores técnicos por su lado calibraron la probabilidad de ocurrencia en el 70%, con base en la aplicación del teorema de Bayes para calibrar la probabilidad condicional de tener una vulneración de seguridad de

-------------------------------

• Impacto: Los derechos y libertades de los titulares que entregan datos médicos están

siendo sistemáticamente vulnerados por parte del responsable del tratamiento. La confidencialidad de los datos personales de todos los titulares presenta un alto riesgo debido a la negligencia de no implementar métodos de borrado seguro.

• Rationale: Los auditores jurídicos estimaron, utilizando el método Delphi, con un

nivel de muy alto por tratarse de datos sensibles que afectan a más de 1 000 titulares, de acuerdo con lo establecido en los criterios de evaluación (agregar respaldo en

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

En primer lugar, es necesario implementar un mecanismo para que los titulares de datos de la salud puedan eliminar sus datos. En segundo lugar, se debe capacitar a la dirección jurídica en las obligaciones de conformidad a la LOPDP. En tercer lugar, es necesario cumplir con la implementación de mecanismos de borrado seguro que sobreescriban en la práctica, los sectores de los discos duros con varias capas de caracteres.

93

2.8. Riesgo de no cumplir con los derechos de oposición y suspensión del tratamiento

Concordancia: Arts. 16, 19 LOPDP.

Identificación del riesgo

¿Cómo pueden los interesados ejercer sus derechos de oposición y de suspensión?

Los titulares de datos pueden ejercer sus derechos de oposición y suspensión escribiendo al correo electrónico: derechos@malakompra.ec.

• Amenaza: La empresa MalaKompra S.A. puede vulnerar los derechos de los

titulares de datos al no proporcionarles mecanismos para ejercer los derechos de oposición y suspensión.

• Rationale: Considerando que la amenaza es el responsable del tratamiento, el

equipo de auditores jurídicos abrió cuentas como potenciales clientes, para auditar los mecanismos implementados para el ejercicio de los derechos de

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada.

El equipo de auditores jurídicos verificó que tres clientes escriban al correo electrónico derechos@malakompra.ec y sus pedidos fueron realizados en un

Análisis del riesgo

Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Se cumplió con ellos en el plazo establecido (agregar respaldo en

• Impacto: El impacto puede generar una vulneración de confidencialidad de

los datos personales de los titulares, ocasionando además de la vulneración de su derecho a la protección de datos personales, probables vulneraciones a otros derechos y libertades.

94

-------------------------------

• Rationale: Un equipo de cuatro auditores estimó que el impacto es

importante, pero intuye que la empresa tiene mecanismos que funcionan

Evaluación del impacto Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.9. Riesgo de que los encargados del tratamiento no cumplan con sus obligaciones

Concordancia: Arts. 34, 47 LOPDP.

Identificación del riesgo

¿Las obligaciones de los encargados del tratamiento están claramente identificadas y regidas por un contrato?

La empresa declara tener dos encargados del tratamiento: (1) DataKuy Ltd. Servicios de marketing digital. Empresa Ecuatoriana. (2) BestKloud: Servicios de nube Infrastructure as a Service (IaaS) en la nube. Empresa Estadounidense registrada en el Estado California. Ambos están regidos por contratos que contemplan la conformidad al reglamento General de Protección de Datos (UE) 2016/679. No obstante, hay la sospecha de si existe un tercer encargado del tratamiento no declarado en lo que concierne a los datos de la salud.

• Amenaza: La amenaza son los encargados del tratamiento que podrían

incumplir con la protección de los derechos y libertades de los titulares de datos, conforme a la LOPDP. El equipo auditor identifica que los datos de la salud recopilados están siendo entregados a la empresa de seguros médicos Asegúrate S.A. sin ningún contrato de protección de datos personales.

• Rationale: El equipo de auditores técnicos auditó los flujos de datos

personales y encontró un encargado del tratamiento no declarado,

-------------------------------

95

• Vulnerabilidades: El equipo de auditores identificó dos vulnerabilidades. En

primer lugar, el encargado del tratamiento DataKuy Ltd. no tiene políticas de seguridad de la información, poniendo en alto riesgo la seguridad de los datos personales encargados. La vulnerabilidad es la falta de debida diligencia de la dirección jurídica. En segundo lugar, la empresa AseguraTe S.A. no tiene un Convenio de protección de datos, y sin embargo está tratando los datos de la salud. La vulnerabilidad es la falta de capacitación de la dirección jurídica.

• Rationale: El equipo de auditores jurídicos procedió a auditar los convenios

de procesamiento de datos personales ( Data protection Agreements ). Además, solicitó a los auditores técnicos, auditar el flujo de datos desde la

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Inminente (95%)

• Rationale: Los auditores utilizaron un modelo de predicción conformal

inductiva ( inductive conformal prediction ), para establecer el rango de confianza en el cumplimiento de obligaciones de encargados del tratamiento

-------------------------------

• Impacto: Los derechos y libertades de los titulares están en muy alto riesgo,

debido a la falta de medidas de seguridad organizacional y técnica por parte de la empresa DataKuy LTD; y, por la falta de un Convenio de protección de datos con la empresa AseguraTe S.A.

• Rationale: Los auditores utilizaron el modelo de aprendizaje automático

supervisado Decision Trees para analizar el impacto de la falta de debida diligencia para contratar a los respectivos encargados del tratamiento como

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Se debe capacitar a la dirección jurídica en temas de convenios de protección de datos personales con los encargados de datos y para realizar la debida diligencia al escogerlos. También es necesario que el DPD asuma su rol de auditor de auditores, identificando a los encargados del tratamiento de manera adecuada y revisando el flujo de datos personales.

96

[ SE HAN PRESENTADO VARIOS ESCENARIOS DE RIESGO, PERO SIEMPRE SERÁ NECESARIO AUMENTAR LOS ESCENARIOS QUE SEAN PERTINENTES PARA LA SITUACIÓN PARTICULAR DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO]

-------------------------------

• Vulnerabilidad: El departamento jurídico de la empresa MalaKompra S.A no

realiza los debidos controles de cada finalidad del tratamiento de manera periódica.

• Rationale: La política de protección de datos personales no incluye esta

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (70%)

82

• Rationale: El equipo de auditoría utilizó el método Delphi para promediar las

-------------------------------

• Impacto: El derecho a la información de los titulares de datos es vulnerado,

pues ellos no conocen que sus datos serán utilizados en marketing digital. Esto puede producir vulneraciones de la confidencialidad de sus datos.

• Rationale: El equipo de auditoría determinó que los datos utilizados para

campañas de marketing digital son datos simples, comportamentales y financieros de personas promedio. Sin embargo, vulnera los derechos de al

Evaluación del impacto

• Titulares promedio: Alto.

• Titulares especialmente vulnerables: Muy Alto.

Tratamiento del riesgo

Agregar esta finalidad del tratamiento a la política de protección de datos.

2.2. Riesgo de no cumplir con el tratamiento legítimo de datos personales

Concordancia: Art. 7 LOPDP.

Identificación del riesgo

¿Cuáles son las causales que hacen que el tratamiento sea legal?

La empresa MalaKompra S.A. justifica su base legal por el consentimiento obtenido de los titulares de datos y por su interés legítimo para utilizar los datos en campañas de marketing por cuanto es para el beneficio de sus clientes. No obstante, esta justificación no tiene proporcionalidad y por tanto puede vulnerar los derechos de los titulares de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento,

la empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al adoptar una interpretación abusiva del interés legítimo.

83

• Rationale: El interés legítimo debe ser proporcional y de ninguna manera

utilizarse como un mecanismo que sea manipulado para los intereses del

-------------------------------

• Vulnerabilidad: La empresa MalaKompra S.A. no cuenta con abogados

especializados en protección de datos personales.

• Rationale: La auditoría informó que hay un bajo nivel de preparación del área

jurídica del responsable del tratamiento en temas de protección de datos

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Inminente (90%).

• Rationale: El equipo de auditoría utilizó el modelo Delphi para promediar las

-------------------------------

• Impacto: El derecho de confidencialidad de los titulares de datos es

vulnerado, pues ellos no conocen que sus datos serán utilizados en marketing digital. Esto puede producir vulneraciones de la confidencialidad de sus datos.

• Rationale: El equipo de auditoría establece que no se puede realizar el

tratamiento de datos personales sin una base legal que justifique el tratamiento. Utilizar sus datos para marketing digital equivale a vulnerar el derecho de protección de datos personales de todos los clientes (agregar

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Eliminar el interés legítimo como base legal para realizar el tratamiento de datos con propósitos de marketing. En su lugar, incluir una forma específica en la aplicación web en la cual, inequívocamente, el titular de datos da el consentimiento para el tratamiento de sus datos con propósitos de marketing.

84

2.3. Riesgo no cumplir con las condiciones del consentimiento

Concordancia: Art. 8 LOPDP.

Identificación del riesgo

¿Cómo se obtiene el consentimiento de los interesados?

Se lo obtiene en la URL: https://malakompra.ec/signup y en persona en la matriz y sucursales de la empresa.

¿Es el consentimiento legítimo y lícito?

El consentimiento para el tratamiento de datos de la salud podría no cumplir con ser legítimo y lícito, por cuanto ofrecer dinero a cambio puede ser un mecanismo para aprovecharse de grupos vulnerables por condiciones de pobreza.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos que entreguen sus datos de la salud.

• Rationale: La auditoría jurídica realizada ha concluido que el consentimiento para

el tratamiento de datos de la salud a cambio de beneficios económicos no es transparente, por cuanto no se informa a los titulares de datos los fines del tratamiento de sus datos de la salud. Por ello, no se trata de un consentimiento informado (agregar

-------------------------------

• Vulnerabilidad: La empresa Ventas online no cuenta con abogados especializados en

protección de datos personales.

• Rationale: La auditoría informó que hay un bajo nivel de preparación del área jurídica

del responsable del tratamiento en temas de protección de datos personales (agregar

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (50%)

• Rationale: El equipo de auditoria realizó un análisis de la posición de la SPDP

con respecto al impacto de grupos especialmente vulnerables y ha calibrado las opiniones de cinco expertos utilizando el modelo Lens (agregar respaldo

-------------------------------

85

• Impacto: Los datos de la salud son datos sensibles, produciendo un elevado

impacto en grupos especialmente vulnerables de titulares de datos. Su mal uso puede afectar sus derechos al trabajo, su derecho a la salud, entre otros.

• Rationale: Se utilizó un método estadístico para verificar la empleabilidad de

personas con enfermedades en el mercado laboral ecuatoriano (agregar

Evaluación del impacto

Titulares promedio: Muy alto.

Titulares especialmente vulnerables: Muy alto.

Tratamiento del riesgo

Informar de manera adecuada y eficiente a los titulares de los datos acerca de los fines del tratamiento de sus datos de la salud, de las medidas de seguridad que estos tendrán; y, del impacto que puede tener la divulgación de estos datos en el mercado laboral, así como el impacto en el potencial costo de coberturas de seguros médicos, entre otros afines. Asimismo, informar con un lenguaje comprensible y darles el tiempo necesario para comprender los riesgos del tratamiento de sus datos de la salud.

2.4. Riesgo de guardar los datos personales de manera excesiva

Concordancia: Art. 10 (I) de la LOPDP.

¿Cuál es la duración de almacenamiento de los datos?

Los datos son conservados por dos meses posteriores a haber cumplido con las finalidades del tratamiento.

¿Qué método se utiliza para borrar los datos de manera segura?

Se utilizan sistema de sobre escritura de caracteres. Para el borrado de dispositivos de almacenamiento se utiliza el Estándar NIST SP 800-88.

Identificación del riesgo

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al conservar los datos de manera indefinida y al no utilizar mecanismos de borrado seguro.

86

• Rationale: Los auditores identificaron que la empresa conserva los datos y metadatos

de manera indefinida en los backups . Por tanto, no cumple con lo establecido en su

-------------------------------

• Vulnerabilidad: Las políticas de seguridad de la información; y, en particular, el plan

de Continuidad de actividades ( Business Continuity Plan ) no ha sido adaptado a las obligaciones de la LOPDP. La falta de comunicación entre el DPD y el CISO es una vulnerabilidad organizacional.

• Rationale: El equipo de auditoría de seguridad organizacional encontró esta

vulnerabilidad en las políticas de seguridad de la información y solicitó revisar los backups constatando que los datos no eran borrados de los discos duros utilizados

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (70%)

• Rationale: Los auditores de seguridad organizacional encontraron que alrededor del

60% de los datos personales tratados se conservan en los backups de manera

-------------------------------

• Impacto: La consecuencia para los titulares de datos es el aumento del riesgo de una

vulneración de la confidencialidad de los datos personales. Con ello, se pueden vulnerar su derecho a la protección de datos personales y otros derechos como impacto secundario.

• Rationale: Los auditores constataron que los datos personales que constan en los

backups son simples, comportamentales, financieros y sensibles (agregar respaldo en

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Mejorar el plan de continuidad de actividades incorporando un proceso para borrar datos personales de los backups . Implementar y cumplir con un borrado seguro en el que se sobreescriba cada sector. Se recomiendan seguir los procesos de los estándares DoD 5220.22, o el NIST 800-88.

87

2.4. Riesgo de no cumplir con el principio de pertinencia y minimización de datos

Concordancia: Art. 10 (e) LOPDP.

Identificación del riesgo

¿Los datos recopilados son adecuados, relevantes y limitados a lo que es necesario en relación con los fines para los que se procesan ('minimización de datos')?

Los datos recolectados son biográficos, de contacto, geolocalización, preferencias, financieros y datos sensibles de la salud en alrededor del 25% de titulares de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento,

la empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al recopilar datos de manera excesiva y al no tener ninguna pertinencia para el tratamiento de datos necesario.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes para auditar que datos personales eran requeridos al abrir una cuenta. Se identificó que se están recopilando datos biográficos (nombres, apellidos y edad) acerca de los hijos de los clientes al abrir cuentas, en la página web: https://malakompra.ec/signup. (agregar respaldo en

-------------------------------

• Vulnerabilidad: Los formularios los hace el webmaster, sin ningún control de

la Dirección Jurídica.

• Rationale: El equipo de auditores jurídicos identificó que no hay

procedimientos internos para auditar el desarrollo de formularios que

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (75%)

• Rationale: Tres de los cuatro expertos consideraron que los datos personales

-------------------------------

• Impacto: Los datos personales de menores de edad son datos sensibles. El

impacto primario es vulnerar el derecho a la confidencialidad de sus datos personales. El impacto secundario es exponerlos a riesgos de seguridad en un país con altos índices de delincuencia.

88

• Rationale: Estadísticas de extorsiones y secuestros en el Ecuador (agregar

Evaluación del impacto

Titulares promedio: Alto. Titulares especialmente vulnerables: Muy alto.

Tratamiento del riesgo

Elaborar un proceso en el cual la dirección jurídica deba revisar y aprobar los formularios desarrollados por la dirección de tecnologías de la información; eliminar los datos de menores de edad de los formularios pertinentes y borrar todos los datos personales de edad que ya hayan sido recopilados y almacenados.

2.5. Riesgo de no cumplir con los derechos de acceso y portabilidad de datos

Concordancia: Art. 13 LOPDP.

Identificación del riesgo

¿Qué métodos se utilizan para garantizar el acceso de los titulares a sus datos personales?

Los titulares de datos tienen acceso directo y permisos de edición de todos los datos que generen en su espacio web. Para los datos y metadatos que estén fuera del control del titular de datos, se puede enviar un correo electrónico a derechos@malkompra.ec.

¿Qué métodos se utilizan para garantizar el derecho a la portabilidad de datos?

Los titulares de datos podrán ejercer su derecho de portabilidad de datos escribiendo a derechos@malakompra.ec. Los datos serán entregados en formato pdf y/o csv de acuerdo con el tipo de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al no proporcionar mecanismos para ejercer el derecho de acceso y el derecho de portabilidad de datos a los titulares de datos.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes para auditar los mecanismos implementados para el ejercicio de

89

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada. El

equipo jurídico abrió cuentas como clientes y verificó el control sobre toda su información propia generada en menos de diez días. Además, solicitó todos sus datos personales en un formato estandarizado, recibiendo respuesta también en un plazo razonable, con un enlace de descarga de un archivo en formato PDF (agregar respaldo

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Dos solicitudes se cumplieron en cinco días. Una solicitud se cumplió en seis días. Los expertos concluyeron una eficiencia del 95%

-------------------------------

• Impacto: El impacto puede generar una vulneración de disponibilidad de los

datos personales de los titulares, ocasionando además la vulneración de su derecho a la protección de datos personales y pérdidas financieras debido a la falta de acceso.

• Rationale: El equipo de auditores estimó que el impacto es importante, pero

influye que la empresa tiene mecanismos que funcionan (agregar respaldo en

Evaluación del impacto

Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.6. Riesgo de no cumplir con el derecho de rectificación y actualización

Concordancia: Art. 14 LOPDP.

90

Identificación del riesgo

¿Cómo pueden los interesados ejercer sus derechos de rectificación y actualización?

Los titulares de datos tienen los privilegios correspondientes para rectificar y actualizar todos los datos que generen en su espacio web. Para rectificar y actualizar los datos y metadatos que estén fuera del control del titular de datos, se puede enviar un correo electrónico a derechos@malakompra.ec.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de rectificación y actualización los titulares de datos al no proporcionar mecanismos para su ejercicio.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes, para auditar los mecanismos implementados para el ejercicio de los derechos de rectificación y actualización (agregar respaldo en

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada.

El equipo jurídico abrió cuenta como clientes y verificó el control sobre toda su información propia generada. Además, pudo rectificar y actualizar otros datos personales sin permiso de edición, recibiendo respuesta también en un

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Las solicitudes se cumplieron en tres días. Una solicitud se cumplió en seis días. Los expertos estimaron una eficiencia del 98% (agregar respaldo

-------------------------------

• Impacto: El impacto puede generar una vulneración de integridad de los datos

personales de los titulares, ocasionando además la vulneración de su derecho a la protección de datos personales; y, pueden vulnerarse otros derechos y libertades debido a no poder rectificar su información.

91

• Rationale: El equipo de tres auditores estimó que el impacto es importante,

pero infiere que la empresa tiene mecanismos que funcionan (agregar

Evaluación del impacto

Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.7. Riesgo de no cumplir con el derecho de eliminación

Concordancia: Art. 15 LOPDP.

Identificación del riesgo

¿Cómo pueden los interesados ejercer su derecho de eliminación de datos?

Los titulares de datos pueden ejercer su derecho de eliminación de datos que ellos generen desde su propio espacio web. Sin embargo, los datos personales publicados en la sección “Prensa” no tienen un mecanismo para ser eliminados.

¿Qué método de borrado seguro es utilizado?

El responsable del tratamiento supuestamente utiliza herramientas basadas en el Estándar NIST 800-88.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al no proporcionarles mecanismos para ejercer el derecho de acceso de eliminación.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como potenciales

clientes para auditar los mecanismos implementados para el ejercicio del derecho de eliminación de datos. El equipo de auditores técnicos procedió a implementar una estrategia de file carving para verificar si los datos son borrados de manera segura

-------------------------------

• Vulnerabilidad: No hay mecanismos para ejercer el derecho de eliminación para los

datos de la salud. La empresa no cumple con un sistema de borrado seguro en sus dispositivos de almacenamiento.

92

• Rationale: El equipo de auditores jurídicos identificó que la dirección jurídica no

había considerado que dar beneficios financieros a sus clientes no presupone que la empresa se vuelva propietaria de esos datos de la salud, lo cual es ilegal a la luz de la LOPDP. Esto debido a la baja capacitación de la dirección jurídica en derecho de protección de datos personales. Además, el equipo de auditores técnicos procedió a extraer una copia de bit a bit de un disco duro de la empresa y utilizó la herramienta Data Extractor ; con lo cual, identificó que los datos personales no son eliminados de manera segura. Por ello, la segunda vulnerabilidad identificada es la negligencia del departamento de seguridad de la información al no implementar los mecanismos adecuados de borrado seguro en todos los dispositivos de almacenamiento (agregar

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (85%)

• Rationale: Hubo tres auditores jurídicos que calibraron a partir del método Delphi,

una probabilidad del 100%. Los dos auditores técnicos por su lado calibraron la probabilidad de ocurrencia en el 70%, con base en la aplicación del teorema de Bayes para calibrar la probabilidad condicional de tener una vulneración de seguridad de

-------------------------------

• Impacto: Los derechos y libertades de los titulares que entregan datos médicos están

siendo sistemáticamente vulnerados por parte del responsable del tratamiento. La confidencialidad de los datos personales de todos los titulares presenta un alto riesgo debido a la negligencia de no implementar métodos de borrado seguro.

• Rationale: Los auditores jurídicos estimaron, utilizando el método Delphi, con un

nivel de muy alto por tratarse de datos sensibles que afectan a más de 1 000 titulares, de acuerdo con lo establecido en los criterios de evaluación (agregar respaldo en

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

En primer lugar, es necesario implementar un mecanismo para que los titulares de datos de la salud puedan eliminar sus datos. En segundo lugar, se debe capacitar a la dirección jurídica en las obligaciones de conformidad a la LOPDP. En tercer lugar, es necesario cumplir con la implementación de mecanismos de borrado seguro que sobreescriban en la práctica, los sectores de los discos duros con varias capas de caracteres.

93

2.8. Riesgo de no cumplir con los derechos de oposición y suspensión del tratamiento

Concordancia: Arts. 16, 19 LOPDP.

Identificación del riesgo

¿Cómo pueden los interesados ejercer sus derechos de oposición y de suspensión?

Los titulares de datos pueden ejercer sus derechos de oposición y suspensión escribiendo al correo electrónico: derechos@malakompra.ec.

• Amenaza: La empresa MalaKompra S.A. puede vulnerar los derechos de los

titulares de datos al no proporcionarles mecanismos para ejercer los derechos de oposición y suspensión.

• Rationale: Considerando que la amenaza es el responsable del tratamiento, el

equipo de auditores jurídicos abrió cuentas como potenciales clientes, para auditar los mecanismos implementados para el ejercicio de los derechos de

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada.

El equipo de auditores jurídicos verificó que tres clientes escriban al correo electrónico derechos@malakompra.ec y sus pedidos fueron realizados en un

Análisis del riesgo

Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Se cumplió con ellos en el plazo establecido (agregar respaldo en

• Impacto: El impacto puede generar una vulneración de confidencialidad de

los datos personales de los titulares, ocasionando además de la vulneración de su derecho a la protección de datos personales, probables vulneraciones a otros derechos y libertades.

94

-------------------------------

• Rationale: Un equipo de cuatro auditores estimó que el impacto es

importante, pero intuye que la empresa tiene mecanismos que funcionan

Evaluación del impacto Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.9. Riesgo de que los encargados del tratamiento no cumplan con sus obligaciones

Concordancia: Arts. 34, 47 LOPDP.

Identificación del riesgo

¿Las obligaciones de los encargados del tratamiento están claramente identificadas y regidas por un contrato?

La empresa declara tener dos encargados del tratamiento: (1) DataKuy Ltd. Servicios de marketing digital. Empresa Ecuatoriana. (2) BestKloud: Servicios de nube Infrastructure as a Service (IaaS) en la nube. Empresa Estadounidense registrada en el Estado California. Ambos están regidos por contratos que contemplan la conformidad al reglamento General de Protección de Datos (UE) 2016/679. No obstante, hay la sospecha de si existe un tercer encargado del tratamiento no declarado en lo que concierne a los datos de la salud.

• Amenaza: La amenaza son los encargados del tratamiento que podrían

incumplir con la protección de los derechos y libertades de los titulares de datos, conforme a la LOPDP. El equipo auditor identifica que los datos de la salud recopilados están siendo entregados a la empresa de seguros médicos Asegúrate S.A. sin ningún contrato de protección de datos personales.

• Rationale: El equipo de auditores técnicos auditó los flujos de datos

personales y encontró un encargado del tratamiento no declarado,

-------------------------------

95

• Vulnerabilidades: El equipo de auditores identificó dos vulnerabilidades. En

primer lugar, el encargado del tratamiento DataKuy Ltd. no tiene políticas de seguridad de la información, poniendo en alto riesgo la seguridad de los datos personales encargados. La vulnerabilidad es la falta de debida diligencia de la dirección jurídica. En segundo lugar, la empresa AseguraTe S.A. no tiene un Convenio de protección de datos, y sin embargo está tratando los datos de la salud. La vulnerabilidad es la falta de capacitación de la dirección jurídica.

• Rationale: El equipo de auditores jurídicos procedió a auditar los convenios

de procesamiento de datos personales ( Data protection Agreements ). Además, solicitó a los auditores técnicos, auditar el flujo de datos desde la

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Inminente (95%)

• Rationale: Los auditores utilizaron un modelo de predicción conformal

inductiva ( inductive conformal prediction ), para establecer el rango de confianza en el cumplimiento de obligaciones de encargados del tratamiento

-------------------------------

• Impacto: Los derechos y libertades de los titulares están en muy alto riesgo,

debido a la falta de medidas de seguridad organizacional y técnica por parte de la empresa DataKuy LTD; y, por la falta de un Convenio de protección de datos con la empresa AseguraTe S.A.

• Rationale: Los auditores utilizaron el modelo de aprendizaje automático

supervisado Decision Trees para analizar el impacto de la falta de debida diligencia para contratar a los respectivos encargados del tratamiento como

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Se debe capacitar a la dirección jurídica en temas de convenios de protección de datos personales con los encargados de datos y para realizar la debida diligencia al escogerlos. También es necesario que el DPD asuma su rol de auditor de auditores, identificando a los encargados del tratamiento de manera adecuada y revisando el flujo de datos personales.

96

[ SE HAN PRESENTADO VARIOS ESCENARIOS DE RIESGO, PERO SIEMPRE SERÁ NECESARIO AUMENTAR LOS ESCENARIOS QUE SEAN PERTINENTES PARA LA SITUACIÓN PARTICULAR DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO]

-------------------------------

• Vulnerabilidad: El departamento jurídico de la empresa MalaKompra S.A no

realiza los debidos controles de cada finalidad del tratamiento de manera periódica.

• Rationale: La política de protección de datos personales no incluye esta

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (70%)

82

• Rationale: El equipo de auditoría utilizó el método Delphi para promediar las

-------------------------------

• Impacto: El derecho a la información de los titulares de datos es vulnerado,

pues ellos no conocen que sus datos serán utilizados en marketing digital. Esto puede producir vulneraciones de la confidencialidad de sus datos.

• Rationale: El equipo de auditoría determinó que los datos utilizados para

campañas de marketing digital son datos simples, comportamentales y financieros de personas promedio. Sin embargo, vulnera los derechos de al

Evaluación del impacto

• Titulares promedio: Alto.

• Titulares especialmente vulnerables: Muy Alto.

Tratamiento del riesgo

Agregar esta finalidad del tratamiento a la política de protección de datos.

2.2. Riesgo de no cumplir con el tratamiento legítimo de datos personales

Concordancia: Art. 7 LOPDP.

Identificación del riesgo

¿Cuáles son las causales que hacen que el tratamiento sea legal?

La empresa MalaKompra S.A. justifica su base legal por el consentimiento obtenido de los titulares de datos y por su interés legítimo para utilizar los datos en campañas de marketing por cuanto es para el beneficio de sus clientes. No obstante, esta justificación no tiene proporcionalidad y por tanto puede vulnerar los derechos de los titulares de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento,

la empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al adoptar una interpretación abusiva del interés legítimo.

83

• Rationale: El interés legítimo debe ser proporcional y de ninguna manera

utilizarse como un mecanismo que sea manipulado para los intereses del

-------------------------------

• Vulnerabilidad: La empresa MalaKompra S.A. no cuenta con abogados

especializados en protección de datos personales.

• Rationale: La auditoría informó que hay un bajo nivel de preparación del área

jurídica del responsable del tratamiento en temas de protección de datos

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Inminente (90%).

• Rationale: El equipo de auditoría utilizó el modelo Delphi para promediar las

-------------------------------

• Impacto: El derecho de confidencialidad de los titulares de datos es

vulnerado, pues ellos no conocen que sus datos serán utilizados en marketing digital. Esto puede producir vulneraciones de la confidencialidad de sus datos.

• Rationale: El equipo de auditoría establece que no se puede realizar el

tratamiento de datos personales sin una base legal que justifique el tratamiento. Utilizar sus datos para marketing digital equivale a vulnerar el derecho de protección de datos personales de todos los clientes (agregar

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Eliminar el interés legítimo como base legal para realizar el tratamiento de datos con propósitos de marketing. En su lugar, incluir una forma específica en la aplicación web en la cual, inequívocamente, el titular de datos da el consentimiento para el tratamiento de sus datos con propósitos de marketing.

84

2.3. Riesgo no cumplir con las condiciones del consentimiento

Concordancia: Art. 8 LOPDP.

Identificación del riesgo

¿Cómo se obtiene el consentimiento de los interesados?

Se lo obtiene en la URL: https://malakompra.ec/signup y en persona en la matriz y sucursales de la empresa.

¿Es el consentimiento legítimo y lícito?

El consentimiento para el tratamiento de datos de la salud podría no cumplir con ser legítimo y lícito, por cuanto ofrecer dinero a cambio puede ser un mecanismo para aprovecharse de grupos vulnerables por condiciones de pobreza.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos que entreguen sus datos de la salud.

• Rationale: La auditoría jurídica realizada ha concluido que el consentimiento para

el tratamiento de datos de la salud a cambio de beneficios económicos no es transparente, por cuanto no se informa a los titulares de datos los fines del tratamiento de sus datos de la salud. Por ello, no se trata de un consentimiento informado (agregar

-------------------------------

• Vulnerabilidad: La empresa Ventas online no cuenta con abogados especializados en

protección de datos personales.

• Rationale: La auditoría informó que hay un bajo nivel de preparación del área jurídica

del responsable del tratamiento en temas de protección de datos personales (agregar

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (50%)

• Rationale: El equipo de auditoria realizó un análisis de la posición de la SPDP

con respecto al impacto de grupos especialmente vulnerables y ha calibrado las opiniones de cinco expertos utilizando el modelo Lens (agregar respaldo

-------------------------------

85

• Impacto: Los datos de la salud son datos sensibles, produciendo un elevado

impacto en grupos especialmente vulnerables de titulares de datos. Su mal uso puede afectar sus derechos al trabajo, su derecho a la salud, entre otros.

• Rationale: Se utilizó un método estadístico para verificar la empleabilidad de

personas con enfermedades en el mercado laboral ecuatoriano (agregar

Evaluación del impacto

Titulares promedio: Muy alto.

Titulares especialmente vulnerables: Muy alto.

Tratamiento del riesgo

Informar de manera adecuada y eficiente a los titulares de los datos acerca de los fines del tratamiento de sus datos de la salud, de las medidas de seguridad que estos tendrán; y, del impacto que puede tener la divulgación de estos datos en el mercado laboral, así como el impacto en el potencial costo de coberturas de seguros médicos, entre otros afines. Asimismo, informar con un lenguaje comprensible y darles el tiempo necesario para comprender los riesgos del tratamiento de sus datos de la salud.

2.4. Riesgo de guardar los datos personales de manera excesiva

Concordancia: Art. 10 (I) de la LOPDP.

¿Cuál es la duración de almacenamiento de los datos?

Los datos son conservados por dos meses posteriores a haber cumplido con las finalidades del tratamiento.

¿Qué método se utiliza para borrar los datos de manera segura?

Se utilizan sistema de sobre escritura de caracteres. Para el borrado de dispositivos de almacenamiento se utiliza el Estándar NIST SP 800-88.

Identificación del riesgo

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al conservar los datos de manera indefinida y al no utilizar mecanismos de borrado seguro.

86

• Rationale: Los auditores identificaron que la empresa conserva los datos y metadatos

de manera indefinida en los backups . Por tanto, no cumple con lo establecido en su

-------------------------------

• Vulnerabilidad: Las políticas de seguridad de la información; y, en particular, el plan

de Continuidad de actividades ( Business Continuity Plan ) no ha sido adaptado a las obligaciones de la LOPDP. La falta de comunicación entre el DPD y el CISO es una vulnerabilidad organizacional.

• Rationale: El equipo de auditoría de seguridad organizacional encontró esta

vulnerabilidad en las políticas de seguridad de la información y solicitó revisar los backups constatando que los datos no eran borrados de los discos duros utilizados

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (70%)

• Rationale: Los auditores de seguridad organizacional encontraron que alrededor del

60% de los datos personales tratados se conservan en los backups de manera

-------------------------------

• Impacto: La consecuencia para los titulares de datos es el aumento del riesgo de una

vulneración de la confidencialidad de los datos personales. Con ello, se pueden vulnerar su derecho a la protección de datos personales y otros derechos como impacto secundario.

• Rationale: Los auditores constataron que los datos personales que constan en los

backups son simples, comportamentales, financieros y sensibles (agregar respaldo en

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Mejorar el plan de continuidad de actividades incorporando un proceso para borrar datos personales de los backups . Implementar y cumplir con un borrado seguro en el que se sobreescriba cada sector. Se recomiendan seguir los procesos de los estándares DoD 5220.22, o el NIST 800-88.

87

2.4. Riesgo de no cumplir con el principio de pertinencia y minimización de datos

Concordancia: Art. 10 (e) LOPDP.

Identificación del riesgo

¿Los datos recopilados son adecuados, relevantes y limitados a lo que es necesario en relación con los fines para los que se procesan ('minimización de datos')?

Los datos recolectados son biográficos, de contacto, geolocalización, preferencias, financieros y datos sensibles de la salud en alrededor del 25% de titulares de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento,

la empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al recopilar datos de manera excesiva y al no tener ninguna pertinencia para el tratamiento de datos necesario.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes para auditar que datos personales eran requeridos al abrir una cuenta. Se identificó que se están recopilando datos biográficos (nombres, apellidos y edad) acerca de los hijos de los clientes al abrir cuentas, en la página web: https://malakompra.ec/signup. (agregar respaldo en

-------------------------------

• Vulnerabilidad: Los formularios los hace el webmaster, sin ningún control de

la Dirección Jurídica.

• Rationale: El equipo de auditores jurídicos identificó que no hay

procedimientos internos para auditar el desarrollo de formularios que

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (75%)

• Rationale: Tres de los cuatro expertos consideraron que los datos personales

-------------------------------

• Impacto: Los datos personales de menores de edad son datos sensibles. El

impacto primario es vulnerar el derecho a la confidencialidad de sus datos personales. El impacto secundario es exponerlos a riesgos de seguridad en un país con altos índices de delincuencia.

88

• Rationale: Estadísticas de extorsiones y secuestros en el Ecuador (agregar

Evaluación del impacto

Titulares promedio: Alto. Titulares especialmente vulnerables: Muy alto.

Tratamiento del riesgo

Elaborar un proceso en el cual la dirección jurídica deba revisar y aprobar los formularios desarrollados por la dirección de tecnologías de la información; eliminar los datos de menores de edad de los formularios pertinentes y borrar todos los datos personales de edad que ya hayan sido recopilados y almacenados.

2.5. Riesgo de no cumplir con los derechos de acceso y portabilidad de datos

Concordancia: Art. 13 LOPDP.

Identificación del riesgo

¿Qué métodos se utilizan para garantizar el acceso de los titulares a sus datos personales?

Los titulares de datos tienen acceso directo y permisos de edición de todos los datos que generen en su espacio web. Para los datos y metadatos que estén fuera del control del titular de datos, se puede enviar un correo electrónico a derechos@malkompra.ec.

¿Qué métodos se utilizan para garantizar el derecho a la portabilidad de datos?

Los titulares de datos podrán ejercer su derecho de portabilidad de datos escribiendo a derechos@malakompra.ec. Los datos serán entregados en formato pdf y/o csv de acuerdo con el tipo de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al no proporcionar mecanismos para ejercer el derecho de acceso y el derecho de portabilidad de datos a los titulares de datos.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes para auditar los mecanismos implementados para el ejercicio de

89

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada. El

equipo jurídico abrió cuentas como clientes y verificó el control sobre toda su información propia generada en menos de diez días. Además, solicitó todos sus datos personales en un formato estandarizado, recibiendo respuesta también en un plazo razonable, con un enlace de descarga de un archivo en formato PDF (agregar respaldo

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Dos solicitudes se cumplieron en cinco días. Una solicitud se cumplió en seis días. Los expertos concluyeron una eficiencia del 95%

-------------------------------

• Impacto: El impacto puede generar una vulneración de disponibilidad de los

datos personales de los titulares, ocasionando además la vulneración de su derecho a la protección de datos personales y pérdidas financieras debido a la falta de acceso.

• Rationale: El equipo de auditores estimó que el impacto es importante, pero

influye que la empresa tiene mecanismos que funcionan (agregar respaldo en

Evaluación del impacto

Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.6. Riesgo de no cumplir con el derecho de rectificación y actualización

Concordancia: Art. 14 LOPDP.

90

Identificación del riesgo

¿Cómo pueden los interesados ejercer sus derechos de rectificación y actualización?

Los titulares de datos tienen los privilegios correspondientes para rectificar y actualizar todos los datos que generen en su espacio web. Para rectificar y actualizar los datos y metadatos que estén fuera del control del titular de datos, se puede enviar un correo electrónico a derechos@malakompra.ec.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de rectificación y actualización los titulares de datos al no proporcionar mecanismos para su ejercicio.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes, para auditar los mecanismos implementados para el ejercicio de los derechos de rectificación y actualización (agregar respaldo en

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada.

El equipo jurídico abrió cuenta como clientes y verificó el control sobre toda su información propia generada. Además, pudo rectificar y actualizar otros datos personales sin permiso de edición, recibiendo respuesta también en un

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Las solicitudes se cumplieron en tres días. Una solicitud se cumplió en seis días. Los expertos estimaron una eficiencia del 98% (agregar respaldo

-------------------------------

• Impacto: El impacto puede generar una vulneración de integridad de los datos

personales de los titulares, ocasionando además la vulneración de su derecho a la protección de datos personales; y, pueden vulnerarse otros derechos y libertades debido a no poder rectificar su información.

91

• Rationale: El equipo de tres auditores estimó que el impacto es importante,

pero infiere que la empresa tiene mecanismos que funcionan (agregar

Evaluación del impacto

Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.7. Riesgo de no cumplir con el derecho de eliminación

Concordancia: Art. 15 LOPDP.

Identificación del riesgo

¿Cómo pueden los interesados ejercer su derecho de eliminación de datos?

Los titulares de datos pueden ejercer su derecho de eliminación de datos que ellos generen desde su propio espacio web. Sin embargo, los datos personales publicados en la sección “Prensa” no tienen un mecanismo para ser eliminados.

¿Qué método de borrado seguro es utilizado?

El responsable del tratamiento supuestamente utiliza herramientas basadas en el Estándar NIST 800-88.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al no proporcionarles mecanismos para ejercer el derecho de acceso de eliminación.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como potenciales

clientes para auditar los mecanismos implementados para el ejercicio del derecho de eliminación de datos. El equipo de auditores técnicos procedió a implementar una estrategia de file carving para verificar si los datos son borrados de manera segura

-------------------------------

• Vulnerabilidad: No hay mecanismos para ejercer el derecho de eliminación para los

datos de la salud. La empresa no cumple con un sistema de borrado seguro en sus dispositivos de almacenamiento.

92

• Rationale: El equipo de auditores jurídicos identificó que la dirección jurídica no

había considerado que dar beneficios financieros a sus clientes no presupone que la empresa se vuelva propietaria de esos datos de la salud, lo cual es ilegal a la luz de la LOPDP. Esto debido a la baja capacitación de la dirección jurídica en derecho de protección de datos personales. Además, el equipo de auditores técnicos procedió a extraer una copia de bit a bit de un disco duro de la empresa y utilizó la herramienta Data Extractor ; con lo cual, identificó que los datos personales no son eliminados de manera segura. Por ello, la segunda vulnerabilidad identificada es la negligencia del departamento de seguridad de la información al no implementar los mecanismos adecuados de borrado seguro en todos los dispositivos de almacenamiento (agregar

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (85%)

• Rationale: Hubo tres auditores jurídicos que calibraron a partir del método Delphi,

una probabilidad del 100%. Los dos auditores técnicos por su lado calibraron la probabilidad de ocurrencia en el 70%, con base en la aplicación del teorema de Bayes para calibrar la probabilidad condicional de tener una vulneración de seguridad de

-------------------------------

• Impacto: Los derechos y libertades de los titulares que entregan datos médicos están

siendo sistemáticamente vulnerados por parte del responsable del tratamiento. La confidencialidad de los datos personales de todos los titulares presenta un alto riesgo debido a la negligencia de no implementar métodos de borrado seguro.

• Rationale: Los auditores jurídicos estimaron, utilizando el método Delphi, con un

nivel de muy alto por tratarse de datos sensibles que afectan a más de 1 000 titulares, de acuerdo con lo establecido en los criterios de evaluación (agregar respaldo en

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

En primer lugar, es necesario implementar un mecanismo para que los titulares de datos de la salud puedan eliminar sus datos. En segundo lugar, se debe capacitar a la dirección jurídica en las obligaciones de conformidad a la LOPDP. En tercer lugar, es necesario cumplir con la implementación de mecanismos de borrado seguro que sobreescriban en la práctica, los sectores de los discos duros con varias capas de caracteres.

93

2.8. Riesgo de no cumplir con los derechos de oposición y suspensión del tratamiento

Concordancia: Arts. 16, 19 LOPDP.

Identificación del riesgo

¿Cómo pueden los interesados ejercer sus derechos de oposición y de suspensión?

Los titulares de datos pueden ejercer sus derechos de oposición y suspensión escribiendo al correo electrónico: derechos@malakompra.ec.

• Amenaza: La empresa MalaKompra S.A. puede vulnerar los derechos de los

titulares de datos al no proporcionarles mecanismos para ejercer los derechos de oposición y suspensión.

• Rationale: Considerando que la amenaza es el responsable del tratamiento, el

equipo de auditores jurídicos abrió cuentas como potenciales clientes, para auditar los mecanismos implementados para el ejercicio de los derechos de

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada.

El equipo de auditores jurídicos verificó que tres clientes escriban al correo electrónico derechos@malakompra.ec y sus pedidos fueron realizados en un

Análisis del riesgo

Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Se cumplió con ellos en el plazo establecido (agregar respaldo en

• Impacto: El impacto puede generar una vulneración de confidencialidad de

los datos personales de los titulares, ocasionando además de la vulneración de su derecho a la protección de datos personales, probables vulneraciones a otros derechos y libertades.

94

-------------------------------

• Rationale: Un equipo de cuatro auditores estimó que el impacto es

importante, pero intuye que la empresa tiene mecanismos que funcionan

Evaluación del impacto Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.9. Riesgo de que los encargados del tratamiento no cumplan con sus obligaciones

Concordancia: Arts. 34, 47 LOPDP.

Identificación del riesgo

¿Las obligaciones de los encargados del tratamiento están claramente identificadas y regidas por un contrato?

La empresa declara tener dos encargados del tratamiento: (1) DataKuy Ltd. Servicios de marketing digital. Empresa Ecuatoriana. (2) BestKloud: Servicios de nube Infrastructure as a Service (IaaS) en la nube. Empresa Estadounidense registrada en el Estado California. Ambos están regidos por contratos que contemplan la conformidad al reglamento General de Protección de Datos (UE) 2016/679. No obstante, hay la sospecha de si existe un tercer encargado del tratamiento no declarado en lo que concierne a los datos de la salud.

• Amenaza: La amenaza son los encargados del tratamiento que podrían

incumplir con la protección de los derechos y libertades de los titulares de datos, conforme a la LOPDP. El equipo auditor identifica que los datos de la salud recopilados están siendo entregados a la empresa de seguros médicos Asegúrate S.A. sin ningún contrato de protección de datos personales.

• Rationale: El equipo de auditores técnicos auditó los flujos de datos

personales y encontró un encargado del tratamiento no declarado,

-------------------------------

95

• Vulnerabilidades: El equipo de auditores identificó dos vulnerabilidades. En

primer lugar, el encargado del tratamiento DataKuy Ltd. no tiene políticas de seguridad de la información, poniendo en alto riesgo la seguridad de los datos personales encargados. La vulnerabilidad es la falta de debida diligencia de la dirección jurídica. En segundo lugar, la empresa AseguraTe S.A. no tiene un Convenio de protección de datos, y sin embargo está tratando los datos de la salud. La vulnerabilidad es la falta de capacitación de la dirección jurídica.

• Rationale: El equipo de auditores jurídicos procedió a auditar los convenios

de procesamiento de datos personales ( Data protection Agreements ). Además, solicitó a los auditores técnicos, auditar el flujo de datos desde la

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Inminente (95%)

• Rationale: Los auditores utilizaron un modelo de predicción conformal

inductiva ( inductive conformal prediction ), para establecer el rango de confianza en el cumplimiento de obligaciones de encargados del tratamiento

-------------------------------

• Impacto: Los derechos y libertades de los titulares están en muy alto riesgo,

debido a la falta de medidas de seguridad organizacional y técnica por parte de la empresa DataKuy LTD; y, por la falta de un Convenio de protección de datos con la empresa AseguraTe S.A.

• Rationale: Los auditores utilizaron el modelo de aprendizaje automático

supervisado Decision Trees para analizar el impacto de la falta de debida diligencia para contratar a los respectivos encargados del tratamiento como

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Se debe capacitar a la dirección jurídica en temas de convenios de protección de datos personales con los encargados de datos y para realizar la debida diligencia al escogerlos. También es necesario que el DPD asuma su rol de auditor de auditores, identificando a los encargados del tratamiento de manera adecuada y revisando el flujo de datos personales.

96

[ SE HAN PRESENTADO VARIOS ESCENARIOS DE RIESGO, PERO SIEMPRE SERÁ NECESARIO AUMENTAR LOS ESCENARIOS QUE SEAN PERTINENTES PARA LA SITUACIÓN PARTICULAR DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO]

-------------------------------

• Vulnerabilidad: El departamento jurídico de la empresa MalaKompra S.A no

realiza los debidos controles de cada finalidad del tratamiento de manera periódica.

• Rationale: La política de protección de datos personales no incluye esta

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (70%)

82

• Rationale: El equipo de auditoría utilizó el método Delphi para promediar las

-------------------------------

• Impacto: El derecho a la información de los titulares de datos es vulnerado,

pues ellos no conocen que sus datos serán utilizados en marketing digital. Esto puede producir vulneraciones de la confidencialidad de sus datos.

• Rationale: El equipo de auditoría determinó que los datos utilizados para

campañas de marketing digital son datos simples, comportamentales y financieros de personas promedio. Sin embargo, vulnera los derechos de al

Evaluación del impacto

• Titulares promedio: Alto.

• Titulares especialmente vulnerables: Muy Alto.

Tratamiento del riesgo

Agregar esta finalidad del tratamiento a la política de protección de datos.

2.2. Riesgo de no cumplir con el tratamiento legítimo de datos personales

Concordancia: Art. 7 LOPDP.

Identificación del riesgo

¿Cuáles son las causales que hacen que el tratamiento sea legal?

La empresa MalaKompra S.A. justifica su base legal por el consentimiento obtenido de los titulares de datos y por su interés legítimo para utilizar los datos en campañas de marketing por cuanto es para el beneficio de sus clientes. No obstante, esta justificación no tiene proporcionalidad y por tanto puede vulnerar los derechos de los titulares de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento,

la empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al adoptar una interpretación abusiva del interés legítimo.

83

• Rationale: El interés legítimo debe ser proporcional y de ninguna manera

utilizarse como un mecanismo que sea manipulado para los intereses del

-------------------------------

• Vulnerabilidad: La empresa MalaKompra S.A. no cuenta con abogados

especializados en protección de datos personales.

• Rationale: La auditoría informó que hay un bajo nivel de preparación del área

jurídica del responsable del tratamiento en temas de protección de datos

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Inminente (90%).

• Rationale: El equipo de auditoría utilizó el modelo Delphi para promediar las

-------------------------------

• Impacto: El derecho de confidencialidad de los titulares de datos es

vulnerado, pues ellos no conocen que sus datos serán utilizados en marketing digital. Esto puede producir vulneraciones de la confidencialidad de sus datos.

• Rationale: El equipo de auditoría establece que no se puede realizar el

tratamiento de datos personales sin una base legal que justifique el tratamiento. Utilizar sus datos para marketing digital equivale a vulnerar el derecho de protección de datos personales de todos los clientes (agregar

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Eliminar el interés legítimo como base legal para realizar el tratamiento de datos con propósitos de marketing. En su lugar, incluir una forma específica en la aplicación web en la cual, inequívocamente, el titular de datos da el consentimiento para el tratamiento de sus datos con propósitos de marketing.

84

2.3. Riesgo no cumplir con las condiciones del consentimiento

Concordancia: Art. 8 LOPDP.

Identificación del riesgo

¿Cómo se obtiene el consentimiento de los interesados?

Se lo obtiene en la URL: https://malakompra.ec/signup y en persona en la matriz y sucursales de la empresa.

¿Es el consentimiento legítimo y lícito?

El consentimiento para el tratamiento de datos de la salud podría no cumplir con ser legítimo y lícito, por cuanto ofrecer dinero a cambio puede ser un mecanismo para aprovecharse de grupos vulnerables por condiciones de pobreza.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos que entreguen sus datos de la salud.

• Rationale: La auditoría jurídica realizada ha concluido que el consentimiento para

el tratamiento de datos de la salud a cambio de beneficios económicos no es transparente, por cuanto no se informa a los titulares de datos los fines del tratamiento de sus datos de la salud. Por ello, no se trata de un consentimiento informado (agregar

-------------------------------

• Vulnerabilidad: La empresa Ventas online no cuenta con abogados especializados en

protección de datos personales.

• Rationale: La auditoría informó que hay un bajo nivel de preparación del área jurídica

del responsable del tratamiento en temas de protección de datos personales (agregar

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (50%)

• Rationale: El equipo de auditoria realizó un análisis de la posición de la SPDP

con respecto al impacto de grupos especialmente vulnerables y ha calibrado las opiniones de cinco expertos utilizando el modelo Lens (agregar respaldo

-------------------------------

85

• Impacto: Los datos de la salud son datos sensibles, produciendo un elevado

impacto en grupos especialmente vulnerables de titulares de datos. Su mal uso puede afectar sus derechos al trabajo, su derecho a la salud, entre otros.

• Rationale: Se utilizó un método estadístico para verificar la empleabilidad de

personas con enfermedades en el mercado laboral ecuatoriano (agregar

Evaluación del impacto

Titulares promedio: Muy alto.

Titulares especialmente vulnerables: Muy alto.

Tratamiento del riesgo

Informar de manera adecuada y eficiente a los titulares de los datos acerca de los fines del tratamiento de sus datos de la salud, de las medidas de seguridad que estos tendrán; y, del impacto que puede tener la divulgación de estos datos en el mercado laboral, así como el impacto en el potencial costo de coberturas de seguros médicos, entre otros afines. Asimismo, informar con un lenguaje comprensible y darles el tiempo necesario para comprender los riesgos del tratamiento de sus datos de la salud.

2.4. Riesgo de guardar los datos personales de manera excesiva

Concordancia: Art. 10 (I) de la LOPDP.

¿Cuál es la duración de almacenamiento de los datos?

Los datos son conservados por dos meses posteriores a haber cumplido con las finalidades del tratamiento.

¿Qué método se utiliza para borrar los datos de manera segura?

Se utilizan sistema de sobre escritura de caracteres. Para el borrado de dispositivos de almacenamiento se utiliza el Estándar NIST SP 800-88.

Identificación del riesgo

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al conservar los datos de manera indefinida y al no utilizar mecanismos de borrado seguro.

86

• Rationale: Los auditores identificaron que la empresa conserva los datos y metadatos

de manera indefinida en los backups . Por tanto, no cumple con lo establecido en su

-------------------------------

• Vulnerabilidad: Las políticas de seguridad de la información; y, en particular, el plan

de Continuidad de actividades ( Business Continuity Plan ) no ha sido adaptado a las obligaciones de la LOPDP. La falta de comunicación entre el DPD y el CISO es una vulnerabilidad organizacional.

• Rationale: El equipo de auditoría de seguridad organizacional encontró esta

vulnerabilidad en las políticas de seguridad de la información y solicitó revisar los backups constatando que los datos no eran borrados de los discos duros utilizados

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (70%)

• Rationale: Los auditores de seguridad organizacional encontraron que alrededor del

60% de los datos personales tratados se conservan en los backups de manera

-------------------------------

• Impacto: La consecuencia para los titulares de datos es el aumento del riesgo de una

vulneración de la confidencialidad de los datos personales. Con ello, se pueden vulnerar su derecho a la protección de datos personales y otros derechos como impacto secundario.

• Rationale: Los auditores constataron que los datos personales que constan en los

backups son simples, comportamentales, financieros y sensibles (agregar respaldo en

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Mejorar el plan de continuidad de actividades incorporando un proceso para borrar datos personales de los backups . Implementar y cumplir con un borrado seguro en el que se sobreescriba cada sector. Se recomiendan seguir los procesos de los estándares DoD 5220.22, o el NIST 800-88.

87

2.4. Riesgo de no cumplir con el principio de pertinencia y minimización de datos

Concordancia: Art. 10 (e) LOPDP.

Identificación del riesgo

¿Los datos recopilados son adecuados, relevantes y limitados a lo que es necesario en relación con los fines para los que se procesan ('minimización de datos')?

Los datos recolectados son biográficos, de contacto, geolocalización, preferencias, financieros y datos sensibles de la salud en alrededor del 25% de titulares de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento,

la empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al recopilar datos de manera excesiva y al no tener ninguna pertinencia para el tratamiento de datos necesario.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes para auditar que datos personales eran requeridos al abrir una cuenta. Se identificó que se están recopilando datos biográficos (nombres, apellidos y edad) acerca de los hijos de los clientes al abrir cuentas, en la página web: https://malakompra.ec/signup. (agregar respaldo en

-------------------------------

• Vulnerabilidad: Los formularios los hace el webmaster, sin ningún control de

la Dirección Jurídica.

• Rationale: El equipo de auditores jurídicos identificó que no hay

procedimientos internos para auditar el desarrollo de formularios que

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (75%)

• Rationale: Tres de los cuatro expertos consideraron que los datos personales

-------------------------------

• Impacto: Los datos personales de menores de edad son datos sensibles. El

impacto primario es vulnerar el derecho a la confidencialidad de sus datos personales. El impacto secundario es exponerlos a riesgos de seguridad en un país con altos índices de delincuencia.

88

• Rationale: Estadísticas de extorsiones y secuestros en el Ecuador (agregar

Evaluación del impacto

Titulares promedio: Alto. Titulares especialmente vulnerables: Muy alto.

Tratamiento del riesgo

Elaborar un proceso en el cual la dirección jurídica deba revisar y aprobar los formularios desarrollados por la dirección de tecnologías de la información; eliminar los datos de menores de edad de los formularios pertinentes y borrar todos los datos personales de edad que ya hayan sido recopilados y almacenados.

2.5. Riesgo de no cumplir con los derechos de acceso y portabilidad de datos

Concordancia: Art. 13 LOPDP.

Identificación del riesgo

¿Qué métodos se utilizan para garantizar el acceso de los titulares a sus datos personales?

Los titulares de datos tienen acceso directo y permisos de edición de todos los datos que generen en su espacio web. Para los datos y metadatos que estén fuera del control del titular de datos, se puede enviar un correo electrónico a derechos@malkompra.ec.

¿Qué métodos se utilizan para garantizar el derecho a la portabilidad de datos?

Los titulares de datos podrán ejercer su derecho de portabilidad de datos escribiendo a derechos@malakompra.ec. Los datos serán entregados en formato pdf y/o csv de acuerdo con el tipo de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al no proporcionar mecanismos para ejercer el derecho de acceso y el derecho de portabilidad de datos a los titulares de datos.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes para auditar los mecanismos implementados para el ejercicio de

89

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada. El

equipo jurídico abrió cuentas como clientes y verificó el control sobre toda su información propia generada en menos de diez días. Además, solicitó todos sus datos personales en un formato estandarizado, recibiendo respuesta también en un plazo razonable, con un enlace de descarga de un archivo en formato PDF (agregar respaldo

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Dos solicitudes se cumplieron en cinco días. Una solicitud se cumplió en seis días. Los expertos concluyeron una eficiencia del 95%

-------------------------------

• Impacto: El impacto puede generar una vulneración de disponibilidad de los

datos personales de los titulares, ocasionando además la vulneración de su derecho a la protección de datos personales y pérdidas financieras debido a la falta de acceso.

• Rationale: El equipo de auditores estimó que el impacto es importante, pero

influye que la empresa tiene mecanismos que funcionan (agregar respaldo en

Evaluación del impacto

Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.6. Riesgo de no cumplir con el derecho de rectificación y actualización

Concordancia: Art. 14 LOPDP.

90

Identificación del riesgo

¿Cómo pueden los interesados ejercer sus derechos de rectificación y actualización?

Los titulares de datos tienen los privilegios correspondientes para rectificar y actualizar todos los datos que generen en su espacio web. Para rectificar y actualizar los datos y metadatos que estén fuera del control del titular de datos, se puede enviar un correo electrónico a derechos@malakompra.ec.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de rectificación y actualización los titulares de datos al no proporcionar mecanismos para su ejercicio.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes, para auditar los mecanismos implementados para el ejercicio de los derechos de rectificación y actualización (agregar respaldo en

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada.

El equipo jurídico abrió cuenta como clientes y verificó el control sobre toda su información propia generada. Además, pudo rectificar y actualizar otros datos personales sin permiso de edición, recibiendo respuesta también en un

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Las solicitudes se cumplieron en tres días. Una solicitud se cumplió en seis días. Los expertos estimaron una eficiencia del 98% (agregar respaldo

-------------------------------

• Impacto: El impacto puede generar una vulneración de integridad de los datos

personales de los titulares, ocasionando además la vulneración de su derecho a la protección de datos personales; y, pueden vulnerarse otros derechos y libertades debido a no poder rectificar su información.

91

• Rationale: El equipo de tres auditores estimó que el impacto es importante,

pero infiere que la empresa tiene mecanismos que funcionan (agregar

Evaluación del impacto

Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.7. Riesgo de no cumplir con el derecho de eliminación

Concordancia: Art. 15 LOPDP.

Identificación del riesgo

¿Cómo pueden los interesados ejercer su derecho de eliminación de datos?

Los titulares de datos pueden ejercer su derecho de eliminación de datos que ellos generen desde su propio espacio web. Sin embargo, los datos personales publicados en la sección “Prensa” no tienen un mecanismo para ser eliminados.

¿Qué método de borrado seguro es utilizado?

El responsable del tratamiento supuestamente utiliza herramientas basadas en el Estándar NIST 800-88.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al no proporcionarles mecanismos para ejercer el derecho de acceso de eliminación.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como potenciales

clientes para auditar los mecanismos implementados para el ejercicio del derecho de eliminación de datos. El equipo de auditores técnicos procedió a implementar una estrategia de file carving para verificar si los datos son borrados de manera segura

-------------------------------

• Vulnerabilidad: No hay mecanismos para ejercer el derecho de eliminación para los

datos de la salud. La empresa no cumple con un sistema de borrado seguro en sus dispositivos de almacenamiento.

92

• Rationale: El equipo de auditores jurídicos identificó que la dirección jurídica no

había considerado que dar beneficios financieros a sus clientes no presupone que la empresa se vuelva propietaria de esos datos de la salud, lo cual es ilegal a la luz de la LOPDP. Esto debido a la baja capacitación de la dirección jurídica en derecho de protección de datos personales. Además, el equipo de auditores técnicos procedió a extraer una copia de bit a bit de un disco duro de la empresa y utilizó la herramienta Data Extractor ; con lo cual, identificó que los datos personales no son eliminados de manera segura. Por ello, la segunda vulnerabilidad identificada es la negligencia del departamento de seguridad de la información al no implementar los mecanismos adecuados de borrado seguro en todos los dispositivos de almacenamiento (agregar

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (85%)

• Rationale: Hubo tres auditores jurídicos que calibraron a partir del método Delphi,

una probabilidad del 100%. Los dos auditores técnicos por su lado calibraron la probabilidad de ocurrencia en el 70%, con base en la aplicación del teorema de Bayes para calibrar la probabilidad condicional de tener una vulneración de seguridad de

-------------------------------

• Impacto: Los derechos y libertades de los titulares que entregan datos médicos están

siendo sistemáticamente vulnerados por parte del responsable del tratamiento. La confidencialidad de los datos personales de todos los titulares presenta un alto riesgo debido a la negligencia de no implementar métodos de borrado seguro.

• Rationale: Los auditores jurídicos estimaron, utilizando el método Delphi, con un

nivel de muy alto por tratarse de datos sensibles que afectan a más de 1 000 titulares, de acuerdo con lo establecido en los criterios de evaluación (agregar respaldo en

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

En primer lugar, es necesario implementar un mecanismo para que los titulares de datos de la salud puedan eliminar sus datos. En segundo lugar, se debe capacitar a la dirección jurídica en las obligaciones de conformidad a la LOPDP. En tercer lugar, es necesario cumplir con la implementación de mecanismos de borrado seguro que sobreescriban en la práctica, los sectores de los discos duros con varias capas de caracteres.

93

2.8. Riesgo de no cumplir con los derechos de oposición y suspensión del tratamiento

Concordancia: Arts. 16, 19 LOPDP.

Identificación del riesgo

¿Cómo pueden los interesados ejercer sus derechos de oposición y de suspensión?

Los titulares de datos pueden ejercer sus derechos de oposición y suspensión escribiendo al correo electrónico: derechos@malakompra.ec.

• Amenaza: La empresa MalaKompra S.A. puede vulnerar los derechos de los

titulares de datos al no proporcionarles mecanismos para ejercer los derechos de oposición y suspensión.

• Rationale: Considerando que la amenaza es el responsable del tratamiento, el

equipo de auditores jurídicos abrió cuentas como potenciales clientes, para auditar los mecanismos implementados para el ejercicio de los derechos de

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada.

El equipo de auditores jurídicos verificó que tres clientes escriban al correo electrónico derechos@malakompra.ec y sus pedidos fueron realizados en un

Análisis del riesgo

Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Se cumplió con ellos en el plazo establecido (agregar respaldo en

• Impacto: El impacto puede generar una vulneración de confidencialidad de

los datos personales de los titulares, ocasionando además de la vulneración de su derecho a la protección de datos personales, probables vulneraciones a otros derechos y libertades.

94

-------------------------------

• Rationale: Un equipo de cuatro auditores estimó que el impacto es

importante, pero intuye que la empresa tiene mecanismos que funcionan

Evaluación del impacto Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.9. Riesgo de que los encargados del tratamiento no cumplan con sus obligaciones

Concordancia: Arts. 34, 47 LOPDP.

Identificación del riesgo

¿Las obligaciones de los encargados del tratamiento están claramente identificadas y regidas por un contrato?

La empresa declara tener dos encargados del tratamiento: (1) DataKuy Ltd. Servicios de marketing digital. Empresa Ecuatoriana. (2) BestKloud: Servicios de nube Infrastructure as a Service (IaaS) en la nube. Empresa Estadounidense registrada en el Estado California. Ambos están regidos por contratos que contemplan la conformidad al reglamento General de Protección de Datos (UE) 2016/679. No obstante, hay la sospecha de si existe un tercer encargado del tratamiento no declarado en lo que concierne a los datos de la salud.

• Amenaza: La amenaza son los encargados del tratamiento que podrían

incumplir con la protección de los derechos y libertades de los titulares de datos, conforme a la LOPDP. El equipo auditor identifica que los datos de la salud recopilados están siendo entregados a la empresa de seguros médicos Asegúrate S.A. sin ningún contrato de protección de datos personales.

• Rationale: El equipo de auditores técnicos auditó los flujos de datos

personales y encontró un encargado del tratamiento no declarado,

-------------------------------

95

• Vulnerabilidades: El equipo de auditores identificó dos vulnerabilidades. En

primer lugar, el encargado del tratamiento DataKuy Ltd. no tiene políticas de seguridad de la información, poniendo en alto riesgo la seguridad de los datos personales encargados. La vulnerabilidad es la falta de debida diligencia de la dirección jurídica. En segundo lugar, la empresa AseguraTe S.A. no tiene un Convenio de protección de datos, y sin embargo está tratando los datos de la salud. La vulnerabilidad es la falta de capacitación de la dirección jurídica.

• Rationale: El equipo de auditores jurídicos procedió a auditar los convenios

de procesamiento de datos personales ( Data protection Agreements ). Además, solicitó a los auditores técnicos, auditar el flujo de datos desde la

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Inminente (95%)

• Rationale: Los auditores utilizaron un modelo de predicción conformal

inductiva ( inductive conformal prediction ), para establecer el rango de confianza en el cumplimiento de obligaciones de encargados del tratamiento

-------------------------------

• Impacto: Los derechos y libertades de los titulares están en muy alto riesgo,

debido a la falta de medidas de seguridad organizacional y técnica por parte de la empresa DataKuy LTD; y, por la falta de un Convenio de protección de datos con la empresa AseguraTe S.A.

• Rationale: Los auditores utilizaron el modelo de aprendizaje automático

supervisado Decision Trees para analizar el impacto de la falta de debida diligencia para contratar a los respectivos encargados del tratamiento como

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Se debe capacitar a la dirección jurídica en temas de convenios de protección de datos personales con los encargados de datos y para realizar la debida diligencia al escogerlos. También es necesario que el DPD asuma su rol de auditor de auditores, identificando a los encargados del tratamiento de manera adecuada y revisando el flujo de datos personales.

96

[ SE HAN PRESENTADO VARIOS ESCENARIOS DE RIESGO, PERO SIEMPRE SERÁ NECESARIO AUMENTAR LOS ESCENARIOS QUE SEAN PERTINENTES PARA LA SITUACIÓN PARTICULAR DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO]

-------------------------------

• Vulnerabilidad: El departamento jurídico de la empresa MalaKompra S.A no

realiza los debidos controles de cada finalidad del tratamiento de manera periódica.

• Rationale: La política de protección de datos personales no incluye esta

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (70%)

82

• Rationale: El equipo de auditoría utilizó el método Delphi para promediar las

-------------------------------

• Impacto: El derecho a la información de los titulares de datos es vulnerado,

pues ellos no conocen que sus datos serán utilizados en marketing digital. Esto puede producir vulneraciones de la confidencialidad de sus datos.

• Rationale: El equipo de auditoría determinó que los datos utilizados para

campañas de marketing digital son datos simples, comportamentales y financieros de personas promedio. Sin embargo, vulnera los derechos de al

Evaluación del impacto

• Titulares promedio: Alto.

• Titulares especialmente vulnerables: Muy Alto.

Tratamiento del riesgo

Agregar esta finalidad del tratamiento a la política de protección de datos.

2.2. Riesgo de no cumplir con el tratamiento legítimo de datos personales

Concordancia: Art. 7 LOPDP.

Identificación del riesgo

¿Cuáles son las causales que hacen que el tratamiento sea legal?

La empresa MalaKompra S.A. justifica su base legal por el consentimiento obtenido de los titulares de datos y por su interés legítimo para utilizar los datos en campañas de marketing por cuanto es para el beneficio de sus clientes. No obstante, esta justificación no tiene proporcionalidad y por tanto puede vulnerar los derechos de los titulares de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento,

la empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al adoptar una interpretación abusiva del interés legítimo.

83

• Rationale: El interés legítimo debe ser proporcional y de ninguna manera

utilizarse como un mecanismo que sea manipulado para los intereses del

-------------------------------

• Vulnerabilidad: La empresa MalaKompra S.A. no cuenta con abogados

especializados en protección de datos personales.

• Rationale: La auditoría informó que hay un bajo nivel de preparación del área

jurídica del responsable del tratamiento en temas de protección de datos

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Inminente (90%).

• Rationale: El equipo de auditoría utilizó el modelo Delphi para promediar las

-------------------------------

• Impacto: El derecho de confidencialidad de los titulares de datos es

vulnerado, pues ellos no conocen que sus datos serán utilizados en marketing digital. Esto puede producir vulneraciones de la confidencialidad de sus datos.

• Rationale: El equipo de auditoría establece que no se puede realizar el

tratamiento de datos personales sin una base legal que justifique el tratamiento. Utilizar sus datos para marketing digital equivale a vulnerar el derecho de protección de datos personales de todos los clientes (agregar

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Eliminar el interés legítimo como base legal para realizar el tratamiento de datos con propósitos de marketing. En su lugar, incluir una forma específica en la aplicación web en la cual, inequívocamente, el titular de datos da el consentimiento para el tratamiento de sus datos con propósitos de marketing.

84

2.3. Riesgo no cumplir con las condiciones del consentimiento

Concordancia: Art. 8 LOPDP.

Identificación del riesgo

¿Cómo se obtiene el consentimiento de los interesados?

Se lo obtiene en la URL: https://malakompra.ec/signup y en persona en la matriz y sucursales de la empresa.

¿Es el consentimiento legítimo y lícito?

El consentimiento para el tratamiento de datos de la salud podría no cumplir con ser legítimo y lícito, por cuanto ofrecer dinero a cambio puede ser un mecanismo para aprovecharse de grupos vulnerables por condiciones de pobreza.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos que entreguen sus datos de la salud.

• Rationale: La auditoría jurídica realizada ha concluido que el consentimiento para

el tratamiento de datos de la salud a cambio de beneficios económicos no es transparente, por cuanto no se informa a los titulares de datos los fines del tratamiento de sus datos de la salud. Por ello, no se trata de un consentimiento informado (agregar

-------------------------------

• Vulnerabilidad: La empresa Ventas online no cuenta con abogados especializados en

protección de datos personales.

• Rationale: La auditoría informó que hay un bajo nivel de preparación del área jurídica

del responsable del tratamiento en temas de protección de datos personales (agregar

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (50%)

• Rationale: El equipo de auditoria realizó un análisis de la posición de la SPDP

con respecto al impacto de grupos especialmente vulnerables y ha calibrado las opiniones de cinco expertos utilizando el modelo Lens (agregar respaldo

-------------------------------

85

• Impacto: Los datos de la salud son datos sensibles, produciendo un elevado

impacto en grupos especialmente vulnerables de titulares de datos. Su mal uso puede afectar sus derechos al trabajo, su derecho a la salud, entre otros.

• Rationale: Se utilizó un método estadístico para verificar la empleabilidad de

personas con enfermedades en el mercado laboral ecuatoriano (agregar

Evaluación del impacto

Titulares promedio: Muy alto.

Titulares especialmente vulnerables: Muy alto.

Tratamiento del riesgo

Informar de manera adecuada y eficiente a los titulares de los datos acerca de los fines del tratamiento de sus datos de la salud, de las medidas de seguridad que estos tendrán; y, del impacto que puede tener la divulgación de estos datos en el mercado laboral, así como el impacto en el potencial costo de coberturas de seguros médicos, entre otros afines. Asimismo, informar con un lenguaje comprensible y darles el tiempo necesario para comprender los riesgos del tratamiento de sus datos de la salud.

2.4. Riesgo de guardar los datos personales de manera excesiva

Concordancia: Art. 10 (I) de la LOPDP.

¿Cuál es la duración de almacenamiento de los datos?

Los datos son conservados por dos meses posteriores a haber cumplido con las finalidades del tratamiento.

¿Qué método se utiliza para borrar los datos de manera segura?

Se utilizan sistema de sobre escritura de caracteres. Para el borrado de dispositivos de almacenamiento se utiliza el Estándar NIST SP 800-88.

Identificación del riesgo

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al conservar los datos de manera indefinida y al no utilizar mecanismos de borrado seguro.

86

• Rationale: Los auditores identificaron que la empresa conserva los datos y metadatos

de manera indefinida en los backups . Por tanto, no cumple con lo establecido en su

-------------------------------

• Vulnerabilidad: Las políticas de seguridad de la información; y, en particular, el plan

de Continuidad de actividades ( Business Continuity Plan ) no ha sido adaptado a las obligaciones de la LOPDP. La falta de comunicación entre el DPD y el CISO es una vulnerabilidad organizacional.

• Rationale: El equipo de auditoría de seguridad organizacional encontró esta

vulnerabilidad en las políticas de seguridad de la información y solicitó revisar los backups constatando que los datos no eran borrados de los discos duros utilizados

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (70%)

• Rationale: Los auditores de seguridad organizacional encontraron que alrededor del

60% de los datos personales tratados se conservan en los backups de manera

-------------------------------

• Impacto: La consecuencia para los titulares de datos es el aumento del riesgo de una

vulneración de la confidencialidad de los datos personales. Con ello, se pueden vulnerar su derecho a la protección de datos personales y otros derechos como impacto secundario.

• Rationale: Los auditores constataron que los datos personales que constan en los

backups son simples, comportamentales, financieros y sensibles (agregar respaldo en

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Mejorar el plan de continuidad de actividades incorporando un proceso para borrar datos personales de los backups . Implementar y cumplir con un borrado seguro en el que se sobreescriba cada sector. Se recomiendan seguir los procesos de los estándares DoD 5220.22, o el NIST 800-88.

87

2.4. Riesgo de no cumplir con el principio de pertinencia y minimización de datos

Concordancia: Art. 10 (e) LOPDP.

Identificación del riesgo

¿Los datos recopilados son adecuados, relevantes y limitados a lo que es necesario en relación con los fines para los que se procesan ('minimización de datos')?

Los datos recolectados son biográficos, de contacto, geolocalización, preferencias, financieros y datos sensibles de la salud en alrededor del 25% de titulares de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento,

la empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al recopilar datos de manera excesiva y al no tener ninguna pertinencia para el tratamiento de datos necesario.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes para auditar que datos personales eran requeridos al abrir una cuenta. Se identificó que se están recopilando datos biográficos (nombres, apellidos y edad) acerca de los hijos de los clientes al abrir cuentas, en la página web: https://malakompra.ec/signup. (agregar respaldo en

-------------------------------

• Vulnerabilidad: Los formularios los hace el webmaster, sin ningún control de

la Dirección Jurídica.

• Rationale: El equipo de auditores jurídicos identificó que no hay

procedimientos internos para auditar el desarrollo de formularios que

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (75%)

• Rationale: Tres de los cuatro expertos consideraron que los datos personales

-------------------------------

• Impacto: Los datos personales de menores de edad son datos sensibles. El

impacto primario es vulnerar el derecho a la confidencialidad de sus datos personales. El impacto secundario es exponerlos a riesgos de seguridad en un país con altos índices de delincuencia.

88

• Rationale: Estadísticas de extorsiones y secuestros en el Ecuador (agregar

Evaluación del impacto

Titulares promedio: Alto. Titulares especialmente vulnerables: Muy alto.

Tratamiento del riesgo

Elaborar un proceso en el cual la dirección jurídica deba revisar y aprobar los formularios desarrollados por la dirección de tecnologías de la información; eliminar los datos de menores de edad de los formularios pertinentes y borrar todos los datos personales de edad que ya hayan sido recopilados y almacenados.

2.5. Riesgo de no cumplir con los derechos de acceso y portabilidad de datos

Concordancia: Art. 13 LOPDP.

Identificación del riesgo

¿Qué métodos se utilizan para garantizar el acceso de los titulares a sus datos personales?

Los titulares de datos tienen acceso directo y permisos de edición de todos los datos que generen en su espacio web. Para los datos y metadatos que estén fuera del control del titular de datos, se puede enviar un correo electrónico a derechos@malkompra.ec.

¿Qué métodos se utilizan para garantizar el derecho a la portabilidad de datos?

Los titulares de datos podrán ejercer su derecho de portabilidad de datos escribiendo a derechos@malakompra.ec. Los datos serán entregados en formato pdf y/o csv de acuerdo con el tipo de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al no proporcionar mecanismos para ejercer el derecho de acceso y el derecho de portabilidad de datos a los titulares de datos.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes para auditar los mecanismos implementados para el ejercicio de

89

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada. El

equipo jurídico abrió cuentas como clientes y verificó el control sobre toda su información propia generada en menos de diez días. Además, solicitó todos sus datos personales en un formato estandarizado, recibiendo respuesta también en un plazo razonable, con un enlace de descarga de un archivo en formato PDF (agregar respaldo

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Dos solicitudes se cumplieron en cinco días. Una solicitud se cumplió en seis días. Los expertos concluyeron una eficiencia del 95%

-------------------------------

• Impacto: El impacto puede generar una vulneración de disponibilidad de los

datos personales de los titulares, ocasionando además la vulneración de su derecho a la protección de datos personales y pérdidas financieras debido a la falta de acceso.

• Rationale: El equipo de auditores estimó que el impacto es importante, pero

influye que la empresa tiene mecanismos que funcionan (agregar respaldo en

Evaluación del impacto

Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.6. Riesgo de no cumplir con el derecho de rectificación y actualización

Concordancia: Art. 14 LOPDP.

90

Identificación del riesgo

¿Cómo pueden los interesados ejercer sus derechos de rectificación y actualización?

Los titulares de datos tienen los privilegios correspondientes para rectificar y actualizar todos los datos que generen en su espacio web. Para rectificar y actualizar los datos y metadatos que estén fuera del control del titular de datos, se puede enviar un correo electrónico a derechos@malakompra.ec.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de rectificación y actualización los titulares de datos al no proporcionar mecanismos para su ejercicio.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes, para auditar los mecanismos implementados para el ejercicio de los derechos de rectificación y actualización (agregar respaldo en

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada.

El equipo jurídico abrió cuenta como clientes y verificó el control sobre toda su información propia generada. Además, pudo rectificar y actualizar otros datos personales sin permiso de edición, recibiendo respuesta también en un

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Las solicitudes se cumplieron en tres días. Una solicitud se cumplió en seis días. Los expertos estimaron una eficiencia del 98% (agregar respaldo

-------------------------------

• Impacto: El impacto puede generar una vulneración de integridad de los datos

personales de los titulares, ocasionando además la vulneración de su derecho a la protección de datos personales; y, pueden vulnerarse otros derechos y libertades debido a no poder rectificar su información.

91

• Rationale: El equipo de tres auditores estimó que el impacto es importante,

pero infiere que la empresa tiene mecanismos que funcionan (agregar

Evaluación del impacto

Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.7. Riesgo de no cumplir con el derecho de eliminación

Concordancia: Art. 15 LOPDP.

Identificación del riesgo

¿Cómo pueden los interesados ejercer su derecho de eliminación de datos?

Los titulares de datos pueden ejercer su derecho de eliminación de datos que ellos generen desde su propio espacio web. Sin embargo, los datos personales publicados en la sección “Prensa” no tienen un mecanismo para ser eliminados.

¿Qué método de borrado seguro es utilizado?

El responsable del tratamiento supuestamente utiliza herramientas basadas en el Estándar NIST 800-88.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al no proporcionarles mecanismos para ejercer el derecho de acceso de eliminación.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como potenciales

clientes para auditar los mecanismos implementados para el ejercicio del derecho de eliminación de datos. El equipo de auditores técnicos procedió a implementar una estrategia de file carving para verificar si los datos son borrados de manera segura

-------------------------------

• Vulnerabilidad: No hay mecanismos para ejercer el derecho de eliminación para los

datos de la salud. La empresa no cumple con un sistema de borrado seguro en sus dispositivos de almacenamiento.

92

• Rationale: El equipo de auditores jurídicos identificó que la dirección jurídica no

había considerado que dar beneficios financieros a sus clientes no presupone que la empresa se vuelva propietaria de esos datos de la salud, lo cual es ilegal a la luz de la LOPDP. Esto debido a la baja capacitación de la dirección jurídica en derecho de protección de datos personales. Además, el equipo de auditores técnicos procedió a extraer una copia de bit a bit de un disco duro de la empresa y utilizó la herramienta Data Extractor ; con lo cual, identificó que los datos personales no son eliminados de manera segura. Por ello, la segunda vulnerabilidad identificada es la negligencia del departamento de seguridad de la información al no implementar los mecanismos adecuados de borrado seguro en todos los dispositivos de almacenamiento (agregar

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (85%)

• Rationale: Hubo tres auditores jurídicos que calibraron a partir del método Delphi,

una probabilidad del 100%. Los dos auditores técnicos por su lado calibraron la probabilidad de ocurrencia en el 70%, con base en la aplicación del teorema de Bayes para calibrar la probabilidad condicional de tener una vulneración de seguridad de

-------------------------------

• Impacto: Los derechos y libertades de los titulares que entregan datos médicos están

siendo sistemáticamente vulnerados por parte del responsable del tratamiento. La confidencialidad de los datos personales de todos los titulares presenta un alto riesgo debido a la negligencia de no implementar métodos de borrado seguro.

• Rationale: Los auditores jurídicos estimaron, utilizando el método Delphi, con un

nivel de muy alto por tratarse de datos sensibles que afectan a más de 1 000 titulares, de acuerdo con lo establecido en los criterios de evaluación (agregar respaldo en

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

En primer lugar, es necesario implementar un mecanismo para que los titulares de datos de la salud puedan eliminar sus datos. En segundo lugar, se debe capacitar a la dirección jurídica en las obligaciones de conformidad a la LOPDP. En tercer lugar, es necesario cumplir con la implementación de mecanismos de borrado seguro que sobreescriban en la práctica, los sectores de los discos duros con varias capas de caracteres.

93

2.8. Riesgo de no cumplir con los derechos de oposición y suspensión del tratamiento

Concordancia: Arts. 16, 19 LOPDP.

Identificación del riesgo

¿Cómo pueden los interesados ejercer sus derechos de oposición y de suspensión?

Los titulares de datos pueden ejercer sus derechos de oposición y suspensión escribiendo al correo electrónico: derechos@malakompra.ec.

• Amenaza: La empresa MalaKompra S.A. puede vulnerar los derechos de los

titulares de datos al no proporcionarles mecanismos para ejercer los derechos de oposición y suspensión.

• Rationale: Considerando que la amenaza es el responsable del tratamiento, el

equipo de auditores jurídicos abrió cuentas como potenciales clientes, para auditar los mecanismos implementados para el ejercicio de los derechos de

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada.

El equipo de auditores jurídicos verificó que tres clientes escriban al correo electrónico derechos@malakompra.ec y sus pedidos fueron realizados en un

Análisis del riesgo

Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Se cumplió con ellos en el plazo establecido (agregar respaldo en

• Impacto: El impacto puede generar una vulneración de confidencialidad de

los datos personales de los titulares, ocasionando además de la vulneración de su derecho a la protección de datos personales, probables vulneraciones a otros derechos y libertades.

94

-------------------------------

• Rationale: Un equipo de cuatro auditores estimó que el impacto es

importante, pero intuye que la empresa tiene mecanismos que funcionan

Evaluación del impacto Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.9. Riesgo de que los encargados del tratamiento no cumplan con sus obligaciones

Concordancia: Arts. 34, 47 LOPDP.

Identificación del riesgo

¿Las obligaciones de los encargados del tratamiento están claramente identificadas y regidas por un contrato?

La empresa declara tener dos encargados del tratamiento: (1) DataKuy Ltd. Servicios de marketing digital. Empresa Ecuatoriana. (2) BestKloud: Servicios de nube Infrastructure as a Service (IaaS) en la nube. Empresa Estadounidense registrada en el Estado California. Ambos están regidos por contratos que contemplan la conformidad al reglamento General de Protección de Datos (UE) 2016/679. No obstante, hay la sospecha de si existe un tercer encargado del tratamiento no declarado en lo que concierne a los datos de la salud.

• Amenaza: La amenaza son los encargados del tratamiento que podrían

incumplir con la protección de los derechos y libertades de los titulares de datos, conforme a la LOPDP. El equipo auditor identifica que los datos de la salud recopilados están siendo entregados a la empresa de seguros médicos Asegúrate S.A. sin ningún contrato de protección de datos personales.

• Rationale: El equipo de auditores técnicos auditó los flujos de datos

personales y encontró un encargado del tratamiento no declarado,

-------------------------------

95

• Vulnerabilidades: El equipo de auditores identificó dos vulnerabilidades. En

primer lugar, el encargado del tratamiento DataKuy Ltd. no tiene políticas de seguridad de la información, poniendo en alto riesgo la seguridad de los datos personales encargados. La vulnerabilidad es la falta de debida diligencia de la dirección jurídica. En segundo lugar, la empresa AseguraTe S.A. no tiene un Convenio de protección de datos, y sin embargo está tratando los datos de la salud. La vulnerabilidad es la falta de capacitación de la dirección jurídica.

• Rationale: El equipo de auditores jurídicos procedió a auditar los convenios

de procesamiento de datos personales ( Data protection Agreements ). Además, solicitó a los auditores técnicos, auditar el flujo de datos desde la

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Inminente (95%)

• Rationale: Los auditores utilizaron un modelo de predicción conformal

inductiva ( inductive conformal prediction ), para establecer el rango de confianza en el cumplimiento de obligaciones de encargados del tratamiento

-------------------------------

• Impacto: Los derechos y libertades de los titulares están en muy alto riesgo,

debido a la falta de medidas de seguridad organizacional y técnica por parte de la empresa DataKuy LTD; y, por la falta de un Convenio de protección de datos con la empresa AseguraTe S.A.

• Rationale: Los auditores utilizaron el modelo de aprendizaje automático

supervisado Decision Trees para analizar el impacto de la falta de debida diligencia para contratar a los respectivos encargados del tratamiento como

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Se debe capacitar a la dirección jurídica en temas de convenios de protección de datos personales con los encargados de datos y para realizar la debida diligencia al escogerlos. También es necesario que el DPD asuma su rol de auditor de auditores, identificando a los encargados del tratamiento de manera adecuada y revisando el flujo de datos personales.

96

[ SE HAN PRESENTADO VARIOS ESCENARIOS DE RIESGO, PERO SIEMPRE SERÁ NECESARIO AUMENTAR LOS ESCENARIOS QUE SEAN PERTINENTES PARA LA SITUACIÓN PARTICULAR DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO]

102

seguridad en las instalaciones de la empresa en donde se guarda información confidencial. No se realizan test de penetración internos de manera periódica. No se utilizan funciones de hash para controlar la integridad de los archivos.

• Rationale: La dirección de seguridad de la información contrató a un ethical

hacker externo, quien realizó un análisis de vulnerabilidades organizacionales y técnicas internas. El especialista concluyó que la principal raíz del problema es organizacional; y, que es necesario cambiar las prácticas de la dirección de recursos humanos. Además, verificó que no existe una cultura de trazabilidad eficiente en el manejo documental (agregar respaldo en Anexo).

Análisis del riesgo

• Frecuencia de ocurrencia: Muy alta (Mínimo: 14; Más probable: 22; Máximo:

38)

• Rationale: El análisis interno de vulnerabilidades comprobó que se han

implementado funciones de hash para controlar un manejo documental íntegro, lo cual permite que empleados de la empresa puedan tomar ventaja y alterar archivos (agregar respaldo en Anexo).

-------------------------------

• Impacto: Una vulneración de la seguridad de datos puede impactar la

integridad de los datos, causando vulneraciones de los derechos y libertades de los titulares. Mínimo: $2 000, Más probable: $10 000, Máximo: $20 000.

• Rationale: La dirección de gobernanza de datos contrató a un especialista en

análisis de riesgos cuantitativos que utilizó una variación personalizada del modelo FAIR, en donde los datos de entrada fueron calibrados en función de dos factores. En primer lugar, se realizaron encuestas a las víctimas de las vulneraciones de integridad de datos de la empresa, con 50 titulares de datos promedio; y, 20 titulares de datos de grupos especialmente vulnerables. En segundo lugar, la calibración se hizo a partir del 0.3% de la facturación bruta anual de la empresa, anticipando una probable sanción (agregar respaldo en

Anexo).

Evaluación del impacto

Bajo. (Mínimo: $2 000, Más probable: $10 000, Máximo: $20 000).

Tratamiento del riesgo

• Cambiar los procedimientos de contratación y auditoría de la dirección de

recursos humanos, realizando chequeos de antecedentes de los empleados y evaluaciones psicológicas.

103

• Agregar en las políticas de seguridad de la información, políticas para el

manejo y controles de empleados.

• Implementar un manejo documental en donde todos los archivos cuenten con

al menos dos hashes (por ejemplo: MD5, SHA 1, SHA 256), que permitan verificar la integridad de datos.

3.2.2. Vulneración de la seguridad de datos personales / Ingeniería social - phishing

Concordancia: Arts. 10 (e), 37 LOPDP.

Identificación del riesgo

¿Qué comunidades de amenaza se pueden vincular al escenario de riesgo?

Cibercriminales, Hackers mercenarios auspiciados, empleados internos.

¿Qué mecanismos pueden utilizar las comunidades de amenaza?

Llamadas telefónicas falsas, spear phishing, phishing por correos electrónicos, phishing por mensajes de chat, vishing con mensaje de voz.

¿Qué vulnerabilidades organizacionales se han detectado con respecto a este escenario de riesgo?

Falta de capacitación de empleados. Falta de capacitación a los titulares de datos (clientes).

¿Qué vulnerabilidades técnicas se han detectado con respecto a este escenario de riesgo?

Falta de un detector eficiente de spam en el servidor de correo electrónico, https://mail.malakompra.ec.

¿Qué consecuencias pueden sufrir los titulares de los datos si el riesgo se materializa?

El impacto primario es la vulneración de su derecho de datos personales en cuanto a su integridad, disponibilidad y confidencialidad. Esto puede ocasionar como impacto secundario la vulneración de otros derechos y libertades.

• Amenazas: Cibercriminales, Hackers mercenarios auspiciados, empleados

internos.

• Rationale: El especialista externo en inteligencia de amenazas ( threat

intelligence) combinó los datos de ataques de phishing de los reportes de IBM

104

security y Verizon, con una calibración subjetiva con base en cinco incidentes internos en el último año (agregar respaldo en Anexo).

-------------------------------

• Vulnerabilidades: Falta de capacitación de empleados. Falta de capacitación

a los titulares de datos (clientes). Falta de un detector eficiente de spam en el servidor de correo electrónico https://mail.malakompra.ec.

• Rationale: La dirección de seguridad de la información contrató a un ethical

hacker externo, quien realizó un análisis de vulnerabilidades organizacionales y técnicas. El hacker ético pudo aprovechar la ingenuidad de dos empleados para conseguir acceso a los sistemas de información (agregar respaldo en Anexo).

Análisis del riesgo

• Frecuencia de ocurrencia: Media (Mínimo: 4; Más probable: 8; Máximo: 15)

• Rationale: El CISO y el DPD utilizaron los datos de entrada de los

especialistas externos y calibraron el valor (agregar respaldo en Anexo).

-------------------------------

• Impacto: Una vulneración de la seguridad de datos puede impactar la

integridad, confidencialidad y disponibilidad de los datos personales, causando vulneraciones de los derechos y libertades de los titulares. Mínimo: $100 000, Más probable: $160 000, Máximo: $220 000.

• Rationale: El CISO utilizó el modelo FAIR para calibrar de manera

cuantitativa el impacto global de los ataques de phishing e ingeniería social, incluyendo el impacto en los derechos y libertades de los titulares. El DPD lo validó (agregar respaldo en Anexo).

Evaluación del impacto

ALTO (Mínimo: $100 000, Más probable: $160 000, Máximo: $220 000).

Tratamiento del riesgo

• Diseñar programas de capacitación eficaces para todos los empleados de la

empresa. Diseñar campañas de concientización para los clientes (titulares de datos).

• Implementar una solución de detección de spam entrenada con modelos de

aprendizaje automático eficientes que arrojen un nivel de falsos negativos menos al 1% en el servidor de email https://mail.malakompra.ec.

105

[AGREGAR LOS ESCENARIOS DE RIESGO DE INTEGRIDAD DE DATOS NECESARIOS ...]

3.3. Escenarios de riesgo de disponibilidad

3.3.1. Vulneración de la seguridad de datos personales / Ataques de Denegación Distribuida de Servicio (DDOS)

Concordancia: Arts. 10 (e), 37 LOPDP.

Identificación del riesgo

¿Qué comunidades de amenaza se pueden vincular al escenario de riesgo?

Hacktivistas, hackers mercenarios contratados, cibercriminales.

¿Qué mecanismos pueden utilizar las comunidades de amenaza?

Utilizar software como mecanismos para realizar ataques de denegación distribuida de servicio (DDOS), con el fin de ocasionar la interrupción temporal de servicios, incluyendo el acceso a la información por parte de los titulares de datos.

¿Qué vulnerabilidades organizacionales se han detectado con respecto a este escenario de riesgo?

No hay un plan de respuesta a incidentes en casos de ataques DOS, DDOS.

¿Qué vulnerabilidades técnicas se han detectado con respecto a este escenario de riesgo?

No hay protección Cloudflare que permita filtrar y mitigar ataques de DDOS.

¿Qué consecuencias pueden sufrir los titulares de los datos si el riesgo se materializa?

El impacto primario es la vulneración de la disponibilidad de sus datos personales. Esto puede ocasionar impactos secundarios como violación de otros derechos y libertades; y, pérdidas económicas.

• Amenazas: Hacktivistas, hackers mercenarios contratados, cibercriminales.

• Rationale: Había datos propios registrados sobre ataques de DDOS. Se

contrató a un especialista externo en inteligencia de amenazas ( threat intelligence ), quien realizó el análisis de adversarios utilizando matrices (agregar respaldo en Anexo).

106

-------------------------------

• Vulnerabilidades: No hay un plan de respuesta a incidentes en casos de

ataques DOS, DDOS. No hay protección Cloudflare que permita filtrar y mitigar ataques de DDOS.

• Rationale: La dirección de seguridad de la información contrató a un ethical

hacker externo y experto en respuesta a incidentes, quien realizó pruebas de stress para comprobar la resiliencia de los sistemas de información para calibrar el rango confiable de respuestas a solicitudes con el Transfer Control Protocol desde internet (agregar respaldo en Anexo).

Análisis del riesgo

• Frecuencia de ocurrencia: Alta (Mínimo: 8; Más probable: 16; Máximo: 30).

• Rationale: Se utilizó el modelo LENS con cinco expertos que calibren sus

opiniones con base en la información de los reportes de violaciones de datos de IBM Security y Protiviti, enfocándolo en el tipo de industria y situaciones empresariales similares. Cabe destacar que este informe incluía pérdidas en productividad, respuesta a incidentes, reemplazo de activos, pérdidas de ventaja competitiva, pérdida de reputación y sanciones legales. El DPD procedió a interpretarlo solamente en el área de la protección de datos personales, utilizando una personalización del modelo FAIR (agregar respaldo en Anexo).

-------------------------------

• Impacto: Vulneración temporal de la disponibilidad de los datos personales. El

impacto primario es una vulneración del derecho de protección de datos personales; lo cual, puede ocasionar impactos secundarios vulnerando otros derechos y ocasionando pérdidas financieras a los titulares.

• Rationale: El impacto en los derechos y libertades de los titulares fue calibrado

por la dirección de Gobernanza de datos de la empresa, con base en el informe recibido por parte de la del CISO de la empresa; en donde se aplicó el modelo LENS con cinco expertos para calibrar el impacto financiero de los potenciales ataques de DDOS. Los valores calibrados fueron: Mínimo: $10 000, Más probable: $40 000, Máximo: $120 000 (agregar respaldo en Anexo).

Evaluación del impacto

Medio (Mínimo: $10 000, Más probable: $40000, Máximo: $120 000).

Tratamiento del riesgo

No hay un plan de respuesta a incidentes en casos de ataques DOS, DDOS. No hay protección Cloudflare que permita filtrar y mitigar ataques de DDOS.

107

• Desarrollar un plan de respuesta a incidentes en casos de ataques DOS,

DDOS.

• Implementar protección Cloudflare con firewalls de aplicaciones web (WAF),

que permitan filtrar y mitigar ataques de DDOS.

3.3.2. Vulneración de la seguridad de datos personales / Malware (Ransomware)

Concordancia: Arts. 10 (e), 37 LOPDP.

Identificación del riesgo

¿Qué comunidades de amenaza se pueden vincular al escenario de riesgo?

Cibercriminales, crimen organizado, empleados internos, hackers mercenarios contratados.

¿Qué mecanismos pueden utilizar las comunidades de amenaza?

Utiliza ransomware existente con codificadores y crypters personalizadas o ransomware zero day . Para ello, pueden utilizar como medio el phishing para instalar un troyano que les permita acceder al sistema y elevar privilegios. También pueden aprovechar vulnerabilidades técnicas del software para conseguir acceso. Y se puede actuar en complicidad con empleados internos.

¿Qué vulnerabilidades organizacionales se han detectado con respecto a este escenario de riesgo?

Falta de capacitación de los empleados. Plan de continuidad de actividades deficiente ( Business Continuity Plan ).

¿Qué vulnerabilidades técnicas se han detectado con respecto a este escenario de riesgo?

Se verificó mediante auditoría que no hay backups en un aproximado del 50% de bases de datos personales de la empresa.

¿Qué consecuencias pueden sufrir los titulares de los datos si el riesgo se materializa?

Violación temporal o permanente de la disponibilidad de datos personales. Vulneración del derecho de datos personales y otros derechos y libertades.

• Amenazas: Cibercriminales, crimen organizado, empleados internos, hackers

mercenarios contratados.

108

• Rationale: Se contrató a un especialista externo en inteligencia de amenazas

( threat intelligence ), quien realizó el análisis de adversarios utilizando matrices (agregar respaldo en Anexo).

-------------------------------

• Vulnerabilidades: Falta de capacitación de los empleados. Plan de

continuidad de actividad ( Business Continuity Plan ) que no incluye las métricas del Real Time Objective (RTO) y el Real Point Objective (RPO). Incumplimiento en alrededor del 50% de backups, los cuales deben estar en tres locaciones diferentes.

• Rationale: Se contrató a un equipo red team integrado por tres ethical hackers

y penetration testers que consiguieron acceso primeramente con un troyano que incorporaba un payload para procesadores Intel 64, un troyano de conexión reversa. A partir de ello, elevaron privilegios aprovechando la vulnerabilidad “ms14058trackpopupmenu” en un sistema operativo obsoleto Windows 7. Después utilizaron un ransomware personalizado programado en el lenguaje python, simulando un ataque real con una nota de ransomware que pedía 5 Bitcoins por el rescate, en un plazo de 5 días (agregar respaldo en Anexo).

Análisis del riesgo

• Frecuencia de ocurrencia: Baja. (Mínimo: 1; Más probable: 4; Máximo: 20).

• Rationale: Se realizó un análisis histórico. En el año anterior hubo 20

tentativas de ransomware, en donde un ataque pudo consumarse y se perdieron el 50% de datos, incluyendo datos personales de clientes. La empresa pagó el rescate de 2 BitCoin, pero los cibercriminales no devolvieron la información secuestrada. El CISO calibró el resultado con base en una implementación del modelo FAIR respecto a las pérdidas financieras que ocasiona el ransomware en cuanto a: productividad, respuesta a incidentes, reemplazo de activos, pérdidas de ventaja competitiva, pérdida de reputación y potenciales sanciones legales. La dirección de gobernanza de datos interpretó el informe recibido del CISO, sólo para el ámbito de la protección de derechos y libertades de los titulares (agregar respaldo en Anexo).

-------------------------------

• Impacto: Vulneración temporal o definitiva de la disponibilidad de los datos

personales. El impacto primario es una vulneración del derecho de protección de datos personales, lo cual puede ocasionar impactos secundarios vulnerando otros derechos y ocasionando pérdidas financieras a los titulares.

• Rationale: Alto. El impacto en los derechos y libertades de los titulares fue

calibrado por la dirección de Gobernanza de datos de la empresa, con base al informe recibido por parte de la del CISO de la empresa. Los valores de

109

entrada calibrados fueron: Mínimo: $130 000, Más probable: $600 000, Máximo: $1 300 000 (agregar respaldo en Anexo).

Evaluación del impacto

Alto (Mínimo: $130 000, Más probable: $600 000, Máximo: $1 300 000).

Tratamiento del riesgo

• Realizar programas de capacitación a empleados.

• Mejorar el Plan de continuidad de actividades, incorporando las métricas de

Real Time Objective y Real Point Objective, cuidando que los backups sean periódicos. Implementar un sistema de backups incremental que incluya todos los datos personales.

• Cifrar los archivos de backup que se guarden en dispositivos de

almacenamiento externo o en la nube.

• Implementar un antivirus premium.

[AGREGAR LOS ESCENARIOS DE RIESGO DE DISPONIBILIDAD DE DATOS NECESARIOS ...]

110

-------------------------------

• Vulnerabilidad: El departamento jurídico de la empresa MalaKompra S.A no

realiza los debidos controles de cada finalidad del tratamiento de manera periódica.

• Rationale: La política de protección de datos personales no incluye esta

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (70%)

82

• Rationale: El equipo de auditoría utilizó el método Delphi para promediar las

-------------------------------

• Impacto: El derecho a la información de los titulares de datos es vulnerado,

pues ellos no conocen que sus datos serán utilizados en marketing digital. Esto puede producir vulneraciones de la confidencialidad de sus datos.

• Rationale: El equipo de auditoría determinó que los datos utilizados para

campañas de marketing digital son datos simples, comportamentales y financieros de personas promedio. Sin embargo, vulnera los derechos de al

Evaluación del impacto

• Titulares promedio: Alto.

• Titulares especialmente vulnerables: Muy Alto.

Tratamiento del riesgo

Agregar esta finalidad del tratamiento a la política de protección de datos.

2.2. Riesgo de no cumplir con el tratamiento legítimo de datos personales

Concordancia: Art. 7 LOPDP.

Identificación del riesgo

¿Cuáles son las causales que hacen que el tratamiento sea legal?

La empresa MalaKompra S.A. justifica su base legal por el consentimiento obtenido de los titulares de datos y por su interés legítimo para utilizar los datos en campañas de marketing por cuanto es para el beneficio de sus clientes. No obstante, esta justificación no tiene proporcionalidad y por tanto puede vulnerar los derechos de los titulares de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento,

la empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al adoptar una interpretación abusiva del interés legítimo.

83

• Rationale: El interés legítimo debe ser proporcional y de ninguna manera

utilizarse como un mecanismo que sea manipulado para los intereses del

-------------------------------

• Vulnerabilidad: La empresa MalaKompra S.A. no cuenta con abogados

especializados en protección de datos personales.

• Rationale: La auditoría informó que hay un bajo nivel de preparación del área

jurídica del responsable del tratamiento en temas de protección de datos

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Inminente (90%).

• Rationale: El equipo de auditoría utilizó el modelo Delphi para promediar las

-------------------------------

• Impacto: El derecho de confidencialidad de los titulares de datos es

vulnerado, pues ellos no conocen que sus datos serán utilizados en marketing digital. Esto puede producir vulneraciones de la confidencialidad de sus datos.

• Rationale: El equipo de auditoría establece que no se puede realizar el

tratamiento de datos personales sin una base legal que justifique el tratamiento. Utilizar sus datos para marketing digital equivale a vulnerar el derecho de protección de datos personales de todos los clientes (agregar

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Eliminar el interés legítimo como base legal para realizar el tratamiento de datos con propósitos de marketing. En su lugar, incluir una forma específica en la aplicación web en la cual, inequívocamente, el titular de datos da el consentimiento para el tratamiento de sus datos con propósitos de marketing.

84

2.3. Riesgo no cumplir con las condiciones del consentimiento

Concordancia: Art. 8 LOPDP.

Identificación del riesgo

¿Cómo se obtiene el consentimiento de los interesados?

Se lo obtiene en la URL: https://malakompra.ec/signup y en persona en la matriz y sucursales de la empresa.

¿Es el consentimiento legítimo y lícito?

El consentimiento para el tratamiento de datos de la salud podría no cumplir con ser legítimo y lícito, por cuanto ofrecer dinero a cambio puede ser un mecanismo para aprovecharse de grupos vulnerables por condiciones de pobreza.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos que entreguen sus datos de la salud.

• Rationale: La auditoría jurídica realizada ha concluido que el consentimiento para

el tratamiento de datos de la salud a cambio de beneficios económicos no es transparente, por cuanto no se informa a los titulares de datos los fines del tratamiento de sus datos de la salud. Por ello, no se trata de un consentimiento informado (agregar

-------------------------------

• Vulnerabilidad: La empresa Ventas online no cuenta con abogados especializados en

protección de datos personales.

• Rationale: La auditoría informó que hay un bajo nivel de preparación del área jurídica

del responsable del tratamiento en temas de protección de datos personales (agregar

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (50%)

• Rationale: El equipo de auditoria realizó un análisis de la posición de la SPDP

con respecto al impacto de grupos especialmente vulnerables y ha calibrado las opiniones de cinco expertos utilizando el modelo Lens (agregar respaldo

-------------------------------

85

• Impacto: Los datos de la salud son datos sensibles, produciendo un elevado

impacto en grupos especialmente vulnerables de titulares de datos. Su mal uso puede afectar sus derechos al trabajo, su derecho a la salud, entre otros.

• Rationale: Se utilizó un método estadístico para verificar la empleabilidad de

personas con enfermedades en el mercado laboral ecuatoriano (agregar

Evaluación del impacto

Titulares promedio: Muy alto.

Titulares especialmente vulnerables: Muy alto.

Tratamiento del riesgo

Informar de manera adecuada y eficiente a los titulares de los datos acerca de los fines del tratamiento de sus datos de la salud, de las medidas de seguridad que estos tendrán; y, del impacto que puede tener la divulgación de estos datos en el mercado laboral, así como el impacto en el potencial costo de coberturas de seguros médicos, entre otros afines. Asimismo, informar con un lenguaje comprensible y darles el tiempo necesario para comprender los riesgos del tratamiento de sus datos de la salud.

2.4. Riesgo de guardar los datos personales de manera excesiva

Concordancia: Art. 10 (I) de la LOPDP.

¿Cuál es la duración de almacenamiento de los datos?

Los datos son conservados por dos meses posteriores a haber cumplido con las finalidades del tratamiento.

¿Qué método se utiliza para borrar los datos de manera segura?

Se utilizan sistema de sobre escritura de caracteres. Para el borrado de dispositivos de almacenamiento se utiliza el Estándar NIST SP 800-88.

Identificación del riesgo

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al conservar los datos de manera indefinida y al no utilizar mecanismos de borrado seguro.

86

• Rationale: Los auditores identificaron que la empresa conserva los datos y metadatos

de manera indefinida en los backups . Por tanto, no cumple con lo establecido en su

-------------------------------

• Vulnerabilidad: Las políticas de seguridad de la información; y, en particular, el plan

de Continuidad de actividades ( Business Continuity Plan ) no ha sido adaptado a las obligaciones de la LOPDP. La falta de comunicación entre el DPD y el CISO es una vulnerabilidad organizacional.

• Rationale: El equipo de auditoría de seguridad organizacional encontró esta

vulnerabilidad en las políticas de seguridad de la información y solicitó revisar los backups constatando que los datos no eran borrados de los discos duros utilizados

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (70%)

• Rationale: Los auditores de seguridad organizacional encontraron que alrededor del

60% de los datos personales tratados se conservan en los backups de manera

-------------------------------

• Impacto: La consecuencia para los titulares de datos es el aumento del riesgo de una

vulneración de la confidencialidad de los datos personales. Con ello, se pueden vulnerar su derecho a la protección de datos personales y otros derechos como impacto secundario.

• Rationale: Los auditores constataron que los datos personales que constan en los

backups son simples, comportamentales, financieros y sensibles (agregar respaldo en

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Mejorar el plan de continuidad de actividades incorporando un proceso para borrar datos personales de los backups . Implementar y cumplir con un borrado seguro en el que se sobreescriba cada sector. Se recomiendan seguir los procesos de los estándares DoD 5220.22, o el NIST 800-88.

87

2.4. Riesgo de no cumplir con el principio de pertinencia y minimización de datos

Concordancia: Art. 10 (e) LOPDP.

Identificación del riesgo

¿Los datos recopilados son adecuados, relevantes y limitados a lo que es necesario en relación con los fines para los que se procesan ('minimización de datos')?

Los datos recolectados son biográficos, de contacto, geolocalización, preferencias, financieros y datos sensibles de la salud en alrededor del 25% de titulares de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento,

la empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al recopilar datos de manera excesiva y al no tener ninguna pertinencia para el tratamiento de datos necesario.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes para auditar que datos personales eran requeridos al abrir una cuenta. Se identificó que se están recopilando datos biográficos (nombres, apellidos y edad) acerca de los hijos de los clientes al abrir cuentas, en la página web: https://malakompra.ec/signup. (agregar respaldo en

-------------------------------

• Vulnerabilidad: Los formularios los hace el webmaster, sin ningún control de

la Dirección Jurídica.

• Rationale: El equipo de auditores jurídicos identificó que no hay

procedimientos internos para auditar el desarrollo de formularios que

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (75%)

• Rationale: Tres de los cuatro expertos consideraron que los datos personales

-------------------------------

• Impacto: Los datos personales de menores de edad son datos sensibles. El

impacto primario es vulnerar el derecho a la confidencialidad de sus datos personales. El impacto secundario es exponerlos a riesgos de seguridad en un país con altos índices de delincuencia.

88

• Rationale: Estadísticas de extorsiones y secuestros en el Ecuador (agregar

Evaluación del impacto

Titulares promedio: Alto. Titulares especialmente vulnerables: Muy alto.

Tratamiento del riesgo

Elaborar un proceso en el cual la dirección jurídica deba revisar y aprobar los formularios desarrollados por la dirección de tecnologías de la información; eliminar los datos de menores de edad de los formularios pertinentes y borrar todos los datos personales de edad que ya hayan sido recopilados y almacenados.

2.5. Riesgo de no cumplir con los derechos de acceso y portabilidad de datos

Concordancia: Art. 13 LOPDP.

Identificación del riesgo

¿Qué métodos se utilizan para garantizar el acceso de los titulares a sus datos personales?

Los titulares de datos tienen acceso directo y permisos de edición de todos los datos que generen en su espacio web. Para los datos y metadatos que estén fuera del control del titular de datos, se puede enviar un correo electrónico a derechos@malkompra.ec.

¿Qué métodos se utilizan para garantizar el derecho a la portabilidad de datos?

Los titulares de datos podrán ejercer su derecho de portabilidad de datos escribiendo a derechos@malakompra.ec. Los datos serán entregados en formato pdf y/o csv de acuerdo con el tipo de datos.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al no proporcionar mecanismos para ejercer el derecho de acceso y el derecho de portabilidad de datos a los titulares de datos.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes para auditar los mecanismos implementados para el ejercicio de

89

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada. El

equipo jurídico abrió cuentas como clientes y verificó el control sobre toda su información propia generada en menos de diez días. Además, solicitó todos sus datos personales en un formato estandarizado, recibiendo respuesta también en un plazo razonable, con un enlace de descarga de un archivo en formato PDF (agregar respaldo

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Dos solicitudes se cumplieron en cinco días. Una solicitud se cumplió en seis días. Los expertos concluyeron una eficiencia del 95%

-------------------------------

• Impacto: El impacto puede generar una vulneración de disponibilidad de los

datos personales de los titulares, ocasionando además la vulneración de su derecho a la protección de datos personales y pérdidas financieras debido a la falta de acceso.

• Rationale: El equipo de auditores estimó que el impacto es importante, pero

influye que la empresa tiene mecanismos que funcionan (agregar respaldo en

Evaluación del impacto

Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.6. Riesgo de no cumplir con el derecho de rectificación y actualización

Concordancia: Art. 14 LOPDP.

90

Identificación del riesgo

¿Cómo pueden los interesados ejercer sus derechos de rectificación y actualización?

Los titulares de datos tienen los privilegios correspondientes para rectificar y actualizar todos los datos que generen en su espacio web. Para rectificar y actualizar los datos y metadatos que estén fuera del control del titular de datos, se puede enviar un correo electrónico a derechos@malakompra.ec.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de rectificación y actualización los titulares de datos al no proporcionar mecanismos para su ejercicio.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como

potenciales clientes, para auditar los mecanismos implementados para el ejercicio de los derechos de rectificación y actualización (agregar respaldo en

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada.

El equipo jurídico abrió cuenta como clientes y verificó el control sobre toda su información propia generada. Además, pudo rectificar y actualizar otros datos personales sin permiso de edición, recibiendo respuesta también en un

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Las solicitudes se cumplieron en tres días. Una solicitud se cumplió en seis días. Los expertos estimaron una eficiencia del 98% (agregar respaldo

-------------------------------

• Impacto: El impacto puede generar una vulneración de integridad de los datos

personales de los titulares, ocasionando además la vulneración de su derecho a la protección de datos personales; y, pueden vulnerarse otros derechos y libertades debido a no poder rectificar su información.

91

• Rationale: El equipo de tres auditores estimó que el impacto es importante,

pero infiere que la empresa tiene mecanismos que funcionan (agregar

Evaluación del impacto

Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.7. Riesgo de no cumplir con el derecho de eliminación

Concordancia: Art. 15 LOPDP.

Identificación del riesgo

¿Cómo pueden los interesados ejercer su derecho de eliminación de datos?

Los titulares de datos pueden ejercer su derecho de eliminación de datos que ellos generen desde su propio espacio web. Sin embargo, los datos personales publicados en la sección “Prensa” no tienen un mecanismo para ser eliminados.

¿Qué método de borrado seguro es utilizado?

El responsable del tratamiento supuestamente utiliza herramientas basadas en el Estándar NIST 800-88.

• Amenaza: Considerando que la amenaza es el responsable del tratamiento, la

empresa MalaKompra S.A. puede vulnerar los derechos de los titulares de datos al no proporcionarles mecanismos para ejercer el derecho de acceso de eliminación.

• Rationale: El equipo de auditores jurídicos procedió a abrir cuentas como potenciales

clientes para auditar los mecanismos implementados para el ejercicio del derecho de eliminación de datos. El equipo de auditores técnicos procedió a implementar una estrategia de file carving para verificar si los datos son borrados de manera segura

-------------------------------

• Vulnerabilidad: No hay mecanismos para ejercer el derecho de eliminación para los

datos de la salud. La empresa no cumple con un sistema de borrado seguro en sus dispositivos de almacenamiento.

92

• Rationale: El equipo de auditores jurídicos identificó que la dirección jurídica no

había considerado que dar beneficios financieros a sus clientes no presupone que la empresa se vuelva propietaria de esos datos de la salud, lo cual es ilegal a la luz de la LOPDP. Esto debido a la baja capacitación de la dirección jurídica en derecho de protección de datos personales. Además, el equipo de auditores técnicos procedió a extraer una copia de bit a bit de un disco duro de la empresa y utilizó la herramienta Data Extractor ; con lo cual, identificó que los datos personales no son eliminados de manera segura. Por ello, la segunda vulnerabilidad identificada es la negligencia del departamento de seguridad de la información al no implementar los mecanismos adecuados de borrado seguro en todos los dispositivos de almacenamiento (agregar

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Muy Probable (85%)

• Rationale: Hubo tres auditores jurídicos que calibraron a partir del método Delphi,

una probabilidad del 100%. Los dos auditores técnicos por su lado calibraron la probabilidad de ocurrencia en el 70%, con base en la aplicación del teorema de Bayes para calibrar la probabilidad condicional de tener una vulneración de seguridad de

-------------------------------

• Impacto: Los derechos y libertades de los titulares que entregan datos médicos están

siendo sistemáticamente vulnerados por parte del responsable del tratamiento. La confidencialidad de los datos personales de todos los titulares presenta un alto riesgo debido a la negligencia de no implementar métodos de borrado seguro.

• Rationale: Los auditores jurídicos estimaron, utilizando el método Delphi, con un

nivel de muy alto por tratarse de datos sensibles que afectan a más de 1 000 titulares, de acuerdo con lo establecido en los criterios de evaluación (agregar respaldo en

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

En primer lugar, es necesario implementar un mecanismo para que los titulares de datos de la salud puedan eliminar sus datos. En segundo lugar, se debe capacitar a la dirección jurídica en las obligaciones de conformidad a la LOPDP. En tercer lugar, es necesario cumplir con la implementación de mecanismos de borrado seguro que sobreescriban en la práctica, los sectores de los discos duros con varias capas de caracteres.

93

2.8. Riesgo de no cumplir con los derechos de oposición y suspensión del tratamiento

Concordancia: Arts. 16, 19 LOPDP.

Identificación del riesgo

¿Cómo pueden los interesados ejercer sus derechos de oposición y de suspensión?

Los titulares de datos pueden ejercer sus derechos de oposición y suspensión escribiendo al correo electrónico: derechos@malakompra.ec.

• Amenaza: La empresa MalaKompra S.A. puede vulnerar los derechos de los

titulares de datos al no proporcionarles mecanismos para ejercer los derechos de oposición y suspensión.

• Rationale: Considerando que la amenaza es el responsable del tratamiento, el

equipo de auditores jurídicos abrió cuentas como potenciales clientes, para auditar los mecanismos implementados para el ejercicio de los derechos de

-------------------------------

• Vulnerabilidad: No fue encontrada vulnerabilidad para el ejercicio de ambos

derechos.

• Rationale: Los mecanismos implementados funcionan de manera adecuada.

El equipo de auditores jurídicos verificó que tres clientes escriban al correo electrónico derechos@malakompra.ec y sus pedidos fueron realizados en un

Análisis del riesgo

Probabilidad de ocurrencia (informativo): Poco probable (5%)

• Rationale: El ejercicio de derechos fue solicitado de manera anónima por tres

auditores. Se cumplió con ellos en el plazo establecido (agregar respaldo en

• Impacto: El impacto puede generar una vulneración de confidencialidad de

los datos personales de los titulares, ocasionando además de la vulneración de su derecho a la protección de datos personales, probables vulneraciones a otros derechos y libertades.

94

-------------------------------

• Rationale: Un equipo de cuatro auditores estimó que el impacto es

importante, pero intuye que la empresa tiene mecanismos que funcionan

Evaluación del impacto Bajo.

Tratamiento del riesgo

Vigilar que los controles de riesgo sigan siendo efectivos y eficaces.

2.9. Riesgo de que los encargados del tratamiento no cumplan con sus obligaciones

Concordancia: Arts. 34, 47 LOPDP.

Identificación del riesgo

¿Las obligaciones de los encargados del tratamiento están claramente identificadas y regidas por un contrato?

La empresa declara tener dos encargados del tratamiento: (1) DataKuy Ltd. Servicios de marketing digital. Empresa Ecuatoriana. (2) BestKloud: Servicios de nube Infrastructure as a Service (IaaS) en la nube. Empresa Estadounidense registrada en el Estado California. Ambos están regidos por contratos que contemplan la conformidad al reglamento General de Protección de Datos (UE) 2016/679. No obstante, hay la sospecha de si existe un tercer encargado del tratamiento no declarado en lo que concierne a los datos de la salud.

• Amenaza: La amenaza son los encargados del tratamiento que podrían

incumplir con la protección de los derechos y libertades de los titulares de datos, conforme a la LOPDP. El equipo auditor identifica que los datos de la salud recopilados están siendo entregados a la empresa de seguros médicos Asegúrate S.A. sin ningún contrato de protección de datos personales.

• Rationale: El equipo de auditores técnicos auditó los flujos de datos

personales y encontró un encargado del tratamiento no declarado,

-------------------------------

95

• Vulnerabilidades: El equipo de auditores identificó dos vulnerabilidades. En

primer lugar, el encargado del tratamiento DataKuy Ltd. no tiene políticas de seguridad de la información, poniendo en alto riesgo la seguridad de los datos personales encargados. La vulnerabilidad es la falta de debida diligencia de la dirección jurídica. En segundo lugar, la empresa AseguraTe S.A. no tiene un Convenio de protección de datos, y sin embargo está tratando los datos de la salud. La vulnerabilidad es la falta de capacitación de la dirección jurídica.

• Rationale: El equipo de auditores jurídicos procedió a auditar los convenios

de procesamiento de datos personales ( Data protection Agreements ). Además, solicitó a los auditores técnicos, auditar el flujo de datos desde la

Análisis del riesgo

• Probabilidad de ocurrencia (informativo): Inminente (95%)

• Rationale: Los auditores utilizaron un modelo de predicción conformal

inductiva ( inductive conformal prediction ), para establecer el rango de confianza en el cumplimiento de obligaciones de encargados del tratamiento

-------------------------------

• Impacto: Los derechos y libertades de los titulares están en muy alto riesgo,

debido a la falta de medidas de seguridad organizacional y técnica por parte de la empresa DataKuy LTD; y, por la falta de un Convenio de protección de datos con la empresa AseguraTe S.A.

• Rationale: Los auditores utilizaron el modelo de aprendizaje automático

supervisado Decision Trees para analizar el impacto de la falta de debida diligencia para contratar a los respectivos encargados del tratamiento como

Evaluación del impacto

Muy Alto.

Tratamiento del riesgo

Se debe capacitar a la dirección jurídica en temas de convenios de protección de datos personales con los encargados de datos y para realizar la debida diligencia al escogerlos. También es necesario que el DPD asuma su rol de auditor de auditores, identificando a los encargados del tratamiento de manera adecuada y revisando el flujo de datos personales.

96

[ SE HAN PRESENTADO VARIOS ESCENARIOS DE RIESGO, PERO SIEMPRE SERÁ NECESARIO AUMENTAR LOS ESCENARIOS QUE SEAN PERTINENTES PARA LA SITUACIÓN PARTICULAR DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO]