La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente la guía “Gestión del riesgo y evaluación de impacto en tratamientos de datos personales”. Este documento, dirigido principalmente a responsables, encargados de tratamientos y delegados de protección de datos (DPD), ofrece una información actualizada con orientaciones necesarias para realizar una Evaluación de Impacto para la Protección de Datos (EIPD) y llama la atención sobre el riesgo de los metadatos.
La EIPD es una herramienta clave que permite a las organizaciones evaluar los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se realizan. En este sentido, desde Suments Data celebramos que la AEPD incluya en su nuevo documento los metadatos como factor de riesgo, pues todavía a día de hoy existe cierto desconocimiento sobre el riesgo de los metadatos.
Los metadatos, como “datos que hablan de datos”, existen en todos los tipos de documentos digitales y los beneficios de la gestión de metadatos son más que numerosos. Sin embargo, cuando los metadatos contienen información sensible como datos personales, su acceso puede dar lugar a fugas de información o “fugas de datos”, lo que puede generar brechas de ciberseguridad como esos ataques planificados de ransomware y phishing que hemos visto recientemente en el SEPE y otras administraciones públicas en España.
Ya no es una opción: las empresas deben cuidar sus metadatos para evitar filtraciones de datos personales y brechas de seguridad. En este sentido, la prevención es la mejor arma, por eso es importante conocer bien cuál es el riesgo que tienen los metadatos a la hora de hacer una EIPD.
¿Por qué los metadatos son un factor de riesgo de privacidad?
En el punto IV del documento, en la “lista de factores de riesgo identificados en la normativa RGPD” la AEPD menciona los metadatos hasta tres veces:
- En primer lugar el documento identifica que los metadatos en sí, en cualquiera de sus formas, son un factor de riesgo de nivel medio.
- También indica otro factor de riesgo medio son los “Datos y metadatos de las comunicaciones electrónicas y datos inferidos de las comunicaciones electrónicas”, como los derivados del tratamiento de datos mediante correos electrónicos, mensajes instantáneos, llamadas de teléfonos o video llamadas.
- Por otro lado, la AEPD señala otro factor de riesgo de nivel medio que son los “Identificadores únicos”. Algunos ejemplos de identificadores únicos pueden ser una dirección IP, un número de teléfono o la matrícula de un vehículo o un dígito de DNI. En este caso la AEPD menciona el riesgo de los metadatos cuando son “Identificadores únicos añadidos a archivos (p. e. metadatos de fotografías subidas a redes sociales)”.
Este punto es importante, pues según la experiencia de Suments Data en la detección de filtraciones de metadatos con Verics, el riesgo de los metadatos, cuando no están controlados, es muy grande: son capaces de generar miles de filtraciones de información sensible (identificadores únicos como direcciones de correo electrónico o incluso DNI’s). Realmente nadie es ajeno al riesgo de los metadatos, incluso en aquellas organizaciones que parecen ser las más “seguras” hemos encontrado filtraciones (sigue leyendo para conocer un caso sorprendente).
Control de metadatos, una tarea que no puedes retrasar
Una tarea común en Suments Data es encontrar filtraciones de metadatos en páginas web, pues éstas almacenan una gran cantidad de documentos y archivos que, muchas veces sin darnos cuenta, están filtrando información sensible y datos personales que pueden poner en peligro la seguridad de una empresa.
En el apartado “Medidas de protección de datos desde el diseño” de la página 111 de la guía, la AEPD destaca la importancia de la “depuración de entrada de datos y metadatos”, siguiendo el objetivo de “minimizar” riesgos evitando el tratamiento de datos personales innecesarios. Para ello, las tácticas de la AEPD son: seleccionar, excluir, podar y eliminar.
A la hora de gestionar el riesgo de los metadatos, existen herramientas especializadas como Verics que te permiten analizar y escanear filtraciones de metadatos en sitios web, una herramienta que no para de sorprendernos y que puede resumir en un informe todas las filtraciones de datos encontradas, organizadas por tipo de archivo, gravedad y subdominios encontrados.
¿Tiene la AEPD el control sobre el riesgo de sus metadatos?
Nos llamó tanto la atención el papel de los metadatos en la nueva guía de la AEPD que nos hicimos una pregunta: ¿Tiene realmente la AEPD el control sobre sus metadatos? ¿O será otro sitio web con miles de potenciales filtraciones de datos personales? La respuesta te sorprenderá…y te la daremos en nuestro próximo post.