En las últimas semanas han aparecido varias noticias relacionadas con la privacidad y la protección de datos que reflejan bien algunos de los riesgos actuales en este ámbito.
El doxing: cuando publicar datos personales se convierte en un problema
La primera noticia tiene que ver con un término que cada vez se escucha más: el doxing.
El doxing consiste en publicar o difundir información personal de una persona sin su consentimiento, normalmente en internet. Puede tratarse de datos como el número de teléfono, la dirección, el lugar de trabajo o cualquier información que permita identificar o localizar a alguien.
En muchos casos estos datos no se obtienen mediante ataques informáticos, sino recopilando información disponible en diferentes fuentes públicas, como redes sociales o páginas web. El problema es que, aunque la información pueda estar accesible públicamente, su difusión organizada y dirigida puede vulnerar el derecho a la privacidad y a la protección de datos. Además, cuando se utiliza para intimidar o acosar a una persona, puede incluso tener consecuencias penales.
Las sanciones de la AEPD también afectan a pymes y autónomos
La segunda noticia tiene que ver con la actividad sancionadora de la Agencia Española de Protección de Datos (AEPD). En los últimos meses se están imponiendo sanciones también a pequeñas empresas, comercios y profesionales autónomos por errores en el tratamiento de datos personales.
Todavía existe la idea de que la normativa de protección de datos solo afecta a grandes plataformas tecnológicas. Sin embargo, cualquier organización que trate datos personales está sujeta al Reglamento General de Protección de Datos (RGPD).
En muchos casos, las sanciones se producen por descuidos que podrían haberse evitado, como enviar información personal por correo electrónico sin protección o perder dispositivos con datos de clientes sin cifrar. La cuestión clave no es tanto el error puntual, sino si la empresa puede demostrar que había adoptado medidas técnicas y organizativas adecuadas, tal como exige el artículo 32 del RGPD.
Una sanción por abandonar documentos médicos en la vía pública
La tercera noticia demuestra que los incidentes de privacidad no siempre están relacionados con hackers o ciberataques. La AEPD ha impuesto una sanción de 100.000 euros a una empresa de prevención de riesgos laborales por abandonar en la vía pública una caja con documentación médica que contenía reconocimientos médicos de miembros de las fuerzas y cuerpos de seguridad.
En este caso se trataba de datos de salud, que el RGPD considera una categoría especial de datos y que requieren un nivel de protección reforzado. Dejar este tipo de documentación accesible en la calle supone una vulneración clara del principio de integridad y confidencialidad de los datos personales.
Este caso demuestra algo importante: la protección de datos no solo afecta al entorno digital, también a la gestión física de la información.
Las autoridades están aplicando cada vez más el principio de responsabilidad proactiva del RGPD: no basta con afirmar que se cumple la normativa, hay que poder demostrarlo mediante medidas reales y documentadas.
En definitiva, la protección de datos no es solo una cuestión jurídica. También es una cuestión de cultura organizativa y de responsabilidad, porque al final hablamos de algo muy sencillo: proteger la información personal de las personas.
No te pierdas la entrevista completa con Javier Nogueroles, que podrás escuchar cada semana en el programa TIC TAC DATOS de ONDA NARANJA COPE.