Testimoniales

Sobre el epígrafe VI: Derecho a Ciberseguridad

VI - Toda persona tiene derecho a que los sistemas digitales que use sean seguros y garanticen la integridad, confidencialidad y disponibilidad de la información. Los poderes públicos deben asegurar que tanto sistemas públicos como privados cumplan con estas garantías, según su nivel de riesgo. Además, promoverán la formación y concienciación social en ciberseguridad y mecanismos de certificación.
Ciberseguridad
Material educativo
Partner
Universidad Carlos III de Madrid

A diferencia de otras garantías que se aplican en exclusiva a los datos personales, la seguridad debe garantizarse para todo tipo de información que esté relacionada con la actividad personal, profesional o social de cualquier sujeto. El tratamiento en condiciones de seguridad, se considera un presupuesto de los entornos digitales que, como se ha dejado indicado en otros comentarios, erige a la confianza como un pilar de su buen funcionamiento. Un tratamiento seguro es aquel que garantiza que los datos se mantengan en las mismas condiciones en las que fueron confiados al responsable de tratarlos: están completos (íntegros) y no ha sido alterados (auténticos). Así mismo, la seguridad, de acuerdo con la Carta, garantiza que los datos no sean revelados (confidencialidad) y que se hallen disponibles a solicitud de sus titulares. Finalmente, esta garantía también se extiende a los sistemas que gestionan los datos para obtener información, para imponerles requerimientos técnicos en cuanto a su resiliencia (capacidad de sobreponerse a situaciones que afecten su funcionamiento) y disponibilidad (continuidad) de los servicios prestados.

La seguridad de los datos es una preocupación común. No resulta infrecuente escuchar noticias sobre ciberataques, brechas de seguridad, secuestros de sistemas, entre otros, eventos que generan gran inquietud entre la ciudadanía y que exigen una acción preventiva y reactiva por parte de las organizaciones que los padecen y de las administraciones que salvaguardan los derechos.  

Para conocer el alcance de estos fenómenos, resulta conveniente acudir a fuentes confiables. En el caso de España, el Centro Criptológico Nacional, que forma parte del Centro Nacional de Inteligencia, en su último informe sobre “Ciber amenazas y tendencias 2024” destaca, entre otros, los siguientes hechos:  

Un tercio de las operaciones de ciberespionaje registradas en 2023 han tenido como objetivo países de la OTAN y Ucrania, donde casi el 35% de estas han estado dirigidas contra objetivos en organismos gubernamentales. Los actores cibernéticos estatales rusos han centrado sus recursos en atacar a Ucrania y países de la OTAN: el 50% de sus víctimas pertenecen a organismos gubernamentales.

En cuanto a la venta de filtraciones y datos robados de organizaciones españolas a lo largo de 2023, las víctimas se concentran principalmente en los sectores de los organismos gubernamentales y el sector educativo. El 7 de noviembre de 2023 un actor hostil expuso la base de datos de una de las compañías energéticas españolas más grandes del país y a nivel internacional. El 14 de octubre del mismo año otra empresa dedicada a la venta de tecnología conocida internacionalmente también sufrió una brecha de datos que afectó concretamente a más de catorce mil clientes españoles.

Se conoce el concepto de hacktivismo como la realización de actos, normalmente dañinos, en el ciberespacio para promover unas ideas políticas, religiosas o sociales. Los grupos hacktivistas utilizan los sucesos geopolíticos como pretexto para llevar a cabo sus campañas cibernéticas: en España, los ataques, que generan, por ejemplo, la caída de los sistemas, se han vinculado al apoyo del país a Ucrania, pero también a otros movimientos, como a grupos opositores del gobierno central.  

Otras dos tendencias a las que se refiere el informe son el malware (programas informáticos que roban información, usan capacidad de procesamiento y, en general, se benefician de los dispositos y de los datos de las personas, sin que ellas se percaten de ello) y el ransonware (un tipo de malware que permite tomar el control de los sistemas para solicitar un rescate. De acuerdo con el CERT, en 2023 destacan incidentes como el que sufrió la empresa de software y hardware Acer, que ya se enfrentó a un incidente de ransomware previo en 2021, solicitándose un rescate por valor de 50 millones de dólares.

Vistas así las cosas, es importante tomar conciencia de la importancia de proteger nuestra información y de exigir la garantía de este derecho, tanto a las organizaciones, como a las administraciones que tienen a su cargo la protección de nuestros derechos  

¿Quién puede ejercer este derecho?

Toda persona, incluso las jurídicas, pueden ejercer este derecho, respecto de otras personas o de los poderes públicos.

¿Qué se protege?

Como se ha manifestado previamente, el objeto de protección del derecho es la integridad, autenticidad, confidencialidad y disponibilidad de los datos, así como la resiliencia y disponibilidad de los sistemas de información que los tratan.  

¿Por qué es importante este derecho?

La seguridad es un presupuesto del derecho a controlar nuestra información. Se ha dejado indicado en otros comentarios, a propósito de los datos personales, que su titular ha de poder controlar el destino y uso de su información, de tal suerte que la convicción de que los responsables de tratarla garantizan la seguridad del tratamiento, es un elemento de vital importancia para ejercitar dicho control.  

¿Cuáles son los límites para el ejercicio del derecho?

Más que un límite, es importante destacar que la seguridad, la protección de la misma, es un asunto que atañe directamente al propietario de la información. Los ciudadanos debemos tomar conciencia de la importancia de adoptar medidas de seguridad para evitar que terceros inescrupulosos nos impidan ejercitar control sobre nuestros datos y los empleen de formas y modos que no deseamos y que pueden resultarnos perjuidiciales.        

¿Qué pasa si el derecho no se ejercita regularmente?

Si no adoptamos las recomendaciones de seguridad de los fabricantes de software o de quienes colocan a nuestra disposición los sistemas que gestionan la información, es factible que ellos intenten eludir su responsabilidad en el evento que, como resultado de un problema de seguridad, se nos cause un perjuicio.  

Ventajas e inconvenientes de la digitalización para el disfrute de los derechos:

  • La adopción de medidas seguridad en los entornos digitales se promueve a través de las redes sociales y demás medios de comunicación vinculados a éstos. Los fabricantes de software y las organizaciones que ponen a nuestra disposición aplicaciones y facilidades, nos ofrecen constantemente medidas para reforzar la seguridad de nuestra información.  
  • La seguridad, en su versión convencional, aludía a aspectos patrimoniales o físicos. Las personas poseíamos algún nivel de conocimiento sobre los riesgos que se cernían sobre nuestra integridad física o nuestro patrimonio y, en esa medida, podíamos disponer de los medios para hacerles frente. En los entornos digitales, la seguridad es una cuestión técnica, de mayor o menor complejidad, cuyo desconocimiento nos hace especialmente vulnerables a las amenazas. La mayoría de las personas, desconocemos cuán expuestos estamos a tales amenazas y no sabemos cómo conjurarlas.  

¿Cuál es el papel de los poderes públicos?

Los poderes públicos deben precaver los medios para garantizar la seguridad de la información. A organismos como el CERT o, a nivel europeo, a ENISA, se les confía la misión de protegernos de cualquier amenaza sobre la seguridad de nuestra información.

¿Cómo está regulado el ejercicio del derecho?

En el ámbito de los datos personales, el art. 33 del RGPD establecen el deber de los responsables de comunicar a las autoridades las violaciones de seguridad, sin dilación, y, en todo caso, dentro de las 72 horas siguientes a la ocurrencia del hecho, a menos que éste no genere el riesgo para la privacidad de los datos. En el art. 34 RGPD se amplía el deber de comunicación a los titulares de los datos, si la vulneración entraña un alto riesgo para los derechos y libertades de las personas físicas.

Así mismo, el Reglamento del Esquema Nacional de Seguridad, Real Decreto 311/2022, de 3 de mayo, que aplica para el sector público, o los particulares presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas, prevé medidas para la detección y conjura de los incidentes de seguridad.  

¿Qué medidas se han adoptado para garantizar su ejercicio?

Uno de los mecanismos de intervención pública más eficaz para garantizar la gestión correcta de un incidente de seguridad, es el canal de comunicación que ha dispuesto la EAPD para la comunicación de los incidentes, que complementa las acciones preventivas que desarrolla este organismo a través de las guías y recomendaciones que publica en materia de seguridad.  

https://www.aepd.es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/brechas-de-datos-personales-notificacion

Para saber más puede verse:

Armindo, R. R. (2025). Ciberseguridad en las alturas. Revista SIC: ciberseguridad, seguridad de la información y privacidad, 34(163), 174-175.

Delgado, L. F. (2023). La ciberseguridad en celo. Revista SIC: ciberseguridad, seguridad de la información y privacidad, 32(153), 10.

Feu, J. M. H. (2022). Cuando la ciberseguridad depende de nosotros. Calidad: Revista mensual de la Asociación Española para la Calidad, (3), 21.

Galán Pascual, C (2017). Ciberseguridad pública: el marco integrador de la estrategia de ciberseguridad nacional. En: Los retos del Estado y la Administración en el siglo XXI: libro homenaje al profesor Tomás de la Quadra-Salcedo Fernández del Castillo / coord. por Luciano José Parejo Alfonso, José Vida Fernández; Tomás de la Quadra-Salcedo y Fernández del Castillo (hom.), Vol. 2, ISBN 978-84-9143-953-0, págs. 2167-2196 

Autoría:

Juanita Pedraza Córdoba

Universidad Carlos III de Madrid

Derecho Público del Estado Instituto Pascual Madoz

Observatorio de Derechos Digitales
Logo gobierno de españa