Dia europeu de protecció de dades – 28 gener

data-protection-day
Dia europeu de protecció de dades – 28 gener

Ja fa 14 anys que la Comissió Europea va establir el 28 de gener com el dia europeu de la protecció de dades, amb l’objectiu de promoure, conscienciar i informar sobre els drets i obligacions que tenen els usuaris sobre les seves dades personals d’internet.

Es va escollir aquest dia perquè coincideix amb la firma que va realitzar la Convenció 108 del Consell d’Europa, on es va aprovar la protecció de les persones respecte al processament automatitzat de les dades personals. Se celebra a escala mundial i és conegut com a “Data Protection Day”.

Des del grup de seguretat de l’inLab FIB (esCERT) volem aportar el nostre gra de sorra oferint una sèrie de consells, informació sobre activitats programades per aquest dia i lectures recomanades.

Bones pràctiques:

Perquè no hi hagi cap dubte sobre què es considera una dada personal, deixem la definició que ens dona el reglament general de protecció de dades (RGPD) del parlament europeu:

Dades personals: tota la informació sobre una persona física identificada o identificable; es considerarà persona física identificable tota persona que la seva identitat pugui determinar-se, directament o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social de la dita persona. El nou reglament contempla també altres tipus d’identificadors com ho són els identificadors en línia facilitats per diversos dispositius personals, aplicacions, eines i protocols, com direccions dels protocols d’internet, identificadors de sessió en forma de galeta o altres identificadors, com etiquetes d’identificació per radiofreqüència.

1) A qui cedeixo les meves dades?

Qualsevol aplicació o pàgina web que tingui la intenció de recopilar alguna dada que pugui identificar-se com a personal, sigui a través de formularis o de forma transparent ha d’explicar els motius pels quals necessita aquestes dades, quin ús els hi donarà i demanar explícitament permís per recopilar-lo i utilitzar-lo. Per tant, recomanem:

  • Desconfieu d’aplicacions o webs on us demanin dades i no hi hagi una petició explicita de consentiment.
  • Reviseu amb certa freqüència les aplicacions a les quals heu donat permís, per si les condicions han canviat. Tenen l’obligació d’avisar en cas que es realitzin canvis, però a vegades ignorem aquests missatges. És important tenir-los en compte i sobretot, en cas de no haver rebut missatge d’avís de canvi de condicions, si s’han produït, es pot posar una denúncia a l’agència de protecció de dades corresponent (APDCAT o AEPD).
  • En la informació que ofereixen sobre l’ús, han d’indicar també la forma de donar-se de baixa en cas que en algun moment volguéssim fer-ho.

Com que aquestes mesures són obligatòries des que va entrar en vigor el RGPD, veureu que la majoria d’aplicacions i pàgines web us informen i sol·liciten el vostre consentiment, és important que ho llegiu i no feu clic a OK ràpidament (Accepto les condicions):

Si en lloc de donar OK premem “Més informació”, podrem escollir si donem accés a les dades que demanen o no. Generalment sortirà alguna cosa com això:

2)Com evitar el robatori de les meves dades?

El robatori de les dades es pot produir de moltes maneres però la més freqüent és el que coneixem com “Phising”, enganyar a un usuari per aconseguir les seves credencials i altres dades, amb perill del mal ús d’aquest. Segons l’últim informe d’APWG “Phising Activity Trends Report, 3rd Quarter 2019“, el nombre d’atacs de phising va augmentar en el tercer trimestre de 2019 a un nivell que no s’hi arribava fins a finals de 2016. Les formes més habituals de fer aquests robatoris són:

  • Injectant un programa maliciós a l’ordinador o dispositiu mòbil de la víctima que capturi les tecles premudes per l’usuari (key-logger) per identificar noms d’usuari i contrasenyes, i enviar-les al centre de control que les recull.
  • Enviant a la víctima una pàgina web falsa (amb aparença de la web el qual se’n vulguin robar les dades) en la que es sol·licita que les credencials d’accés i en alguns casos altres dades personals.
  • També es realitza de forma més selectiva mitjançant trucades telefòniques o correus electrònics, per exemple, que truquen fent-se passar per algú de suport de Microsoft o de la teva oficina bancària.

Els consells que s’han de seguir per evitar aquest tipus d’atacs queden molt ben reflectits en la infografia que ens ofereix APWG:

3) Com protegir les meves dades?

Són dos els punts clau, respecte a la protecció de les dades, que tots hem de tenir sempre en compte:

  • Com estan protegides les meves dades?: On i com guardem les nostres dades d’accés als diferents serveis i aplicacions a les quals podem accedir identificant-nos amb elles. Diem a l’aplicació que les recordi?, les apuntem en un paper o fitxer de text? Per protegir correctament les nostres dades tan sols s’han de seguir 4 normes bàsiques:
    • Les contrasenyes han de ser segures, mínim de 10 caràcters, no utilitzar dades personals per la contrasenya, pot ser tan llarga com desitgem, com més llarga sigui menys probabilitat d’encertar-la.
    • No utilitzar mai les mateixes contrasenyes per a diferents serveis o aplicacions.
    • Intentar utilitzar sempre el segon factor d’autentificació en aquells serveis o aplicacions que ho implementin.
    • Utilitzar un gestor de contrasenyes per a guardar-les, aquests gestors tenen guardada tota la informació relacionada amb el compte. L’avantatge principal d’usar-los és que només has de recordar una contrasenya, la del gestor. Alguns gestors que recomanem:​
  • Si els perdo, els puc recuperar?: Els bons gestors de contrasenyes només permeten recuperar-les a través de còpies de seguretat de dades personals d’accés a les aplicacions. Per tant, les hem de fer amb freqüència. Aquestes còpies han d’estar en dispositius externs o al núvol i han d’estar protegides (xifrades amb contrasenya) per evitar accessos il·legítims a ells en cas de robatori.

 

Conferències i activitats programades amb motiu de la celebració d’aquest dia:

 

  1. Des de la NCSA (National Cyber Security Alliance) hi haurà un esdeveniment online i de lliure accés, no és necessari registrar-se:
    1. https://staysafeonline.org/dpd20-live/
  2. L’agencia de protecció de dades de Catalunya: