La Agencia Española de Protección de Datos (AEPD) ha sancionado con apercibimiento al Ayuntamiento de Madrid por utilizar los teléfonos móviles personales de los empleados públicos como segundo factor de autenticación.
La AEPD apunta que el escrito de esta sanción se debe a una «acción generada para todo el personal del Ayuntamiento de Madrid con el objetivo de garantizar la seguridad de las comunicaciones».
Asimismo, la AEPD señala que el uso de los dispositivos móviles personales públicos como doble factor de autenticación no está legitimado al no concurrir las bases legitimadoras de las establecidas en el artículo 6.1 del Reglamento General de Protección de Datos (RGPD).
Así, según el artículo 6.1 del RGPD, el tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
¿Qué es el segundo factor de autenticación?
Según indica el Instituto Nacional de Ciberseguridad (INCIBE), el segundo factor es «el proceso de seguridad por el cual un usuario debe confirmar su identidad por varios métodos que pueden ser usados simultáneamente»:
- Algo que sabes (Contraseña o pin…).
- Algo que tienes (Generador de claves o tarjeta de coordenadas).
- Algo que seas (huella dactilar o reconocimiento facial).
Cómo se utiliza el doble factor de autenticación
La autenticación de doble factor se puede llevar a cabo mediante el uso de memorias USB destinadas a la autenticación, datos que solo conozcamos nosotros (PIN o respuesta a preguntas de seguridad) o medidas biométricas (huella dactilar o reconocimiento facial).
La autenticación de doble factor en los sistemas de las empresas es una forma eficaz de prevenir ataques a información sensible que pueda comprometer los datos personales de los clientes. Los servicios que se deberían proteger soncuentas de correo electrónico, banca online, archivos en la nube o sitios web. En definitiva, toda aquella herramienta que contenga información sensible.
