Las técnicas OSINT buscan, seleccionan, obtienen, procesan y analizan información a partir de fuentes de acceso público.

• Revistas, periódicos y otros medios de información. 

• Información pública de fuentes gubernamentales. 

• Redes sociales, foros, blogs, etc. 

Puede que alguna vez hayas oído hablar de que tratar datos personales recabados de fuentes públicas es totalmente lícito, hecho que hay que desmentir, incluso cuando argumentan que todo el mundo lo hace o lo lleva haciendo toda la vida. El hecho de que sean datos de fuentes abiertas, no quiere decir que no se necesite una base de legitimación si se trata de datos de carácter personal. En otras palabras, estos datos no pueden utilizarse para una finalidad distinta si no se cuenta con una base legal adecuada. 

Con respecto a este tema ya ha habido varias sanciones de diversas Autoridades de Control europeas, como por ejemplo a ClearView en marzo 2022 por el Garante italiano, en mayo 2022 por la ICO y en octubre 2022 por la CNIL francesa; a Equifax en abril 21 por la AEPD.  

Poniendo un caso bastante habitual, algunos departamentos comerciales, a la hora de iniciar una campaña de promoción, pretenden enviar mails a una gran lista de contactos que han obtenido de una fuente abierta como puede ser internet. En este caso, además de tener en cuenta la normativa de protección de datos en lo relativo a contar con una base legítima, habrá que tener en cuenta otras normas, como por ejemplo la normativa de servicios de la sociedad de la información que impone que en las comunicaciones electrónicas comerciales habrá que contar siempre con el consentimiento del destinatario si no se tiene una relación comercial previa. 

Por otra parte, otro riesgo de tratar información con técnicas OSINT es que muchas veces la información que se recoge en internet no proviene de fuentes fiables e, incluso, puede ser errónea. En el caso de que esta información contenga datos de carácter personal y, de acuerdo con el principio de exactitud, estos datos personales deben ser exactos, por lo que se corre el riesgo de incumplir este aspecto si los datos son erróneos, en cuyo caso deberán ser eliminados o rectificados. 

Por otro lado, que el dato obre en una fuente de acceso público sí que puede ser considerado como un elemento a valorar para poder utilizar el interés legítimo como base jurídica. Para ello hay que realizar una ponderación de interés legítimo en la que habrá que tener en cuenta las demás circunstancias concurrentes y todos los principios de la normativa de protección de datos de carácter personal. Otras cuestiones a tener en cuenta son, por ejemplo, las expectativas razonables que tengan los interesados de que sus datos vayan a ser tratados posteriormente para otra finalidad distinta y que los datos sean de calidad. 

Además de las implicaciones en protección de datos, hay que tener en cuenta si la información que se está usando está sujeta a derechos de autor, con lo que habrá que respetar la normativa de propiedad intelectual. Asimismo, también habrá que respetar los términos y condiciones de uso de la plataforma de la cual se recogen los datos, pues en muchos de ellos puede estar prohibido este tipo de técnicas. 

Recuerda: El hecho de que un dato personal sea accesible a través de internet no quiere decir que este dato se pueda tratar libremente.  

OptimumTIC, como consultora en ciberseguridad y protección de datos, puede asesorar a las empresas sobre cómo garantizar el cumplimiento normativo y adoptar medidas adecuadas para proteger los datos y la privacidad de sus clientes. Al hacerlo, OptimumTIC se posiciona como un socio confiable en la búsqueda de soluciones sólidas y seguras en el mundo digital actual.

Si desea más información sobre nuestros servicios o productos, no dude en contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escríbenos a info@optimumtic.com.