Saltar al contenido principal
El 27 de abril de 2016, el Parlamento Europeo y el Consejo de la Unión Europea adoptaron una legislación conocida como Reglamento General de Protección de Datos (GDPR), que pasó a ser aplicable el 25 de mayo de 2018. Esta legislación sustituye a la Directiva europea sobre privacidad 95/46/CE. El GDPR tiene como objetivo unificar y reforzar los derechos de protección de datos de las personas que se encuentran en la Unión Europea (UE). También amplía la aplicación de la legislación de protección de datos de la UE a las empresas no pertenecientes a la UE que almacenan o procesan datos personales de personas ubicadas en la UE, y aumenta las multas que pueden imponerse a las empresas que incumplan los requisitos del GDPR.

Definiciones

Estas son las definiciones utilizadas en la documentación sobre GDPR de Auth0:
TérminoDefinición
InteresadoUn individuo o persona física
Responsable del tratamientoLa entidad que recopila y procesa los datos personales de los interesados (consulte el GDPR para ver la definición exacta)
Encargado del tratamientoLa entidad que recopila y procesa datos personales en nombre de un responsable del tratamiento (consulte el GDPR para ver la definición exacta)
Datos personalesDatos que pueden utilizarse para identificar (directa o indirectamente) a un interesado, en particular mediante referencia a un identificador (como un nombre, un número de identificación, datos de ubicación o un identificador en línea), o a la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona
Datos personales sensiblesDatos personales que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, o la afiliación sindical; datos genéticos o biométricos
Subencargados del tratamiento de Auth0Sistemas de terceros con los que Auth0 comparte datos personales (contenidos en los Datos del Cliente), según se define en el MSA, para la prestación del Servicio.

Resumen del GDPR

Aplicabilidad

El GDPR tiene un amplio ámbito de aplicación. Se aplica a una amplia gama de empresas, incluidos los servicios o empresas no establecidos en la UE que procesan datos personales de personas ubicadas en la Unión Europea, o a empresas que supervisan el comportamiento de personas ubicadas en la Unión Europea. Antes de recopilar datos personales de sus usuarios finales, debe contar con una base jurídica para tratarlos. Por ejemplo, puede basarse en el consentimiento para hacerlo. Al solicitar el consentimiento, la notificación debe:
  • Ser clara y fácil de entender
  • Indicar la finalidad del tratamiento de los datos personales y cómo se tratarán
A veces, existen requisitos adicionales. Por ejemplo, es posible que también deba:
  • Solicitar explícitamente el consentimiento para determinadas actividades de tratamiento
  • Contar con un mecanismo que permita a su usuario final revocar su consentimiento con la misma facilidad con la que lo otorgó

Derechos de las personas

Sus usuarios finales, como personas físicas, tienen derecho a:
  • Acceder a los datos personales que la empresa tiene sobre ellas
  • Saber cómo se tratarán o utilizarán sus datos personales
  • Eliminar sus datos personales o “ser olvidadas” (la persona puede pedir al responsable del tratamiento que suprima los datos personales en cuestión, deje de difundirlos o detenga su tratamiento posterior)
  • Portabilidad (la persona puede solicitar que sus datos personales se faciliten en un formato estándar legible por máquina y transmitirlos a otro responsable del tratamiento)
  • No estar sujeta a decisiones automatizadas (un proceso que normalmente se denomina elaboración de perfiles)

Privacidad desde el diseño y privacidad por defecto

Privacidad desde el diseño significa que toda nueva implementación que utilice datos personales debe tener en cuenta la protección de dichos datos. Privacidad por defecto significa que la configuración de privacidad más estricta se aplica automáticamente en cuanto el usuario final adquiere un nuevo producto o servicio (es decir, sin que el usuario tenga que realizar ningún cambio manual).

Requisitos para encargados y responsables del tratamiento

Como responsable del tratamiento, debe:
  • Actuar con la diligencia debida para garantizar que sus encargados del tratamiento ofrezcan una protección adecuada de los datos personales facilitados
Auth0, como encargado del tratamiento, debe:
  • Cumplir las instrucciones proporcionadas por los responsables del tratamiento
  • Implementar medidas de seguridad adecuadas

Cumplimiento

  • El GDPR exige que los responsables del tratamiento notifiquen las brechas de datos sin demora indebida y, en cualquier caso, en un plazo de 72 horas desde que tengan conocimiento del incidente, si se cumplen determinadas condiciones
  • Las multas por incumplimiento son mucho más elevadas
  • Las autoridades de control de la Unión Europea tienen mayores facultades de investigación
  • Los responsables y los encargados del tratamiento deben designar un delegado de protección de datos si cumplen determinados requisitos en virtud del GDPR.

Funciones y responsabilidades en virtud del GDPR

En términos generales, los clientes de Auth0 (Okta) son responsables del tratamiento, y Auth0 (Okta) es un encargado del tratamiento.

Datos personales tratados por Auth0

Auth0 trata los datos de los usuarios finales presentes en los perfiles de usuario, incluidos los metadatos.

Responsabilidades del responsable del tratamiento (cliente)

Más concretamente, el cliente es responsable de:
  • La notificación al usuario final, la obtención de su consentimiento y la revocación de este (cuando sea necesario)
  • Decidir qué datos personales expone a Auth0
  • Decidir qué conexiones (donde residen los datos y las contraseñas del usuario final) utilizar
  • Dar de alta y, si es necesario, crear nuevos usuarios
  • Garantizar que sus usuarios cumplan los requisitos de edad y obtener el consentimiento adecuado si es necesario (como el consentimiento parental para menores)
  • Implementar los mecanismos necesarios para que sus usuarios finales puedan acceder a sus datos personales, revisarlos, corregirlos o eliminarlos
  • Responder a las solicitudes de ejercicio de derechos de los interesados (DSAR) de sus usuarios finales
  • Responder a las comunicaciones de las autoridades de control
  • Enviar notificaciones de brechas de datos a las autoridades de control y a los usuarios finales cuando se alcancen determinados umbrales (Auth0 ayudará al cliente y proporcionará la información necesaria si es preciso)

Responsabilidades del encargado del tratamiento (Auth0)

Auth0 es responsable de:
  • Seguir las instrucciones del responsable del tratamiento, según lo establecido en el Subscription Agreement (SA) y el Data Processing Addendum (DPA) (para clientes empresariales) o en los Terms of Service (para clientes de autoservicio)
  • Ayudar al cliente si recibe solicitudes de los usuarios finales del cliente para ejercer sus derechos en virtud del GDPR. Notificar al cliente si recibe solicitudes de autoridades de control relacionadas con el tratamiento de Datos Personales (salvo que la ley lo prohíba)
  • Notificar al cliente si tiene constancia de una brecha de datos confirmada que comprometa los Datos del Cliente
  • Notificar al cliente si alguno de sus subencargados del tratamiento informa a Auth0 de una brecha de datos confirmada que afecta a los Datos del Cliente de Auth0 (salvo que la ley lo prohíba)
  • Proporcionar los medios para que los clientes puedan recuperar, revisar, corregir o eliminar los Datos del Cliente a través del y de la Auth0
  • Proporcionar un mecanismo para que los clientes muestren los términos de consentimiento y una casilla de verificación de aceptación del consentimiento en el widget Lock. Los clientes también pueden diseñar formularios personalizados de registro e inicio de sesión si necesitan esquemas de consentimiento más elaborados

Tratamiento de datos de Auth0

Datos que posee Auth0

Todos los datos que Auth0 tiene sobre un usuario final se encuentran en el perfil de usuario de Auth0. Los atributos específicos incluidos en el perfil de usuario varían en función de la configuración y la implementación del cliente, y dependen de varios factores, como el tipo de conexión, el consentimiento del usuario durante el flujo de autenticación y si ha enriquecido los perfiles de usuario con información adicional.

Cuándo se almacenan los datos en Auth0

La información del perfil de usuario de Auth0 se almacena en Auth0 cuando se utiliza una conexión de base de datos. Si un usuario inicia sesión con cualquier otro tipo de conexión (incluidas las conexiones de base de datos personalizadas), Auth0 almacena la información proporcionada por el externo para consultas futuras.

Cómo usa Auth0 los datos que almacena

Los datos personales almacenados en Auth0 se utilizan únicamente con el fin de prestar sus servicios, en concreto, autenticar a los usuarios.

Qué ocurre con los datos al eliminar la cuenta de un usuario final

Cuando se elimina la cuenta de un usuario final, también se elimina su perfil de usuario, incluidos los metadatos.

Funciones de Auth0 que facilitan el cumplimiento del GDPR

A continuación, se incluye una lista de los requisitos del GDPR y de cómo Auth0 puede ayudarte a cumplirlos. Según el artículo 7 del GDPR, debe:
  • Solicitar a los usuarios su consentimiento para el tratamiento de sus datos personales de forma clara y fácilmente accesible
  • Poder demostrar que el usuario ha dado su consentimiento y
  • Proporcionar un mecanismo sencillo para retirar el consentimiento en cualquier momento
Puede usar Auth0 para solicitar el consentimiento de sus usuarios al registrarse (ya sea con Lock o con un formulario personalizado) y guardar esta información en el perfil del usuario. Posteriormente, puede actualizar esta información mediante la Management API. Para obtener más información, consulte GDPR: Conditions for Consent.

Derecho de acceso, rectificación y supresión de datos

De acuerdo con los artículos 15, 16, 17 y 19 del GDPR, los usuarios tienen derecho a:
  • Obtener una copia de sus datos personales que usted trata
  • Solicitar rectificaciones si son inexactos y
  • Solicitar que elimine sus datos personales
Con Auth0, puede acceder a la información de los usuarios, editarla y eliminarla, ya sea manualmente o mediante nuestra API. Para obtener más información, lea GDPR: Derecho de acceso, rectificación y supresión de datos.

Minimización de datos

Según el artículo 5 del GDPR:
  • Los datos personales que recopile deben limitarse a lo necesario para su tratamiento
  • Deben conservarse solo durante el tiempo necesario, y
  • Debe garantizarse una seguridad adecuada durante el tratamiento de los datos, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daños accidentales
Auth0 ofrece varias funcionalidades que pueden ayudarle a lograr estos objetivos, como la vinculación de cuentas, el cifrado de perfiles de usuario, entre otras. Para obtener más información, consulte GDPR: Minimización de datos.

Portabilidad de datos

De acuerdo con el artículo 20 del GDPR, los usuarios tienen derecho a recibir los datos personales que les conciernen en un formato estructurado, de uso común y legible por máquina. Puede exportar los datos de usuario almacenados en el repositorio de usuarios de Auth0, ya sea manualmente o de forma programática. Los datos sin procesar de Auth0 se pueden exportar en formato JSON (que es legible por máquina). Para obtener más información, consulte GDPR: Data Portability.

Proteja y mantenga seguros los datos de usuario

De acuerdo con el artículo 32 del GDPR, debe implementar medidas adecuadas para garantizar un nivel de seguridad que incluya, entre otras, las siguientes:
  • cifrado de datos
  • confidencialidad permanente
  • integridad de los datos, y
  • disponibilidad y resiliencia de los sistemas y servicios de tratamiento
Auth0 ofrece varias funciones que pueden ayudarle a cumplir este requisito, como el cifrado del perfil de usuario, , , autenticación reforzada y más. Para obtener más información, consulte GDPR: Proteja y mantenga seguros los datos de usuario.

Recomendaciones de seguridad

Auth0 recomienda las siguientes prácticas para ayudar a garantizar la seguridad de los datos de los usuarios finales y minimizar la probabilidad de una brecha de datos:
  • Proteja los y las claves
  • Proteja las credenciales del Dashboard de administración y exija para acceder al Dashboard
  • Revise periódicamente la lista de administradores del Dashboard y elimine las entradas obsoletas
  • Revise la lista de conexiones y aplicaciones asociadas a sus inquilinos de Auth0 y elimine las entradas obsoletas
  • Asegúrese de que los administradores del Dashboard usen credenciales corporativas que puedan revocarse fácilmente si es necesario, y no credenciales personales, como una cuenta de correo electrónico personal
  • Elimine de inmediato las cuentas de los empleados que hayan dejado la empresa
  • Asegúrese de que los administradores usen dispositivos con bloqueo de pantalla obligatorio
  • Proporcione capacitación periódica a todos los administradores del Dashboard y a los desarrolladores sobre las prácticas recomendadas de seguridad y privacidad
Asegúrese de supervisar cualquier solución de transmisión de registros que utilice para enviar datos de registro a herramientas de registro con funciones de generación de informes.

Más información