Protección de datos

Legalthingsllamadascomerciales

¿El fin del spam telefónico? Diez cosas legales que tienes que saber sobre las llamadas comerciales

Las llamadas comerciales tienen sus días contados.

El día 29 de junio de 2023 ha entrado en vigor la prohibición recogida en el artículo 66.1.b de la Ley 11/2022 General de Telecomunicaciones de realizar llamadas comerciales sin el consentimiento previo del destinatario o sin contar, en su defecto, con otra base de legitimación que la justifique.

 

¿Qué significa esto?

 ¿Vamos a dejar de recibir molestas llamadas en momentos inoportunos de compañías con las que no tenemos ningún contacto? ¿Qué sucede con los negocios que ofrecen servicios a otras empresas?

Ante el revuelo y el desconcierto que la noticia ha causado en los últimos días, la Agencia Española de Protección de Datos publicó ayer una Circular en la que determina el criterio a aplicar y aclara  cómo cumplir con dicha prohibición. A tales efectos, hemos resumido dicha circular en diez puntos:

 

1.- Desde el día 29 de junio está prohibido realizar llamadas comerciales sin el consentimiento del destinatario (el conocido como “spam telefónico” a menos que exista otra base lícita en la que basar dicha llamada. La Agencia Española de Protección de Datos (AEPD) aclara que la única base legítima que cabe como alternativa es el “interés legítimo” (artículo 6.1.f) del Reglamento General de Protección de Datos). Esto afecta a todas las empresas y a todos los sectores que realicen llamadas comerciales.

Es decir las bases de legitimación viables serían:

  • O consentimiento
  • O interés legítimo

 

2.- El consentimiento tendrá que ser previo y con los requisitos que ya conocemos: libre, expreso, informado e inequívoco.

 

3.- El interés legítimo es una base de legitimación que definimos como el interés que tiene el Responsable del tratamiento (la empresa que pretende realizar llamadas comerciales a una base de datos) en realizar dicha acción comercial siempre que dicho interés no prevalezca sobre los intereses o los derechos y libertades fundamentales del destinatario. Esto exige lo que se denomina una prueba de “ponderación” o “sopesamiento”. Es decir, cuando se pretende realizar un tratamiento de datos basado en el interés legítimo, hay que realizar dicho análisis.

 

4.- Existe una presunción de “interés legítimo” cuando existe una relación comercial previa. Es decir, a los clientes se les puede llamar por teléfono. ¿Hay alguna excepción? Sí, no se podrá llamar a los que hayan manifestado su oposición a la citada empresa a recibir llamadas de la misma. Esto no vale para las comunicaciones a otras empresas del grupo

 

5.- Qué pasa cuando el cliente ya no es cliente. Persiste esa presunción de interés legítimo hasta un año después desde el momento en que deja de ser cliente. Según la Circular de la AEPD, “salvo prueba en contrario” lo que significaría que alguna empresa podría justificar dicho interés legítimo durante un periodo superior al año. Siempre tendrá que estar en condiciones de probarlo.

 

6.- El interés legítimo no sirve para justificar las llamadas aleatorias. Sólo se pueden basar en el consentimiento previo.

 

7.-Se puede seguir llamando a las empresas o a los profesionales liberales cuando a quien llamamos es su representante o su persona de contacto. Es decir, las llamadas B2B siguen permitidas siempre que no se utilice la “argucia” de contactar con la empresa para venderle algo a esa persona de contacto como individuo. Este interés legítimo está amparado en el artículo 19 de la Ley Orgánica 3/2018 de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD)

 

8.- Hay que consultar los sistemas de exclusión publicitaria (la llamada “Lista Robinson”) antes de iniciar cualquier campaña de acuerdo con lo que dice el artículo 23 de la LOPDGDD.

 

9.- Al inicio de cada llamada, hay que informar sobre:

– La empresa que llama

– Finalidad comercial de la misma

– Posibilidad de revocar el consentimiento

– Posibilidad de oponerse a la recepción de llamadas no comerciales.

 

10.- Deben atenderse inmediatamente las revocaciones del consentimiento o de la oposición a recibir este tipo de llamadas. La grabación de la llamada puede ser una buena fórmula para demostrar el cumplimiento de la normativa de protección de datos.

 

Y por supuesto si tiene cualquier duda o no sabe cómo cumplir con la normativa de protección de datos y otras relacionadas, consúltenos. Estamos para ayudarle.

Paz Martin y Abril Macarrón

Junio 2023

#Losdetallesimportan

Lo que toda startup y/o pyme tiene que saber sobre protección de datos personales

Si estás montando tu propio negocio, esto es lo que tienes que saber sobre protección de los datos personales que manejes. Abstenerse profesionales de la lectura (ya os lo sabéis de sobra)

 

Cuando uno inicia su propia actividad profesional o empresarial, la lista de asuntos a resolver y/o tener en cuenta es larga. Vamos, que casi se te quitan las ganas de seguir.

¿Constituyo una sociedad o mejor opero como autónomo? ¿y si somos varios? ¿cómo gestiono un pacto de socios?

¿Qué régimen adopto con la Seguridad Social? ¿Trabajador por cuenta ajena, Administrador, autónomo?

Leyes fiscales, societarias, administrativas, civiles…. Y un largo etcétera de aspectos legales que toda “start-up” tiene que cumplir.

La protección de datos no se puede quedar atrás. Desde el mismo momento que comenzamos a confeccionar nuestra lista de contactos comerciales la protección de datos importa. Y mucho.

¿Qué es lo mínimo que debe saber alguien que se lanza a esto del emprendimiento?

1.- Toda gestión que conlleve datos personales (clientes, potenciales clientes, proveedores, trabajadores, usuarios, contactos, …) está sometida al cumplimiento del Reglamento UE 2016/679 General de Protección de Datos (el RGPD ¿te suena?) y la Ley Orgánica 3/2018 de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD). Estás obligado a cumplir. Que lo sepas.

2.- Ya que tienes que cumplir lo primero que tienes que saber es que lo que tienes (tengo clientes, contactos y proveedores por ejemplo).

Y lo que tienes o estás a punto de tener lo tienes que reflejar en un registro: es lo que conocemos como el Registro de Actividades de Tratamiento, un documento “vivo” que debe contener el tipo de datos que recoges, para qué son esos datos, con quién los compartes, cuánto tiempo los guardas, si basas el tratamiento en el consentimiento o en otras bases de legitimación (p.e. ejecución de contrato, obligación legal,…) etc, etc. Para confeccionar este registro has tenido que reflexionar sobre estas cosas que a veces no se tienen claras (por ejemplo, en las relaciones laborales el tratamiento de datos no se basa en el consentimiento del trabajador sino en la ejecución de la relación laboral). Todo esto lo dice el artículo 30 del RGPD.

¿Te lo pueden pedir? Sí ¿Quiénes? Pues de entrada la Agencia Española de Protección de Datos si hay una denuncia y también un cliente que quiera saber cómo tienes esto de la protección de datos, sobre todo cuando estás gestionando datos de sus propios clientes, trabajadores, etc.

No cometas ese error de pensar que porque eres pequeño, estás empezando, etc, nadie (ni la Agencia Española de Protección de Datos) se va a fijar en ti. De esto no se libra nadie. Si lo haces mal te pueden denunciar y te sancionan (o al menos te pegan un susto). Pero como quieres hacer las cosas bien, no te pesa la amenaza de multa sino el deber de cumplir y garantizar la privacidad…

3.- Ya sabes los datos que estás manejando o vas a manejar ¿Qué más? Pues tienes que informar siempre que recojas datos: utilizarás propuestas comerciales, presupuestos, formularios, emails, cualquier fórmula para que tu nuevo cliente (tu tesoroooo) te facilite la información mínima para trabajar. Si estás en el mundo online lo pedirás vía formulario, pero cualquier vía será bienvenida.

¿Y de qué hay que informar? Pues de quién es el Responsable del tratamiento (serás tú si eres autónomo o tu sociedad si la has constituido), lo que vas a hacer con los datos, en qué te basas para hacer tratamiento de datos, cuánto tiempo los conservarás, si los vas a compartir con alguien, donde se puede dirigir el titular del dato para pedir sus derechos o dónde puede reclamar. Se trata de ser muy muy transparente.

Ojito con el corta-pega. Además de cometer una ilegalidad -infracción de derechos de propiedad intelectual- puedes estar copiando malamente (tra tra) y por ello no cumplir adecuadamente ese deber de informar.

4.- ¿Derechos de los titulares de los datos (también llamados “interesados”)?

Son la materialización del derecho a la protección de datos y son los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. Si un usuario te los pide tienes que contestar en el plazo de un mes y para ello tendrás que habilitar un medio de contacto fácil. Para tenerlo claro como hacerlo y no meter la pata, lo mejor es tener un procedimiento de gestión de esos derechos para que tengas claro cómo actuar en cada caso y según cada derecho.

 

5.- Medidas de seguridad: si vas a gestionar datos personales, la seguridad es imprescindible. No hace falta que conviertas tu actividad en el Pentágono, pero tienes que dotarte de medidas que protejan la información. Cosas tan sencillas como trabajar con software original y actualizado, protegerse con antivirus, firewalls, utilizar VPNs, hacer copia de seguridad, cambiar las contraseñas (y evitar el 1234567) restringir los accesos, cifrar la información etc. están al alcance de cualquiera. De esto hay mucha información en el INCIBE que hace videos muy chulos y aconseja bien. Puedes empezar con el  Kit de concienciación | INCIBE

 

6.- No tengo presupuesto para ciberseguridad y esas cosas.

Ningún emprendedor es Rockefeller, tranquilo. Según el RGPD la seguridad debe enfocarse siempre “desde el riesgo” lo que significa que debes analizar los riesgos que tiene tu actividad (no es lo mismo montar una web para vender ropa que una clínica estética donde seguramente vas a manejar hasta datos de salud, ni es lo mismo trabajar básicamente con empresas que por ejemplo con datos sensibles de personas “vip”). Por eso hay que hacer un análisis de riesgos. Y a veces incluso una «Evaluación de Impacto» que es algo parecido sobre todo cuando se pone en marcha un nuevo tratamiento de datos que pueda implicar un alto riesgo.

¿Y cómo se hace esto? Aquí te doy algunas indicaciones, pero la Agencia Española de Protección de Datos que ha hecho una labor de divulgación admirable cuenta con herramientas y guías que te pueden ayudar.

Lo importante es que identifiques tus riesgos y los gestiones para que sepas dónde estás y a lo que tienes que dar prioridad. Por ejemplo: si has desarrollado una app, dale prioridad a la ciberseguridad pues tus vulnerabilidades te pueden venir por ejemplo de una mala configuración, del uso de otras herramientas no seguras o por ejemplo del entorno en el que desarrollas la app.

También tendrás que informar y pedir consentimientos ¿Cómo se gestiona el riesgo? Pues puedes afrontarlo y mitigarlo, puedes asumirlo y no hacer nada (y te la juegas) o también puedes derivarlo (a ver a quién le encasquetas el tema porque no hay compañía de seguros que te cubra un entorno inseguro, ojo con este tipo de pólizas que te piden que garantices que tienes un buen nivel de seguridad y cumplimiento).

No pierdas de vista el llamado «Kit Digital» que te permitirá solicitar ayudas para, entre otras cuestiones, la seguridad de tu nuevo negocio. Más info: Kit Digital | Acelera pyme

7.- ¿Y si la seguridad falla?

Puede pasar. Ya sabes que no hay ninguna medida de seguridad infalible pero si tienes un problema de seguridad que afecte a datos personales, tienes la obligación de ponerlo en conocimiento de la Agencia Española de Protección de Datos en un plazo máximo de 72 horas. Aunque hay matices y puede ser que el fallo de seguridad esté limitado, que sepas que esta es una de las obligaciones que te exige la ley. Y por supuesto tendrás que gestionar la incidencia para contener sus efectos y adoptar medidas para que no se vuelva a repetir.

8.- Tus relaciones con terceros sobre todo si acceden a los datos que tú manejas

Es posible que seas “Juan Palomo” y te lo hagas todo tú, pero serías casi una excepción.

Desde una gestoría hasta un software de gestión o un hosting o incluso una plataforma de trabajo, implica que hay terceros que pueden acceder a los datos personales que gestionas y que son de tu responsabilidad. Incluso es posible que quien te haya hecho la web tenga acceso a los datos de tus formularios de contacto. Todos ellos son “encargados de tratamiento”, es decir terceros que te prestan un servicio y para ello tienen que acceder a datos que tu gestionas.

Es imprescindible elegir bien (a veces lo barato sale caro), a ser posible que estén en la Unión Europea o en países con un nivel de seguridad equivalente (y te ahorras los quebraderos de cabeza de las transferencias internacionales). Y esta relación tendrá que estar formalizada en un contrato (el contrato de tratamiento de datos, «Data Processing Agreement», contrato de encargo de tratamiento etc). Imprescindible el contrato: y esto es binario: o lo tienes o no lo tienes. Si tu proveedor mete la pata, el responsable eres tú (o tu empresa) por lo que en el contrato debe constar que tu proveedor también cumple con el RGPD.

9.- Pensar en privacidad

Cuando no se tiene “cultura de la privacidad” todo esto provoca “agujetas”. Con el tiempo es muy gratificante ver como cuando alguien inicia un nuevo proyecto, una nueva web o una actividad que implique recoger y tratar datos se plantea desde el minuto uno, que la privacidad importa (es lo que conocemos como “privacidad desde el diseño y por defecto”) y de esta forma se incorpora el cumplimiento al desarrollo y todo es mucho más sencillo.

Cumplir con los principios establecidos en el RGPD: responsabilidad proactiva, minimización, limitación de la finalidad, limitación de la conservación de los datos, exactitud, etc es una tarea que debe ir calando en tu forma de trabajar. Teniéndolo claro y casi sin darte cuenta, habrás incorporado la privacidad al ADN de tu actividad.

No te olvides de formar a tu equipo: a todo el mundo le suena esto de la protección de datos pero es frecuente que no se conozcan bien las implicaciones que en un día a día de una empresa tiene la privacidad.

 

10.- Déjate asesorar

Y si todo lo anterior te parece un rollo patatero, muy complejo o directamente no tienes tiempo para profundizar en exceso (la página web de la Agencia Española de Protección de Datos te ofrece cantidad de recursos, guías y herramientas), contrata a alguien que te lo cuente y que te asesore.

Al final vas a tener que cambiar algunos hábitos o estar pendiente de algunas cosas pero tener a un asesor que te oriente y a quien puedas preguntar, siempre te dará tranquilidad. Al fin y al cabo para eso estamos ¿no?

Desconfía de los que te ofrecen asesorarte gratuitamente a cambio de formación (es un fraude: una cosa es el asesoramiento y otra la formación), de los que no te dedican “horas” para escucharte, entender tu negocio y darte consejos a medida. Esto no son matemáticas, no lo sabemos todo y a veces nos lo tenemos que estudiar o incluso entre los profesionales tenemos criterios distintos.

Al fin y al cabo se trata de que vayas por el camino del buen cumplimiento y que cualquier cosa que decidas hacer con los datos personales esté fundamentada y sea legal.

Y hasta aquí los “must have” de la privacidad. ¿A que no es para tanto?

Si tienes dudas, consúltanos.

#losdetallesimportan

Paz Martin

 

El contrato de tratamiento de datos ¿le das la importancia que tiene?

Tanto si manejas datos personales de tus clientes, trabajadores, usuarios, etc como si prestas servicios profesionales o comerciales que impliquen acceder a datos de tus clientes, dale la importancia que se merece a estos contratos.

Invito a los lectores de este post a que hagan un ejercicio de trasladar una cuestión jurídica y de cumplimiento como es el contrato de tratamiento de datos o de «encargo de tratamiento» al ámbito de lo cotidiano.

Imaginemos que estamos buscando a una persona que cuide a nuestro hijo/hija. Difícil elección. A los hijos no los dejamos con cualquiera. Después de descartar las opciones «de casa»: «tú vienes antes del trabajo» o «yo cambio el horario», lo normal, es acudir a amigos y conocidos para preguntar. Algunos inclusos buscan «agencias» especializadas o incluso ludotecas u otras opciones. Empieza la selección.

Lo que tenemos claro es que es una elección delicada: la persona que se quedará con nuestro retoño tendrá margen de acción: le llevará al parque, le preparará o comprará la merienda, decidirá si hace buena tarde para dar un paseo o si se queda jugando con otros niños un rato más a la salida del colegio, si hace frío le pondrá el abrigo y si hace mala tarde se irá a casa donde evitará tenerle frente a la televisión toda la tarde… En definitiva, tomará decisiones y si es una persona responsable, serán acertadas y estaremos encantados.

Pero si esa persona se extralimita de sus «funciones» y en lugar del bocadillo correspondiente le compra a diario chuches y bollería industrial, se lo lleva de «parranda» a hacer cosas no propias de niños o incluso a casa de un conocido, no sólo no nos parecerá bien sino que estará poniendo en peligro a nuestro bien más preciado.

Con los datos y los encargados de tratamiento pasa algo parecido.

Son muchas las gestiones que las empresas y profesionales se ven obligadas a externalizar: sin ir más lejos: la gestión laboral, contable y fiscal, los servicios de hosting, de correo electrónico, de copias de seguridad, de gestión y mantenimiento de la web son servicios más que habituales que se encomiendan a terceros a cambio de una contraprestación.

Esos terceros (los encargados de tratamiento) acceden a datos personales de los que es Responsable la empresa o el profesional (es decir, acceden a nuestro «niño»). Y tienen una obligación de «buen hacer» que debe recogerse en un contrato con unas especificaciones concretas: las descritas en el artículo 28 del Reglamento UE 2016/679 General de Protección de Datos (RGPD o GDPR).

  • No pueden hacer con los datos lo que quieran: sino lo que el Responsable les haya indicado: lleva al niño a judo después de merendar y después a casa.
  • No pueden subcontratar sin autorización (a veces se autoriza la subcontratación de servicios auxiliares pero no del servicio en sí mismo: te dejo que compres la merienda en algún sitio pero no te dejo que sea otra persona distinta de tí la que cuide a mi descendencia…)
  • Por supuesto que tiene que cumplir con el RGPD y adoptar medidas de seguridad suficientes para garantizar la confidencialidad de los datos (¿no le exigimos algo parecido a nuestra persona de confianza niñero/a? ¿Qué menos que no cruce por sitios peligrosos, que sea responsable, que tenga higiene, en definitiva… que sea diligente).
  • Por eso son tan importantes estos contratos. Y antes de su firma, es imprescindible elegir bien al  proveedor. Y cuanto más crítico sea ese proveedor, más exigente debemos ser. Tal es así que el RGPD dice que: el responsable «elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.»
  • Hay que explicar el servicio concreto contratado, el tipo de datos a los que se va a acceder (cuanto más detalle mejor), las operaciones que se realizarán con los datos, dónde estarán los datos, qué se hará con ellos cuando la relación expire…

Si nuestra gestoría, de pronto, pierde los datos (es un caso real) fruto de una brecha de seguridad, es posible que perdamos todos los datos contables (en el caso de las pequeñas empresas, toda la información la suele almacenar la gestoría, al menos en el año fiscal en curso).

Mediante el contrato de tratamiento de datos, la gestoría se compromete a estar preparada para este tipo de contingencias y por ello deberá tener copias de respaldo y medidas de seguridad acordes con el tipo de datos que custodia. Si no lo cumple, se le podrán exigir responsabilidades. También debe restringir el acceso a los datos y formar a su personal….

En lugar de nuestros hijos, tratan nuestros datos, que en una empresa es un bien preciado que se debe proteger y cuidar.

Si la Agencia Tributaria un día nos pide las cuentas y resulta que nuestra gestoría no las tiene… nosotros seremos responsables pero podremos exigir, a su vez, responsabilidades a nuestro proveedor por no haber cumplido lo pactado.

Y si resulta que la gestoría tiene intención de subcontratar servicios auxiliares que estén fuera de la Unión Europea (es decir, nos llevamos al niño fuera del barrio), debe indicarse y autorizarse expresamente e indicar las garantías que tienen dichos servicios.

Firmar sin más un contrato de tratamiento de datos es entregar a nuestro hijo sin poner condiciones ni examinar los detalles del servicio. Los contratos no tienen por qué ser complicados: pueden formar parte del clausulado del propio contrato de servicios, o adjuntarse en anexo o incluso constituir un contrato independiente. Todo vale pero siempre que se haga bien, que lo que se recoge obedezca a la realidad y no se firme un mero «modelo» que nadie se revisa o cuestiona.

¿O es que le dejamos que hagan con los datos cualquier cosa? En todo caso, las relaciones se basan también en la confianza pero ahora que leo lo escrito… ¿no deberíamos firmar también contratos con los cuidadores?

#losdetallesimportan

Paz Martin

Agosto 2021

Diez cosas que toda empresa debe saber ahora sobre protección de datos

28 de enero: DIA EUROPEO DE LA PROTECCIÓN DE DATOS

Llevamos un año extraño, esto es indiscutible. Cualquier actividad económica, empresarial, profesional o personal se ha visto afectada por el Covid19.

En un año han pasado muchas cosas y una de ellas es que la privacidad sigue siendo muy (o más) importante.

La tecnología y los negocios digitales se han convertido en la tabla de salvación de muchos negocios y también de muchas personas que gracias a plataformas, videollamadas y chats se han mantenido conectadas con sus seres queridos a los que no pueden ver.

Por ello la privacidad está, más que nunca, de actualidad.

Y  también actualizados debemos estar los profesionales que no podemos bajar la guardia porque constantemente se producen novedades que afectan a grandes y pequeños. Es nuestra obligación transmitir, de la forma más transparente posible, el alcance de las obligaciones de aquellos que tratan datos. El tamaño no importa.

Proteger los datos y cumplir no admite “suspensiones” ni “confinamientos”. De hecho, es momento, más que nunca para ser ejemplares y transmitir a quienes hacen las cosas bien que este cumplimiento puede ser un plus frente a sus clientes y usuarios.

Ahora mismo hay una serie de aspectos que cualquier empresa -incluimos profesionales- o entidad (grande o pequeña) que trate datos tiene que saber:

1.- Las obligaciones de la normativa de protección de datos están ahí para cumplirlas y no hay excepciones

Muchas empresas simplemente están sobreviviendo. Algunas se están quedando por el camino. Pero ello no es óbice para darle la espalda a los derechos de las personas: trabajadores, clientes, usuarios, proveedores, etc

La pandemia ha convertido el teletrabajo en una alternativa al trabajo presencial (ahora por obligación y en el futuro, por opción) pero ello no puede suponer que se baje la guardia en la seguridad de los datos con las dificultades que para muchas empresas ello supone.

En 2020 se ha producido muchas brechas de seguridad algunas debido a incumplimientos de medidas básicas de seguridad o de una mala gestión de los datos personales. No ha sido fácil pero no hay periodos de gracia que puedan invocarse aquí.

2.- Que las autoridades de protección de datos no han dejado de sancionar

No hay más que echarle un vistazo a las últimas sanciones de la Agencia Española de Protección de Datos pero también de otras autoridades de protección de datos de los estados miembros de la Unión Europea.

Y no sólo se ha sancionado a empresas grandes (dos entidades financieras de primera línea recientemente con una sanción máxima de 6 millones de euros) sino también a empresas pequeñas, startups e incluso a particulares que no han cumplido la normativa.

3.- Que desde julio de 2020, parece que “de repente” existen las transferencias internacionales (no hay mal que por bien no venga)

En el mes de julio el Tribunal de Justicia de la Unión Europea dicta la ya famosa Sentencia Schrems II que declara inválido el Privacy Shield (protocolo que “bendecía” las transferencias internacionales de datos entre la Unión Europea y Estados Unidos).

Ello nos ha obligado a regular esas transferencias internacionales. En la mayoría de las empresas han aflorado transferencias a otros países que ya existían pero que no se había detectado, documentado y comprobado en términos de cumplimiento acorde con el RGPD.

4.- Que estamos hasta el gorro de las cookies pero no nos queda más remedio que hacerlo bien

Ya no hay medias tintas. Las cookies exigen consentimiento expreso. El usuario tiene derecho a saber y a elegir. Las fórmulas “a medias” o poco claras, no valen. La última modificación de la Guía de Cookies de la Agencia Española de Protección de Datos también en julio de 2020 ha obligado a revisar las cookies de todas las webs para identificar perfectamente qué cookies se utilizan y ofrecerle al usuario la posibilidad de seleccionar aquellas que quiere que se instalen.

Aunque ya se habla de un futuro sin cookies (ojo, pero con otros identificadores que hagan funciones similares) de momento las tenemos para rato y la Agencia Española de Protección de Datos es competente para sancionar, no tanto por el RGPD sino en aplicación de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

5.- Que Reino Unido ya no está en la Unión Europea (es decir, en principio que el GDPR no va con ellos…. Con matices)

Reino Unido ya no pertenece al conjunto de los países a cumplir con el RGPD y por lo tanto los datos que viajen a aquel país (por ejemplo el mero hecho de contratar un proveedor tecnológico en aquel país) deberá acogerse a las excepciones contempladas en el propio GDPR (una declaración de adecuación sería lo deseable y es lo esperado pero también existen las cláusulas contractuales tipo y otras alterativas válidas, entre otras soluciones). De momento, se ha concedido un periodo de seis meses adicionales.

6.- Que no sólo se sanciona a los grandes.

Ya lo hemos comentado antes pero conviene insistir. Que sancionen a un banco parece que aleja la preocupación de los pequeños. Pero ojo: ya hay sanciones por no informar adecuadamente en las políticas de privacidad de la web, por enviar correos electrónicos con copia abierta a otros destinatarios, por no haber adoptado medidas de seguridad y en el caso de particulares, por haber difundido contenidos ilícitos sin el consentimiento de los interesados, por poner un ejemplo.

Si bien la cuantía de las sanciones suele ser proporcional y se aprecian muchos «apercibimientos» como medida sancionadora muy utilizada, no es motivo para dejar de trabajar en modelos de cumplimiento normativo y de mejora continua.

7.- Que el Reglamento E-Privacy que va por la no-se-cuantas versiones está en el horno

Llevamos más de cuatro años esperando el texto que actualizará entre otros aspectos la privacidad de las comunicaciones electrónicas, el régimen de las comunicaciones comerciales electrónicas o las cookies.

Recientemente bajo la presidencia portuguesa se ha publicado una última versión que está siendo objeto de debate. Otro texto al que nos tendremos que adaptar y que será (como todo Reglamento) de directa aplicación en todos los países de la Unión Europea. A estos efectos es interesante conocer la declaración que recientemente ha realizado el Comité Europeo de Protección de Datos al respecto.

8.- Que nos hemos vuelto tecnológicamente más dependientes y por ello hay que extremar las cautelas

A veces asusta lo dependientes que somos de la tecnología. Ya hay muchas empresas  sin papeles lo cual medioambientalmente es muy sostenible pero también nos hace más vulnerables.

La seguridad cobra un papel fundamental no sólo como una cuestión prioritaria para proteger la información en general sino como una política «de la casa» que debe transmitir a sus empleados y colaboradores una forma de trabajar y unos hábitos de seguridad «saludable».

No invertir en ciberseguridad, no tener un sistema adecuado de copias, de detección de virus e intrusos, etc puede echar al traste con la información (y con los datos personales) de cualquier organización. Y aquí, el tamaño tampoco importa.

9.- Que los negocios online están triunfando “Digital businesses don´t stop”

Aquí hablamos desde nuestra experiencia. Aquel que ha llevado su negocio tradicional al mundo digital (o al menos su visibilidad) o al menos lo compatibiliza tiene más opciones de sobrevivir.

La pandemia nos ha enseñado que hasta un fisioterapeuta puede «reinventarse» ofreciendo sesiones «virtuales» u otras alternativas. Los bares y restaurantes se han apuntado a plataformas de «delivery» y empresas y profesionales que tradicionalmente sólo atendían presencialmente, han encontrado una alternativa a su negocio. Ello implica cumplimiento normativo trasversal (ecommerce, protección de datos, propiedad intelectual, derecho de los consumidores, etc)

10.- Que a veces somos paranoicos con la privacidad justo cuando menos hace falta: ejemplo, las aplicaciones de rastreo.

La mayor sensibilización poblacional sobre su privacidad siempre es buena pero, en este caso, no se ha puesto el ojo en el lugar correcto.

En la era del selfie y de las fotografías absurdas a todo lo que se mueve (y lo que no), cuando el propio individuo “vende” su alma al diablo tecnológico nos entran los escrúpulos con las aplicaciones de rastreo porque… “vete tú a saber qué se hace con los datos”. Como dice una amiga Meeeecccc, error. Qué útil hubiera sido poder detectar cómo nos estábamos contagiando, en qué lugares y circunstancias.

Tal vez se hubiera podido controlar todo mejor. Las aplicaciones de rastreo tienen sus pegas y pueden ser muy cuestionables en algunos aspectos pero cuando se trata de salud pública nos hemos convertido en los “tikismikis” de la privacidad.

En nuestra opinión, en estos momentos un poquito de solidaridad en este sentido ayudaría mucho a entender mejor un virus y una enfermedad que tampoco distingue entre grandes y pequeños, ricos o pobres, jóvenes y mayores (aunque lamentablemente estos últimos se están llevando la peor parte.

Y sin enrollarnos mucho más, conviene hacer una reflexión sobre el grado de exposición en las redes sociales y su influencia a todos los niveles en las personas, sobre todo en este último año… pero eso será objeto de otro post.

Echando la vista atrás, estamos mejor en privacidad. Queda mucho por hacer pero el GDPR ha calado y en general existe una mayor transparencia y se ha reforzado el poder soberano del individuo sobre sus datos (al menos en la Unión Europea). Felicitémonos por ello en este día europeo de la protección de datos sin dejar de trabajar.

#losdetallesimportan

Paz Martin

28 de enero de 2021

Privacy Shield

El Privacy Shield ha sido anulado ¿y ahora qué hacemos?

Que levante la mano quien no tenga un solo proveedor que no esté en los Estados Unidos. Ya no hablamos sólo de Google, Amazon o Microsoft sino de otros proveedores que proporcionan cientos de herramientas que tratan datos fuera de la Unión Europea.

El que los datos “viajen” de la Unión Europea a otro país supone una transferencia internacional de datos personales.

Por definición el resto de los países no son seguros, mejor dicho, no exigen a sus empresas y responsables los mismos requisitos que la Unión Europea exige a esos responsables y por ello, las transferencias internacionales de datos deben cumplir con unos mínimos o no serán lícitas.

¿Cuáles son esos casos en los que las transferencias internacionales son lícitas?

  • Transferencias basadas en una decisión de adecuación: por ejemplo, países cuya legislación en protección de datos es similar a la de la UE y ofrecen garantías. La lista no es muy larga. Puedes consultarla aquí.
  • Transferencias mediante garantías adecuadas, por ejemplo unas normas corporativas vinculantes (“Binding Corporate Rule”s o “BCRs” en inglés) o mediante acuerdos y contratos que incluyan las llamadas cláusulas contractuales tipo («Standard Contractual Clauses» o «SCCs» en inglés) aprobadas por la Comisión Europea y que están siendo objeto de actualización. Sabemos que están en el horno y que se publicarán en breve.
  • Excepciones para situaciones específicase. solicitar el consentimiento al interesado, basar la transferencia en la relación contractual con el interesado, etc.
  • Otras -que entrarían en las decisiones de adecuación pero que nos interesan por la actualidad de la noticia-: el Privacy Shield, instrumento suscrito entre la UE y el gobierno de los Estados Unidos para “bendecir” las transferencias internacionales entre la UE y EEUU. Este instrumento ha sido ahora invalidado por una Sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de este año que nos pone en una situación delicada.

Como primera conclusión: las transferencias actuales entre la UE y EEUU que se basen en el Privacy Shield, ahora mismo, no son lícitas.

¿Era el Privacy Shield un paripé?

Muchos pensamos que era una solución para salir del paso, porque hace cinco años nos pasó exactamente lo mismo que ahora. Y fruto del mismo procedimiento del Sr. Maximillian Schrems que no contento con Facebook y sus transferencias internacionales, ha llegado tan lejos que ha puesto en el candelero al resto de las transferencias internacionales entre la UE y Estados Unidos. Ya sabíamos que sonó un poco apaño con respecto al Safe Harbour pero todos respiramos aliviados cuando se invalidó este y la Comisión Europea, rauda y veloz alcanzó esta solución en un tiempo record (y qué casualidad que meses antes de las elecciones presidenciales americanas…). La historia se repite.

Antes de salir corriendo y a la espera de que las autoridades de la UE se pronuncien de una forma concreta sobre el tema (el EDPB ya ha anunciado que lo hará) vaticinamos lo que va a suceder aportando nuestro granito de arena:

1.- Puesto que la nueva versión de las cláusulas contractuales tipo está en el horno, firmar ahora una SCC (Standard Contractual Clauses) es un poquito arriesgado. Pero de momento, parece una de las opciones más seguras.

2.- Cambiar proveedores deprisa y corriendo hacia proveedores europeos tampoco es buena solución aunque visto lo visto, creo que de esta deberíamos aprender para el futuro. Más vale malo en la UE que mejor pero fuera de ella. Existen infinidad de herramientas y proveedores en la Unión Europea que no nos harán plantearnos periódicamente esta situación.

Lamento hacer el inciso aquí pero es que el Covid19 nos ha demostrado lo vulnerables que somos económicamente hablando: dependemos mucho del exterior y de países terceros, no sólo en la UE sino fuera de ella. Desde las mascarillas hasta las manzanas, casi todo lo compramos fuera, incluyendo la tecnología. Explorar soluciones tecnológicas «de proximidad» igual no es una mala idea y de paso fomentamos la economía local. Esto vale para las manzanas, las mascarillas y las aplicaciones. De todo esto tenemos aquí. Y muy buenas.

3.- Las Autoridades de Control de la UE, es decir las agencias de protección de datos de cada país, no se van a poner a sancionar mañana. Este es un problema global con unas consecuencias muy importantes para todas las empresas responsables de datos: grandes y pequeñas, administraciones públicas y entidades de todo tipo. en 2015 fueron comprensivos y pacientes. Confiamos en que lo vuelvan a ser y que tengamos «periodo de carencia» o de «gracia».

4.- La Comisión Europea probablemente se haya puesto a trabajar en el tema buscando una nueva solución que sustituya a lo que ha sido Privacy Shield y antes Safe Harbour. ¿Cuál es el problema? Que el gobierno de los EEUU seguirá queriendo acceder a los datos y por lo tanto los datos de los ciudadanos de la UE nunca gozarán de la misma protección que en la UE. Tendrán que superar de alguna forma este escollo o peligran la mayoría de las transferencias con dicho país. Los europeos estamos un poquito hartos de este tema. Pues ¿a la tercera va la vencida?

5.- ¿Qué hacemos mientras tanto?

Podríamos distinguir dos soluciones:

a) Si ya estamos trabajando con proveedores fuera de la UE: revisar los contratos y las condiciones. Muchos de ellos afirmaban estar adheridos a Privacy Shield pero otros además, contaban ya con las cláusulas contractuales tipo (SCCs) que no han sido invalidadas. Entre otros, Google, Microsoft 365 y Amazon Web Services.

También podemos esperar. Es más, deberíamos esperar a los sabios consejos de las autoridades de protección de datos. Este no es un problema individual: es un problema colectivo que deben abordar las instancias superiores. No tiene ningún sentido que las autoridades declaren la suspensión de las transferencias internacionales ya que supondría un colapso económico sin precedentes. Tal y como sucedió la última vez, se buscarán soluciones que garanticen los derechos de los ciudadanos de la UE y que a la vez permitan a las empresas seguir trabajando con proveedores americanos.

 

b) Si nos estamos pensando trabajar con A o con B y resulta que B está en la UE, el consejo es, contrata con B. Te ahorras un problema salvo que te ofrezcan muchas garantías y las transferencias estén dentro de uno los casos que el RGPD permite las transferencias internacionales. Es drástico pero visto lo visto, ahora mismo, sería el consejo más sensato.

El problema es que muchas soluciones no tienen una alternativa en la UE…

Moraleja: esperemos un poco y vayamos poniéndonos en el peor de los escenarios: mucho trabajo de contratos arriba y abajo. Las empresas americanas si son listas, no pondrán objeciones por la cuenta que les tiene. Confiemos en soluciones más o menos definitivas que respeten, de verdad de la buena, los derechos de los ciudadanos de la UE. Esta situación es muy incómoda desde el punto de vista burocrático pero evidencia que en la protección de los datos fuera de la UE queda mucho por hacer y que sin verdaderas garantías, todo se queda en papel mojado. Demos las gracias al Sr. Schrems por llegar hasta las últimas consecuencias… por mucho que nos moleste.

 

Paz Martin

20 de julio de 2020

#losdetallesimportan

Hacer las cosas bien en protección de datos: las últimas sanciones y cómo evitarlas

El Reglamento UE 2016/679 General de Protección de Datos (RGPD) contempla sanciones para quienes no cumplan con lo dispuesto en el mismo. Las sanciones consisten, habitualmente, en multas que pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio anual de una compañía en los casos más graves.

El RGPD ya tiene rodaje suficiente para saber «por donde van los tiros». En particular, en lo que se refiere a nuestra autoridad de control, la Agencia Española de Protección de Datos cuyas sanciones son todavía «razonables» , está ofreciendo pistas para que las empresas y entidades que gestionan datos personales puedan adoptar medidas y subirse al carro de hacer las cosas bien.

La Agencia Española de Protección de Datos es además competente en la parte de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) que afecta a cookies y a comunicaciones comerciales por medios electrónicos. Las denuncias sobre emails, SMS y llamadas comerciales no deseadas siguen siendo muy frecuentes.

Pero también hay conductas recogidas en el RGPD y en la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD) cuyo incumplimiento puede dar lugar a sanción.

Para muestra un botón:

Las resoluciones de expedientes sancionadores más recientes son variopintas pero a continuación enumeramos algunas que pueden servir de guía y ejemplo de lo fácil que es incumplir el RGPD pero también, por qué no, lo fácil que puede ser hacerlo bien:

  • Sanción por no designar Delegado de Protección de Datos cuando sea obligatorio. El RGPD da las pistas de quién debe designar DPO. La LOPDGDD establece la lista de entidades que sí o sí deben designarlo. Hay situaciones «grises». Tener un DPO siempre es positivo, puede ser externo, habrá alguien a quien acudir en cuestiones de privacidad. Además si pasa algo, será el interlocutor con la Agencia Española de Protección de Datos y en caso de un procedimiento sancionador se tendrá en cuenta como circunstancia «atenuante»… Y de paso nos da de comer a los que nos dedicamos a esto. Poner un DPO en la vida de la empresa nunca será una mala idea…
  • Sanción por reutilizar papel y que ello suponga una pérdida de confidencialidad. Un caso curioso, sobre todo porque se trataba de una abogada. Al «papel sucio» lo carga el diablo. Nos sabe tan mal tirar el papel que lo reutilizamos sin pensar en que puede contener información confidencial o datos personales. Reutilizar listados SIEMPRE es una mala idea. A la destructora. Sin compasión. Y el que quiera ser ecológico o «enviroment friendly» que se lo piense dos veces antes de imprimir. El papel es peligroso incluso cuando se reutiliza para que los niños hagan dibujitos…
  • Sanción por no haber notificado una brecha de seguridad. Sobre todo porque la brecha tuvo consecuencias. La tesitura de notificar o no notificar sólo puede depender de que se hayan puesto en riesgo los datos de las personas. La propia Agencia Española de Protección de Datos en su Guía de gestión de brechas de seguridad facilita algunos consejillos que son muy útiles a la hora de tomar la decisión y analizar el riesgo. Ni se trata de notificar todo ni se trata de ser demasiado tolerante porque el hecho de no notificar ya es, en si mismo, un incumplimiento. Ojo con esto.
  • Sanción por no facilitar un medio sencillo para rechazar cookies y ese medio no es poner únicamente los enlaces a los navegadores más habituales. A pesar de la sanción a IKEA por el mismo tema, todavía se ven muchas webs que ni lo uno ni lo otro. Es decir, que igual de fácil tiene que ser aceptar las cookies como rechazarlas. Un panelito de configuración de cookies y asunto resuelto. A los profesionales de estas cosas nos da rabia que no nos hagan caso pues cuesta poco hacerlo bien y las webs son muy visibles.
  • Apercibimiento por haber enviado un email a más de 300 socios en copia abierta y por lo tanto revelando las direcciones de email al resto de los socios. El típico error humano. Pero con consecuencias. Que levante la mano quien en su vida no se le haya escapado un email con copia a otros en abierto… El problema es cuando son comunicaciones comerciales puras y duras o como en este caso, a socios de una entidad. En este caso no hubo multa sino apercibimiento pero el susto no se le quita nadie. En algunas resoluciones más antiguas la multa fue considerable. Por ello hay que ser muy cautelosos y si es posible utilizar herramientas de automatización de los emailings que evitan precisamente esto. Recuerdo un caso de una residencia de mayores que enviaron un email en abierto a todos los familiares de residentes no sólo dejando a la vista los correos sino su vínculo familiar con el residente: «Paco hijo de Pedro», «Herminia sobrina de Justo»… Sin comentarios. El dedo quieto antes de lanzar un email masivo.
  • Multa por no cruzar las bases de datos con la lista Robinson. A todos nos molesta que nos envíen comunicaciones comerciales sin nuestro consentimiento. Hay matices: que seamos clientes de alguna entidad (se pueden basar en su interés legítimo), que hayamos dado el consentimiento y no nos acordemos (muy frecuente) o que a pesar de habernos apuntado a la lista Robinson, le hayamos dado el consentimiento directamente a esa entidad. En todo caso, aviso a navegantes. Todos estamos hasta el gorro de recibir cosas. Lo normal es que se ejercite el llamado derecho de supresión (o del de oposición si procede) pero hay muchas denuncias sobre este tema.

Moraleja:

Hacer las cosas bien no cuesta tanto. Los casos descritos son todos reales y recientes.

Si bien es cierto es que hay cierta tendencia a la «querulancia» en este país (corre a coger un diccionario), si existen motivos objetivos de incumplimiento, es muy posible que nos abran un procedimiento sancionador. En una decisión muy antigua de la Agencia Española de Protección de Datos y que nunca se me olvidará, el Director afirmaba que «la intencionalidad del denunciante no es óbice para apreciar la existencia del incumplimiento normativo». Es decir, que si el denunciante tiene muy mala idea y resulta que es un cliente descontento (o un trabajador despechado), la Agencia no lo tiene en cuenta (por lo menos, de primeras).

Tener política de privacidad en la web, hacer una buena gestión de la base de datos, adoptar unos mínimos de seguridad, atender las peticiones de los usuarios… No es tan complicado.

Cuestiones sencillas como consultar con un profesional de la protección de datos puede evitar más de un disgusto. Si estamos ante cuestiones más complejas, se podrá discutir incluso en los tribunales pero la mayoría de las sanciones se derivan de incumplimientos flagrantes de la normativa.

Y que no se nos olvide: gestionamos datos de personas. La privacidad es un derecho fundamental y no podemos criticar a una sociedad «que nos vigila» si cada uno, en la medida de su actividad y posibilidades, no respeta dicho derecho.

 

Paz Martín

Madrid, 8 de julio de 2020

#losdetallesimportan

El Reglamento General de Protección de Datos cumple años. ¿Estamos mejor?

Estamos de celebración. El RGPD (o GDPR para los amigos) cumple dos añitos de pleno funcionamiento.

¿Quién nos iba a decir que dos años después media humanidad iba a estar confinada por un virus (no informático) que nos ha cambiado el orden de las prioridades?

Dos años en los que el RGDP tiene ya un cierto recorrido de aprendizaje, de aplicación y también de cuantiosas sanciones. Dos años que culminan con una prueba de fuego a la privacidad: datos de salud, pasaportes de inmunidad, aplicaciones de contacto, teletrabajo, teleenseñanza, sociedades hiperconectadas…

En estos meses, desde que la Organización Mundial de la Salud declaró la pandemia por Covid19 han sido muchos los temas en los que el RGPD ha estado muy presente. Todas las autoridades de control de la UE han emitido informes, documentos, posiciones y recomendaciones sobre temas diversos: desde la posible restricción de derechos en los declarados estados de alarma (o similares en los países de nuestro entorno) hasta la necesidad de recabar los datos de salud para entender cómo se está comportando el virus y poder atajar su propagación.

Pero el RGPD tiene mucho más recorrido y si miramos atrás, podemos decir que el que más o el que menos ha oído hablar de esta norma; que el que más o el que menos ha intentado aplicarla y el que más o el que menos conoce sus derechos.

Sin embargo y a pesar de los esfuerzos de las autoridades de control, en particular de nuestra Agencia Española de Protección de Datos y de los profesionales que nos dedicamos a ello, todavía queda mucho por hacer. ¿Por qué?

  • Porque todavía no todos aquellos que tratan datos conocen bien sus obligaciones
  • Porque los ciudadanos todavía no conocen bien sus derechos.
  • Porque todavía hay profesionales que no asesoran bien.

Respondiendo a la pregunta de nuestro titular y desde nuestro humilde punto de vista hemos obtenido muchos logros en la protección de este derecho fundamental:

  • Hemos ganado en transparencia:
    • Ahora nos informan mejor, sabemos qué hacen con nuestros datos, si están en la UE o fuera. Si hay terceros que acceden a ellos, cuánto tiempo se conservan, a quién nos tenemos que dirigir para ejercitar nuestros derechos y quién está verdaderamente detrás del tratamiento.
    • La figura del Delegado de Protección de Datos ha contribuido a esta transparencia supervisando actividades, velando por el cumplimiento, asesorando a las entidades y en definitiva convirtiéndose en una figura a la que acudir para cualquier cuestión relacionada con la privacidad. Como decía un antiguo compañero abogado del que mucho aprendí: si no hay nadie que específicamente se ocupe del asunto, el asunto no sale. El hecho de contar un DPO, ya en sí mismo, implica que la organización tiene claro que hay “alguien” a quien deben consultarse las cosas. Y ello se traduce en hacer las cosas mejor.
    • El hacer una reflexión sobre las finalidad, las bases de legitimación, los destinatarios, las transferencias internacionales y muy importante, sobre los riesgos, ayuda a las organizaciones a saber lo que tienen entre manos en términos de privacidad.
  • Hemos ganado en concienciación:
    • Es difícil encontrar ya empresas o profesionales que no les “suene” que existe una normativa de protección de datos que tienen que cumplir (todavía se encuentra algún “mirlo blanco” pero es excepcional.
    • En las organizaciones, a poco que hayan hecho los deberes, se sabe que “no todo vale”, especialmente los departamentos comerciales y de marketing que antiguamente eran los auténticos agujeros negros de los datos.
    • Los propios ciudadanos saben que tienen derecho a decidir sobre sus datos, a no recibir información comercial no deseada, a que no se haga tratamiento de sus datos si no lo han consentido…
    • Existe mayor reticencia a descargarse aplicaciones que piden permisos por encima de lo necesario o cuyo uso es dudoso.
  • Hemos ganado en homogeneidad:
    • Antes del RGPD teníamos veintiocho regulaciones de privacidad bajo el paraguas de la antigua Directiva. El RGPD nos igualó a todos. Hablamos el mismo lenguaje de “privacidad”. Los principios son los mismos para todos, las obligaciones, los derechos… Esto ayuda cuando una empresa u organización tiene presencia en varios países. No obstante, aquí todavía existe un principio de “lado oscuro” que exponemos más adelante.

Sin embargo, nuestra opinión es que hay algunos aspectos que quizás, de forma inevitable, van unidos a lo anterior y que podemos considerar como «menos positivos» (el lado oscuro del RGPD):

  • No nos hemos deshecho de documentación sino más bien todo lo contrario
    • Para demostrar el cumplimiento debemos hacer las cosas bien y ser capaces de probarlo. Para ello la documentación es esencial. Y son muchas las obligaciones que hay que probar: procedimientos, políticas, modelos, comunicaciones, instrucciones…. El volumen ha aumentado sin lugar dudas.
  • La responsabilidad proactiva y el enfoque desde el riesgo genera problemas a muchas empresas que no saben muy bien lo que tienen que hacer
    • El trasladar a las empresas la responsabilidad sobre lo que tienen que hacer en lugar de establecer “lo que tienen que hacer” de forma clara en una ley genera problemas. Todavía es difícil hacer entender que en ningún sitio de la Ley pone que hay que hacer copias de seguridad por ejemplo, cada semana y que la periodicidad dependerá de la organización. El “y donde pone eso” exige explicación exhaustiva que pasa por explicar el principio de accountability y la nueva perspectiva de cumplimiento desde el riesgo y desde el diseño y por defecto.
  • Los ciudadanos ejercen sus derechos pensando que la protección de datos es absoluta
    • No es extraño encontrar a un cliente que exige que se borren sus datos a pesar de que su pedido se encuentra pendiente. O que retira su consentimiento cuando la base de legitimación es otra…
    • Todavía al preguntar en las formaciones si los asistentes conocen sus derechos, existe confusión… de todas formas estamos mucho mejor en este punto.
  • A pesar de la homogeneidad en la regulación, cada autoridad de control está adoptando criterios propios que afectan a sus respectivos países y que al final vuelven a parcelar el mercado europeo
    • En estos días de confinamiento, las diferentes autoridades de control se están pronunciando sobre aspectos relativos a la privacidad relacionada con el Covid19 tales como la toma de temperatura, los controles de salud, pasaportes de inmunidad etc. Existen matices según el país y algunos no coinciden.
    • Lo mismo sucede en materia de cookies, sanciones etc. Cada país sigue sus propios criterios (bajo el paraguas del GDPR siempre eso sí) que provoca situaciones curiosas.

En todo caso los avances son indudables. Este derecho fundamental ocupa un lugar importante en la mente de los ciudadanos. Las empresas intentan hacerlo mejor que antes. Dos años de rodaje y el balance es positivo.

Que cumpla muchos más. Y que estemos aquí para ayudar a cumplirlo.

 

25 de mayo de 2020

 

Paz Martin

#losdetallesimportan

El teletrabajo y sus implicaciones legales: seminario online

El teletrabajo se ha convertido, queramos o no, en una forma de continuar la actividad en muchas empresas como consecuencia de la declaración del estado de alarma.

El Círculo de Empresarios de Galicia ha celebrado un seminario titulado «Gestión Legal del teletrabajo: mecanismos para la nueva realidad» en el que hemos abordado este tema desde una doble perspectiva: la laboral y la de la protección de datos. La primera ha corrido a cargo de Fabián Valero, Director y fundador de Zeres Abogados y uno de los profesionales que más sabe de derecho laboral. Nosotros hemos tenido el honor de hablar un poco de la protección de datos y de las obligaciones que la empresa tiene para trabajar correctamente en este entorno cumpliendo con el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos Personales y de Garantía de los Derechos Digitales.

El seminario ha sido grabado y nos complace ponerlo a vuestra disposición.

Abril de 2020

#losdetallesimportan

 

Desayuno #desdecasa, Fabián Valero Moldes, director general de Zeres Abogados y Paz Martín, abogada y directora de Legal Things Abogados, nos hablan sobre la Gestión legal del teletrabajo y los mecanismos para la nueva realidad.

Publicada por Círculo de Empresarios de Galicia en Jueves, 30 de abril de 2020

TELETRABAJO Y SMART WORKING: Lo que vamos a aprender del Covid-19

Una reflexión más allá de los aspectos jurídicos y de datos personales sobre la llamada «crisis del coronavirus»

Vivimos una situación sin precedentes que nos está obligando a modificar radicalmente y de forma súbita, nuestros hábitos de vida y trabajo.

Llevamos unos días de confinamiento en los que muchos podemos trabajar desde nuestros domicilios. Considerémonos unos privilegiados por poder minimizar al máximo los riesgos, seguir, dentro de lo que cabe, con nuestra actividad profesional sin tener que desplazarnos.

Para muchos de nosotros esta situación no es nueva: la que suscribe ha trabajado desde hospitales, residencias, trenes, aviones, espacios compartidos, empresas de clientes, desde el despacho y por supuesto desde casa. Y el servicio profesional siempre se ha prestado sin problema. Este es un lujo que los abogados podemos permitirnos. Sin embargo, es el nuestro un sector que se ha resistido a estas cosas por la maldita cultura del “presentismo”.

Primera lección: no es necesario estar físicamente en un despacho para poder prestar asesoramiento (o realizar el trabajo que sea -insisto, siempre que el propio trabajo lo permita-). Algunos ya lo sabían, la mayoría, ahora lo van a comprobar.

Segunda lección: la confianza. Trabajar en remoto implica un ejercicio de confianza en las empresas. La mayoría de los trabajadores son responsables, quieren seguir haciendo su trabajo con normalidad y cumplir con su labor. No se necesita un “vigilante” ni tener a todos recogidos en un mismo recinto para que las cosas se hagan. Se trata de ser responsable. Nos han pedido “responsabilidad” a todos. En esto también vamos a ser responsables.

Esto quizá suponga un antes y un después en la forma de trabajar. Curiosamente grandes empresas y las muy pequeñas (entre las que me incluyo) ya lo habíamos descubierto hace mucho tiempo. Trabajar desde casa aumenta la productividad y disminuye los costes. No hay desplazamientos, se reduce la contaminación. No hay que calentar (o enfriar en verano) grandes recintos ni se necesitan grandes infraestructuras. En las grandes empresas cada vez es más frecuente el concepto “sitios calientes”: llegas con tu portátil y te enchufas… En casa, con un poco de suerte, siempre tendrás tu espacio de trabajo confortable y a tu gusto…

Tercera lección: reducir el estrés. El concepto “downshifting” acuñado hace años por los que con un poco de perspectiva invitaban a pisar el freno y tomarse las cosas con calma en general, cobra, ahora más que nunca, un gran sentido. Estamos en casa, no tenemos que ir corriendo de un lado a otro. No tenemos que sufrir atascos, ni achuchones en los transportes públicos. Podemos dormir más. No hay que recoger a los niños del colegio, ni llevarlos a clases de baloncesto o patinaje. Casi todo puede esperar: nos han interrumpido los plazos administrativos y judiciales. No hay juicios. Las reuniones son ahora virtuales… Es verdad que estar en casa con niños pequeños y sin salir a pasear pueda resultar estresante pero…. ¿no es verdad que el trabajo puede hacerse de una forma más tranquila?

Cuarta lección: regreso a las cosas sencillas (back to the roots). Trabajo, gimnasio, compras, actividades extraescolares, quedar con amigos, pasear… Todo eso hay que hacerlo ahora en casa y desde casa. Hay más tiempo y muchas cosas que todos postergamos para “cuando tengamos tiempo”: leer, leer esas cosas que vamos dejando “para algún día”, ordenar papeles, jugar con nuestros hijos o nuestra familia, ver una buena película, organizar las fotos, cocinar a fuego lento, disfrutar de una comida rica todos juntos, escribir… Podemos disfrutar de nuestro trabajo de una forma más pausada, sin el traje y la corbata (que en nuestro sector siguen proliferando), en ese hogar que vemos poco porque siempre estamos fuera “haciendo cosas”.

Quinta lección: pensar. O meditar. Pensar en estas lecciones de vida que todos vamos a extraer. Pensar en nuevas oportunidades de negocio, en proyectos. Pensar en iniciativas desde casa, en cómo podemos ayudar a los demás (además de quedarnos en casa). Pensar en si estamos viviendo la vida que verdaderamente queremos vivir…

Sexta lección: la tecnología vino para ayudarnos. No imaginamos estos días sin Internet ni medios de comunicación. Podemos trabajar desde casa porque existen herramientas para ello. Nos podemos comunicar. Podemos hablar con nuestros seres queridos y verles aunque se encuentren a kilómetros de distancia. Recibimos noticias a tiempo real y los locutores de la radio trabajan la mayoría desde su casa. Nos reunimos con nuestros clientes y resolvemos sus problemas… en la distancia. Y ni siquiera necesitamos tener los servidores físicamente en casa o en la oficina porque podemos trabajan en la “nube” con herramientas comunes que facilitan el trabajo colectivo.

Eso sí, hay que trabajar seguro. Por ello, estas situaciones excepcionales no deben hacer que bajemos la guardia en la observancia de las medidas de seguridad habituales que protegen la información y los datos personales.

Algunas recomendaciones de seguridad que no debemos olvidar:

1.- Las conexiones remotas deben ser seguras. Para ello existen las VPN. En estos días los informáticos trabajan a destajo para que todo el mundo pueda trabajar utilizando este sistema.

2.- Debería trabajarse siempre desde ordenadores corporativos. Los peligros de trabajar desde el mismo ordenador desde el que nuestros hijos estudian, juegan, descargan películas o se conecta toda la familia, son grandes.El trabajo desde ordenadores propios de cada trabajador obliga a las empresas a establecer políticas BYOD (bring your own device) para regular situaciones como la que estamos viviendo a fin de evitar situaciones que pongan en riesgo la seguridad de una organización.

3.- La política de seguridad en el puesto de trabajo (contraseñas, no apuntarlas, accesos unívocos etc) debe mantenerse en casa. Algunos están en familia, otros en pisos compartidos. El momento de trabajar implica guardar confidencialidad sobre lo que se hace como si estuviéramos en el lugar físico de trabajo. Si se puede trabajar en un sitio en el que estemos nosotros solos, mejor.

4.- Ojo con las campañas de phishing con información o curas del Covid-19. Los desaprensivos también trabajan desde casa. No relajarse. Incluso se están recibiendo emails fraudulentos con instrucciones para el teletrabajo con enlaces para pedir credenciales. Mucho cuidado con esto.

5.- El whasapp y las aplicaciones de mensajería son para comunicarse pero no para tratar temas confidenciales. Mejor utilizar el correo corporativo y las herramientas que la empresa utilice para comunicarse. Estamos aislados pero no incomunicados. Las reuniones vía Teams, Skype etc pueden celebrarse y seguramente serán mucho más productivas que las presenciales en las que a menudo se pierde mucho el tiempo.

El punto de madurez tecnológica de muchas empresas se está poniendo a prueba ahora. Muchos despachos de abogados están sufriendo sus reticencias a utilizar sistemas de almacenamiento en la nube y no han querido ni hablar de transformación digital. Esta crisis supondrá un punto de inflexión en los modelos productivos, en las formas de trabajo y de prestación de los servicios.

Miremos el lado positivo del confinamiento. Seamos responsables. Pongamos nuestro granito de arena para que los contagios disminuyan, para que los sanitarios trabajen con menos agobio, para que esto pase lo antes posible.

Dicen que se aprende más de las situaciones difíciles. Este es el momento.

#yomequedoencasa
#losdetallesimportan

Paz Martin
17 de marzo de 2020

¿Es obligatoria la auditoría de protección de datos?

Hoy es el Día Europeo de la Protección de Datos. Toca reflexionar. En esta ocasión vamos a analizar una pregunta recurrente en las organizaciones. Vamos a suponer que el que más o el que menos sabe que la legislación de protección de datos cambió hace un par de años.

Vamos a suponer igualmente que el que más o el que menos hizo los deberes e hizo el esfuerzo de «adaptarse» a la nueva normativa es decir el Reglamento UE 2016/679 General de Protección de Datos o RGPD (esto ya es mucho suponer).

Y realizado el esfuerzo (los que lo hicieron) ahora muchos se preguntan ¿hay que hacer auditoría? ¿dónde lo dice? ¿cada cuánto? Y es cuando uno tiene que deshacerse en explicaciones de por qué sin revisión, auditoría o como lo queramos llamar, no existe cumplimiento.

Estamos en enero, mes de buenos propósitos: dietas y matrículas en los gimnasios. La gestión de la privacidad es como el cuerpo humano: hay que cuidarlo y es agradecido. Si te das el atracón y no lo trabajas después, se malogra, se lesiona, enferma y de nada vale apuntarse al gimnasio un mes porque los milagros, por lo menos en este terreno, no existen. Con la privacidad sucede lo mismo. Mayo de 2018 y meses anteriores y posteriores: atracón de privacidad. Algunos desde entonces no han vuelto sobre ello. Craso y grave error. Eso no es cumplir.

Dicen los entrenadores que más vale poco y continuado que no la paliza «de dominguero». Para que el cumplimiento sea eficaz tiene que ser constante y revisable. No hay norma que no requiera ser revisada en el tiempo.

La obligación: Por establecer una base legal nos tenemos que referir de forma obligatoria a una serie de artículos del RGPD:

El artículo 24 dije que las medidas técnicas y organizativas «se revisarán y actualizarán cuando sea necesario». El artículo 32, por su parte obliga a que responsables y encargados apliquen medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al reisgo que en su caso incluya, entre otros… un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento».

Ahí tenemos la obligación de «auditoría», sin periodicidad definida pero sí orientativa: cuando sea necesario» y para «garantizar la seguridad del tratamiento».

Si buceamos en sistemas de gestión de la seguridad de la información como la ISO 27001 o el Esquema Nacional de Seguridad comprobaremos que las revisiones son, en general, anuales. Anualmente se revisan partes de los sistemas y cada tres años, se revisan en su totalidad (en el caso de las ISOs para renovar la certificación).

La periodicidad: La normativa anterior establecía una obligación de auditoría al menos cada dos años o cuando existieran cambios en los sistemas de información. Dos años puede ser una orientación pero consideramos que no es suficiente dado el ritmo de las actividades de las entidades: Si en dos años no hacemos nada, es posible que a los dos años tengamos que volver a empezar. Por ello habría que establecer dos pasos:

Procesos de revisión constantes y periódicos, supervisando si se hacen las cosas bien, aplicando el principio de seguridad desde el diseño y por defecto y en definitiva, estando encima. Parece mentira pero con todo y con eso, cuando uno revisa, siempre salen «cosas».

Procesos de auditoría bien globales o parciales (p.e. por actividades de tratamiento estratégicas o críticas para el negocio) que constaten que lo que allí se hace es conforme con la norma y que garantiza adecuadamente la seguridad de los datos personales. Una revisión cada dos años puede estar bien en organizaciones donde no haya grandes cambios y siempre que se realice una revisión constante. En otras, la frecuencia debería ser anual…

Si seguimos con los símiles es algo así como la limpieza diaria y la general. Si uno sólo limpia una vez al año, es posible que lo que encuentre sea algo más que pelusas… E incluso limpiando a diario, la limpieza general es necesaria. Así debe ser la gestión de la privacidad: algo diario, interiorizado en las organizaciones como un elemento más de su gestión empresarial. De esta forma las auditorías no tienen por qué dar miedo sino que serán un instrumento de mejora continua, de reflexión profunda (y más si lo ven «otros» ojos) y de cumplimiento real.

Y muchos nos dicen: «yo soy una pyme, en mí no se fijará nadie». Otro gran error. El incumplimiento acecha a la vuelta de la esquina y el incumplimiento por ignorancia no está recogido como «atenuante».

Por lo tanto, para coger «músculo» en esto de la protección de datos hay que ejercitarlo. Y no hay mejor ejercicio que la revisión permanente y la conciencia de que lo que tenemos entre manos es un derecho fundamental que merece todo nuestra atención y respeto.

Paz Martin

28 de enero de 2020

#losdetallesimportan