Protección de datos

Las cookies, el consentimiento y las multas que vienen: si no quieres cookies, no te las comas

O de cómo el RGPD llegó también a las cookies

Desde que entró en funcionamiento el Reglamento General de Protección de Datos (RGPD o GDPR) cualquier recogida de datos personales exige un por qué «legítimo».

Las cookies, además de ser esas galletitas adorables que se comen, son también un medio para recoger datos personales durante la navegación por Internet. Algunas cookies sirven para que no tengamos que elegir idioma cada vez que entramos a una web, por ejemplo. Pero otras, tienen como misión acompañarnos en nuestra navegación y perfilar nuestras preferencias; ahora visitas un periódico, ahora haces la compra, ahora te metes en los deportes, ahora buscas un viaje… Es una forma, bastante eficaz, de conocer los hábitos y preferencias de los usuarios. Pero claro, si de esa monitorización no nos enteramos, parece que la cosa no se está haciendo bien.

¿Por qué? Porque según establece la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) se pueden instalar cookies pero «a condición de que los destinatarios hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular sobre los fines del tratamiento de los datos«.

Ese consentimiento, con el RGPD, ha de ser expreso. Es más debe darse opción a los usuarios para que se opongan a la instalación de las mismas. Es decir, si no quieres cookies, «no te las comas».

La Agencia Española de Protección de Datos está trabajando en una nueva guía de cookies que sustituirá a la anterior. En ella probablemente nos aclararán qué fórmulas de consentimiento son aceptables y cuáles no, cómo rechazar las cookies y cómo configurarlas. Se había anunciado para este verano pero parece que se ha retrasado un poco.

No obstante, se acaba de dictar la primera resolución tras un procedimiento sancionador (PS/00300/2019) que impone una multa de 24000 euros a la compañía VUELING AIRLINES, S.L. . La sanción viene por no dar la opción de oponerse a la instalación de cookies al usuario más allá de remitirle a la configuración de los navegadores para que las bloqueen.

La AEPD afirma: «no se facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta selección el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva

Es decir que la propia AEPD ya nos está diciendo cómo configurar las cookies:

1.- Consentimiento explícito (como no podía ser de otra forma) con posibilidad de aceptar todas o rechazar todas las cookies.

2.- Consentimiento granular: es decir que sea posible elegir unas sí y otras no (a lo mejor no me importa que se hagan estadísticas de mi navegación pero sí me importa que me inserten cookies de terceros con fines comerciales)

3.- Información y transparencia: informar siempre y dejar claro qué cookies hay y que sea el usuario el que pueda elegir.

Abro aquí un paréntesis: puesto que «Internet somos todos», yo siempre pienso, no ya en los que nos dedicamos a esto, sino en los usuarios que todavía no saben para qué sirven las cookies (que son muchos, ojo). Si hasta la fecha creo que no he conocido a nadie (salvo insisto, los del gremio) que no le dé al «seguir navegando» o «aceptar cookies» sin leer ni una línea, me pregunto cómo explicarles, claramente, qué cookies hay, cuáles son necesarias y cuáles no, cuáles son de terceros y para qué sirven para que, con toda la información puedan aceptarlas o rechazarlas. Más de uno, ante un «pop up» amenazador con tres o cuatro botones saldrá de la página y dirá «quita, quita que me ha salido una cosa muy rara». Una vez más, habrá que ir educando al consumidor.

Hasta la fecha, todas las denuncias sobre el tema habían dado lugar a un «apercibimiento» como mucho por parte de la Agencia Española de Protección de Datos; algo así como un tirón de orejas con propósito de enmienda. Parece que la racha ha terminado y toca ponerse las pilas.

Entre la esperada guía, las sanciones y estas pautas (además de lo que han ido marcando otras autoridades de control de otros países) ya no tenemos excusa para ponernos manos a la obra…

Así que, si no quieres cookies… no te las comas.

Paz Martin

11 de octubre de 2019

#losdetallesimportan

La privacidad en el puesto de trabajo

La seguridad empieza por quienes tratan la información: los empleados

Un día cualquiera, en una oficina cualquiera.

Nos paseamos por los puestos de trabajo. Es la hora de comer pero tenemos una reunión. Los ordenadores están encendidos y se ven las pantallas. Las mesas tienen documentos y papeles. Muchas notas en post its. Nos acercamos: un listado de clientes por aquí, un par de nombres con sus respectivos teléfonos por allá. En algunos casos, incluso alguna contraseña… En alguna esquina, normalmente cerca de la impresora se acumula una pila de «papel sucio»: dicen que les da pena tirarlo y lo utilizan para «notas». Le damos la vuelta, son emails de trabajo, informes, facturas que no valen… En la propia impresora se acumulan documentos que todavía no han sido recogidos…

Lo que acabamos de describir no es extraño. De hecho es bastante frecuente encontrarlo en pequeñas, medianas y grandes empresas. Probablemente en estas empresas hicieron los deberes e iniciaron el camino de adaptación al Reglamento General de Protección de Datos (RGPD). Deseablemente existirán medidas de seguridad para proteger la información. Seguramente exista un responsable informático, de calidad o de seguridad que vea estas cosas y se tire de los pelos…

Y es que cuando hablamos de seguridad, aunque tengamos que hacer planteamientos holísticos que requieren a menudo inversiones y medios, también tenemos que mirar hacia dentro, hacia el último eslabón y erradicar las malas prácticas que se arrastran normalmente por pura comodidad. Como me tengo que levantar muchas veces, no bloqueo el ordenador; es que nos tenemos que aprender tantas contraseñas que se me olvidan; es que nos da pena tirar el papel sucio… En definitiva, sin malas intenciones y sin reparar en las consecuencias, abrimos «agujeros negros» y exponemos la seguridad y la confidencialidad de la información a riesgos innecesarios y fácilmente evitables.

¿Qué hacer?

Podemos hacer muchas cosas, algunas de ellas un poco impopulares porque son incómodas. Aquí algunos consejos:

1.- Concienciar. Si nuestros empleados y colaboradores no entienden que las malas prácticas suponen un riesgo, no moverán un dedo para solucionarlas. Hay que contarlo a través de formación presencial u online. Suena muy reiterativo pero a fuerza de insistir, las personas terminan mentalizándose. Los números son elocuentes: en una plantilla formada y concienciada existe un riesgo mucho menor por ejemplo de que se abran correos maliciosos.

2.- Establecer políticas y normas. Redactar una política que incluya unos mínimos tendrá dos efectos:

  • Transmitir de forma clara cuáles son las normas internas en materia de seguridad.
  • Demostrar en caso de incumplimiento que hemos establecido «reglas»

3.- Automatizar procesos: bloqueo automático a los pocos minutos, cambio de contraseñas periódico, buzones personales en las impresoras, monitores bien orientados en puesto de paso o de atención al público… Pero también poner destructoras y buzones cerrados para la destrucción confidencial de información. Tal vez sea molesto al principio pero son mínimos irrenunciables. Todo aquello que se pueda configurar «por defecto», hágase. Si esperamos que las personas lo hagan voluntariamente, con el tiempo, no se hará.

4.- Vigilar el cumplimiento. Si nadie denuncia estas situaciones, no se corregirán. Y si se producen, insistir en la formación. En el peor de los casos y ante incumplimientos muy graves la legislación laboral tiene respuestas. Probablemente no hará falta, pero habrá que señalar las cosas que se hacen mal y corregirlas.

5.- Suprimir el papel. En la medida de lo posible, ya que no en todos los negocios es viable. El planeta nos lo agradecerá y evitaremos que en la vida de un documento en papel desaparezcan los múltiples riesgos asociados: dónde se guarda, quién accede, cómo se destruye, etc. Si el papel es imprescindible que sea el mínimo, que tenga su lugar de almacenamiento (a ser posible con llave) y normas claras de uso.

Se dice constantemente que, en seguridad, el eslabón más débil de la cadena siempre es el usuario. No lo descuidemos. Ayudemos entre todos a crear un entorno seguro. Todos los días surgen nuevas amenazas: informemos de ellas y demos herramientas para detectarlas.

La responsabilidad proactiva que nos exige el RGPD empieza por aquí…

Madrid, 2 de octubre de 2019

Paz Martin

LEGAL THINGS ABOGADOS

Cuantos más datos personales mejor: cuando los perfiles son necesarios

El Reglamento UE 2016/679 General de Protección de Datos está aquí para proteger nuestros datos pero no para impedir usarlos.

Este blog aborda las cuestiones más prácticas de la protección de datos y hablamos de eso; de proteger los datos, de cómo limitar para que no se hagan cosas que no se deben con los datos de salud o de preferencias, de cumplir con el RGPD y la minimización etc etc.

Sin embargo, nos olvidamos de cuántas cosas estupendas se pueden hacer si se recogen muchos datos y si son sensibles mejor. Me refiero a las situaciones de extrema dependencia, cuando uno no se puede defender y tiene que ser otra persona (a veces una fría institución tutelar) la que decida según qué cosas.

Hablo desde la experiencia personal: llevo años a cargo de una persona que no puede comunicarse, que depende al cien por cien de los demás y que no puede elegir si siquiera lo que come o si tiene frío o calor: si quien le viste tiene frío, toca abrigarse. Tampoco puede elegir qué programa ver en la televisión y si  quien le pone frente a la tele le gusta el fútbol o los culebrones, pues se los traga… aunque algún día los odió.

Qué decir de datos de salud que los historiales médicos no recogen (montones de detalles que no aparecen en los historiales médicos) o incluso preferencias sexuales o incluso cuestiones tan privadas como haber sido víctima de violencia de género… Y no queda nadie que lo pueda advertir.

En los historiales médicos no pone claramente si la persona habla, entiende o si puede tragar. Si nadie le acompaña en una urgencia… el problema se agrava.

Quiero decir con esto que puede llegar un momento en nuestras vidas en las que saber (y que sepan quienes nos cuidan) si nos gusta o no el pescado, si odiamos los toros o si nos encanta el olor a lavanda puede ser lo único que nos conecte con nuestra vida “normal” anterior. Muchos familiares de personas dependientes o con demencias me entenderán. A veces son pequeños detalles que hacen que esa persona conecte. O simplemente podamos arrancarle una sonrisa porque ha acariciado a un perro y ya no recuerda que adoraba a los animales…ni mucho menos que los tuvo y sus nombres…

Recopilar datos en estas situaciones puede ayudar mucho: se trata de dignidad, se trata de personalizar los tratamientos y hacerlos más humanos, se trata de no tener que contar la historia de la vida de esa persona “cada vez” que visitas un hospital o un centro asistencial. Se trata de ser humanos. La línea es delgada y se trata de uniformarnos a todos con un pijama y un puré o hacernos nuestros últimos años una continuación de lo que fuimos. ¿Cómo conseguirlo? Con datos, con información. Y todos nos echamos las manos a la cabeza cuando oímos de perfiles, de gustos y aficiones pero acaso no nos gustaría que en situaciones como las descritas, alguien hiciera sonar nuestra música favorita o nos vistiera como nos gustaba vestirnos?

El tratamiento de datos se justifica por la finalidad: hay miles de usos maravillosos que nos harán la vida mejor y más fácil. Si yo falto algún día sé que a mi padre le afeitarán, nadie le pondrá sus gafas y su gorra y le meterán la cuchara grande hasta el gaznate porque nadie sabrá quién fue ni cuál fue su identidad.

Por eso, tal vez deberíamos reflexionar sobre quién y cómo queremos que tenga nuestros datos y sobre todo si perdemos la memoria y no nos valemos por nosotros mismos, que alguien sea consciente que sobre esa cama, silla de ruedas o bajo esa máscara de oxígeno hay un ser humano con sus características, preferencias y en definitiva su perfil, un perfil, que a lo mejor, algún día, es lo único que queda para poder recordarnos lo que en su día fuimos…

He conocido a unas personas que están trabajando en una iniciativa maravillosa que tiene que ver con esto. No existe nada al respecto. Y no es publicidad pero creo que si en vez de volvernos paranoicos con los datos ponemos las neuronas al servicio de los más débiles y pensamos cómo hacer cosas buenas, tal vez eliminemos esa “mala imagen” que los tratamientos exhaustivos de datos y los perfilados tienen.

Se llaman ENVITA y espero que su proyecto sirva para humanizar la vida de los mayores y de los dependientes en centros asistenciales.

Si a alguien le interesa, que me pregunte. De momento yo ya estoy escribiendo mi “proyecto de vida” por si algún día, alguien que no me conoce, me tiene que peinar por las mañanas y me tiene que recordar que yo escribía un blog.

Paz Martin
#losdetallesimportan

27 de mayo de 2019

Lo que hemos aprendido en un año de RGPD: la privacidad importa

De la desidia del dato a la catarsis colectiva

25 de mayo de 2018: ni un solo asesor de este país (y seguramente del resto de los países de la Unión Europea) durmió tranquilo. Es más, probablemente ni durmió. Aquello parecía una carrera contra reloj. Parecía que el filo de la guillotina sancionadora caería ese mismo día y el que no estuviera adaptado ardería en los infiernos de las autoridades de control…

Lo curioso fue que aquellos a los que la privacidad no les había importado hasta la fecha, fueron los que más prisa metieron a sus asesores para “adaptarse”.

Acciones masivas de petición de consentimiento (alguna innecesarias) enviadas el 24 de mayo por la noche, cláusulas informativas, contratos, registros de actividades de tratamiento, análisis de riesgos, políticas, procedimientos de brechas y derechos…

Y llegó el día 26, el 27…. Y no pasó nada… Ya lo sabíamos.

Bueno sí paso, pasó que por fin la privacidad importa. Y sólo por eso ha merecido la pena.
Hemos ganado en transparencia: ahora nos informan mejor y más claro (algunos se pasan y han convertido pequeños textos en verdaderos tratados de privacidad.
Hemos ganado en buenas prácticas :nos piden el consentimiento para todo, incluso cuando el consentimiento no es necesario…
El cumplimiento es un poquito más real que antes: ya no hablamos de carpetas y modelos cubiertos de polvo (físico o virtual pues pocas carpetas físicas se ven ahora). Ahora se trata de hacer las cosas bien, de que los datos se respeten, se conserven adecuadamente, se informe bien, se atiendan los derechos. No sólo que conste en algún documento…

Por fin la protección de datos ha trascendido el departamento legal o de informática de las empresas y se ha convertido en cosa de todos. Hemos ganado las personas.

Y más allá de las obligaciones establecidas en el RGPD y posteriormente en la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y de garantía de derechos digitales, las empresas han tomado conciencia que los datos personales hay que protegerlos porque protegen derechos fundamentales: porque en un mundo tan hiperconectado, tan expuesto a través de Internet y redes sociales, donde nuestros datos se cruzan y hasta nuestro banco o Facebook sabe más de nuestros gustos que nosotros mismos… las personas seguimos teniendo nuestro reducto de intimidad que merece y debe ser protegido.

El RGPD también ha servido para concienciar a las personas de que una vez que difundan sus datos, a veces es difícil controlarlos, pero no imposible pues existen derechos. Y estos derechos tienen que ser satisfechos por aquellos que tienen nuestros datos.
No obstante, no cantemos victoria. Somos como somos y muchos hicieron los deberes y se han relajado. Y no, toca estar encima, revisar, controlar, auditar, mejorar.

No hay procedimiento de cumplimiento normativo que se precie que sea estático. Es más, es preferible ir poco a poco. La responsabilidad proactiva nos exige estar encima: no sirve hacer dieta un mes: hay que llevar una alimentación saludable. Los resultados a lo mejor no son inmediatos pero a largo plazo es infinitamente mejor.

Por eso, un año después debemos reflexionar:

1.- ¿Nos sigue importando la privacidad o nos lo tomamos como un trámite que había que cumplir? ¿Fue la dieta del bikini o un plan a largo plazo de cumplimiento real? El propio RGPd exige revisión y mejora continua así que más importante que haber corrido en el 2018 es seguir alerta, revisando y actualizando los tratamientos de datos.

2.- ¿Seguimos concienciando a nuestro personal de forma periódica? Una charla se olvida. Además, siempre hay aspectos de seguridad, de organización o de negocio que afectan a los datos personales sobre los que merece la pena insistir.

3.- ¿Hemos revisado cómo lo estamos haciendo? Un año después es buen momento. Aunque el RGPD ya no establece una periodicidad concreta en las auditorías, todos los sistemas de gestión de la seguridad de la información establecen controles anuales, mejor externos aunque lo importante es la revisión.

4.- ¿Estamos documentando la respuesta a la petición de derechos? Los derechos de las personas son importantes y garantizar su atención, prioritario.

5.- Tal vez es momento de actualizar el Registro de Actividades de Tratamiento. Muchas empresas se basaron en los ficheros que históricamente tenían declarados ante la Agencia Española de Protección de Datos pero probablemente se pueda “profundizar” un poco más. La responsabilidad proactiva también exige reflexionar sobre esto.

6.- ¿Tenemos los mismos riesgos que el año pasado? También tenemos que actualizar el análisis de riesgos pues es posible que los de cumplimiento hayan disminuido pero existan otros nuevos. O incluso que podamos actualizar la valoración.

7.- ¿Hemos tenido alguna brecha de seguridad? En caso afirmativo ¿ha funcionado el procedimiento que establecimos? Si no hemos tenido brechas ¿estamos documentando las incidencias?

8.- ¿Existen tratamientos de datos personales nuevos? En caso afirmativo, ¿se informa desde la recogida y si procede, se solicita el consentimiento explícito? Según el tipo de datos y sus circunstancias, tal vez es necesario realizar una Evaluación de Impacto.

9.- ¿Se han firmado contratos con todos los proveedores con acceso a datos? Aunque si existían antes existe una moratoria hasta 2022, conviene que dichos contratos se actualicen al RGPD y sobre todo, en aquellos proveedores tecnológicos, que especifiquen las medidas de seguridad que van a garantizar la confidencialidad, integridad y disponibilidad de los datos a los que tendrán acceso por el servicio prestado.

10.- En definitiva, ¿nos sentimos cómodos con el sistema de gestión de la privacidad que hemos establecido? A lo mejor tenemos que hacer algunos cambios, actualizar responsabilidades, etc. Nada es inamovible. Lo importante es que…

#laprivacidadimporta

 

Mayo de 2019
Paz Martin
#losdetallesimportan

Canales de denuncias internas y denuncias anónimas en la nueva Ley Orgánica de Protección de Datos

En muchas empresas todavía choca la necesidad de contar con un canal de denuncias a través del cual los empleados, e incluso clientes y proveedores, puedan denunciar conductas contrarias a las leyes y a los códigos éticos.

La Ley Orgánica 3/2018 de 5 diciembre de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD) ha abordado específicamente este tema en lo que a los datos personales se refiere.

Estos canales de denuncias (pido perdón a aquellos que ya conozcan el porqué) son parte de los sistemas de cumplimiento normativo implantados a raíz de la modificación del Código Penal del 2015 (artículo 31 bis). En dicha modificación y con respecto a la posible responsabilidad penal de las personas jurídicas (sí las empresas también pueden ser responsables penalmente), sólo la implantación de un plan de prevención de riesgos penales y cumplimiento normativo  eficaz (modelos de organización y gestión según el texto del propio artículo) eximiría a la persona jurídica de la responsabilidad derivada de los delitos cometidos por sus trabajadores en su nombre. Esto es lo que se conoce como «compliance«.

Estos planes de prevención de riesgos penales (muy arraigados en el mundo anglosajón desde hace tiempo, pero muy recientes en nuestro sistema jurídico) incluyen canales de denuncias. Estos canales facilitan la puesta en conocimiento de la propia entidad si alguien comete un delito (u otra violación normativa o de código ético) con todas las garantías de confidencialidad y sin miedo a represalias.
Es decir, que si en mi empresa me entero que el Director Financiero está metiendo la mano en la “saca” pueda comunicarlo sin miedo al despido. ¿Fácil verdad?

Siendo como somos latinos y con una cultura del chivatazo vista como algo negativo, los canales de denuncias no suelen recibir muchas denuncias. Cuando se trata de cosas “graves” los empleados suelen temer por sus represalias y es comprensible que prime el interés personal en conservar el empleo o la tranquilidad por encima de convertirse en el “Quijote” de la entidad.

En la mayoría de las ocasiones, “radio macuto” funciona incluso mejor, especialmente si se trata de conductas en las que el denunciante sólo pone en conocimiento de la empresa la conducta ilícita y no es “víctima” directa de la misma. Si alguien se entera de que un delito, lo suelta en un círculo de confianza y tarde o temprano la información llega donde tiene que llegar… (esto es básicamente radio macuto que carece de garantías de cómo llegue la información. Es ilustrativo acordarse del juego del “teléfono escacharrado” donde desde la primera noticia a la última, cada “informante” suele poner algo de su cosecha. Como juego es desternillante, en el ámbito empresarial, es nefasto.)

Ya en su momento el Grupo de Trabajo del artículo 29 (hoy desaparecido y sustituidas sus funciones por el Comité Europeo de Protección de Datos) emitió un informe sobre este tema y en concreto insistía en la necesidad de garantizar la confidencialidad de los datos tanto de denunciante como de denunciado y de la propia investigación. Residualmente y como último recurso, se admitía la posibilidad de que la denuncia fuera anónima cuando fuera imposible garantizar dicha confidencialidad.

Pero dicho informe del Grupo de Trabajo del artículo 29 cuyo carácter no era vinculante por los estados miembros, encontró en la Agencia Española de Protección de Datos una objeción sobre el posible anonimato, considerándolo contrario a la propia normativa. Existe un informe específico del año 2007 que ilustra esta afirmación.

Ahora bien, puesto que las cosas han seguido evolucionando, el RGPD ha irrumpido en nuestras vidas con energía y más que nunca se han homogeneizado los criterios, en la nueva Ley Orgánica 3/2018 de 5 de diciembre de protección de datos personales y de garantía de los derechos digitales ya se contempla expresamente la denuncia anónima. En particular en el artículo 24 que dice:

“será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.

Con lo cual, la restricción del anonimato desaparece.

En la práctica y tal y como están configurados la mayoría de los canales (direcciones de email, plataformas externas, etc) es prácticamente imposible denunciar de forma anónima, pues el origen del email siempre podría averiguarse. No obstante, a veces es la única forma de tomar conocimiento de delitos graves de los que un trabajador es conocedor porque trabaja en esa área específica en la que el delito se ha cometido.

El artículo 24 citado también contiene otras novedades, entre otras la constatación a través de la Ley Orgánica de:

  • Su licitud.
  • Del carácter restringido de la información que obre en el canal de denuncias (limitado a la propia investigación y control interno).
  • La obligación de garantizar la confidencialidad de la identidad de denunciantes y también de denunciados (cuidado con las denuncias falsas que pueden arruinar la reputación de una persona o crear falsos bulos).
  • La conservación durante el tiempo imprescindible y en general tres meses desde que se denuncia salvo que dichos datos sean necesarios para evidenciar el buen funcionamiento del propio canal de denuncias.
  • La posible anonimización de las denuncias no tramitadas sin que sea necesario el previo “bloqueo” establecido en la LOPDGDD como paso previo a la destrucción de los datos.

De lo que se trata en definitiva es

a) Que el canal de denuncias garantice la confidencialidad y permita la denuncia anónima.
b) Que en el canal de denuncias no se conserven datos personales más tiempo del imprescindibles (tres meses).
c) Que los registros antiguos se pueden anonimizar.
d) Y si es necesario guardar los datos porque se ha puesto en marcha una investigación, no deberían conservarse en el propio canal sino en aquél entorno donde se esté llevando a cabo la investigación.

Y por supuesto, el canal de denuncias tendrá que estar recogido como «actividad de tratamiento» en el propio registro de actividades de tratamiento de la entidad.

El compromiso con el cumplimiento normativo es un paso más que las empresas han adoptado no sólo para «eximirse» o mitigar su responsabilidad frente a una posible sanción, sino dentro de un marco de ética y de responsabilidad social a través de los cuáles, entre todos, podemos construir una sociedad mejor.

Paz Martín

#losdetallesimportan

26 de abril de 2019

La nueva ley de secretos empresariales y la protección de datos ¿algo en común?

Hoy 21 de febrero se ha publicado la Ley 1/2019 de Secretos empresariales.

Esta Ley supone la trasposición de la Directiva (UE( 2016/943 relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales)contra su obtención, utilización y revelación ilicítas.

Una norma que nos hace falta y cubre un «hueco» hasta ahora regulado en acuerdos de confidencialidad y no mucho más. Cuando llegaba la hora de defender un «secreto empresarial» la vía era la competencia desleal y con dificultades.

La Ley, en sintonía con la Directiva, nos aclara conceptos:

Qué es un secreto empresarial:

Cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero.

Qué requisitos tiene que cumplir:

1.- Ser secreto. Parece obvio pero tiene que ser algo que no es conocido por todo el mundo ni fácilmente accesible.

2.- Tener un valor empresarial, precisamente por ser secreto.

3.- Haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.

Y he aquí en este tercer punto, las «medidas razonables» donde tenemos recorrido pues la ley nada dice al respecto.

En contenido de la ley desarrolla las acciones de defensa de los secretos empresariales: acciones, medidas cautelares, diligencias, cómo tratar la información en los procedimientos (lo cual no es baladí si tenemos en cuenta que en los propios procedimientos se podrían vulnerar los secretos), etc.

Sin embargo, ¿qué tendría que hacer un empresario para proteger sus secretos empresariales?

Es aquí enlazamos con nuestro tema favorito: la protección de datos.

¿Puede una base de datos personales ser un secreto empresarial? 

Que se lo pregunten a cualquier empresa. A veces el mayor valor de la empresa son sus clientes.

¿Y qué hay que hacer para considerarla secreto empresarial?

1.- Es realmente un secreto según la definición que nos da la ley?

2.- ¿tiene valor comercial?

3.- ¿Qué estamos haciendo para protegerla?

Porque si cualquiera puede acceder, copiar, extraer. Si a nadie se le ha dicho que eso es secreto, si ese conjunto de datos carece de valor etc… difícilmente podremos invocar la nueva Ley y sus acciones.

¿Y qué tiene que hacer un empresario para proteger sus secretos? ¿Cuáles son esas medidas razonables para mantener el secreto?

El Reglamento UE 2016/679 General de Protección de Datos (nuestro querido RGPD o GDPR) nos sirve de referencia así como los esquemas de seguridad de la información ya existentes.

Apuntamos algunas ideas:

  • Clasificación de la información
  • Accesos restringidos: físicos y lógicos
  • Políticas de gestión de soportes y traslado de información
  • Políticas de uso de herramientas informáticas (ojo, y de papel y otros soportes)
  • Ciberseguridad: dónde está la información, cómo está protegida, si está cifrada, qué proveedores acceden a ella, dónde están esos proveedores…
  • Acuerdos de confidencialidad donde expresamente se objetive la información protegida
  • Políticas de copias de seguridad
  • Políticas de transmisión de la información a través de redes de telecomunicaciones: establecer restricciones al envío por correo electrónico de ciertas informaciones
  • Formación del personal
  • Revisiones periódicas, controles y auditorías
  • Y en definitiva… un largo etcétera que forma parte de un plan director de seguridad de la información que toda empresa (pequeña o grande) debería tener para proteger esa información y que lo forman ese conjunto de procedimientos, medidas y controles.

Está todo inventado. Si queremos proteger la información crítica de nuestros negocios y considerarla «secreto empresarial» no podemos conformarnos con decir simplemente «esto es secreto». Debemos trabajar en su protección y herramientas existen para que sea eficaz.

¿Podemos ayudarte?

21 de febrero de 2019

Paz Martin

#losdetallesimportan

 

 

 

10 cosas que tienes que saber de la nueva Ley Orgánica de Protección de Datos y de garantía de los derechos digitales

El 7 de diciembre de 2018 ha entrado en vigor la esperada nueva Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y garantía de derechos digitales.

En una primera lectura (cuyo contenido ya conocíamos en parte por los proyectos que hemos ido manejando) sobra una buena parte de la ley al remitir en muchos artículos a lo que dice el Reglamento (UE) 2016/679 General de Protección de Datos si bien en la exposición de motivos, se justifica por razones de coherencia.

Como sabemos el RGPD es directamente aplicable y sólo en aquellos puntos que remite al desarrollo de los estados miembros es en lo que se tenía que haber metido la Ley. No obstante, al ser redundante en muchos puntos, no molesta. Peor sería que contradijese el RGPD.

Sin ánimo de ser exhaustivos y en una primera lectura destacamos algunos puntos importantes (ojo que no están todos). En futuros posts desarrollaremos algunos artículos que consideramos lo suficientemente relevantes como para dedicarles un capítulo aparte.

Aquí nuestro decálogo:

1.- No sólo regula el derecho a la privacidad

Una de las cuestiones que más llama la atención es que además de regular el derecho fundamental a la protección de datos, se dedica un capítulo entero a los llamados derechos digitales, algo completamente novedoso y que desde luego darán que hablar en su aplicación práctica.

No obstante, esta Ley tiene una función fundamental: adaptar el ordenamiento jurídico patrio al RGPD. La mayor parte de los artículos y las disposiciones adiciones tienen este cometido.

2.- El tratamiento de datos de los menores de edad

Aquí uno de los puntos en los que el RGPD deja plena libertad a los estados miembros para que entre los 13 y los 16 años fijen la edad a partir de la cual los menores pueden dar su consentimiento sin la intervención de sus padres o tutores.

La edad fijada es de 14 años: nos quedamos como estábamos (y en el fondo lo agradecemos especialmente tras las tentativas de bajarlo a 13 en las redacciones iniciales).

3.- El tratamiento de los datos de contacto, empresarios individuales y profesionales liberales

A este tema dedicamos un post anterior. Que sí. Que sí se pueden utilizar estos datos con base al interés legítimo del responsable pero sólo para contactar con estos destinatarios como contactos de una persona jurídica o en su calidad de profesionales.

Este artículo aclara el RGPD en este punto que para el día a día de las empresas es vital. Ojo, que una cosa es el tratamiento de datos y otra es la publicidad comercial por medios electrónicos… (aquí entra en juego la LSSI. No mezclemos).

4.- Sistemas de información de denuncias internas

Otro punto interesante por cuanto tras la reforma del Código Penal en el año 2015 se “bendicen” los sistemas de prevención de riesgos penales (“compliance” para los amigos) que incluyen canales para comunicar infracciones y otras conductas. Hasta la fecha (aunque se había hecho la vista gorda) en España no se admitían las denuncias anónimas en dichos canales de denuncia internos, criterio de nuestra Agencia Española de Protección de Datos que contradecía lo que el entonces Grupo de Trabajo del Artículo 29 admitía en supuestos excepcionales en los que no se pudiera garantizar la confidencialidad.

Al tratarse de tratamientos de datos específicos, el artículo 24 los regula.

Ojo, que además establece un plazo de conservación de TRES MESES tras los cuales deben suprimirse salvo que la finalidad sea dejar evidencia del funcionamiento del modelo de prevención de riesgos penales. En tal caso, las denuncias a las que no se haya dado curso deberán ser anonimizadas.

5.- Otros tratamientos

Se dedican artículos específicos a los sistemas de información crediticia, los tratamientos relacionados con la realización de determinadas operaciones mercantiles, tratamientos con fines de videovigilancia, sistemas de exclusión publicitaria, tratamientos de datos en el ámbito de la función estadística pública, tratamiento de datos con fines de archivo en interés público por parte de las administraciones públicas y los tratamientos de datos relativos a infracciones y sanciones administrativas.

Iremos desarrollando estos tratamientos por las peculiaridades que presentan.

6.- El Delegado de protección de datos

El Delegado de Protección de Datos (DPD o DPO), figura creada por el Reglamento General de Protección de Datos encuentra en esta Ley algunas respuestas:

– En qué casos concretos es obligatorio designar un DPO (por ejemplo colegios profesionales, los centros docentes, entidades aseguradoras y reaseguradoras, y un largo etc que desarrolla el artículo 34.

– Si no se está obligado pero se designa se considerará como una buena práctica y en caso de procedimiento sancionador, será tenido en cuenta para minorar en su caso la posible sanción.

– Se matizan algunas funciones del Delegado de Protección de Datos como la facultad de inspeccionar los procedimientos relacionados con la ley y emitir, recomendaciones, servir de paso previo a la reclamación ante la Agencia Española de Protección de Datos y por supuesto servir de interlocutor con la Agencia.

7.- La obligación de bloqueo

Una novedad de esta Ley Orgánica y que no contempla el RGPD es la de bloquear los datos cuando se proceda a su rectificación o supresión. El bloqueo consiste en identificar los datos, reservar los mismos con las medidas de seguridad correspondientes para impedir su tratamiento (incluyendo la visualización) excepto para ponerlos a disposición de las Administraciones Públicas, jueces y tribunales etc y sólo durante el plazo de prescripción de las obligaciones.

Con lo cual, aunque se solicite la rectificación o la supresión de los datos, no podremos eliminarlos directamente hasta que prescriba el plazo de prescripción para cumplir con las obligaciones legales. Esos datos no se podrán utilizar por nadie.

8.- Las infracciones

Por fin tenemos un catálogo de infracciones que nos dan pistas de los incumplimientos sancionables. La lista es larga y bastante exhaustiva.

Por decirlo de una forma directa, todo lo que no se cumpla o haga bien es sancionable. Si hacemos una lectura al revés de las infracciones nos sale un catálogo de obligaciones (incluso, por qué no, un check list) que se parece bastante al listado de cumplimiento normativo publicado por la Agencia Española de Protección de Datos hace unos meses.

Las infracciones se clasifican en muy graves, graves y leves.

También se establecen unos plazos de prescripción que curiosamente se supeditan a cuantías lo cual no significa que esas cantidades se vinculen a la gravedad.

9.- Los derechos digitales

Aunque sin categoría de derechos fundamentales, el legislador ha aprovechado la coyuntura para definir los nuevos derechos de las personas en su relación con los entornos digitales: derechos como el de la desconexión, el límite en los entornos laborales, de videovigilancia, en la geolocalización, derechos de los menores, etc.

Lo verdaderamente interesante de estos derechos será cómo van a encontrar su aplicación práctica y cómo los ciudadanos podremos hacerlos valer y cumplir.

10.- Modificación de algunas normas

La nueva LOPD modifica diferentes normas que regulan tratamientos de datos específicos y que hacían referencia a la antigua LOPD (la LO 15/1999):

  • Ley Orgánica 5/1985, de 19 de junio del Régimen Electoral General
  • Ley Orgánica 1/1985, de 1 de julio de, del Poder Judicial
  • Ley 14/1986, de 25 de abril, General de Sanidad
  • Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa
  • Ley 1/2000, de 7 de enero de Enjuiciamiento civil
  • Ley Orgánica 6/2001, de 21 de diciembre de Universidades
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica
  • Ley Orgánica 2/2006, de 3 de mayo de Educación
  • Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno
  • Ley 39/2015, de 1 de octubre del Procedimiento Administrativo Común de las Administraciones Públicas
  • Estatuto de los Trabajadores aprobado por Real Decreto Legislativo 2/2015 de 23 de octubre
  • Estatuto Básico del Empleado Público aprobado por Real Decreto Legislativo 5/2015 de 30 de octubre

Este es nuestro modesto resumen en el que nos hemos dejado aspectos polémicos sobre el posible uso que los partidos políticos pueden hacer de los datos u otros interesantes como el uso de los datos con fines de investigación.

De ellos hablaremos en futuros artículos.

En estas fechas, además de los dulces navideños, que no se nos atragante la nueva legislación.

18 de diciembre de 2018

Paz Martín

#losdetallesimportan

Se publica la nueva Ley Orgánica de Protección de Datos y garantía de los derechos digitales

Hoy 6 de diciembre, día en que se celebra el 40 Aniversario de la Constitución, tenemos el placer de anunciar la publicación en el BOE de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

La esperada nueva LOPD desarrolla aquellos aspectos del Reglamento General de Protección de Datos que entró en funcionamiento el pasado 25 de mayo e incorpora además nuevos derechos en el entorno digital.

6 de diciembre de 2018

Las tarjetas de visita y el RGPD

O de cómo el RGPD no se carga las tarjetas comerciales.

Pregunta recurrente: ¿ya no podremos entregar tarjetas de visita comerciales en las ferias o en los eventos profesionales? ¿Tendré que pedir un consentimiento con check-in o firmado para enviar información? ¿Qué haremos ahora?

La respuesta ha de ser rápida y sencilla: más o menos lo mismo.

Es decir, no es el fin de las tarjetas. Y la respuesta nos la da, entre otros, el artículo 19 del proyecto (en breve texto aprobado) de la nueva Ley Orgánica de Protección de Datos (y a lo mejor también de Derechos Digitales como título). También la Directiva de comercio electrónico que dio base a nuestra Ley 34/2002 de Servicios de la Sociedad de la Información y de comercio electrónico (la famosa LSSI).

Pero antes de entrar en materia pongamos sobre la mesa algo que si bien aparece en el Reglamento General de Protección de Datos (y por cierto, también en la normativa anterior) tenemos que explicar casi a diario. El consentimiento no es la única base jurídica que legitima un tratamiento de datos…

¿Qué significa esto?

Que a menudo tratamos datos y no es necesario pedir consentimiento: por ejemplo, para suscribir un contrato, por ejemplo, para poner una cámara de seguridad o por ejemplo, sin ir más lejos porque hay una ley que lo dice y son “lentejas”. Todos estos casos y algunos otros más están recogidos en el artículo 6 del RGPD, un artículo importante y que merece ser leído y releído por quienes se preguntan cosas como la que da título a este post.

Es decir, que si vamos a hacer un tratamiento de datos tenemos que tener claro por qué lo hacemos. Y ese por qué es la base jurídica que legitima el tratamiento. (El “porque me da la gana” no está definido como base, que conste).

¿Qué pasa con las personas de contacto de las personas jurídicas (p.e. El Director de tal empresa, su comercial o el administrativo a quien le tenemos que enviar las facturas….? ¿Tenemos que pedirle el consentimiento para contactar con ellos? La respuesta es no. Porque la base jurídica de esta relación no será el consentimiento sino el interés legítimo, ese agujero negro que casi nadie se atreve a traspasar pero que existe y no de ahora.

En una redacción inicial del proyecto de nueva Ley Orgánica de Protección de Datos apareció el artículo para regocijo de los profesionales que agradecemos claridad en este tipo de cuestiones. Posteriormente desapareció y en las últimas redacciones ha vuelto a aparecer.

Transcribimos a continuación para no dejarnos nada:

Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.

1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1 f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
3 (nuevo). Los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica podrán también tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de una obligación legal o sea necesario para el ejercicio de sus competencias.

Como el interés legítimo (artículo 6.1.f) del RGPD) no es una base de legitimación absoluta (no en vano ya existía la prueba de sopesamiento), se somete, en este caso, a dos requisitos:

  • que el tratamiento se ciña a los datos necesarios para la localización (p.e. Email, teléfono, dirección) y
  • que la finalidad sea la de mantener relaciones de cualquier índole con la persona jurídica.

Es decir, que si como abogado me quiero dirigir al Director de una empresa para ofrecerle mis servicios y tengo su teléfono o su email no le pediré consentimiento sino que basaré el tratamiento en mi interés legitimo como responsable de dicho tratamiento.

Lo que no podré hacer es “machacarle” directamente a publicidad o a newsletter porque, aquí sí, entra en juego no tanto la legislación sobre protección de datos sino la famosa Ley de Comercio Electrónico (LSSI y próximamente el Reglamento e-privacy actualmente en el horno) que dice que no puedo enviar información comercial a quien no haya consentido salvo que exista una relación previa (p.e. Que sea un cliente).

Pero hablamos de publicidad, no de enviar un email de presentación, o una invitación a un evento o unas tarifas… A ver si vamos a ser más papistas que el papa. No está de más recordar aquí que la Directiva de comercio electrónico ya decía que No se consideran comunicaciones comerciales en sí mismas las siguientes:

a)  los datos que permiten acceder directamente a la actividad de dicha empresa, organización o persona y, concretamente el nombre de dominio o la dirección de correo electrónico,
b) las comunicaciones relativas a los bienes, servicios o a la imagen de dicha empresa, organización o persona, elaboradas de forma independiente de ella, en particular cuando estos se realizan sin contrapartida económica.

Hemos abordado el interés legítimo… pero acaso no es un consentimiento explícito entregar una tarjeta a una empresa, comercial o interlocutor que nos interesa? ¿No entra dentro de la definición de consentimiento como una «manifestación de voluntad libre, específica, informada e inequívoca» mediante una «clara acción afirmativa. ¿Podemos considerar vigente la Sentencia de la Audiencia Nacional de 17 de mayo de 2007 que afirmó: «Es de reseñar, frente a lo señalado en la resolución recurrida, que la entrega por una persona de una tarjeta de visita en la que consta su dirección de correo electrónico, en un contexto como es la feria del SIMO, a la que para promocionar su producto acudió el denunciado, con el que contactó la persona en cuestión por estar interesada en el mismo, impide que se pueda tener por acreditado a efectos sancionadores la falta del consentimiento. Además, con posterioridad se ha constatado la remisión de un email aludiendo a la conversación mantenida en dicha feria, lo que abona la conclusión de que, en el caso concreto atendiendo a las circunstancias existentes, existe un consentimiento previo o autorización expresa, que no es necesario que figure por escrito, para la remisión de una comunicación comercial relacionada con el producto promocionado en la citada feria.»?

Moraleja: sigamos utilizando tarjetas (ya en creciente desuso para dar paso a los contactos “electrónicos”), sigamos agradeciendo la visita al stand de la feria, sigamos contactando con las empresas y los profesionales pero… eso sí:

  • No pedir el consentimiento no significa que no informemos de lo que dispone el artículo 13 del RGPD. ¿Cuándo? Pues en ese primer email de cortesía por ejemplo. Algunos ya han colocado “atriles” con la cláusula de información a la vista en los propios stands… Es una idea..
  • Si queremos enviar información comercial de forma regular y en lo sucesivo, mejor pedir permiso pues el interés legítimo se nos quedaría un poquito corto en este caso aunque quién sabe…
  • El resto de las obligaciones del RGPD deberán cumplirse religiosamente.

El RGPD y la ahora nueva LOPD no han venido a fastidiar, han venido a dotar de garantías y de seguridad jurídica a las relaciones y a los tratamientos de datos.

Estamos ante un derecho fundamental que merece respeto y protección. Hacer interpretaciones sesgadas de la norma no beneficia a nadie. Seamos transparentes en los tratamientos y sigamos trabajando, vendiendo y entregando tarjetas, eso sí, cumpliendo la ley.

Paz Martin
#losdetallesimportan

Noviembre 2018

EL RGPD en Portugal: LEGAL THINGS participa con una ponencia en una jornada organizada por LCG

El Reglamento UE 2016/679 General de Protección de Datos (RGPD) es de directa aplicación en todos los estados miembros de la Unión Europea.

No todos los estados contaban con el mismo nivel de madurez en el cumplimiento de la normativa de protección de datos. Sin embargo, el RGPD ha obligado a todos los países a coger el mismo ritmo. O al menos a intentarlo.

Portugal no ha sido, hasta la fecha, uno de los estados punteros en cumplimiento pero el RGPD está obligando a que grandes y pequeñas empresas se adapten. También las propias autoridades están realizando un enorme esfuerzo por ofrecer soluciones y estructuras acordes con el RGPD.

En este marco, el pasado verano, nuestro despacho fue invitado por nuestros colegas portugueses especialistas en protección de datos LCG . Tuvimos la oportunidad de compartir con un nutrido auditorio nuestra experiencia y visión de cumplimiento como país vecino. Intentamos transmitir todo lo que se ha hecho y todo lo que se está haciendo y se va a hacer para que el cumplimiento del RGPD sea una realidad a todos los niveles. La jornada titulada «Desafios na Implementaçao do RGPD» contó con expertos nacionales de la empresa, la Universidad y de la propia Administración para abordar precisamente los desafíos que la nueva legislación nos ha planteado a todos los ciudadanos de la Unión Europea.

Particularmente nos llamó la atención el hecho de que exista una gran diferencia de cumplimiento entre las grandes compañías y corporaciones y las pymes y los profesionales. Estos últimos tendrán que hacer un doble esfuerzo: reflexionar sobre la privacidad y cumplir con el nuevo RGPD en Portugal. La Autoridad de Control de Protección de Datos en Portugal (Comissão Nacional de Protecção de Dados), ya está trabajando en acercar el RGPD a estos colectivos.

Evidentemente ya ha habilitado los canales obligatorios de notificar tanto los Delegados de Protección de Datos como las violaciones de seguridad.

 

Octubre 2018