Diez cosas que toda empresa debe saber ahora sobre protección de datos

28 de enero: DIA EUROPEO DE LA PROTECCIÓN DE DATOS

Llevamos un año extraño, esto es indiscutible. Cualquier actividad económica, empresarial, profesional o personal se ha visto afectada por el Covid19.

En un año han pasado muchas cosas y una de ellas es que la privacidad sigue siendo muy (o más) importante.

La tecnología y los negocios digitales se han convertido en la tabla de salvación de muchos negocios y también de muchas personas que gracias a plataformas, videollamadas y chats se han mantenido conectadas con sus seres queridos a los que no pueden ver.

Por ello la privacidad está, más que nunca, de actualidad.

Y  también actualizados debemos estar los profesionales que no podemos bajar la guardia porque constantemente se producen novedades que afectan a grandes y pequeños. Es nuestra obligación transmitir, de la forma más transparente posible, el alcance de las obligaciones de aquellos que tratan datos. El tamaño no importa.

Proteger los datos y cumplir no admite “suspensiones” ni “confinamientos”. De hecho, es momento, más que nunca para ser ejemplares y transmitir a quienes hacen las cosas bien que este cumplimiento puede ser un plus frente a sus clientes y usuarios.

Ahora mismo hay una serie de aspectos que cualquier empresa -incluimos profesionales- o entidad (grande o pequeña) que trate datos tiene que saber:

1.- Las obligaciones de la normativa de protección de datos están ahí para cumplirlas y no hay excepciones

Muchas empresas simplemente están sobreviviendo. Algunas se están quedando por el camino. Pero ello no es óbice para darle la espalda a los derechos de las personas: trabajadores, clientes, usuarios, proveedores, etc

La pandemia ha convertido el teletrabajo en una alternativa al trabajo presencial (ahora por obligación y en el futuro, por opción) pero ello no puede suponer que se baje la guardia en la seguridad de los datos con las dificultades que para muchas empresas ello supone.

En 2020 se ha producido muchas brechas de seguridad algunas debido a incumplimientos de medidas básicas de seguridad o de una mala gestión de los datos personales. No ha sido fácil pero no hay periodos de gracia que puedan invocarse aquí.

2.- Que las autoridades de protección de datos no han dejado de sancionar

No hay más que echarle un vistazo a las últimas sanciones de la Agencia Española de Protección de Datos pero también de otras autoridades de protección de datos de los estados miembros de la Unión Europea.

Y no sólo se ha sancionado a empresas grandes (dos entidades financieras de primera línea recientemente con una sanción máxima de 6 millones de euros) sino también a empresas pequeñas, startups e incluso a particulares que no han cumplido la normativa.

3.- Que desde julio de 2020, parece que “de repente” existen las transferencias internacionales (no hay mal que por bien no venga)

En el mes de julio el Tribunal de Justicia de la Unión Europea dicta la ya famosa Sentencia Schrems II que declara inválido el Privacy Shield (protocolo que “bendecía” las transferencias internacionales de datos entre la Unión Europea y Estados Unidos).

Ello nos ha obligado a regular esas transferencias internacionales. En la mayoría de las empresas han aflorado transferencias a otros países que ya existían pero que no se había detectado, documentado y comprobado en términos de cumplimiento acorde con el RGPD.

4.- Que estamos hasta el gorro de las cookies pero no nos queda más remedio que hacerlo bien

Ya no hay medias tintas. Las cookies exigen consentimiento expreso. El usuario tiene derecho a saber y a elegir. Las fórmulas “a medias” o poco claras, no valen. La última modificación de la Guía de Cookies de la Agencia Española de Protección de Datos también en julio de 2020 ha obligado a revisar las cookies de todas las webs para identificar perfectamente qué cookies se utilizan y ofrecerle al usuario la posibilidad de seleccionar aquellas que quiere que se instalen.

Aunque ya se habla de un futuro sin cookies (ojo, pero con otros identificadores que hagan funciones similares) de momento las tenemos para rato y la Agencia Española de Protección de Datos es competente para sancionar, no tanto por el RGPD sino en aplicación de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

5.- Que Reino Unido ya no está en la Unión Europea (es decir, en principio que el GDPR no va con ellos…. Con matices)

Reino Unido ya no pertenece al conjunto de los países a cumplir con el RGPD y por lo tanto los datos que viajen a aquel país (por ejemplo el mero hecho de contratar un proveedor tecnológico en aquel país) deberá acogerse a las excepciones contempladas en el propio GDPR (una declaración de adecuación sería lo deseable y es lo esperado pero también existen las cláusulas contractuales tipo y otras alterativas válidas, entre otras soluciones). De momento, se ha concedido un periodo de seis meses adicionales.

6.- Que no sólo se sanciona a los grandes.

Ya lo hemos comentado antes pero conviene insistir. Que sancionen a un banco parece que aleja la preocupación de los pequeños. Pero ojo: ya hay sanciones por no informar adecuadamente en las políticas de privacidad de la web, por enviar correos electrónicos con copia abierta a otros destinatarios, por no haber adoptado medidas de seguridad y en el caso de particulares, por haber difundido contenidos ilícitos sin el consentimiento de los interesados, por poner un ejemplo.

Si bien la cuantía de las sanciones suele ser proporcional y se aprecian muchos «apercibimientos» como medida sancionadora muy utilizada, no es motivo para dejar de trabajar en modelos de cumplimiento normativo y de mejora continua.

7.- Que el Reglamento E-Privacy que va por la no-se-cuantas versiones está en el horno

Llevamos más de cuatro años esperando el texto que actualizará entre otros aspectos la privacidad de las comunicaciones electrónicas, el régimen de las comunicaciones comerciales electrónicas o las cookies.

Recientemente bajo la presidencia portuguesa se ha publicado una última versión que está siendo objeto de debate. Otro texto al que nos tendremos que adaptar y que será (como todo Reglamento) de directa aplicación en todos los países de la Unión Europea. A estos efectos es interesante conocer la declaración que recientemente ha realizado el Comité Europeo de Protección de Datos al respecto.

8.- Que nos hemos vuelto tecnológicamente más dependientes y por ello hay que extremar las cautelas

A veces asusta lo dependientes que somos de la tecnología. Ya hay muchas empresas  sin papeles lo cual medioambientalmente es muy sostenible pero también nos hace más vulnerables.

La seguridad cobra un papel fundamental no sólo como una cuestión prioritaria para proteger la información en general sino como una política «de la casa» que debe transmitir a sus empleados y colaboradores una forma de trabajar y unos hábitos de seguridad «saludable».

No invertir en ciberseguridad, no tener un sistema adecuado de copias, de detección de virus e intrusos, etc puede echar al traste con la información (y con los datos personales) de cualquier organización. Y aquí, el tamaño tampoco importa.

9.- Que los negocios online están triunfando “Digital businesses don´t stop”

Aquí hablamos desde nuestra experiencia. Aquel que ha llevado su negocio tradicional al mundo digital (o al menos su visibilidad) o al menos lo compatibiliza tiene más opciones de sobrevivir.

La pandemia nos ha enseñado que hasta un fisioterapeuta puede «reinventarse» ofreciendo sesiones «virtuales» u otras alternativas. Los bares y restaurantes se han apuntado a plataformas de «delivery» y empresas y profesionales que tradicionalmente sólo atendían presencialmente, han encontrado una alternativa a su negocio. Ello implica cumplimiento normativo trasversal (ecommerce, protección de datos, propiedad intelectual, derecho de los consumidores, etc)

10.- Que a veces somos paranoicos con la privacidad justo cuando menos hace falta: ejemplo, las aplicaciones de rastreo.

La mayor sensibilización poblacional sobre su privacidad siempre es buena pero, en este caso, no se ha puesto el ojo en el lugar correcto.

En la era del selfie y de las fotografías absurdas a todo lo que se mueve (y lo que no), cuando el propio individuo “vende” su alma al diablo tecnológico nos entran los escrúpulos con las aplicaciones de rastreo porque… “vete tú a saber qué se hace con los datos”. Como dice una amiga Meeeecccc, error. Qué útil hubiera sido poder detectar cómo nos estábamos contagiando, en qué lugares y circunstancias.

Tal vez se hubiera podido controlar todo mejor. Las aplicaciones de rastreo tienen sus pegas y pueden ser muy cuestionables en algunos aspectos pero cuando se trata de salud pública nos hemos convertido en los “tikismikis” de la privacidad.

En nuestra opinión, en estos momentos un poquito de solidaridad en este sentido ayudaría mucho a entender mejor un virus y una enfermedad que tampoco distingue entre grandes y pequeños, ricos o pobres, jóvenes y mayores (aunque lamentablemente estos últimos se están llevando la peor parte.

Y sin enrollarnos mucho más, conviene hacer una reflexión sobre el grado de exposición en las redes sociales y su influencia a todos los niveles en las personas, sobre todo en este último año… pero eso será objeto de otro post.

Echando la vista atrás, estamos mejor en privacidad. Queda mucho por hacer pero el GDPR ha calado y en general existe una mayor transparencia y se ha reforzado el poder soberano del individuo sobre sus datos (al menos en la Unión Europea). Felicitémonos por ello en este día europeo de la protección de datos sin dejar de trabajar.

#losdetallesimportan

Paz Martin

28 de enero de 2021