Entradas

Las cookies, el consentimiento y las multas que vienen: si no quieres cookies, no te las comas

O de cómo el RGPD llegó también a las cookies

Desde que entró en funcionamiento el Reglamento General de Protección de Datos (RGPD o GDPR) cualquier recogida de datos personales exige un por qué «legítimo».

Las cookies, además de ser esas galletitas adorables que se comen, son también un medio para recoger datos personales durante la navegación por Internet. Algunas cookies sirven para que no tengamos que elegir idioma cada vez que entramos a una web, por ejemplo. Pero otras, tienen como misión acompañarnos en nuestra navegación y perfilar nuestras preferencias; ahora visitas un periódico, ahora haces la compra, ahora te metes en los deportes, ahora buscas un viaje… Es una forma, bastante eficaz, de conocer los hábitos y preferencias de los usuarios. Pero claro, si de esa monitorización no nos enteramos, parece que la cosa no se está haciendo bien.

¿Por qué? Porque según establece la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) se pueden instalar cookies pero «a condición de que los destinatarios hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular sobre los fines del tratamiento de los datos«.

Ese consentimiento, con el RGPD, ha de ser expreso. Es más debe darse opción a los usuarios para que se opongan a la instalación de las mismas. Es decir, si no quieres cookies, «no te las comas».

La Agencia Española de Protección de Datos está trabajando en una nueva guía de cookies que sustituirá a la anterior. En ella probablemente nos aclararán qué fórmulas de consentimiento son aceptables y cuáles no, cómo rechazar las cookies y cómo configurarlas. Se había anunciado para este verano pero parece que se ha retrasado un poco.

No obstante, se acaba de dictar la primera resolución tras un procedimiento sancionador (PS/00300/2019) que impone una multa de 24000 euros a la compañía VUELING AIRLINES, S.L. . La sanción viene por no dar la opción de oponerse a la instalación de cookies al usuario más allá de remitirle a la configuración de los navegadores para que las bloqueen.

La AEPD afirma: «no se facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta selección el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva

Es decir que la propia AEPD ya nos está diciendo cómo configurar las cookies:

1.- Consentimiento explícito (como no podía ser de otra forma) con posibilidad de aceptar todas o rechazar todas las cookies.

2.- Consentimiento granular: es decir que sea posible elegir unas sí y otras no (a lo mejor no me importa que se hagan estadísticas de mi navegación pero sí me importa que me inserten cookies de terceros con fines comerciales)

3.- Información y transparencia: informar siempre y dejar claro qué cookies hay y que sea el usuario el que pueda elegir.

Abro aquí un paréntesis: puesto que «Internet somos todos», yo siempre pienso, no ya en los que nos dedicamos a esto, sino en los usuarios que todavía no saben para qué sirven las cookies (que son muchos, ojo). Si hasta la fecha creo que no he conocido a nadie (salvo insisto, los del gremio) que no le dé al «seguir navegando» o «aceptar cookies» sin leer ni una línea, me pregunto cómo explicarles, claramente, qué cookies hay, cuáles son necesarias y cuáles no, cuáles son de terceros y para qué sirven para que, con toda la información puedan aceptarlas o rechazarlas. Más de uno, ante un «pop up» amenazador con tres o cuatro botones saldrá de la página y dirá «quita, quita que me ha salido una cosa muy rara». Una vez más, habrá que ir educando al consumidor.

Hasta la fecha, todas las denuncias sobre el tema habían dado lugar a un «apercibimiento» como mucho por parte de la Agencia Española de Protección de Datos; algo así como un tirón de orejas con propósito de enmienda. Parece que la racha ha terminado y toca ponerse las pilas.

Entre la esperada guía, las sanciones y estas pautas (además de lo que han ido marcando otras autoridades de control de otros países) ya no tenemos excusa para ponernos manos a la obra…

Así que, si no quieres cookies… no te las comas.

Paz Martin

11 de octubre de 2019

#losdetallesimportan

La privacidad en el puesto de trabajo

La seguridad empieza por quienes tratan la información: los empleados

Un día cualquiera, en una oficina cualquiera.

Nos paseamos por los puestos de trabajo. Es la hora de comer pero tenemos una reunión. Los ordenadores están encendidos y se ven las pantallas. Las mesas tienen documentos y papeles. Muchas notas en post its. Nos acercamos: un listado de clientes por aquí, un par de nombres con sus respectivos teléfonos por allá. En algunos casos, incluso alguna contraseña… En alguna esquina, normalmente cerca de la impresora se acumula una pila de «papel sucio»: dicen que les da pena tirarlo y lo utilizan para «notas». Le damos la vuelta, son emails de trabajo, informes, facturas que no valen… En la propia impresora se acumulan documentos que todavía no han sido recogidos…

Lo que acabamos de describir no es extraño. De hecho es bastante frecuente encontrarlo en pequeñas, medianas y grandes empresas. Probablemente en estas empresas hicieron los deberes e iniciaron el camino de adaptación al Reglamento General de Protección de Datos (RGPD). Deseablemente existirán medidas de seguridad para proteger la información. Seguramente exista un responsable informático, de calidad o de seguridad que vea estas cosas y se tire de los pelos…

Y es que cuando hablamos de seguridad, aunque tengamos que hacer planteamientos holísticos que requieren a menudo inversiones y medios, también tenemos que mirar hacia dentro, hacia el último eslabón y erradicar las malas prácticas que se arrastran normalmente por pura comodidad. Como me tengo que levantar muchas veces, no bloqueo el ordenador; es que nos tenemos que aprender tantas contraseñas que se me olvidan; es que nos da pena tirar el papel sucio… En definitiva, sin malas intenciones y sin reparar en las consecuencias, abrimos «agujeros negros» y exponemos la seguridad y la confidencialidad de la información a riesgos innecesarios y fácilmente evitables.

¿Qué hacer?

Podemos hacer muchas cosas, algunas de ellas un poco impopulares porque son incómodas. Aquí algunos consejos:

1.- Concienciar. Si nuestros empleados y colaboradores no entienden que las malas prácticas suponen un riesgo, no moverán un dedo para solucionarlas. Hay que contarlo a través de formación presencial u online. Suena muy reiterativo pero a fuerza de insistir, las personas terminan mentalizándose. Los números son elocuentes: en una plantilla formada y concienciada existe un riesgo mucho menor por ejemplo de que se abran correos maliciosos.

2.- Establecer políticas y normas. Redactar una política que incluya unos mínimos tendrá dos efectos:

  • Transmitir de forma clara cuáles son las normas internas en materia de seguridad.
  • Demostrar en caso de incumplimiento que hemos establecido «reglas»

3.- Automatizar procesos: bloqueo automático a los pocos minutos, cambio de contraseñas periódico, buzones personales en las impresoras, monitores bien orientados en puesto de paso o de atención al público… Pero también poner destructoras y buzones cerrados para la destrucción confidencial de información. Tal vez sea molesto al principio pero son mínimos irrenunciables. Todo aquello que se pueda configurar «por defecto», hágase. Si esperamos que las personas lo hagan voluntariamente, con el tiempo, no se hará.

4.- Vigilar el cumplimiento. Si nadie denuncia estas situaciones, no se corregirán. Y si se producen, insistir en la formación. En el peor de los casos y ante incumplimientos muy graves la legislación laboral tiene respuestas. Probablemente no hará falta, pero habrá que señalar las cosas que se hacen mal y corregirlas.

5.- Suprimir el papel. En la medida de lo posible, ya que no en todos los negocios es viable. El planeta nos lo agradecerá y evitaremos que en la vida de un documento en papel desaparezcan los múltiples riesgos asociados: dónde se guarda, quién accede, cómo se destruye, etc. Si el papel es imprescindible que sea el mínimo, que tenga su lugar de almacenamiento (a ser posible con llave) y normas claras de uso.

Se dice constantemente que, en seguridad, el eslabón más débil de la cadena siempre es el usuario. No lo descuidemos. Ayudemos entre todos a crear un entorno seguro. Todos los días surgen nuevas amenazas: informemos de ellas y demos herramientas para detectarlas.

La responsabilidad proactiva que nos exige el RGPD empieza por aquí…

Madrid, 2 de octubre de 2019

Paz Martin

LEGAL THINGS ABOGADOS

Lo que hemos aprendido en un año de RGPD: la privacidad importa

De la desidia del dato a la catarsis colectiva

25 de mayo de 2018: ni un solo asesor de este país (y seguramente del resto de los países de la Unión Europea) durmió tranquilo. Es más, probablemente ni durmió. Aquello parecía una carrera contra reloj. Parecía que el filo de la guillotina sancionadora caería ese mismo día y el que no estuviera adaptado ardería en los infiernos de las autoridades de control…

Lo curioso fue que aquellos a los que la privacidad no les había importado hasta la fecha, fueron los que más prisa metieron a sus asesores para “adaptarse”.

Acciones masivas de petición de consentimiento (alguna innecesarias) enviadas el 24 de mayo por la noche, cláusulas informativas, contratos, registros de actividades de tratamiento, análisis de riesgos, políticas, procedimientos de brechas y derechos…

Y llegó el día 26, el 27…. Y no pasó nada… Ya lo sabíamos.

Bueno sí paso, pasó que por fin la privacidad importa. Y sólo por eso ha merecido la pena.
Hemos ganado en transparencia: ahora nos informan mejor y más claro (algunos se pasan y han convertido pequeños textos en verdaderos tratados de privacidad.
Hemos ganado en buenas prácticas :nos piden el consentimiento para todo, incluso cuando el consentimiento no es necesario…
El cumplimiento es un poquito más real que antes: ya no hablamos de carpetas y modelos cubiertos de polvo (físico o virtual pues pocas carpetas físicas se ven ahora). Ahora se trata de hacer las cosas bien, de que los datos se respeten, se conserven adecuadamente, se informe bien, se atiendan los derechos. No sólo que conste en algún documento…

Por fin la protección de datos ha trascendido el departamento legal o de informática de las empresas y se ha convertido en cosa de todos. Hemos ganado las personas.

Y más allá de las obligaciones establecidas en el RGPD y posteriormente en la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y de garantía de derechos digitales, las empresas han tomado conciencia que los datos personales hay que protegerlos porque protegen derechos fundamentales: porque en un mundo tan hiperconectado, tan expuesto a través de Internet y redes sociales, donde nuestros datos se cruzan y hasta nuestro banco o Facebook sabe más de nuestros gustos que nosotros mismos… las personas seguimos teniendo nuestro reducto de intimidad que merece y debe ser protegido.

El RGPD también ha servido para concienciar a las personas de que una vez que difundan sus datos, a veces es difícil controlarlos, pero no imposible pues existen derechos. Y estos derechos tienen que ser satisfechos por aquellos que tienen nuestros datos.
No obstante, no cantemos victoria. Somos como somos y muchos hicieron los deberes y se han relajado. Y no, toca estar encima, revisar, controlar, auditar, mejorar.

No hay procedimiento de cumplimiento normativo que se precie que sea estático. Es más, es preferible ir poco a poco. La responsabilidad proactiva nos exige estar encima: no sirve hacer dieta un mes: hay que llevar una alimentación saludable. Los resultados a lo mejor no son inmediatos pero a largo plazo es infinitamente mejor.

Por eso, un año después debemos reflexionar:

1.- ¿Nos sigue importando la privacidad o nos lo tomamos como un trámite que había que cumplir? ¿Fue la dieta del bikini o un plan a largo plazo de cumplimiento real? El propio RGPd exige revisión y mejora continua así que más importante que haber corrido en el 2018 es seguir alerta, revisando y actualizando los tratamientos de datos.

2.- ¿Seguimos concienciando a nuestro personal de forma periódica? Una charla se olvida. Además, siempre hay aspectos de seguridad, de organización o de negocio que afectan a los datos personales sobre los que merece la pena insistir.

3.- ¿Hemos revisado cómo lo estamos haciendo? Un año después es buen momento. Aunque el RGPD ya no establece una periodicidad concreta en las auditorías, todos los sistemas de gestión de la seguridad de la información establecen controles anuales, mejor externos aunque lo importante es la revisión.

4.- ¿Estamos documentando la respuesta a la petición de derechos? Los derechos de las personas son importantes y garantizar su atención, prioritario.

5.- Tal vez es momento de actualizar el Registro de Actividades de Tratamiento. Muchas empresas se basaron en los ficheros que históricamente tenían declarados ante la Agencia Española de Protección de Datos pero probablemente se pueda “profundizar” un poco más. La responsabilidad proactiva también exige reflexionar sobre esto.

6.- ¿Tenemos los mismos riesgos que el año pasado? También tenemos que actualizar el análisis de riesgos pues es posible que los de cumplimiento hayan disminuido pero existan otros nuevos. O incluso que podamos actualizar la valoración.

7.- ¿Hemos tenido alguna brecha de seguridad? En caso afirmativo ¿ha funcionado el procedimiento que establecimos? Si no hemos tenido brechas ¿estamos documentando las incidencias?

8.- ¿Existen tratamientos de datos personales nuevos? En caso afirmativo, ¿se informa desde la recogida y si procede, se solicita el consentimiento explícito? Según el tipo de datos y sus circunstancias, tal vez es necesario realizar una Evaluación de Impacto.

9.- ¿Se han firmado contratos con todos los proveedores con acceso a datos? Aunque si existían antes existe una moratoria hasta 2022, conviene que dichos contratos se actualicen al RGPD y sobre todo, en aquellos proveedores tecnológicos, que especifiquen las medidas de seguridad que van a garantizar la confidencialidad, integridad y disponibilidad de los datos a los que tendrán acceso por el servicio prestado.

10.- En definitiva, ¿nos sentimos cómodos con el sistema de gestión de la privacidad que hemos establecido? A lo mejor tenemos que hacer algunos cambios, actualizar responsabilidades, etc. Nada es inamovible. Lo importante es que…

#laprivacidadimporta

 

Mayo de 2019
Paz Martin
#losdetallesimportan

Canales de denuncias internas y denuncias anónimas en la nueva Ley Orgánica de Protección de Datos

En muchas empresas todavía choca la necesidad de contar con un canal de denuncias a través del cual los empleados, e incluso clientes y proveedores, puedan denunciar conductas contrarias a las leyes y a los códigos éticos.

La Ley Orgánica 3/2018 de 5 diciembre de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD) ha abordado específicamente este tema en lo que a los datos personales se refiere.

Estos canales de denuncias (pido perdón a aquellos que ya conozcan el porqué) son parte de los sistemas de cumplimiento normativo implantados a raíz de la modificación del Código Penal del 2015 (artículo 31 bis). En dicha modificación y con respecto a la posible responsabilidad penal de las personas jurídicas (sí las empresas también pueden ser responsables penalmente), sólo la implantación de un plan de prevención de riesgos penales y cumplimiento normativo  eficaz (modelos de organización y gestión según el texto del propio artículo) eximiría a la persona jurídica de la responsabilidad derivada de los delitos cometidos por sus trabajadores en su nombre. Esto es lo que se conoce como «compliance«.

Estos planes de prevención de riesgos penales (muy arraigados en el mundo anglosajón desde hace tiempo, pero muy recientes en nuestro sistema jurídico) incluyen canales de denuncias. Estos canales facilitan la puesta en conocimiento de la propia entidad si alguien comete un delito (u otra violación normativa o de código ético) con todas las garantías de confidencialidad y sin miedo a represalias.
Es decir, que si en mi empresa me entero que el Director Financiero está metiendo la mano en la “saca” pueda comunicarlo sin miedo al despido. ¿Fácil verdad?

Siendo como somos latinos y con una cultura del chivatazo vista como algo negativo, los canales de denuncias no suelen recibir muchas denuncias. Cuando se trata de cosas “graves” los empleados suelen temer por sus represalias y es comprensible que prime el interés personal en conservar el empleo o la tranquilidad por encima de convertirse en el “Quijote” de la entidad.

En la mayoría de las ocasiones, “radio macuto” funciona incluso mejor, especialmente si se trata de conductas en las que el denunciante sólo pone en conocimiento de la empresa la conducta ilícita y no es “víctima” directa de la misma. Si alguien se entera de que un delito, lo suelta en un círculo de confianza y tarde o temprano la información llega donde tiene que llegar… (esto es básicamente radio macuto que carece de garantías de cómo llegue la información. Es ilustrativo acordarse del juego del “teléfono escacharrado” donde desde la primera noticia a la última, cada “informante” suele poner algo de su cosecha. Como juego es desternillante, en el ámbito empresarial, es nefasto.)

Ya en su momento el Grupo de Trabajo del artículo 29 (hoy desaparecido y sustituidas sus funciones por el Comité Europeo de Protección de Datos) emitió un informe sobre este tema y en concreto insistía en la necesidad de garantizar la confidencialidad de los datos tanto de denunciante como de denunciado y de la propia investigación. Residualmente y como último recurso, se admitía la posibilidad de que la denuncia fuera anónima cuando fuera imposible garantizar dicha confidencialidad.

Pero dicho informe del Grupo de Trabajo del artículo 29 cuyo carácter no era vinculante por los estados miembros, encontró en la Agencia Española de Protección de Datos una objeción sobre el posible anonimato, considerándolo contrario a la propia normativa. Existe un informe específico del año 2007 que ilustra esta afirmación.

Ahora bien, puesto que las cosas han seguido evolucionando, el RGPD ha irrumpido en nuestras vidas con energía y más que nunca se han homogeneizado los criterios, en la nueva Ley Orgánica 3/2018 de 5 de diciembre de protección de datos personales y de garantía de los derechos digitales ya se contempla expresamente la denuncia anónima. En particular en el artículo 24 que dice:

“será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.

Con lo cual, la restricción del anonimato desaparece.

En la práctica y tal y como están configurados la mayoría de los canales (direcciones de email, plataformas externas, etc) es prácticamente imposible denunciar de forma anónima, pues el origen del email siempre podría averiguarse. No obstante, a veces es la única forma de tomar conocimiento de delitos graves de los que un trabajador es conocedor porque trabaja en esa área específica en la que el delito se ha cometido.

El artículo 24 citado también contiene otras novedades, entre otras la constatación a través de la Ley Orgánica de:

  • Su licitud.
  • Del carácter restringido de la información que obre en el canal de denuncias (limitado a la propia investigación y control interno).
  • La obligación de garantizar la confidencialidad de la identidad de denunciantes y también de denunciados (cuidado con las denuncias falsas que pueden arruinar la reputación de una persona o crear falsos bulos).
  • La conservación durante el tiempo imprescindible y en general tres meses desde que se denuncia salvo que dichos datos sean necesarios para evidenciar el buen funcionamiento del propio canal de denuncias.
  • La posible anonimización de las denuncias no tramitadas sin que sea necesario el previo “bloqueo” establecido en la LOPDGDD como paso previo a la destrucción de los datos.

De lo que se trata en definitiva es

a) Que el canal de denuncias garantice la confidencialidad y permita la denuncia anónima.
b) Que en el canal de denuncias no se conserven datos personales más tiempo del imprescindibles (tres meses).
c) Que los registros antiguos se pueden anonimizar.
d) Y si es necesario guardar los datos porque se ha puesto en marcha una investigación, no deberían conservarse en el propio canal sino en aquél entorno donde se esté llevando a cabo la investigación.

Y por supuesto, el canal de denuncias tendrá que estar recogido como «actividad de tratamiento» en el propio registro de actividades de tratamiento de la entidad.

El compromiso con el cumplimiento normativo es un paso más que las empresas han adoptado no sólo para «eximirse» o mitigar su responsabilidad frente a una posible sanción, sino dentro de un marco de ética y de responsabilidad social a través de los cuáles, entre todos, podemos construir una sociedad mejor.

Paz Martín

#losdetallesimportan

26 de abril de 2019

Se publica la nueva Ley Orgánica de Protección de Datos y garantía de los derechos digitales

Hoy 6 de diciembre, día en que se celebra el 40 Aniversario de la Constitución, tenemos el placer de anunciar la publicación en el BOE de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

La esperada nueva LOPD desarrolla aquellos aspectos del Reglamento General de Protección de Datos que entró en funcionamiento el pasado 25 de mayo e incorpora además nuevos derechos en el entorno digital.

6 de diciembre de 2018

Se aprueban medidas urgentes para cumplir con el RGPD

El RGPD comenzó su andadura el pasado 25 de mayo pero para que se pueda aplicar plenamente, hacen faltan algunas medidas internas.

El lunes 30 de julio y con las maletas a punto para las vacaciones, el Boletín Oficial del Estado ha publicado el Real Decreto-ley 5/2018 de 27 de julio de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, es decir el RPGD.

¿Por qué esto y ahora?

Porque el Reglamento (UE) 2016/679 General de Protección de Datos remite en su articulado a la legislación interna de los estados miembros para determinados aspectos -entre ellos el procedimiento sancionador- y una nueva Ley Orgánica de Protección de Datos (LOPD) recogerá dichos aspectos.

Dicha nueva LOPD está todavía en el horno. Es decir que debiendo haber estado lista el pasado 25 de mayo (ya sabíamos que no llegaba a tiempo) se la espera al menos, para finales de año. Pero mientras tanto la vida sigue y, o aplicábamos antigua LOPD en lo no compatible con el RGPD o nos ponían un «parche» hasta la llegada de la tan ansiada nueva LOPD.

Dicho lo cual, el Real Decreto-ley reseñado recoge básicamente lo siguiente:

1.- Quién tiene competencias para inspección en materia de protección de datos
(artículos 1 y 2)

2.- Régimen sancionador en materia de protección de datos
(artículos 3 a 6)

3.- Procedimientos en caso de posible vulneración de la normativa de protección de datos
(artículos 7 a 14)

Establece igualmente una disposiciones finales entre las que destacan la Disposición transitoria segunda sobre los contratos de encargo de tratamiento (sí esos que las empresas están recibiendo de forma constante en las últimas semanas) y confirma lo que ya decía el proyecto de LOPD: RELAX (esto no lo dice pero se deduce). Los contratos de encargo de tratamiento suscritos antes del 25 de mayo de 2018 bajo el antiguo artículo 12 de la antigua LOPD, mantendrán su vigencia hasta su fecha de vencimiento y si es indefinida hasta el 25 de mayo de 2022.

Dicho lo cual, el que no haya adaptado los contratos, tiene tiempo aunque no conviene dormirse. No obstante, ahí queda y sigue diciendo el artículo que durante estos plazos cualquiera de las partes puede exigir a la otra la modificación del contrato para que se adapte al RGPD, contratos que ahora incluyen más garantías para ambas partes.

Algunas reflexiones:

Al referirse al régimen sancionador se dedica un artículo (el 6) a la prescripción de las sanciones y sorprendentemente se mantiene el baremo de multas que se aplicaba bajo la anterior LOPD aunque sin hacer referencia a su grado (leve, grave o muy grave). ¿Qué lectura podemos hacer? Pues que la Agencia Española de Protección de Datos seguirá aplicando criterios sancionadores similares a los que aplicaba hasta la fecha sólo que sin el techo de los anteriores 600.000 euros. Es una reflexión que tal vez se confirme con la nueva LOPD o no.
Mientras tanto, las infracciones «normales» (es decir las que pueden ser sancionadas con hasta 10 millones de euros) prescribirán en dos años. Y las muy graves (hasta 20 millones en tres años.

Las sanciones prescribirán de la siguiente forma:

a) Hasta 40.000 euros, en un año
b) de 40.001 a 300.000 en dos años
c) Más de 300.001, en tres años.

Ya tenemos procedimiento sancionador para ir tirando con los nuevos procedimientos que se pongan en marcha. La seguridad jurídica es importante.

Necesitamos la nueva LOPD para otras cuestiones para dejar el menor espacio a las interpretaciones sobre la vigencia de la ya obsoleta LOPD anterior.

Superado el «trauma» del 25 de mayo, todos empezamos el rodaje del RGPD. Las empresas empiezan a entender cuáles son sus obligaciones más importantes. Lo importante, que no se nos olvide: proteger los derechos de las personas y el derecho a la privacidad, que hoy en día, es uno de los que más necesitados se encuentra.

Paz Martín
31 de julio de 2018

Las siete cosas que toda pyme debe hacer para cumplir con el nuevo Reglamento de Protección de Datos (RGPD)

Quedan justo tres meses para que el Reglamento UE 2016/679 General de Protección de Datos (RGPD) entre en pleno funcionamiento. El 25 de mayo culmina el proceso que comenzó hace unos años… y también comienza todo: un nuevo cumplimiento, un nuevo enfoque en la privacidad, un nuevo reto para las empresas cualquiera que sea su tamaño.

Las estadísticas dicen que la mayoría de las empresas todavía no han hecho nada al respecto, ni tan siquiera pensar sobre ello. Muchas por desconocimiento, otras porque creen que el RGPD no les afecta y otras muchas porque necesitan todavía ese «tiempo emocional» para asumir que nos encontramos ante un importante cambio, sobre todo, de mentalidad.

Pero elucubraciones aparte, hay siete cosas que sí o sí toda pyme debe hacer sin mucha dilación, aquí las resumimos. Vaya por delante que las obligaciones no son iguales para todos pues el enfoque del RGPD se basa en el riesgo y desde luego no debe abordarse igual una pequeña compañía B2B que una pyme que realiza análisis de perfiles o que trata con datos de salud (ahora incluidas en las llamadas «categorías especiales de datos»). No vamos a describir todas las obligaciones del RGPD pero sí las fundamentales y comunes a prácticamente todas las compañías:

1.- Confeccionar un registro de actividades de tratamiento. El registro se convierte en el verdadero manual interno de los tratamientos de la empresa: debe incluir la descripción de los tratamientos, los fines, los destinatarios, los plazos de supresión y las medidas técnicas y organizativas… ¿no nos recuerda mucho al hasta ahora obligatorio Documento de Seguridad? Lo de menos es cómo lo llamemos, lo importante es tener recogida esta información y todavía más importante, cumplir su contenido.

2.- Crear los procedimientos para satisfacer los nuevos derechos (portabilidad y limitación) además de los ya existentes de acceso, rectificación, oposición y supresión.

3.- Crear un procedimiento de detección y notificación de brechas de seguridad pues ahora las brechas deberán comunicarse a la Agencia Española de Protección de Datos.

4.- Revisar la base que legitima el tratamiento de los datos: en unos casos será el consentimiento (eso sí explícito y por finalidades), en otras la ejecución de un contrato, en otras el cumplimiento de una obligación legal y en otras, el interés legítimo. Habrá que tener claro cada caso.

5.- Actualizar las cláusulas de información a la hora de recoger datos: ahora hay que informar de más cosas. Tan sencillo como modificarlas.

6.- Actualizar los contratos de encargo de tratamiento pues ya no nos podemos despachar con aquellas sencillas cláusulas del artículo 12 de la LOPD… Ahora toca describir las actividades de tratamiento que encargamos al tercero y las medidas que le exigimos…

7.- Reflexionar sobre si necesitamos un Delegado de Protección de Datos (DPO) o es aconsejable o si simplemente es suficiente con tener un responsable que supervise el cumplimiento de la privacidad.

No olvidemos que el principio que destila todo el Reglamento es el de «accountability», responsabilidad proactiva. Debemos hacer las cosas bien, ser capaces de demostrarlo y buscar la mejora continua en las cuestiones de privacidad.

Siete puntos que si mínimamente se abordan, se puede decir que empezamos a alinearnos con el RGPD… Pero ojo, hay otras cuestiones: evaluaciones de impacto, procedimientos transfronterizos… Seguiremos abordándolas. De momento, manos a la obra. Aquí estamos los profesionales para ayudar en este «tránsito».

25 de febrero de 2018
Paz Martín