Ricard Castellet

¿Facebook? ¿Qué sorpresa?

por

Frances Haugen, de 37 años, que trabajaba como responsable de producto en el equipo de integridad cívica de Facebook (FB), fue entrevistada domingo por CBS. Dijo que los documentos que filtró demostraban que Facebook priorizaba repetidamente el «crecimiento por encima de la seguridad«. Facebook dijo que las filtraciones eran engañosas y que habían pasado por alto las investigaciones positivas realizadas por la compañía.

Cómo dice el titular, ¡qué sorpresa! Ya hace muchos años que FB es fuente de controversia por sus prácticas que se pueden calificar, como poco, de oscuras o de delictivas directamente. Recordamos el famoso escándalo de Cambridge Analytica con el uso de información de millones de usuarios sin su consentimiento para comercializarlos ilegalmente con terceros. Desde tratar a las personalidades de manera diferente según sesgos interesados hasta ser acusado de dar una respuesta “débil” a las preocupaciones de sus trabajadores sobre el tráfico de personas, pasando por afrontar demandas de sus propios accionistas o hacerse autopublicidad a través de los feeds de noticias de los usuarios para mejorar su imagen. Todo son ejemplos de mala praxis como poco. Whatsapp, compartiendo información de los usuarios con FB, y Instagram acusada por las adolescentes de hacerlas sentir mal con su cuerpo, tampoco se libran. 

Y, mientras tanto, el penúltimo susto lo hemos sufrido esta misma semana con la caída simultánea de toda la red de FB (además de FB, cayeron Whatsapp, Instagram, Messenger y Oculus) y la interrupción de los servicios que ha afectado a millones de usuarios. Incluso a trabajadores de FB que no se podían comunicar entre ellos y que tuvieron que usar herramientas alternativas de la competencia. Está claro que esto deber una cuestión del karma. No hay otra.

Y decía penúltimo susto porque, y todavía no ha acabado la semana, ayer se publicaban informaciones que aseguran que están a la venta datos personales de más de 1.500 millones de usuarios de FB en foros de hackers. Si la noticia se confirma, ya que siempre conviene ser cauteloso con este tipo de información, definitivamente, esta no es la semana de Marck Zuckerberg.

A propósito de todo esto, podemos hacer un par de reflexiones sobre la marcha. La primera, obvia, es que el modelo de negocio de FB necesita regularse. Parece evidente que la autoregulación por parte de las big-tech (no hablamos solo de FB) no funciona. Estas compañías han experimentado, en veinte años, unos crecimiento exponenciales que se los ha proporcionado unos poderes y una influencia (sobre usuarios, empresas y, incluso, gobiernos) extraordinarios, sustentados con unos rendimientos económicos fabulosos. No había estado nunca al alcance de nadie poder dirigirse simultánea e instantáneamente a miles de millones de habitantes con cualquier mensaje sin ninguna traba. Y, además, poder hacer con los datos personales, literalmente, lo que les interese en cada momento.

La segunda reflexión, también obvia, es que, en este estado de la cuestión y a modo individual, tenemos que poner nuestros medios para preservar nuestra privacidad. Conductas adecuadas, protocolos, herramientas y todo aquello que esté a nuestro alcance lo tenemos que poner en marcha por nuestra cuenta.

Como siempre, cuidaos!

Candidatos, curriculums y empresas

por

Pasado el verano empieza un nuevo curso académico, político, judicial, deportivo y, en general, en todas aquellas áreas sociales que aprovechan las vacaciones para descansar. Y, en el entorno laboral, a las empresas y personas candidatas se los gira bastante trabajo. Unas, porque quieren contratar talento y las otras porque quieren fichar por la mejor empresa posible. En cualquier caso, es una época de prisas y nervios pero también de ilusión, que, a menudo, nos hace cometer errores. A unos y a otros.

Todo esto viene por un par de noticias que afectan a las empresas y a los candidatos.

La primera, muy reciente, hace referencia a la sanción impuesta por la AEPD a una empresa por no responder a los candidatos que se inscriben a una oferta de trabajo ni informarlo del tratamiento que tendrán sus datos personales. Lo hablamos días atrás.

El otro, de hace más tiempo, recogía el caso de una candidata que mintió en su currículum para conseguir un trabajo en Australia. Tuvo que pagar una indemnización y, después, entró en prisión. Otro día nos ocuparemos de este tema.

Las dos noticias juntas ponen de manifiesto que empresas y candidatos tienen que observar unas reglas del juego básicas para no infringir la normativa y entender que no hacerlo puede tener consecuencias graves. Por eso hoy recogemos, a modo de recordatorio, algunas otras conductas a observar en el proceso de selección y contratación de personas en las empresas.

Consentimiento. En la fase de selección no es necesario el consentimiento de la persona candidata. La empresa está legitimada porque el tratamiento es necesario por la ejecución de un contrato en el que el candidato es parte o por la aplicación, a petición de este, de medidas precontractuales (arte. 6.1.b) RGPD).

Información. La empresa, en cambio, tiene el deber de informar del tratamiento, el que constituye una garantía para la persona candidata. Y lo tiene que hacer de una manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Vida laboral. La empresa, acreditando un interés legítimo, puede solicitar un informe de vida laboral para comprobar la veracidad y experiencia del currículum.

Oferta de trabajo. Las ofertas de trabajo se tienen que redactar en términos neutros (no pedir sexo, edad, raza, creencias políticas o religiosas, etc.) y recordar que las funciones especificadas son vinculantes. Y si se incluye la alternativa de teletrabajo, el candidato lo puede reclamar posteriormente sino se le proporciona.

Entrevista de trabajo. En la entrevista de trabajo, las respuestas no equivalen a un consentimiento y si hacemos preguntas sobre datos de categoría especial (salud, orientación sexual, opiniones políticas, afiliación sindical, datos genéticos, etc.) se tendrán que tomar medidas adicionales. Evitamos anotar juicios de valor y vigilamos si los datos recogidos pueden dar lugar a discriminaciones contrarías al principio constitucional de igualdad. Supondría una infracción administrativa grave.

Redes sociales. Los candidatos no están obligados a permitir la investigación del empleador en los perfiles de las redes sociales, exceptuando supuestos específicos y siempre que el candidato sea informado.

Conservación y eliminación. Acabado el proceso de selección, si la persona no es contratada será necesario su consentimiento para un futuro tratamiento, salvo que el empleador pueda demostrar interés legítimo (base de legitimación). Si no, eliminará el currículum con toda la documentación asociada.

Medidas de seguridad. La empresa tiene que garantizar la confidencialidad y el secreto profesional, incluso, cuando haya acabado la relación. Por eso tiene que tener implementadas las medidas de seguridad que garantizan, además, la disponibilidad y la integridad de los datos.

Naturalmente, hemos recogido aquí algunas de las situaciones más comunes que se pueden dar en el tratamiento de datos durante el proceso de selección de candidatos. Como siempre, es importando un buen asesoramiento profesional que impida cometer errores que nos pueden dar sorpresas desagradables.

Cuidaos!

Nota: el contenido del post no puede sustituir en ningún caso el asesoramiento profesional que podéis pedir aquí.

Videovigilancia, despido y protección de datos

por

En una reciente sentencia, el Tribunal Supremo ha admitido que un despido se pruebe con un video que vulnera la protección de datos. El Supremo afirma que la grabación puede ser admisible en un procedimiento laboral aunque en otro procedimiento se establezca que atenta contra la normativa de privacidad. Esta diferenciación tiene importantes consecuencias, como veremos a continuación.

El caso se dio cuando una empresa de seguridad despidió a un guardia de seguridad por transgresión de la buena fe contractual, fraude, abuso de confianza y deslealtad al no llevar a cabo las tareas encomendadas (revisión de vehículos en la entrada del recinto) por la empresa y firmar y librar los registros diarios como que efectivamente se habían hecho.

Según la resolución conocida días atrás, lo relevante es que el trabajador conocía la existencia del sistema de videovigilancia y que la grabación es válida como prueba, sin perjuicio que la empresa pueda tener otras responsabilidades en el ámbito de la normativa de protección de datos. En consecuencia, el Supremo obliga a repetir el juicio en el que las imágenes no fueron admitidas como prueba.

La Sala de lo Social del Supremo recuerda que el artículo 89.1 de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) establece que, en el supuesto de comisión flagrante de un acto ilícito por parte del trabajador, y siguiendo la sentencia del TEDH conocida cómo López Ribalda II, se entenderá cumplido el deber de informar cuando exista un dispositivo informativo con datos pertinentes y claramente visible. No es obligado especificar “la finalidad exacta que se ha asignado al control en cuestión”.

Al empresario, pero, es a quien le corresponde aportar las pruebas necesarias para demostrar la veracidad de los hechos imputados a la carta de despido. En esta línea, el Supremo añade que, de acuerdo con el artículo 24.2 de la Constitución, el empresario tiene derecho a utilizar “los medios de prueba pertinentes para su defensa”.

Dice también la sentencia que el hecho de que las cámaras fueran de Ifema y no de Securitas puede ser relevante desde el punto de vista de la protección de datos pero no tiene que llevar a impedir que Securitas aporte en un juicio laboral unas grabaciones que pueden ser necesarias para satisfacer la carga de la prueba que sobre ella recae.

En este caso, el Supremo entiende que la prueba era “una medida justificada, idónea, necesaria y proporcionada al fin perseguido” satisfaciendo así las exigencias de proporcionalidad que imponen la jurisprudencia del constitucional y el TEDH.

Por todo el expuesto, el Supremo admite el recurso de casación planteado por la empresa y devuelve el asunto al juzgado de lo Social que resolvió en primera instancia, mandando que celebre un nuevo juicio admitiendo las grabaciones como prueba.

Esta resolución abre una puerta interesante cuando asegura que “nuestro examen se ha de ceñir a si la prueba debió o no admitirse, sin que deba extenderse a si se cumplieron todos los requerimientos de la legislación de protección de datos, tanto desde la perspectiva de la relación de la empresa con el trabajador despedido, como de la relación entre Securitas e Ifema”.

Como siempre, cuidaos!

¿Es obligatorio contestar a las demandas de empleo?

por

Estamos en unas circunstancias económicas que hace que las demandas de empleo sean bastante elevadas. Las empresas reciben un número creciente de currículums, muchos de ellos no solicitados, que se tienen que gestionar, entre otros, desde el punto de vista de la Protección de Datos. A raíz de una resolución de la AEPD, hoy nos ocupamos de uno de ellos: la obligatoriedad de la empresa de informar sobre que hará con el CV.

Hasta ahora, no responder a los candidatos que se inscriben a una oferta de trabajo ni informarle del tratamiento que tendrán sus datos personales es un práctica habitual en las empresas por diferentes razones: falta de protocolos, de información, desinterés o, simplemente, saturación de trabajo.

Pero esta situación puede cambiar radicalmente porque la Agencia Española de Protección de Datos (AEPD) acaba de sancionar a una empresa con 2.000€ de multa por no identificar de forma apropiada al responsable del tratamiento, ni comunicar al candidato la posibilidad de ejercer sus derechos ante el responsable del tratamiento, ni el destino que iban a tener sus datos. Además, la entidad reclamada no disponía de Delegado de Protección de Datos (DPD).

El trámite se efectuó por WhatsApp, lo cual nos pone en alerta porque cuando abrimos un canal de comunicación nuevo, como puede ser un sistema de mensajería frente al convencional correo electrónico, tenemos que ser cuidadosos e implantar un protocolo en la empresa que tenga en cuenta las particularidades y especificaciones del canal para evitar sorpresas posteriores. En el presente caso, el candidato contactó por teléfono y remitió el CV por WhatsApp, sin recibir acuse de recibo.

El candidato remitió a la AEPD los pantallazos con los mensajes intercambiados por WhatsApp, en las que no aparece ninguna información relativa al tratamiento de los datos. La empresa reclamada no procedió a presentar alegaciones ni pruebas en el plazo de audiencia por lo cual la Agencia continuó con el procedimiento.

La AEPD considera que se ha infringido el artículo 13 del RGPD que hace referencia a la información sobre el tratamiento que se tiene que facilitar a los interesados cuando los datos personales provienen de él mismo, así como el resto de información necesaria para garantizar un tratamiento de datos leal y transparente.

Otro día hablaremos del resto de obligaciones que tenemos hacia los candidatos como la manera y el tiempo de conservación de los currículums y de los protocolos que la empresa tiene que tener implantados para dar respuesta a las candidaturas. Pero lo que nos tiene que quedar claro es que tenemos que estar bien asesorados y cumplir con nuestras obligaciones. De otro manera, podemos ser sancionados y, lo que es peor, sufrir una pérdida reputacional que puede costar mucho de recuperar.

Mientras tanto, ¡cuidaos!

La nueva Carta de Derechos Digitales

por

El Gobierno español ha presentado la nueva Carta de Derechos Digitales, un documento que busca adaptar los derechos básicos consagrados en la Constitución a los entornos digitales por “no dejar a nadie atrás”. El documento, que no tiene carácter normativo, reconoce los nuevos retos que plantea el nuevo entorno digital y pretende sugerir e inspirar principios y políticas referidas a este.

En palabras del Presidente del Gobierno, la Carta quiere “reforzar” y “ampliar” los derechos de la ciudadanía, generar certeza en la sociedad ante la nueva realidad digital y aumentar la confianza de las personas frente la disrupción que representa la tecnología.

La Carta recoge seis categorías principales de derechos:

Derechos de libertad: en el entorno digital, identidad digital, protección de datos, Ciberseguridad, …

Derechos de igualdad: igualdad y no discriminación, acceso a Internet, menores, accesibilidad universal, herencia digital, …

Derechos de participación y de conformación del espacio público: neutralidad de Internet, libertad de expresión e información, información veraz, educación digital, relación con las Administraciones, …

Derechos del entorno laboral y empresarial: en el ámbito laboral, la empresa en el entorno digital.

Derechos digitales en entornos específicos: acceso a datos con fines de archivo en interés público, investigación científica o histórica, entre otras, desarrollo tecnológico, protección de la salud, derechos ante la inteligencia artificial, utilización de las neurotecnologías, …

Garantías y eficacia: derechos en los entornos digitales, Eficacia.

La Carta que, como decíamos al comienzo, no es normativa, se entiende sin perjuicio del ordenamiento jurídico vigente, en particular en materia de derechos, las disposiciones del cual serán de aplicación: LOPDGDD, la reciente Ley de Trabajo a Distancia, la LSSICE, la Ley de Telecomunicaciones, la de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, etc.

Como era de esperar, se han producido diferencias importantes entre los componentes del grupo de trabajo en varios de los aspectos tratados. Pero al menos se ha consensuado un texto que, sin duda, es un paso más en la buena dirección.

Aprovechamos para recordar aquí, por último, que el marzo pasado se cumplieron dos años de la presentación de la pionera “Carta de Barcelona por los Derechos de la Ciudadanía en la era digital”, proyecto impulsado por el Ilustre Colegio de la Abogacía de Barcelona, liderado por la actual decana Mª Eugènia Gay y el diputado de la Junta de Gobierno y responsable de la Comisión de Transformación Digital, Rodolfo Tesone.

La «Carta» nació con el objetivo de establecer las bases para un acuerdo global que permita garantizar que los adelantos tecnológicos -que ayudan a mejorar la calidad de vida de las personas- se lleven a cabo respetando los derechos humanos esenciales y los principios democráticos de las sociedades.

Es indudable que nos enfrentemos a retos inéditos y el mundo jurídico tiene que ser valiente y proactivo (y rápido) para darle a la sociedad las soluciones que necesita.

Como siempre, cuidaos!

¿Smishing?

por

INCIBE alertaba ayer de una nueva amenaza de smishing, es decir, SMS que suplantan la identidad para capturar tus datos. La entidad afectada en este caso es el BBVA. Se ha detectado una campaña de envío masivo de SMS fraudulentos que, simulando provenir del BBVA, informan que la cuenta ha sido desactivado y piden al empresario o trabajador que pinche sobre un enlace para verificar la información.

Naturalmente, si sigues el enlace te piden tus credenciales de acceso a la cuenta a fin de “verificarlas”. A partir de aquí, tenemos un problema.

Entre las muchas amenazas que nos rodean en el ámbito de la Ciberseguridad, el smishing puede ser del que menos se habla. Y, curiosamente, la media de usuarios desconfía menos de un SMS que, por ejemplo, un correo electrónico que, como ya sabemos a estas alturas, puede ser malicioso (phishing). Y estas no son las únicas, ni mucho menos. Recientemente, Microsoft alertaba de una nueva estafa que usa archivos de Excel maliciosos. Correos electrónicos falsos, llamadas que se hacen desde centros ilegales y código que incluye malware en las hojas de Excel forman parte de la estrategia para llevar a cabo el ataque.

Y las empresas, ¿Qué tienen que hacer para gestionar los incidentes de seguridad?

La gestión de incidentes de seguridad es una tarea capital para poder minimizar cualquier amenaza que pueda vulnerar la seguridad de nuestra empresa. Conviene recordar aquí que vulnerabilidad es una debilidad o fallo en un sistema de información que puede permitir un ataque. Y amenaza es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información. Nuestra obligación, por lo tanto, es conocer las amenazas (cuestión externa) y evitar las vulnerabilidad (cuestión interna).

Cuando hablamos de incidentes de seguridad y su gestión, tenemos que considerar, como mínimo, las siguientes cuestiones:

  • Definir una Política de gestión de los incidentes que incluya un plan de respuesta.
  • Conocer els Diferents tipus d’incidents per poder identificar-los i preparar-nos
  • Conocer los Pasos para la gestión de los incidentes, para ofrecer una respuesta adecuada y minimizar los posibles efectos adversos en la organización
  • Aprender sobre Medidas preventivas adicionales que aumenten nuestras posibilidades de éxito
  • Preparar un Plan de contingencia y continuidad, asegurando una respuesta rápida y poder recuperar rápidamente la actividad del negocio

En temas de Ciberseguridad no podemos bajar la guardia. Tanto a nivel personal como profesional y empresarial, tiene que ser una de nuestras prioridades. Tengamos presente que un incidente de seguridad puede arruinar nuestra reputación y todos nuestros esfuerzos.

Como siempre, ¡cuidaos mucho!

YouTube vs. Industria Cultural Europea

por

El Tribunal de Justicia de la Unión Europea (TJUE) considera que YouTube no es responsable de las infracciones de “copyright” de sus usuarios. La plataforma de video, propiedad de Google, solo vulnera los derechos de autor en determinados casos, como, por ejemplo, si contribuye a promocionar al público el acceso a contenidos protegidos.

Dice el Tribunal que la plataforma no es responsable de los contenidos protegidos por derechos de autor puestos a disposición del público por los usuarios. Solo sería responsable si contribuye activamente a proporcionar acceso al público a estos contenidos o no toma medidas activas para eliminarlos.

La batalla entre la Industria Cultural Europea y las plataformas digitales viene de lejos. La disrupción tecnológica provocada en la industria audiovisual por estos operadores (YouTube, Spotify, Instagram, Uploaded, …) obliga necesariamente a cambiar las reglas del juego, e, incluso, el juego mismo.

Y decimos que viene de lejos porque el fallo da respuesta a dos demandas planteadas en Alemania. La primera, interpuesta por un productor musical el 2008, alegaba que se habían subido a la plataforma varios fonogramas sobre los que tenía la titularidad de diferentes derechos. La segunda, interpuesta por Elsevier a la empresa Cyando (de intercambio de archivos) el 2013, por poner diferentes obras a disposición de los usuarios, sin autorización.

En la sentencia examinada, el TJUE entiende que “los operadores de plataformas en línea no hacen por sí mismos una comunicación al público de los contenidos protegidos por derechos de autor puestos ilegalmente en línea por sus usuarios”. Eso sí, esta exención de responsabilidad solo es aplicable en los casos que las plataformas no contribuyan a facilitar el acceso a estos contenidos que infringen los derechos de autor o que, una vez informadas de su existencia, no rueguen medidas activas para eliminarlos. La sentencia sigue el criterio de responsabilidad prevista en la Directiva sobre Comercio Electrónico que entiende que no hay responsabilidad si el papel de la plataforma es neutro, automático y pasivo.

La sentencia no es el final, más bien es el principio de una larga batalla de la que tiene que dar como resultado un equilibrio justo entre las partes en conflicto (plataformas vs. Industrias).  Se tiene que tener en cuenta, además, otras cuestiones, como la que plantean grupos de derechos civiles preocupados por la posible censura de gobiernos autoritarios y los riesgos por la libertad de expresión con propuestas como la instalación de filtros a las plataformas para evitar que los usuarios suban contenidos con derechos de autor (u otros que no interesen a determinados grupos).

El tema no es baladí y hay que seguirlo con atención. Como siempre, nos jugamos mucho.

Cuidaos!

¿Y las contraseñas?

por
A propósito de una reciente resolución de la AEPD en la que aparece como indicador de un uso no diligente de sus claves por parte de un usuario, escribimos este post. El caso es que las claves aparecieron en el sitio web haveibeenpwned.com. En la resolución se alega que el reclamante es un exponente de acreditada escasa diligencia en la gestión y custodia de sus credenciales.

Podríamos traducir libremente del inglés el término “pawned” como “comprometido”. El sitio web ofrece un servicio gratuito para que el usuario pueda comprobar si su dirección de correo electrónico o contraseñas aparecen en sus listas y, en consecuencia, si sus claves han sido comprometidas y conviene cambiarlas inmediatamente.

¿Por qué son importantes las contraseñas?

Acceso a la gestión de la información, utilización de servicios como la banca en línea o compras por internet son tres ejemplos cotidianos en los que usar contraseñas adecuadas resulta imprescindible.

Si pueden suplantar nuestra identidad, pueden tener acceso a nuestra información confidencial (por ejemplo, la almacenada en el cloud con documentos, fotos y videos, etc.), entrar en nuestra cuenta bancaria (con consecuencias imprevisibles) o hacer compras importantes que tendremos que pagar nosotros.

¿Qué tenemos que hacer?

La mayoría de consejos que se pueden dar son de sentido común. Sobre todo, de aquello que no se tiene que hacer. Post-it en el monitor, bajo el teclado, libretas con lista de claves, … son prácticas que ya hace tiempo tendrían que estar desterradas.

En cualquier caso, conviene insistir.

  • No compartir la contraseña con nadie.
  • Contraseñas robustas (al menos 8 caracteres, mayúsculas, números, símbolos, …
  • No usar la misma contraseña en diferentes servicios. Por ejemplo, la del banco y la de Facebook (FB).
  • No entrar en un servicio con la cuenta de Google o FB. Si este se ve comprometido, el atacante tendrá acceso a todos los servicios que dependen de esta cuenta. Y de otros muchos porque, estéis seguros, lo probarán con todos.
  • Cuidado con las preguntas de seguridad. Solo tú deberías conocer la respuesta (y que no se pueda deducir de tus redes sociales, como la fecha de nacimiento, nombre de la mascota, etc.).
  • Usar siempre que sea posible el doble factor de autenticación (2FA).
  • Utilizar gestores de contraseñas. Hay muchas opciones en el mercado a precios muy asequibles.

¿Qué pasa si nuestra cuenta aparece a haveibeenpwned.com?

Pues obviamente estamos ante una situación comprometida y tenemos que actuar inmediatamente.

Primero identificando los correos y contraseñas que han sido expuestos. A continuación, usando un gestor, generar contraseñas fuertes y diferentes por todos los servicios comprometidos, empezando por los más críticos (primero el banco antes que FB) y cambiarlas todas.

Cuidaos!

 

Las cookies, bien. ¿Y el resto?

por

Ya hemos hablado en varias ocasiones del tema de las cookies. Hay que entender que a estas alturas ya sabemos como debe funcionar la solución que tenemos que implementar para que el usuario pueda hacer efectivo su derecho de conocer y elegir las cookies que quiere instalar en su ordenador. Pero, y el resto?

Pues sí, la solución de cookies para nuestra web es condición necesaria pero no suficiente. Y no lo es porque la web necesita otros textos legales para cumplir con la normativa de protección de datos y, muy importante, requiere que la empresa esté adecuada al RGPD y la LOPDGDD.

Es obvio que la web es la parte visible de la empresa y que los textos legales que aparecen se pueden ver y valorar por personas externas a la empresa. El primer colectivo que lo hace es el de clientes y usuarios. Y no es el único: empleados, accionistas, proveedores, competencia, administraciones públicas y todos los grupos de interés que rodean a la empresa también lo hacen. Y, naturalmente, las autoridades de control en protección de datos y del ámbito mercantil, entre otros, también ven y revisan nuestras páginas legales.

Aquí también, vuelve a ser condición necesaria pero no suficiente el disponer de los textos legales sin que la empresa esté adecuada. Es más, si la empresa no está adecuada, no se pueden generar los textos legales que, simplemente, estaríamos cometiendo un fraude.

Y esta situación de fraude es más frecuente de lo que parece. Desde copiar y pegar textos legales de otra empresa a generar textos con apariencia de legalidad, el abanico de soluciones fake que se utilizan son muy variadas.

El camino correcto, por tanto, es adecuar la empresa a la normativa de protección de datos (RGPD y LOPDGDD) para, a continuación, generar los textos legales, incluyendo aquellos que dependen de la LSSICE.

Y que hay que hacer para adecuar nuestra empresa a la normativa? Sin pretender hacer una lista exhaustiva de las tareas a realizar, deberíamos empezar por una Auditoría que valore la situación inicial (descubrimiento de datos, medidas de seguridad, análisis de riesgos, …). La segunda fase consistiría en definir el Registro de Actividades (RAT), establecer la Estructura técnica y organizativa, implementar las Medidas de Seguridad, diseñar los contratos con Intervinientes de tratamiento (empleados, terceros, …) y generar toda la Información y Comunicación de los tratamientos necesaria desde Cláusulas de Personal, Tratamiento o Internet -Textos legales- entre muchos otros, hasta la redacción de los Informes Reglamentarios, Protocolos de Actuación y de Tratamiento, sin olvidar la importante gestión del ejercicio de Derechos.

Y las ventajas? Ser más transparente, generar confianza y, por tanto, más negocio de calidad. Y, por supuesto, evitar sanciones económicas y, sobre todo, la pérdida de reputación que, en muchos casos, puede ser irreversible.

En todos los casos, la adecuación sólo conlleva beneficios. Y dejarlo en manos de profesionales nos permite poder centrarnos en lo importante: nuestro negocio. Y tener la satisfacción de hacer las cosas bien hechas.

Cuidaos!

 

Revisión Textos Legales Web