Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

¿Es obligatorio contestar a las demandas de empleo?

por

Estamos en unas circunstancias económicas que hace que las demandas de empleo sean bastante elevadas. Las empresas reciben un número creciente de currículums, muchos de ellos no solicitados, que se tienen que gestionar, entre otros, desde el punto de vista de la Protección de Datos. A raíz de una resolución de la AEPD, hoy nos ocupamos de uno de ellos: la obligatoriedad de la empresa de informar sobre que hará con el CV.

Hasta ahora, no responder a los candidatos que se inscriben a una oferta de trabajo ni informarle del tratamiento que tendrán sus datos personales es un práctica habitual en las empresas por diferentes razones: falta de protocolos, de información, desinterés o, simplemente, saturación de trabajo.

Pero esta situación puede cambiar radicalmente porque la Agencia Española de Protección de Datos (AEPD) acaba de sancionar a una empresa con 2.000€ de multa por no identificar de forma apropiada al responsable del tratamiento, ni comunicar al candidato la posibilidad de ejercer sus derechos ante el responsable del tratamiento, ni el destino que iban a tener sus datos. Además, la entidad reclamada no disponía de Delegado de Protección de Datos (DPD).

El trámite se efectuó por WhatsApp, lo cual nos pone en alerta porque cuando abrimos un canal de comunicación nuevo, como puede ser un sistema de mensajería frente al convencional correo electrónico, tenemos que ser cuidadosos e implantar un protocolo en la empresa que tenga en cuenta las particularidades y especificaciones del canal para evitar sorpresas posteriores. En el presente caso, el candidato contactó por teléfono y remitió el CV por WhatsApp, sin recibir acuse de recibo.

El candidato remitió a la AEPD los pantallazos con los mensajes intercambiados por WhatsApp, en las que no aparece ninguna información relativa al tratamiento de los datos. La empresa reclamada no procedió a presentar alegaciones ni pruebas en el plazo de audiencia por lo cual la Agencia continuó con el procedimiento.

La AEPD considera que se ha infringido el artículo 13 del RGPD que hace referencia a la información sobre el tratamiento que se tiene que facilitar a los interesados cuando los datos personales provienen de él mismo, así como el resto de información necesaria para garantizar un tratamiento de datos leal y transparente.

Otro día hablaremos del resto de obligaciones que tenemos hacia los candidatos como la manera y el tiempo de conservación de los currículums y de los protocolos que la empresa tiene que tener implantados para dar respuesta a las candidaturas. Pero lo que nos tiene que quedar claro es que tenemos que estar bien asesorados y cumplir con nuestras obligaciones. De otro manera, podemos ser sancionados y, lo que es peor, sufrir una pérdida reputacional que puede costar mucho de recuperar.

Mientras tanto, ¡cuidaos!

¿Y las contraseñas?

por
A propósito de una reciente resolución de la AEPD en la que aparece como indicador de un uso no diligente de sus claves por parte de un usuario, escribimos este post. El caso es que las claves aparecieron en el sitio web haveibeenpwned.com. En la resolución se alega que el reclamante es un exponente de acreditada escasa diligencia en la gestión y custodia de sus credenciales.

Podríamos traducir libremente del inglés el término “pawned” como “comprometido”. El sitio web ofrece un servicio gratuito para que el usuario pueda comprobar si su dirección de correo electrónico o contraseñas aparecen en sus listas y, en consecuencia, si sus claves han sido comprometidas y conviene cambiarlas inmediatamente.

¿Por qué son importantes las contraseñas?

Acceso a la gestión de la información, utilización de servicios como la banca en línea o compras por internet son tres ejemplos cotidianos en los que usar contraseñas adecuadas resulta imprescindible.

Si pueden suplantar nuestra identidad, pueden tener acceso a nuestra información confidencial (por ejemplo, la almacenada en el cloud con documentos, fotos y videos, etc.), entrar en nuestra cuenta bancaria (con consecuencias imprevisibles) o hacer compras importantes que tendremos que pagar nosotros.

¿Qué tenemos que hacer?

La mayoría de consejos que se pueden dar son de sentido común. Sobre todo, de aquello que no se tiene que hacer. Post-it en el monitor, bajo el teclado, libretas con lista de claves, … son prácticas que ya hace tiempo tendrían que estar desterradas.

En cualquier caso, conviene insistir.

  • No compartir la contraseña con nadie.
  • Contraseñas robustas (al menos 8 caracteres, mayúsculas, números, símbolos, …
  • No usar la misma contraseña en diferentes servicios. Por ejemplo, la del banco y la de Facebook (FB).
  • No entrar en un servicio con la cuenta de Google o FB. Si este se ve comprometido, el atacante tendrá acceso a todos los servicios que dependen de esta cuenta. Y de otros muchos porque, estéis seguros, lo probarán con todos.
  • Cuidado con las preguntas de seguridad. Solo tú deberías conocer la respuesta (y que no se pueda deducir de tus redes sociales, como la fecha de nacimiento, nombre de la mascota, etc.).
  • Usar siempre que sea posible el doble factor de autenticación (2FA).
  • Utilizar gestores de contraseñas. Hay muchas opciones en el mercado a precios muy asequibles.

¿Qué pasa si nuestra cuenta aparece a haveibeenpwned.com?

Pues obviamente estamos ante una situación comprometida y tenemos que actuar inmediatamente.

Primero identificando los correos y contraseñas que han sido expuestos. A continuación, usando un gestor, generar contraseñas fuertes y diferentes por todos los servicios comprometidos, empezando por los más críticos (primero el banco antes que FB) y cambiarlas todas.

Cuidaos!

 

Las cookies, bien. ¿Y el resto?

por

Ya hemos hablado en varias ocasiones del tema de las cookies. Hay que entender que a estas alturas ya sabemos como debe funcionar la solución que tenemos que implementar para que el usuario pueda hacer efectivo su derecho de conocer y elegir las cookies que quiere instalar en su ordenador. Pero, y el resto?

Pues sí, la solución de cookies para nuestra web es condición necesaria pero no suficiente. Y no lo es porque la web necesita otros textos legales para cumplir con la normativa de protección de datos y, muy importante, requiere que la empresa esté adecuada al RGPD y la LOPDGDD.

Es obvio que la web es la parte visible de la empresa y que los textos legales que aparecen se pueden ver y valorar por personas externas a la empresa. El primer colectivo que lo hace es el de clientes y usuarios. Y no es el único: empleados, accionistas, proveedores, competencia, administraciones públicas y todos los grupos de interés que rodean a la empresa también lo hacen. Y, naturalmente, las autoridades de control en protección de datos y del ámbito mercantil, entre otros, también ven y revisan nuestras páginas legales.

Aquí también, vuelve a ser condición necesaria pero no suficiente el disponer de los textos legales sin que la empresa esté adecuada. Es más, si la empresa no está adecuada, no se pueden generar los textos legales que, simplemente, estaríamos cometiendo un fraude.

Y esta situación de fraude es más frecuente de lo que parece. Desde copiar y pegar textos legales de otra empresa a generar textos con apariencia de legalidad, el abanico de soluciones fake que se utilizan son muy variadas.

El camino correcto, por tanto, es adecuar la empresa a la normativa de protección de datos (RGPD y LOPDGDD) para, a continuación, generar los textos legales, incluyendo aquellos que dependen de la LSSICE.

Y que hay que hacer para adecuar nuestra empresa a la normativa? Sin pretender hacer una lista exhaustiva de las tareas a realizar, deberíamos empezar por una Auditoría que valore la situación inicial (descubrimiento de datos, medidas de seguridad, análisis de riesgos, …). La segunda fase consistiría en definir el Registro de Actividades (RAT), establecer la Estructura técnica y organizativa, implementar las Medidas de Seguridad, diseñar los contratos con Intervinientes de tratamiento (empleados, terceros, …) y generar toda la Información y Comunicación de los tratamientos necesaria desde Cláusulas de Personal, Tratamiento o Internet -Textos legales- entre muchos otros, hasta la redacción de los Informes Reglamentarios, Protocolos de Actuación y de Tratamiento, sin olvidar la importante gestión del ejercicio de Derechos.

Y las ventajas? Ser más transparente, generar confianza y, por tanto, más negocio de calidad. Y, por supuesto, evitar sanciones económicas y, sobre todo, la pérdida de reputación que, en muchos casos, puede ser irreversible.

En todos los casos, la adecuación sólo conlleva beneficios. Y dejarlo en manos de profesionales nos permite poder centrarnos en lo importante: nuestro negocio. Y tener la satisfacción de hacer las cosas bien hechas.

Cuidaos!

 

Tres años ya de RGPD

por

Esta semana se han cumplido tres años desde que el Reglamento General de Protección de Datos entró en aplicación. Repasamos en este post algunos de los hitos más importantes y haremos un poco de balance que, como siempre, tendrá luces y sombras.

El RGPD entró en vigor el 2016 pero, gracias a una moratoria, su aplicación no empezó hasta mayo de 2018. La Protección de Datos personales no era una novedad en nuestro país, la LORTAD es de 1992 y la LOPD de 1999, pero no cabe duda que la entrada en vigor del RGPD supuso un cambio de paradigma en el tratamiento de los datos personales por parte de las empresas en España. Muchos descubrieron, a partir de aquel momento, el derecho fundamental a la privacidad o, lo que es lo mismo, garantizar a las personas el control sobre sus datos personales.

Ahora hablamos de un modelo preventivo (no reactivo por denuncias) con responsabilidad proactiva, donde se ha establecido la privacidad por defecto, desde el diseño, y todo el enfoque de las obligaciones de los responsables se tiene que hacer basado en el enfoque del riesgo.

Consentimiento reforzado, nuevas cláusulas informativas, nuevos contratos de encargado de tratamiento, medidas de seguridad (violaciones de seguridad), nuevos derechos de los interesados y figuras como el Delegado de Protección de Datos son algunas de las novedades que nos trajo el RGPD y que ahora nos resultan, además de familiares, imprescindibles en nuestro día a día en la materia.

Y las sanciones, no nos olvidamos, son considerables. España es el país que más sanciones ha puesto a Pymes en el marco europeo. Y, como siempre, al margen del importante coste económico, lo más preocupante tiene que ver con la pérdida de reputación de la empresa. Este es el intangible más apreciado y que tenemos que preservar a toda costa.

Este tiempo no ha estado exento de dificultades. Solo hay que recordar la anulación del Acuerdo Privacy Shield que daba cobertura jurídica a las transferencias de datos entre Europa y los Estados Unidos. O las modificaciones en la regulación de las cookies que, todavía hoy, incumplen muchas empresas.

Y no olvidemos la tecnología que avanza a pasos agigantados, mientras que la normativa le sigue al ritmo que puede. Con la pandemia hemos visto el auge de las videoconferencias y el teletrabajo con sus dificultades para preservar la privacidad. Y otros, como por ejemplo, el reconocimiento facial o de voz, la Inteligencia Artificial (IA), el Big Data o el Blockchain que empezaban a aparecer o directamente no existían cuando empezaron los trabajos del Grupo de Trabajo del artículo 29, allá por el 1996.  

Un balance, al fin, bastante positivo en general. Pero queda mucho camino por recorrer.

Cuidaos!

Claves sobre la Protección de Datos en el trabajo

por

La Agencia Española de Protección de Datos ha publicado una guía sobre protección de datos y relaciones laborales. El documento encara cuestiones como la consulta del empleador en las redes sociales, los sistemas  internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de datos de las víctimas de acoso al trabajo, los de las mujeres supervivientes a la violencia de género o el uso de tecnología wearable como elemento de control.

La protección de datos en el ámbito laboral siempre ha sido rodeada de polémica. Hasta hace poco, pero, se mantenía en la colisión de los derechos fundamentales del trabajador respecto a su intimidad con el uso – y muchas veces abuso- de la tecnología por parte de la dirección empresarial. El acceso indebido a las comunicaciones electrónicas del trabajador (caso Barbulescu) o la utilización indiscriminada de las cámaras de vigilancia son dos de los ejemplos más conocidos.

La Agencia aborda ahora temas de mucha actualidad. Por ejemplo, el uso de las redes sociales por parte de los departamentos de selección de personal que no  tienen permiso para indagar en los perfiles de los candidatos, ni durante el proceso de selección ni durante la ejecución del contrato, aunque el perfil sea de acceso público. La empresa, incluso, no está legitimada para solicitar “amistad” a los candidatos para que proporcionen acceso a contenidos de sus perfiles.

En cuanto a los sistemas internos de denuncias, se admiten denuncias anónimas y, cuando no lo sea, la confidencialidad de la información y del denunciado tienen que preservarse. Solo se podrán acceder a estos datos en caso de procedimientos disciplinarios y notificaciones a las autoridades de hecho constitutivos de ilícito penalti o administrativo.

Respeto al registro de jornada laboral, la AEPD recomienda que este sea lo menos invasivo posible, sin que sea de acceso público ni visible por todos. Y esta información no se puede usar para finalidades diferentes como, por ejemplo, geolocalizar al trabajador.

La Agencia se ocupa también de las víctimas de acoso al trabajo y de la violencia de género, otorgando a todos los efectos la consideración de categoría especial de los datos personales, considerándolos datos sensibles que requieren una protección reforzada.

La Agencia recuerda que la única base jurídica que legitima el tratamiento de los datos es la ejecución de un contrato de trabajo (además del imperativo legal o por un convenio colectivo).  Y hay que facilitar la información correspondiente, explicar los derechos que asisten a los trabajadores en esta materia y como ejercerlos.

Son todos temas relevantes en el ámbito laboral que, empresarios y trabajadores tienen que tener muy presente en el día a día.

Cuidaos!

IA, Marketing y Protección de Datos

por

IA, Marketing y Protección de Datos

La inteligencia artificial (IA), en contraposición a la natural, se la inteligencia llevada a cabo por las máquinas. Marvin Minsky asigna a la inteligencia artificial la “realización de sistemas informáticos con un comportamiento que en el ser humano calificaríamos de inteligente”. Está destinada a resolver los tipos de problemas que, hasta ahora, estaban reservados a los seres humanos.

Las aplicaciones cotidianas de la IA son cada vez más frecuentes: cuando hablamos con un asistente de voz (Alexa) que aprende de nuestros gustos, consultamos una ruta en tiempo real en Google Maps, aplicaciones de streaming como Spotify o Netflix aprenden de nuestras preferencias y de nuestra actividad para hacernos recomendaciones. Y que decir del inefable Facebook que, un estudio de La Universidad de Stanford concluyó que la red social podía juzgar nuestra personalidad mejor que los amigos o la familia, e incluso, mejor que nosotros mismos. Todo a partir de un determinado número de likes (y no demasiados).

Cómo es natural, la IA tiene una infinidad de campos de trabajo. Uno de ellos, y uno de los más importantes, es el marketing digital. Entre las capacidades necesarias para desarrollar una estrategia de marketing digital, hay una imprescindible que es la capacidad analítica. Y aquí la IA resulta imprescindible para, por un lado, conocer las motivaciones, los objetivos, las aspiraciones y el comportamiento de los usuarios y, por el otro, el análisis de los resultados de todas las actividades de marketing que llevamos a cabo.

La IA nos puede ayudar, por ejemplo, en el análisis predictivo (podemos avanzarnos a las necesidades del usuario para ofrecerle productos y servicios incluso antes de que sea consciente); en la gestión de clientes (CRM) para gestionar leads (clientes potenciales) y convertirlos, vía embudo de ventas, finalmente en clientes; naturalmente, podemos usar IA para publicidad digital nativa usando cookies (o píxeles de FB), chatbots y técnicas de Machine Learning. Incluso nos puede ayudar en la generación de contenidos gracias a la tecnología de Procesamiento del Lenguaje Natural (PLN).

Y todo esto de la IA parte de datos, de nuestros datos, para dar resultados. Y, como son nuestros datos, ha generado, como dice la AEPD, muchas dudas entre usuarios, especialistas, autoridades y la industria en relación a aspectos de cumplimiento normativo, respecto a los derechos de los interesados y seguridad jurídica de todos los intervinientes.

No hay duda de los inmensos beneficios que nos reporta ya la IA y los que nos reportará en el futuro. Pero hace falta que tengamos presente que no todo vale y que nuestra privacidad es la última frontera de la tecnología. Traspasada esta, el futuro será muy complicado.

Cuidaos!

Data Pro Quo

por

Quid pro quo es una expresión latina, de uso muy frecuente en el ámbito jurídico, que podríamos traducir como “una cosa por otra”. Se refiere a lo que se da a cambio de otra cosa.

Aprovechando el juego de palabras, la empresa Shackleton ha presentado Data Pro Quo, la primera máquina vending en la que se paga con datos. Sí, los productos no se pagan con dinero sino con nuestros datos. Partiendo del concepto de que los datos son la nueva moneda, la empresa lo ha llevado a la práctica de forma literal.

Ya estamos acostumbrados a cambiar datos por servicios, aunque hasta ahora lo hacíamos de forma implícita. Lo hacemos cada día una docena de veces: cuando queremos entrar en una página web (recordemos las cookies), cuando queremos descargar un documento o un ebook, cuando nos instalamos una app y tantos otros ejemplos.

Ya hace tiempo que perdimos la inocencia. Al principio pensábamos que los productos y servicios en línea eran gratuitos. Llenábamos formularios a diestro y siniestro, bajábamos cualquier tipo de infoproducto como si no hubiera un mañana y, por supuesto, instalábamos apps cada día (¿habéis contado cuántas apps tenéis instaladas en el móvil?). Por no hablar de las redes sociales que son verdaderas yonquis de los datos.

Porque todo este capital de datos que corre por Internet requiere una colosal infraestructura formada, entre otras, por centenares de miles de servidores, millones de kilómetros de fibra óptica y una gestión brutal de la energía necesaria por que nosotros podamos enviar un whastapp. Y esto tiene un coste muy elevado.

Con Data Pro Quo nos encontramos con la primera propuesta honesta de intercambio de datos por producto. El funcionamiento es el mismo que cualquier máquina de vending en la que el usuario elige el producto que quiere comprar. Y para pagar, en vez de dinero o tarjeta (no se admite otro forma de pago), tiene que responder a una serie de preguntas empezando por el cargo (la máquina está destinada a entornos corporativos) y, en función del perfil, aparecen diferentes cuestiones que, una vez contestadas, dan acceso al producto deseado.

Además de honesta y creativa, la propuesta es inteligente en el sentido que considera al usuario como una persona formada, que valora su privacidad y a quien, de forma abierta, se le puede proponer el intercambio de datos por producto.

Como siempre, tendremos que estar atentos a la gestión de los datos, una vez recogidos, desde el punto de vista de la privacidad y el control que haga la empresa sobre el riesgo de un eventual escape de datos del servidor interno. Pero esto será tema de otro post.

Cuidaos!

Por un puñado de dólares …

por

Este es el título de una famosa película de 1964, en la que el prolífico director de cine Sergio Leone dirigía al inefable Clint Eastwood en un spaghetti western que se convirtió en un clásico del género. No os comentaré la cinta, solo aprovecho el título para haceros la reflexión de que a menudo hay ahorros que se convierten en disgusto.

Recientemente, la Agencia Española de Protección de Datos (AEPD) publicó su Memoria AEPD 2020. El primer titular es que, durante el 2020, se presentaron un total de 10.324 reclamaciones. Casi 50 diarias, en día laborable. Y podríamos añadir cerca de un millar si añadimos los casos transfronterizos.

Las reclamaciones más frecuentes tienen que ver con servicios de Internet, inclusión indebida en ficheros de morosos, videovigilancia, recepción de publicidad y reclamación de deudas. Por sectores, los más sancionados son las entidades financieras y acreedoras, Administraciones Públicas y las empresas de telecomunicaciones.

También se han realizado 29 intervenciones con carácter de urgencia por la retirada de contenidos sexuales o violentos, difundidos por Internet, asociadas al Canal prioritario, con un porcentaje de éxito superior al 86%.

Es importante destacar el hecho de que, a pesar de la pandemia, la actividad de la Agencia se ha mantenido, poniendo de manifiesto que la implantación del teletrabajo no ha disminuido la capacidad de trabajo del Organismo.

Os pueden parecer que las reclamaciones son muchas o pocas. A mi parecer, son suficientes para reflexionar sobre si merece la pena o no que, “por un puñado de euros”, nos pongamos en manos de profesionales que nos ayuden a cumplir con la ley.

Porque siempre decimos que el coste de la adecuación de la empresa es un coste cierto pero que el coste de no adecuarse es imprevisible. El primero se puede imputar ordenadamente en la contabilidad de la empresa mientras que el segundo nos puede hacer desestabilizar la cuenta de resultados y, lo que todavía es más importante, afectar negativamente a nuestra reputación. Y esta última cuesta mucho de recuperar.

Adecuar la empresa a la normativa de protección de datos genera confianza entre empleados (son los primeros que sufren la desconfianza), a clientes y proveedores (¿somos una buena empresa pero no cumplimos con la normativa de protección de datos?),  y administraciones (si queremos, por ejemplo, licitar). Hagamos las cosas bien hechas. Cumplamos con la normativa y evitemos sanciones y daño reputacional.

Cuidaos!

Posiblemente la broma telefónica más cara del mundo

por

 

La Agencia Española de Protección de Datos publicó el pasado martes la Memoria anual del ejercicio 2020. Durante dicho ejercicio, se presentaron un total de 10.324 reclamaciones al organismo.

Las reclamaciones planteadas con mayor frecuencia el pasado 2020 hacen referencia a:

  • Servicios de internet (16%)
  • Inserción indebida en ficheros de morosidad (15%)
  • Videovigilancia (12%)
  • Recepción de publicidad (7%)
  • Reclamación de deudas (6%)

Vemos como las reclamaciones relacionadas con servicios de internet encabezan la lista, con un incremento del 5% respecto al año pasado.

Un ejemplo a destacar es el procedimiento instruido a Miraclia por “la utilización de los datos personales del reclamante para hacerle una broma mediante una llamada telefónica a su móvil, sirviéndose para ello de una app”. La llamada fue grabada y difundida a terceros sin el consentimiento del afectado. Pues bien, la broma costó a Miraclia dos sanciones de 20.000 € cada una, es decir 40.000 €. Añadiéndole el daño reputacional a la marca, posiblemente sea la broma telefónica más cara del mundo. Además, Miraclia tuvo que adecuar sus tratamientos a la normativa de protección de datos.

Por último, en 2020 la Agencia ha dictado 393 resoluciones sancionadoras, lo que supone un incremento del 16% respecto al año anterior. En este caso, las áreas más frecuentes con expedientes sancionadores son videovigilancia seguida de servicios de internet. Sin embargo, los sectores que se llevan la palma en cuanto a importe de sanciones son el sector bancario y el de telecomunicaciones, que solo este 2020 entre los dos alcanzan los 8 millones de euros en sanciones, un incremento del 27% respecto al 2019.

Vemos pues que, a pesar de la pandemia, la AEPD sigue actuando con firmeza, y no le tiembla el pulso a la hora de sancionar. Y todo apunta a que la tendencia en número de sanciones siga creciendo en los próximos años.

Cuidaos.

Revisión Textos Legales Web