Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

FanPages, cumplimiento obligado del RGPD

17 de diciembre de 202110 de diciembre de 2021 por Ricard Castellet

A raíz de una consulta empresarial, hacemos este post para aclarar conceptos sobre la relación entre las FanPages y el RGPD. La respuesta corta es que sí, las empresas que las usan tienen que cumplir con la normativa de protección de datos.

Empezaremos para explicar, para quien no lo sepa, qué es una FanPage. Las fanpages son una funcionalidad que Facebook introdujo ya hace años. Es una página creada especialmente para ser un canal de comunicación con fans dentro de la red social.

A diferencia de los perfiles, son espacios que reúnen a personas interesadas sobre un asunto, empresa, causa o algún rasgo en común sin la necesidad de la aprobación de la solicitud de amistad. Es el fan el que elige si seguirá o no las actualizaciones de una determinada página.

Son canales de comunicación muy apreciados por las empresas porque es una forma económica, rápida, sencilla y cuantificable de comunicar en tiempo real con clientes potenciales. Una especie de televisión o radio pero con unos costes infinitamente más económicos.

La consulta que nos hacía el empresario era básicamente sobre dos puntos ¿Estamos obligados a cumplir con el RGPD? y, si es así, ¿Qué tenemos que hacer?

A efectos de la normativa de protección de datos, estas páginas funcionan como una página web. Recogen datos personales de los usuarios y, por lo tanto, se tiene que aplicar la misma normativa, es decir, proporcionar acceso al Aviso legal, a la Política de Privacidad y a la Política de Cookies de la empresa. Y naturalmente que toda la documentación cumpla la normativa vigente. Si además, como es frecuente, la empresa instala el píxel de seguimiento de Facebook, con más motivo. Pero del píxel ya hablaremos otro día.

Dicho esto y entienden que es una página situada en una plataforma en la que la empresa tiene muy poco margen de maniobra, conviene establecer quién es realmente el responsable de los datos personales, la empresa o Facebook. Pues bien, lo son los dos.

Una sentencia de junio de 2018 del Tribunal de Justicia de la Unión Europea resolvió que el concepto de responsable del tratamiento comprendía también al administrador de un página web alojada en una red social. Según la sentencia, a pesar de que Facebook trata los datos personales mediante cookies sin informar a la empresa, no es menos cierto que FB pone a disposición de la empresa estadísticas (anónimas) de los visitantes y que la empresa puede definir criterios a partir de los cuales se tienen que elaborar las estadísticas e, incluso, designar las categorías de personas los datos de las cuales serán objeto de explotación por parte de FB. La sentencia concluye que el administrador de la página tiene que ser calificado como responsable del tratamiento conjuntamente con FB.

Por lo tanto tenemos que cumplir con lo siguiente: informar de los datos y su finalidad, recoger el consentimiento explícito para el tratamiento, pedir solo los datos necesarios, no usar los datos con una finalidad diferente a la pedida, no conservar los datos más tiempos del necesario, implementar medidas organizativas adecuadas, atender las solicitudes de ejercicio de los derechos de los usuario y crear la correspondiente actividad en el Registro.

Como siempre, atentos a todos los detalles de cumplimiento. Y si tenéis dudas, consultadnos.

Y lo más importante, cuidaos!

Registro de Jornada y Datos biométricos, una relación difícil

5 de noviembre de 2021 por Ricard Castellet

El tratamiento de datos biométricos siempre comporta una dificultad añadida cómo es la de realizar la obligatoria Evaluación de Impacto (EIPD). La identificación biométrica implica el tratamiento de categorías especiales de datos para las cuales el Reglamento requiere garantías reforzadas. Las identificaciones más comunes de este tipo son la facial y la huella digital. De esta última y de las consecuencias de hacerlo mal hablamos en este post.

Y es que la AEPD acaba de sancionar a una empresa por implantar indebidamente un registro de jornada laboral mediante la huella digital. En la resolución se imputa a la reclamada que, al tratarse de datos de categoría especial y existiendo la obligación de hacer una Evaluación de Impacto, incumplió el artículo 35 RGPD. Este artículo dice que cuando sea probable que el tratamiento, en especial si se usan nuevas tecnologías, puede comportar un alto riesgo para los derechos y libertades de las personas físicas, el responsable realizará, antes del tratamiento, una Evaluación de Impacto de las operaciones de tratamiento en la protección de datos personales.

En la Resolución, la AEPD considera que la empresa trataba datos de categoría especial, datos biométricos, pero la empresa insiste en que la tecnología empleada es la de verificación / autenticación biométrica que no entra en la categoría especial de datos y, en consecuencia, no exigiría la realización de EIPD. Los datos de identificación biométrica que permiten identificar de manera unívoca a una persona física serían las que obligarían a realizar la Evaluación, como es el caso que nos ocupa.

También señala la Resolución que existen medios menos intrusivos para mantener este tipo de registros y que la tecnología empleada no superaba el necesario juicio de proporcionalidad que se tenía que haber hecho y que hay sistemas alternativos como, por ejemplo, tarjetas identificativas.

Desde el punto de vista laboral, la Agencia considera que las empresas no tendrían que ampararse en el consentimiento como base legitimadora del tratamiento, salvo que se trate de casos excepcionales. Esto es porque no se parte de una posición de equilibrio entre las partes ya que en la relación laboral hay una relación de subordinación. El consentimiento solo puede ser válido si el interesado puede realmente elegir y no existe un elemento de compulsión, presión o incapacidad para ejercer la libre voluntad. Además, tiene que ser posible retirarlo en cualquier momento, sin coste ni desventaja para el interesado, y se tienen que ofrecer alternativas. Por último, los interesados tienen derecho a la supresión de los datos cuando el consentimiento se ha retirado.

Como conclusión, decir que la tecnología de reconocimiento biométrico es muy invasiva, que hay que distinguir entre identificación biométrica (requiere Evaluación de Impacto) y autenticación biométrica, menos intrusiva, y que hay sistemas más proporcionados para llevar el control de la jornada horaria de los trabajadores. Importante tener esto en cuenta, porque la sanción asciende a 20.000 € para este caso concreto.

Como siempre, cuidaos!

Fotos y Redes sociales, amistades peligrosas

22 de octubre de 2021 por Ricard Castellet

No hace falta recordar la implantación de las redes sociales en nuestra sociedad, con tasas de penetración entre los internautas superiores al 80% en Whatsapp o Facebook, y de la facilidad que nos ofrece la tecnología para hacer fotografías (o copiarlas) para subirlas en las redes y distribuirlas en segundos a millones de usuarios. Lejos queda aquella fotografía analógica que quizás tenía más “glamur” pero, por supuesto, no tenía las ventajas de las fotografías digitales. Pero estas ventajas, si no somos cuidadosos, nos pueden complicar mucho la vida.

Y esto viene a cuenta por la alerta de la Fiscalía de Delitos Informáticos de Barcelona sobre el aumento, coincidiendo con la pandemia, de denuncias ante la policía por la captación de fotos que las adolescentes, principalmente chicas entre 12 y 18 años, cuelgan en las redes sociales para utilizarlas como reclamo en portales pornográficos de pago a Internet.

Habéis leído bien. Las adolescentes -desde los 12 años- suben fotos con poca ropa o en bikini y en posturas más o menos explícitas, para atraer más seguidores. Y las web pornográficas usan estas imágenes para promocionar sus propias páginas, aprovechándose incluso, de la popularidad que estas chicas pueden tener como “influencers”.

A pesar de ser llamativa esta utilización injusta de las fotografías como anzuelo, no es ni de lejos la única amistad peligrosa que podemos encontrar en el binomio fotos y redes. Aquí recogemos algunos.

Menores. Los progenitores, independientemente de su estado civil, son los responsables de que se respeten el derecho a la imagen, al honor y a la intimidad del menor. Y son los que tienen que autorizar que se compartan imágenes de sus hijos. A partir de los 14 años pero, según la Ley Orgánica 3/2018 (LOPD), es el menor quien tiene que autorizar la publicación.

Derechos de autor. Partiendo de la Ley de Propiedad intelectual, tenemos que tomar precauciones para respetar los derechos de autor. Tenemos que recordar que los derechos de explotación de las fotografías pertenecen en exclusiva a su autor. Para compartir fotografías en las redes sociales, tenemos que contar con una autorización exprés del autor. Otro día profundizaremos más en este tema.

Ámbito laboral. El uso indebido de las redes sociales en horario laboral puede ser un agravante en caso de despido disciplinario. A tal ejemplo, fotografiarse conduciendo el vehículo de empresa en horario laboral sobrepasando el límite de velocidad o publicar una foto en Facebook, identificándose cómo trabajador de la empresa, recomendando a sus seguidores no comprar en esta empresa.

Delitos. Subir fotografías en la red puede ser constitutivo de delito en determinados casos. Los más conocidos son el Cyberbullying (acoso), Stalking (persecución), Grooming (pederastas en Internet) o Sextorsión (chantaje sexual). Por parte de las víctimas existen comportamientos que, a pesar de ser inocentes, ponen en peligro su intimidad y pueden dar pie a ser atacados. Hablan de Oversharing (sobreexposición), Sharenting (sobrecompartició) o Sexting (enviar/recibir fotografías más o menos explícitas).

Consecuencias del uso indebido. En función de la naturaleza de la conducta, la gravedad y su encaje penal, nos podemos encontrar desde una multa hasta una condena a prisión. Por eso hay que estar muy atento a estas “amistades peligrosas.

Como siempre, ¡cuidaos!

Whatsapp: el coste de las cosas mal hechas

15 de octubre de 202115 de octubre de 2021 por Ricard Castellet

Cuando llega septiembre, los grupos de Whatsapp se multiplican sin control. Empezando por las escuelas que hacen grupos de padres (de clase, de natación, ...) hasta los grupos deportivos para jugar a pádel o a fútbol, pasando por todo tipo de colectivos (una boda, por trabajo, etc.) de lo más variado, todo el mundo se anima a apuntarse y a apuntar otros a los grupos. Pero como todo, se tiene que hacer bien para no sufrir las consecuencias.

Incluir en un grupo a personas sin su consentimiento puede comportar sanciones económicas. Esto es el que le ha pasado a un Club deportivo el cual, en una reciente resolución de lo Agencia Española de Protección de Datos (AEPD), ha sido sancionado con una multa de 4.000€ por añadir el número de teléfono de una usuaria a un grupo de Whatsapp sin pedirle autorización.

Se trata de una infracción administrativa que puede ser sancionada con una multa de hasta 20.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior. Sin embargo, la AEPD considera graduar la sanción al entender que la acción ha estado negligente no intencional, pero significativa puesto que, a pesar de que la reclamante no es clienta desde hace más de 10 años, el Club todavía conservaba sus datos. El centro deportivo debería haber dado de baja los datos cuando dejó de ser socia.

Además, el Club ha tratado los datos personales de la reclamante sin su consentimiento. La ley determina que el tratamiento solo será lícito si el interesado ha dado su permiso para el tratamiento específico.

El Club también cometió dos infracciones más, contra la seguridad del tratamiento, por no garantizar la confidencialidad de los datos como consecuencia de unas medidas de seguridad (técnicas y organizativas) inadecuadas.

Por cada una de las infracciones, la AEPD impone una sanción de 1.000€ que suman un total de 4.000€.

Aprovechamos para recordar, y para ahorrar disgustos, que la normativa no se aplica al tratamiento de datos personales llevado a cabo por una persona física en el ejercicio de actividades exclusivamente personales o domésticas (por ejemplo, en un grupo de WhatsApp para celebrar un cumpleaños o una reunión de antiguos alumnos creado por un padre o un ex-alumno). Como las distinciones no son siempre claras, recomendamos, en caso de duda, realizar una consulta previa con un experto en la materia. Más vale prevenir que curar.

Y recomendar, como siempre, hacer las cosas bien y que tenemos que medir las consecuencias no tan solo en términos económicos, que también, sino en términos reputacionales, que siempre son más onerosos para el profesional o la empresa.

Cuidaos!

¿Facebook? ¿Qué sorpresa?

8 de octubre de 2021 por Ricard Castellet

Frances Haugen, de 37 años, que trabajaba como responsable de producto en el equipo de integridad cívica de Facebook (FB), fue entrevistada domingo por CBS. Dijo que los documentos que filtró demostraban que Facebook priorizaba repetidamente el "crecimiento por encima de la seguridad". Facebook dijo que las filtraciones eran engañosas y que habían pasado por alto las investigaciones positivas realizadas por la compañía.

Cómo dice el titular, ¡qué sorpresa! Ya hace muchos años que FB es fuente de controversia por sus prácticas que se pueden calificar, como poco, de oscuras o de delictivas directamente. Recordamos el famoso escándalo de Cambridge Analytica con el uso de información de millones de usuarios sin su consentimiento para comercializarlos ilegalmente con terceros. Desde tratar a las personalidades de manera diferente según sesgos interesados hasta ser acusado de dar una respuesta “débil” a las preocupaciones de sus trabajadores sobre el tráfico de personas, pasando por afrontar demandas de sus propios accionistas o hacerse autopublicidad a través de los feeds de noticias de los usuarios para mejorar su imagen. Todo son ejemplos de mala praxis como poco. Whatsapp, compartiendo información de los usuarios con FB, y Instagram acusada por las adolescentes de hacerlas sentir mal con su cuerpo, tampoco se libran.

Y, mientras tanto, el penúltimo susto lo hemos sufrido esta misma semana con la caída simultánea de toda la red de FB (además de FB, cayeron Whatsapp, Instagram, Messenger y Oculus) y la interrupción de los servicios que ha afectado a millones de usuarios. Incluso a trabajadores de FB que no se podían comunicar entre ellos y que tuvieron que usar herramientas alternativas de la competencia. Está claro que esto deber una cuestión del karma. No hay otra.

Y decía penúltimo susto porque, y todavía no ha acabado la semana, ayer se publicaban informaciones que aseguran que están a la venta datos personales de más de 1.500 millones de usuarios de FB en foros de hackers. Si la noticia se confirma, ya que siempre conviene ser cauteloso con este tipo de información, definitivamente, esta no es la semana de Marck Zuckerberg.

A propósito de todo esto, podemos hacer un par de reflexiones sobre la marcha. La primera, obvia, es que el modelo de negocio de FB necesita regularse. Parece evidente que la autoregulación por parte de las big-tech (no hablamos solo de FB) no funciona. Estas compañías han experimentado, en veinte años, unos crecimiento exponenciales que se los ha proporcionado unos poderes y una influencia (sobre usuarios, empresas y, incluso, gobiernos) extraordinarios, sustentados con unos rendimientos económicos fabulosos. No había estado nunca al alcance de nadie poder dirigirse simultánea e instantáneamente a miles de millones de habitantes con cualquier mensaje sin ninguna traba. Y, además, poder hacer con los datos personales, literalmente, lo que les interese en cada momento.

La segunda reflexión, también obvia, es que, en este estado de la cuestión y a modo individual, tenemos que poner nuestros medios para preservar nuestra privacidad. Conductas adecuadas, protocolos, herramientas y todo aquello que esté a nuestro alcance lo tenemos que poner en marcha por nuestra cuenta.

Como siempre, cuidaos!

Videovigilancia, despido y protección de datos

2 de octubre de 202117 de septiembre de 2021 por Ricard Castellet

En una reciente sentencia, el Tribunal Supremo ha admitido que un despido se pruebe con un video que vulnera la protección de datos. El Supremo afirma que la grabación puede ser admisible en un procedimiento laboral aunque en otro procedimiento se establezca que atenta contra la normativa de privacidad. Esta diferenciación tiene importantes consecuencias, como veremos a continuación.

El caso se dio cuando una empresa de seguridad despidió a un guardia de seguridad por transgresión de la buena fe contractual, fraude, abuso de confianza y deslealtad al no llevar a cabo las tareas encomendadas (revisión de vehículos en la entrada del recinto) por la empresa y firmar y librar los registros diarios como que efectivamente se habían hecho.

Según la resolución conocida días atrás, lo relevante es que el trabajador conocía la existencia del sistema de videovigilancia y que la grabación es válida como prueba, sin perjuicio que la empresa pueda tener otras responsabilidades en el ámbito de la normativa de protección de datos. En consecuencia, el Supremo obliga a repetir el juicio en el que las imágenes no fueron admitidas como prueba.

La Sala de lo Social del Supremo recuerda que el artículo 89.1 de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) establece que, en el supuesto de comisión flagrante de un acto ilícito por parte del trabajador, y siguiendo la sentencia del TEDH conocida cómo López Ribalda II, se entenderá cumplido el deber de informar cuando exista un dispositivo informativo con datos pertinentes y claramente visible. No es obligado especificar “la finalidad exacta que se ha asignado al control en cuestión”.

Al empresario, pero, es a quien le corresponde aportar las pruebas necesarias para demostrar la veracidad de los hechos imputados a la carta de despido. En esta línea, el Supremo añade que, de acuerdo con el artículo 24.2 de la Constitución, el empresario tiene derecho a utilizar “los medios de prueba pertinentes para su defensa”.

Dice también la sentencia que el hecho de que las cámaras fueran de Ifema y no de Securitas puede ser relevante desde el punto de vista de la protección de datos pero no tiene que llevar a impedir que Securitas aporte en un juicio laboral unas grabaciones que pueden ser necesarias para satisfacer la carga de la prueba que sobre ella recae.

En este caso, el Supremo entiende que la prueba era “una medida justificada, idónea, necesaria y proporcionada al fin perseguido” satisfaciendo así las exigencias de proporcionalidad que imponen la jurisprudencia del constitucional y el TEDH.

Por todo el expuesto, el Supremo admite el recurso de casación planteado por la empresa y devuelve el asunto al juzgado de lo Social que resolvió en primera instancia, mandando que celebre un nuevo juicio admitiendo las grabaciones como prueba.

Esta resolución abre una puerta interesante cuando asegura que “nuestro examen se ha de ceñir a si la prueba debió o no admitirse, sin que deba extenderse a si se cumplieron todos los requerimientos de la legislación de protección de datos, tanto desde la perspectiva de la relación de la empresa con el trabajador despedido, como de la relación entre Securitas e Ifema”.

Como siempre, cuidaos!

¿Es obligatorio contestar a las demandas de empleo?

10 de septiembre de 2021 por Ricard Castellet

Estamos en unas circunstancias económicas que hace que las demandas de empleo sean bastante elevadas. Las empresas reciben un número creciente de currículums, muchos de ellos no solicitados, que se tienen que gestionar, entre otros, desde el punto de vista de la Protección de Datos. A raíz de una resolución de la AEPD, hoy nos ocupamos de uno de ellos: la obligatoriedad de la empresa de informar sobre que hará con el CV.

Hasta ahora, no responder a los candidatos que se inscriben a una oferta de trabajo ni informarle del tratamiento que tendrán sus datos personales es un práctica habitual en las empresas por diferentes razones: falta de protocolos, de información, desinterés o, simplemente, saturación de trabajo.

Pero esta situación puede cambiar radicalmente porque la Agencia Española de Protección de Datos (AEPD) acaba de sancionar a una empresa con 2.000€ de multa por no identificar de forma apropiada al responsable del tratamiento, ni comunicar al candidato la posibilidad de ejercer sus derechos ante el responsable del tratamiento, ni el destino que iban a tener sus datos. Además, la entidad reclamada no disponía de Delegado de Protección de Datos (DPD).

El trámite se efectuó por WhatsApp, lo cual nos pone en alerta porque cuando abrimos un canal de comunicación nuevo, como puede ser un sistema de mensajería frente al convencional correo electrónico, tenemos que ser cuidadosos e implantar un protocolo en la empresa que tenga en cuenta las particularidades y especificaciones del canal para evitar sorpresas posteriores. En el presente caso, el candidato contactó por teléfono y remitió el CV por WhatsApp, sin recibir acuse de recibo.

El candidato remitió a la AEPD los pantallazos con los mensajes intercambiados por WhatsApp, en las que no aparece ninguna información relativa al tratamiento de los datos. La empresa reclamada no procedió a presentar alegaciones ni pruebas en el plazo de audiencia por lo cual la Agencia continuó con el procedimiento.

La AEPD considera que se ha infringido el artículo 13 del RGPD que hace referencia a la información sobre el tratamiento que se tiene que facilitar a los interesados cuando los datos personales provienen de él mismo, así como el resto de información necesaria para garantizar un tratamiento de datos leal y transparente.

Otro día hablaremos del resto de obligaciones que tenemos hacia los candidatos como la manera y el tiempo de conservación de los currículums y de los protocolos que la empresa tiene que tener implantados para dar respuesta a las candidaturas. Pero lo que nos tiene que quedar claro es que tenemos que estar bien asesorados y cumplir con nuestras obligaciones. De otro manera, podemos ser sancionados y, lo que es peor, sufrir una pérdida reputacional que puede costar mucho de recuperar.

Mientras tanto, ¡cuidaos!

¿Y las contraseñas?

18 de junio de 2021 por Ricard Castellet

A propósito de una reciente resolución de la AEPD en la que aparece como indicador de un uso no diligente de sus claves por parte de un usuario, escribimos este post. El caso es que las claves aparecieron en el sitio web haveibeenpwned.com. En la resolución se alega que el reclamante es un exponente de acreditada escasa diligencia en la gestión y custodia de sus credenciales.

Podríamos traducir libremente del inglés el término “pawned” como “comprometido”. El sitio web ofrece un servicio gratuito para que el usuario pueda comprobar si su dirección de correo electrónico o contraseñas aparecen en sus listas y, en consecuencia, si sus claves han sido comprometidas y conviene cambiarlas inmediatamente.

¿Por qué son importantes las contraseñas?

Acceso a la gestión de la información, utilización de servicios como la banca en línea o compras por internet son tres ejemplos cotidianos en los que usar contraseñas adecuadas resulta imprescindible.

Si pueden suplantar nuestra identidad, pueden tener acceso a nuestra información confidencial (por ejemplo, la almacenada en el cloud con documentos, fotos y videos, etc.), entrar en nuestra cuenta bancaria (con consecuencias imprevisibles) o hacer compras importantes que tendremos que pagar nosotros.

¿Qué tenemos que hacer?

La mayoría de consejos que se pueden dar son de sentido común. Sobre todo, de aquello que no se tiene que hacer. Post-it en el monitor, bajo el teclado, libretas con lista de claves, ... son prácticas que ya hace tiempo tendrían que estar desterradas.

En cualquier caso, conviene insistir.

No compartir la contraseña con nadie.
Contraseñas robustas (al menos 8 caracteres, mayúsculas, números, símbolos, ...
No usar la misma contraseña en diferentes servicios. Por ejemplo, la del banco y la de Facebook (FB).
No entrar en un servicio con la cuenta de Google o FB. Si este se ve comprometido, el atacante tendrá acceso a todos los servicios que dependen de esta cuenta. Y de otros muchos porque, estéis seguros, lo probarán con todos.
Cuidado con las preguntas de seguridad. Solo tú deberías conocer la respuesta (y que no se pueda deducir de tus redes sociales, como la fecha de nacimiento, nombre de la mascota, etc.).
Usar siempre que sea posible el doble factor de autenticación (2FA).
Utilizar gestores de contraseñas. Hay muchas opciones en el mercado a precios muy asequibles.

¿Qué pasa si nuestra cuenta aparece a haveibeenpwned.com?

Pues obviamente estamos ante una situación comprometida y tenemos que actuar inmediatamente.

Primero identificando los correos y contraseñas que han sido expuestos. A continuación, usando un gestor, generar contraseñas fuertes y diferentes por todos los servicios comprometidos, empezando por los más críticos (primero el banco antes que FB) y cambiarlas todas.

Cuidaos!

Las cookies, bien. ¿Y el resto?

11 de junio de 202111 de junio de 2021 por Ricard Castellet

Ya hemos hablado en varias ocasiones del tema de las cookies. Hay que entender que a estas alturas ya sabemos como debe funcionar la solución que tenemos que implementar para que el usuario pueda hacer efectivo su derecho de conocer y elegir las cookies que quiere instalar en su ordenador. Pero, y el resto?

Pues sí, la solución de cookies para nuestra web es condición necesaria pero no suficiente. Y no lo es porque la web necesita otros textos legales para cumplir con la normativa de protección de datos y, muy importante, requiere que la empresa esté adecuada al RGPD y la LOPDGDD.

Es obvio que la web es la parte visible de la empresa y que los textos legales que aparecen se pueden ver y valorar por personas externas a la empresa. El primer colectivo que lo hace es el de clientes y usuarios. Y no es el único: empleados, accionistas, proveedores, competencia, administraciones públicas y todos los grupos de interés que rodean a la empresa también lo hacen. Y, naturalmente, las autoridades de control en protección de datos y del ámbito mercantil, entre otros, también ven y revisan nuestras páginas legales.

Aquí también, vuelve a ser condición necesaria pero no suficiente el disponer de los textos legales sin que la empresa esté adecuada. Es más, si la empresa no está adecuada, no se pueden generar los textos legales que, simplemente, estaríamos cometiendo un fraude.

Y esta situación de fraude es más frecuente de lo que parece. Desde copiar y pegar textos legales de otra empresa a generar textos con apariencia de legalidad, el abanico de soluciones fake que se utilizan son muy variadas.

El camino correcto, por tanto, es adecuar la empresa a la normativa de protección de datos (RGPD y LOPDGDD) para, a continuación, generar los textos legales, incluyendo aquellos que dependen de la LSSICE.

Y que hay que hacer para adecuar nuestra empresa a la normativa? Sin pretender hacer una lista exhaustiva de las tareas a realizar, deberíamos empezar por una Auditoría que valore la situación inicial (descubrimiento de datos, medidas de seguridad, análisis de riesgos, ...). La segunda fase consistiría en definir el Registro de Actividades (RAT), establecer la Estructura técnica y organizativa, implementar las Medidas de Seguridad, diseñar los contratos con Intervinientes de tratamiento (empleados, terceros, ...) y generar toda la Información y Comunicación de los tratamientos necesaria desde Cláusulas de Personal, Tratamiento o Internet -Textos legales- entre muchos otros, hasta la redacción de los Informes Reglamentarios, Protocolos de Actuación y de Tratamiento, sin olvidar la importante gestión del ejercicio de Derechos.

Y las ventajas? Ser más transparente, generar confianza y, por tanto, más negocio de calidad. Y, por supuesto, evitar sanciones económicas y, sobre todo, la pérdida de reputación que, en muchos casos, puede ser irreversible.

En todos los casos, la adecuación sólo conlleva beneficios. Y dejarlo en manos de profesionales nos permite poder centrarnos en lo importante: nuestro negocio. Y tener la satisfacción de hacer las cosas bien hechas.

Cuidaos!