Álvaro Galán

Protección de datos y RGPD. Quemar después de leer.

A medida que se acerca el día 25 de mayo de 2018 crece la tensión entre los pequeños y medianos empresarios, pues parece que la maquinaria sancionadora del Estado va a comenzar a tragar, digerir, escupir y sancionar a toda aquella empresa que no adapte su política de privacidad de datos al nuevo Reglamento General de Protección de Datos (RGPD).

Nada más lejos de la realidad. Está claro que todos tenemos que cumplir las leyes y aceptar las normas que como empresa y/o empresario/a reconocemos en el momento de comenzar nuestra actividad profesional, pero también debemos tener en cuenta que existen muchas organizaciones y empresas que se aprovechan de la falta de conocimiento de sus clientes para lanzar campañas comerciales “hiper” agresivas que unidas, o mejor dicho estructuradas, sobre el fenómeno de la “Transformación Digital” (ese “cajón de sastre” que se utiliza ,en muchos casos, para decirte que te vas a gastar un montón de dinero en modernizar tu empresa aplicando una tecnología que no necesitas ni dominas, técnicas que no comprendes ni conoces y que en muchos casos siquiera son necesarias par tu negocio) están contribuyendo a crear este clima de ansiedad empresarial, generando una alarma que en muchos casos es absolutamente innecesaria.

En ÁLVARO GALÁN llevamos varias semanas recibiendo llamadas y emails de clientes realmente preocupados con los nuevos cambios en el RGPD, a los que acaba de visitar una empresa especializada en LOPD para advertirles de las sanciones millonarias que implica no aceptar los nuevos preceptos del reglamento. Por esta razón y como experto en comercio electrónico y marketing digital, he creído conveniente redactar este post con el fin de intentar ayudarte a entender cuáles son algunos de los principales cambios en política de protección y privacidad de datos. Es importante que sepas que las empresas que se verán más afectadas por este cambio de reglamento serán aquellas que operan o desarrollan su negocio en Internet u otras redes de datos.

 

Reglamento General de Protección de Datos (RGPD)

Determina la necesidad de establecer garantías de seguridad adecuadas contra el tratamiento no autorizado o ilícito, contra la pérdida de datos personales, su destrucción o el daño accidental. Esto implica el establecimiento de medidas técnicas y organizativas encaminadas a asegurar la integridad y confidencialidad de los datos personales y la posibilidad (artículo 5.2) de demostrar que estas medidas se han llevado a la práctica (responsabilidad proactiva).

 

¿Qué medidas mínimas tenemos que tener en cuenta?

ORGANIZATIVAS: Todo el personal con acceso a datos personales de terceros deberá tener conocimiento de sus obligaciones con relación a su tratamiento. La información mínima que deben manejar es la siguiente:

DEBER DE CONFIDENCIALIDAD Y SECRETO:

  • Se deberá evitar el acceso de personas no autorizadas a los datos personales. No dejes datos a la vista de otros usuarios, pantallas encendidas, si te vas del puesto de trabajo, apaga la pantalla, etc.
  • Los documentos en papel y soporte electrónico se almacenarán en lugar seguro (de acceso restringido) durante las 24 horas del día.
  • Todos los soportes con datos personales (papeles, Cd´s, etc.) deberán ser destruidos, no desechados.
  • Prohibido comunicar datos personales o cualquier información personal a terceros.
  • Recuerda que el deber de secreto y confidencialidad persiste incluso cuando se finalice la relación laboral con la empresa.

DERECHOS DE LOS TITULARES DE LOS DATOS:

Tienes que informar a todos los trabajadores acerca del procedimiento para atender los derechos de los interesados. Define los mecanismos por los que pueden ejercerse los derechos teniendo en cuenta lo siguiente:

  • Previa presentación de su DNI o Pasaporte, cualquier titular de datos personales puede ejercer su derecho de acceso, rectificación, supresión, oposición y portabilidad. Como responsable de un fichero de datos, debes dar respuesta a cualquier petición sin dilación.
  • Derecho de acceso: siempre facilitarás a los solicitantes la lista de los datos personales que has recogido, la identidad de los destinatarios de los datos, los plazos de conservación y la identidad del responsable ante el que pueden solicitar la rectificación supresión y oposición al tratamiento de los mismos.
  • Derecho de rectificación: si tienes datos inexactos o incompletos deberás modificarlos atendiendo a los fines del tratamiento.
  • Derecho de supresión: si alguien se opone a darte sus datos o a que los trates, deberás suprimirlos de inmediato si no existe deber legal que lo impida.
  • Derecho de portabilidad: los interesados deberán comunicar su decisión e informar al responsable anterior sobre la identidad del nuevo responsable al que facilitar sus datos personales.

VIOLACIONES DE SEGURIDAD DE DATOS DE CARÁCTER PERSONAL:

  • Si te roban un disco duro, te “hackean” el servidor o te entra un virus en un ordenador con datos personales de terceros, tienes que informar a la Agencia Española de Protección de Datos en las primeras 72 horas desde que descubriste la violación de datos. Puedes hacerlo a través de esta Web: https://sedeagp.gob.es

CAPTACIÓN DE IMÁGENES CON CÁMARAS Y FINALIDAD DE SEGURIDAD:

  • No se puede grabar en zonas de descanso de trabajadores.
  • Los monitores donde se visualicen las imágenes grabadas por las cámaras deberán estar en lugar de acceso restringido.
  • Las imágenes se almacenarán por un periodo máximo de un mes.
  • Debes informar acerca de la existencia de cámaras y grabación de imágenes mediante un pictograma y un texto en el que se detalle quién es el responsable ante el cual los interesados podrán ejercer su derecho al acceso.
  • Tienes que informar a los trabajadores o a sus representantes acerca de las medidas de control establecidas.
  • Para poder ejercer el derecho de acceso, cualquier interesado tendrá que presentar una fotografía reciente y el DNI o Pasaporte, así como el detalle de la fecha y hora a la que se refiere el derecho de acceso. Nunca se facilitará al interesado acceso directo a imágenes que muestren a terceras personas.

 

MEDIDAS TÉCNICAS:

IDENTIFICACIÓN:

  • Si hay varios trabajadores compartiendo ordenador con datos de terceros, tienes que crear un perfil para cada uno. Separa siempre el uso personal y profesional.
  • Es recomendable que tengas un perfil con derechos de administración para instalación y configuración del sistema y usuarios sin privilegios para el acceso a datos personales.
  • Tienes que garantizar contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos (8 caracteres, números y letras).
  • Cuando varias personas accedan a datos personales, cada persona con acceso dispondrá de un usuario y contraseña específicos (identificación inequívoca).
  • Tienes que garantizar la confidencialidad de contraseñas, evitando que queden expuestas. Te recomiendo utilizar una aplicación como Dashlane para ello: https://www.dashlane.com/es

DEBER DE SALVAGUARDA:

  • Ten siempre actualizados tus equipos. Evitarás vulnerabilidades y los datos personales estarán más protegidos.
  • Equípate con un buen Antivirus y Firewall para evitar que tus datos sean robados o leídos por Malware, Troyanos, etc.
  • Cifrado de datos: cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a esta información. Te recomiendo discos duros externos con cifrado y contraseña como los que vende Western Digital: https://www.wdc.com/es-es/

TIPS IMPORTANTES QUE TE RECOMIENDO:

  • Cumple siempre con la Ley y si no tienes recursos para hacerlo, es mejor que te dediques a otra cosa.
  • Sé cuidadoso con tu Política de Privacidad de Datos y el Aviso Legal de tu Sitio Web. Es muy importante (lo recalco en todos los cursos y sigo encontrando “copia y pega”). Es información necesaria para tus usuarios, pero también puede ser revisada por cualquier órgano de gobierno y constituir un motivo de sanción.
  • Ya no vale con enviar un email a tu base de datos sugiriendo que tus usuarios sigan en ella. Ahora te lo tienen que confirmar por escrito o deberás eliminarlos.
  • Si tu Sitio Web utiliza Cookies propias o de terceros, tienes que informar sobre cuál es su función y para qué las instalas. Si no estás seguro del trabajo de tu agencia o “primo informático” en este sentido, mejor no las instales. La sanción es seria.
  • Seguramente (y por mucho que hayas invertido en ello) tu empresa podría ser sancionada por no cumplir exactamente con la LOPD. Mi consejo es que te adaptes a la nueva normativa cuanto antes, pero no te vuelvas loco ni quieras hacerlo en dos días, si llevas “haciéndolo mal” veinte años, seguramente pueda esperar 2 meses más.
  • Cualquier proyecto en Internet requiere de un amplio y profundo conocimiento. Si no lo tienes, has de pagarlo. Al final, y como se demuestra día a día, en Internet y en el mundo del comercio electrónico y el marketing digital, lo barato sale caro.
  • Ten en cuenta que estas medidas pueden ser revisadas de forma periódica y que en la Oficina de Seguridad del Internauta (https://www.osi.es ) pone a tu disposición herramientas e información gratuita que puede ser útil para garantizar la seguridad de los datos personales en ordenadores y dispositivos electrónicos.

Y con esto, espero haber despejado algunas dudas ya que ese era el objetivo final de este Post. Por supuesto, puedo haber olvidado algún aspecto importante por lo que si consideras que debes aportar nueva información, ¡siéntete libre de hacerlo!.

 

Álvaro Galán Alonso.

 

Fuentes consultadas:

https://www.boe.es/doue/2016/119/L00001-00088.pdf

https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/deber_informacion/index-ides-idphp.php

https://www.osi.es

http://www.viaconsulting.es/

Publicar un comentario