El destape de España en protección de datos | Tendencias

El 27 de julio pasado saltaron las alarmas: un importante fallo de seguridad dejaba al descubierto los documentos alojados en LexNET: la plataforma de intercambio de información del Ministerio de Justicia, utilizada por más de 3.500 órganos judiciales. Hasta el momento de la resolución del problema, miles de archivos con información sensible sobre demandas y pleitos habían permanecido al descubierto. Ahora que se acerca la fecha de aplicación del nuevo Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, la pregunta se antoja retórica: ¿estamos preparados?

¿Qué implica para los ciudadanos el RGPD?

La Agencia Española de Protección de Datos (AGPD) destaca que el RGPD amplía el ámbito de aplicación territorial, lo que “supone una garantía adicional a los ciudadanos europeos”. “Permite que el reglamento sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la UE y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea”, señala la AGPD en un documento de resolución de dudas.

La Agencia también cita nuevas herramientas de control de sus datos para los ciudadanos, como el derecho al olvido o el derecho a la portabilidad. Explica que el primero es consecuencia del derecho a exigir que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. “El interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos”.

Sobre el derecho a la portabilidad, se refiere la posibilidad de que el interesado recupere sus datos -de la empresa u organización que en ese momento esté al cargo de su trato y almacenamiento- en un formato que le permita su traslado a un nuevo responsable. “Cuando ello sea técnicamente posible, el responsable [actual] deberá transferir los datos directamente al nuevo responsable designado por el interesado”, señala la AGPD.

La respuesta por parte de los expertos es rotunda: no, no lo estamos. No lo están, concretamente, las empresas. En ello coinciden, con matices, tres expertos consultados: José Luis Zimmermann, director de la Asociación Española de Economía Digital (Adigital); Borja Adsuara, exdirector de Red.es y abogado experto en derecho digital y José Alberto Rodríguez, director global de Protección de Datos de la empresa de software en nube Cornerstone OnDemand.

“Existe mucho desconocimiento y muchas dudas (fundadas) con respecto a ciertos aspectos de su aplicación”, asegura Zimmermann. “No es un reglamento fácil de aplicar y además estamos aún pendientes de la ley que debe aprobarse para su puesta en marcha, que en teoría debería ofrecer una mayor seguridad jurídica”, añade. Como ejemplo pone la confusión en torno al consentimiento, un concepto a su juicio esencial.

El problema, según Rodríguez, parte de una mala base: “Si las empresas no están preparadas para el nuevo RGPD seguramente es porque tampoco lo están para cumplir las legislaciones actuales”, apunta. Cita sonados casos de fugas o acceso ilegal a información como el robo de datos de 1.000 millones de cuentas de Yahoo, la filtración de una base de datos de LinkedIn con 167 millones de presuntas credenciales o la pérdida de 1.370 millones de registros de la empresa River City Media.

“Estos son casos muy delicados en los que hay que tener en cuenta no sólo la cantidad de registros que se perdieron, sino la sensibilidad de los datos almacenados. Muchas de estas fugas de contenían información sensible como cuentas bancarias, direcciones y números de teléfonos de los usuarios”, señala el experto en Protección de Datos. Sostiene, no obstante, que aunque el panorama sea “preocupante”, Europa “es líder mundial en protección de datos personales, en particular gracias al nuevo reglamento”.

En el caso de España, cree que el punto de partida también es positivo “porque existe tanto la concienciación como la legislación necesaria”. Lamenta, eso sí, “que sean pocas las compañías que realmente han iniciado ya las acciones necesarias para estar preparadas frente al nuevo RGPD”. Y no solo llegan tarde las empresas, sino también -afirma Adsuara- las Administraciones Públicas y la propia Agencia Española de Protección de Datos (AGPD). “La UE dio un plazo de dos años desde la entrada en vigor del RGPD (el 25 de mayo de 2016) hasta la aplicación directa del régimen sancionador para que se adaptase todo el mundo. Quedan 10 meses y, como los malos estudiantes, casi nadie ha hecho los deberes”, asegura.

Cambios necesarios

¿A qué deberes se refiere Adsuara? ¿En qué difiere este reglamento de lo establecido hasta ahora por la ley? Los expertos señalan que el RGPD supone un cambio de enfoque. “La normativa actual señala detalladamente cuales son las obligaciones y las medidas que deben adoptar las empresas. En el nuevo reglamento, sin embargo, son las empresas las que proactivamente deben demostrar que cumplen el reglamento, estableciendo las medidas que crean oportunas en función del nivel de riesgo que el tratamiento de datos pueda significar para las personas”, explica Zimmermann.

El director de Adigital sugiere, para empezar a adaptarse, hacer una revisión profunda de los tratamientos realizados en la empresa, “empezando por identificar y documentar todos los procesos: de dónde se obtienen datos, qué se hace y quién puede acceder a ellos, tecnologías empleada, etc.”. A continuación -prosigue- habría que examinar qué aspectos del reglamento no cumplen actualmente y amoldar los procesos. Señala que uno de los principales cambios pasa por la necesidad de adaptar las cláusulas informativas y documentar el cumplimiento normativo. “Según los casos, habrá que llevar un registro de la actividad de tratamiento, nombrar un delegado de protección de datos, modificar los contratos con los proveedores que requieran tratamiento de datos, realizar evaluaciones de impacto o adaptar los procedimientos de atención de derechos de las personas”, comenta.

Rodríguez ahonda en la figura del delegado de protección de datos, “un rol que en muchas organizaciones no existe y que será clave para cumplir de forma segura el nuevo reglamento”. Explica que esta persona será la responsable de velar por el cumplimiento de la RGPD, informará sobre las obligaciones de la empresa, determinará cuándo y cómo debe realizarse una evaluación del impacto de la privacidad, será el contacto ante las autoridades nacionales de protección de datos, etc.

La respuesta por parte de los expertos es rotunda: no, no estamos preparados en materia de protección de datos

El directivo de Cornerstone OnDemand destaca la importancia de que cada organización defina qué datos necesita realmente y para que los utiliza. Y, una vez hecho, elaborar procedimientos que ayuden a evitar las sanciones y tener un plan de contingencia en caso de una situación especial como puede ser una fuga de datos. “La ley establece un flujo operativo claro: tratamiento lícito, leal y transparente; datos adecuados, pertinentes, limitados, exactos y actualizados; conservación limitada en el tiempo y almacenamiento seguro”, puntualiza.

Adsuara comenta que, si bien algunas especificidades no estarán claras hasta el mismo 25 de mayo, conviene ir poniendo en marcha tareas a su juicio prioritarias. Por ejemplo, recabar de los titulares de los datos su consentimiento informado, expreso y específico (para cada finalidad) para toda la información personal que la organización vaya a tratar.

Multas y puntos delicados

¿Y qué pasa si no se cumple el RGPD? Las organizaciones infractoras se enfrentan a multas que podrían alcanzar los 20 millones de euros o bien de hasta un 4% de su cifra de facturación anual. “Se aplicaría la cifra más elevada entre estas dos cantidades, que podría suponer incluso el cierre”, afirma Rodríguez. Sin llegar a esos extremos, los expertos indican otro daño inevitable ante cualquier mínima multa o problema de fuga de datos: el perjuicio en términos de reputación frente a sus empleados y clientes actuales y futuros. No hay más que mirar al caso LexNET y a tantos otros.

También conflictivo es dónde establecer el límite entre la información profesional y personal de un empleado, que determinará a qué datos de empleados, clientes y otros con quienes se relacione puede acceder una empresa o una organización. “Es uno de los puntos más delicados. El RGPD establece el principio de minimizar la recogida de datos, que deberá estar justificada. Pero, ¿es esa justificación siempre objetiva? ¿Si mi trabajo requiere una atención especial (por ejemplo, si soy conductor o piloto), podría una empresa exigir que lleve siempre una pulsera de control de actividad que notifique sobre mis horas de sueño?”, plantea Rodríguez.

“Una empresa puede tratar la práctica totalidad de los datos personales de una persona, siempre y cuando lo realice correctamente y disponga de una causa de legitimación. Por ejemplo: el consentimiento del interesado, la ejecución o preparación de un contrato, el cumplimiento de una obligación legal, la protección de los intereses vitales de una persona, o el interés legítimo”, añade Zimmermann. Adsuara especifica que, si bien os datos personales son todos los que se refieren a una persona física (identificada o identificable), todas las personas tienen una esfera pública (profesional) y una esfera privada. “Ahí se establece el límite”, afirma.

Rodríguez concluye con una insistencia: “El reglamento no impone, de manera general, nuevas restricciones al tipo de datos que se podrían acceder. Lo que hace es reforzar el hecho de que sólo se utilicen los datos realmente necesarios, de manera clara y transparente, y durante un tiempo limitado. Y eso ya está a menudo definido en las leyes laborales, los convenios colectivos o la jurisprudencia”.

Source link

Las multas solo publicarán las iniciales del infractor | Legal

El Ministerio de Justicia ha impulsado la tramitación del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Esta norma se prepara para adaptar la legislación española a las disposiciones contenidas en el Reglamento (UE) 2016/679, de 27 de abril de 2016, antes de su definitiva entrada en vigor, fijada para el próximo 25 de mayo de 2018.

Una de las novedades destacadas que introduce el texto del Anteproyecto, publicado este miércoles en la página del Ministerio de Justicia, es que en la identificación de los interesados en las notificaciones de multas o sanciones por medio de anuncios y publicaciones de actos administrativos, se identificará a los afectados sólo con las iniciales de su nombre y apellidos, junto a su número de DNI, a diferencia de lo que sucede actualmente con la publicación del nombre completo.

Concretamente, en la Disposición Adicional Undécima, relativa a la identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos, se señala que “cuando la notificación por medio de anuncios o la publicación de un acto administrativo contuviese datos de carácter personal del destinatario, se identificará al mismo mediante las iniciales de su nombre y de sus dos apellidos y su número de documento nacional de identidad”.

La técnica legislativa inicialmente utilizada era la de modificar la Ley 39/2015, de Procedimiento Administrativo Común de las Administraciones Públicas introduciendo un párrafo tercero en su artículo 46. Pero en el texto publicado parece que se ha preferido esta vía de Disposición Adicional. Si prospera este texto significará que todas las notificaciones de actos administrativos realizadas por edictos o boletines públicos que contengan datos personales del destinatario, dejarán de mostrar el nombre y dos apellidos de dicho destinatario, haciendo públicas solo sus iniciales, además del DNI.

Parece una solución que ayudará a que no se indexen estos nombres y apellidos de modo que algunos datos de los ciudadanos puedan resultar menos obvios en la era internet. Las multas o los resultados de oposiciones son actos que se notifican con frecuencia por estas vías, y que exponen en cierto modo a los individuos. Parece una vía sencilla para facilitar el derecho al olvido.

Otras novedades

Este Anteproyecto recoge muchas de las adaptaciones que nuestro país necesitaba para el nuevo marco europeo. Así, se regula el tratamiento de los datos de personas fallecidas por parte de sus herederos, siguiendo las instrucciones aportadas por las mismas. Se excluye el consentimiento tácito, debiendo ser expreso y afirmativo y se establece la presunción de exactitud y actualización de los datos obtenidos directamente del interesado. En cuanto a la edad para el consentimiento, se reduce desde los catorce a los trece años, por otra parte, edad mínima que el Reglamento permite.

Y respecto al tratamiento de los datos, si bien ya no será precisa la inscripción de los ficheros, se adopta el principio de transparencia. Es nueva también la regulación de los sistemas de información crediticia, la videovigilancia (con sus especialidades obvias por no poderse contar en este caso con consentimiento expreso), los sistemas de exclusión publicitaria (listas Robinson), la función estadística pública y las denuncias internas en el sector privado.

Por último, especial atención merecen los derechos de los afectados: acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición, y se introduce la obligación de bloqueo que garantiza que esos datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes para la exigencia de posibles responsabilidades derivadas de su tratamiento, evitando así que se puedan borrar para encubrir el incumplimiento.

Source link