Cuanta más información tenemos, más control podemos ejercer sobre nuestra propia vida.
— Stephen Covey
Hoy en día con tantas obligaciones legales, provoca que las empresas tenga complicado estar al día o correr el riego de sufrir engaños, contratando servicios que no necesitan o que no van a lograr cumplir adecuadamente.
Es por ello, que hemos creado esta sección. Para dar una información real sobre las obligaciones legales que deben cumplir las empresas. Nuestro objetivo es dar una información veraz, en pocas palabras, para que las empresas tenga más información a la hora de decidir como cumplir con las obligaciones legales.
La evaluación de los encargados.
Como explicamos anteriormente, un encargado del tratamiento es la persona o empresa que trata datos personales por cuenta de otra, siguiendo sus instrucciones (ej. la gestoría).
Es muy importante, para cumplir con las normativas de protección de datos, evaluar que estos encargados cumple con las suficientes garantías.
Evaluar estas garantías implica comprobar, antes de contratar y durante la relación, que el encargado cumple la normativa: dispone de políticas de seguridad, formación al personal, acuerdos de confidencialidad, registro de actividades y mecanismos de respuesta ante incidentes.
Además, es recomendable solicitar certificaciones, auditorías o referencias que acrediten ese cumplimiento. Todo el proceso debe quedar documentado, pues el responsable debe poder demostrar que ha hecho una selección diligente.
No evaluar correctamente a los encargados puede suponer infracciones graves, con sanciones económicas y daños a la reputación de la organización.
¿Es obligatorio el curso de protección de datos?
Cada día nos encontramos más clientes que reciben llamadas de empresas de formación, las cuales, le ofrecen el curso de protección de datos con la excusa de que es obligatorio.
Sin embargo, las normativas en protección de datos no exige que los trabajadores realicen un curso de protección de datos. El RGPD y la LOPD si que habla de que el responsable (la empresa) tiene la obligación de cumplir con la normativa. De esta manera, una posible sanción por un incumplimiento de la normativa recaerá en la empresa, aunque haya sido culpa del trabajador.
Las normativas en protección de datos, exige expresamente que el responsable tendrá que adoptar las medidas técnicas y organizativas adecuadas para garantizar la protección de los datos personales y poder demostrar su cumplimiento con el Reglamento.
Por lo tanto, hacer el curso porque te digan que es obligatorio, no solo te costará dinero o créditos de empresa, sino que seguramente no servirá de nada.
Lo que recomendamos nosotros, como medida para garantizar la protección de los datos y como responsabilidad proactiva, es tener una formación conjunta de la plantilla, basada en la sensibilización en materia de protección de datos. Ésta debe ser especifica a la empresa, incluso si la empresa tiene varios departamentos, se debería programar una especifica a cada departamento.
No se tratan los mismos datos ni se usan los mismo medios en un bar que en una guardería, o en una empresa más grande, no es lo mismo el departamento de transporte que el administrativo.
Llamadas comerciales
Son las cuatro de la tarde y te llaman de una compañía telefónica para ofrecerte rebajas en el servicio de fibra. Es algo fastidioso y también ilegal, salvo que hayan obtenido nuestro consentimiento.
Pero esto también te puede pasar a ti como empresa, cuando quieres contactar con posibles clientes, ya sea, porque te dejó sus datos, te lo ha pasado otro cliente o colaborador o cualquier otro motivo. En esta circunstancia ¿Qué tienes que tener en cuenta?
CONSENTIMIENTO
Las normativas en protección de datos son muy claras, cualquier comunicación comercial, que implique tratamiento de datos, requiere de un consentimiento libre, expreso, informado e inequívoco. Solo existe contada excepciones, como cuando ya se tiene una relación comercial con éste y la comunicación comercial verse sobre productos o servicios similares.
REVOCACIÓN DEL CONSENTIMIENTO
Se debe ofrecer, a la persona, el poder retirar el consentimiento en cualquier momento. Esta posibilidad de revocación debe ser tan sencillo como lo fue a la hora de obtener el consentimiento.
LISTA ROBISON
La Lista Robinson es una lista de exclusión publicitaria. Hay que comprobar que la persona que recibirá la comunicación, no se encuentra dentro de esta lista.
Recomendaciones
- Llevar un registro de los consentimiento dados y revocados, revisando estos de forma periódica, para evitar realizar comunicaciones comerciales cuando ya revocaron el consentimiento.
- Consultar la Lista Robinson antes de realizar las comunicaciones comerciales.
- Informar y formar a los trabajadores.
- Llevar auditorías de protección reales y por profesionales formados y experimentados (tener cláusulas comunes que te descargas no te servirán de mucho)
Cambiar la contraseña del router es muy importante
Un router es el dispositivo que conecta tu red local (los dispositivos de tu casa u oficina: móviles, ordenadores, televisores, etc.) con Internet. Actúa como un intermediario que dirige los datos hacia el lugar correcto.
Un ejemplo para entender su funcionamiento sería, comparar los con el servicio postal. Tu quieres entrar en una web (eso sería una carta, un mensaje), el router actúa como oficina de correos y manda ese mensaje al sitio correcto y cuando llega la respuesta, se vuelve a encargar de que te llegue a ti y no a otro.
En otras palabras: el router organiza, reparte y protege el tráfico de información que entra y sale de tu red.
Ahora bien, si dejamos la puerta de esa oficina de correos abierta (el router) con una contraseña débil o la clave de fábrica, cualquiera puede entrar, leer nuestras cartas o incluso hacerse pasar por nosotros. Esto es conocido como un ataque "Man in the Middle"
Esto no es un ataque sofisticado, ni algo muy complicado para un ciberdelincuente, con un programa es muy sencillo, pudiendo, una vez dentro el delincuente, cambiar la contraseña del router, expulsar a cualquier usuario, hacerse pasar por nosotros.
Pero si, los router viene con una clave que es larga y contiene cifras, números, minúsculas y mayúsculas. Lo que a priori, podríamos entender que es segura. Pero estas claves, siguen unos parámetros, además de que existen filtraciones, lo que provoca, que los mismos programas que permiten este ataque, tengan un diccionario con estas claves. De esta manera, estos programas con el diccionario con el que dispones de millones de claves, permiten al ciberdelincuente entrar en nuestro router en poco tiempo y sin esfuerzo.
Conclusión.
- Es muy recomendable cambiar nosotros mismos la contraseña de nuestro router, por una robusta (de al menos ocho dígitos, intercalar cifras, mayúsculas y minúsculas).
- Actualiza periódicamente el firmware del router.
- Desactiva funciones innecesarias como WPS.
- Revisa de vez en cuando qué dispositivos están conectados.
Las cookies. ¿Qué son?
Las cookies son pequeños archivos de texto que los sitios web guardan en nuestro navegador. Su función principal es recoger información sobre la visita: las preferencias de idioma, artículos en el carro de compra, tiempo que permanecemos en cada página, preferencía sobre un artículo o servicio, etc.
Existe diferentes cookies:
- Necesarias: ayudan a que la web funcionen correctamente, como recordar la preferencia del idioma.
- Personalización: se adaptan a las necesidades del usuario, como recordar contenido ya visualizado por el usuario.
- Analíticas: recoge información sobre la interacción del usuario con la web. Ejemplo, saber que usuario ha mirado una sección de la misma.
- Publicitarias: se usan para mostrar anuncios personalizados. Ejemplo, si visitas webs de coches de segunda mano y aceptas las cookies, te aparecerán anuncios sobre coches en otras webs o apps.
Las cookies requiere del consentimiento del usuario, antes de que se le instale cualquier cookies. La ley nos dice que el consentimiento tiene que ser libre, especifico, inequívoco y revocable.
No obstante, ha surgido una práctica cada vez más común: algunos sitios web ya no ofrecen la opción clásica de “aceptar o rechazar cookies”, sino que plantean una alternativa. Aceptas y accedes gratis al contenido o te suscribes.
¿Es legal?
La legalidad depende de cada país y de cómo se aplique el RGPD y la normativa local. En la Unión Europea, el Tribunal de Justicia de la UE ha señalado que debe existir una alternativa real y proporcional para que el consentimiento sea válido. Si el pago es excesivo o la alternativa no es justa, podría considerarse una práctica abusiva.
¿Qué recomendamos?
Las cookies recogen muchos de nuestros datos, debemos ser consiente y tener el control sobre ellos. Hay que leer bien cuando aceptamos éstas, poner en una balanza la perdida del control de tus datos por el contenido de la web, desinstalar cookies de forma periódica, revisar las políticas de cookies de las webs.
DEBEMOS EMPEZAR A TOMAR CONCIENZA SOBRE NUESTROS DATOS. PARA LAS EMPRESAS SON IMPORANTES Y PARA LOS CIBERDELINCUENTES TAMBIÉN.
Escaneo del DNI
Llegan las vacaciones y es la hora de descansar, de poder disfrutar del tiempo de descanso con la familia o solos, de poder visitar otros lugares o broncearnos en la playa. Pero antes hay que hacer el check-in en el hotel. Y nos pide el DNI de todos los que se vayan a hospedar.
Esta práctica, no es solo que no cumpla con el principio de proporcionalidad de protección de datos, sino que puede suponer un gran riesgo para nuestros datos. La Agencia de Protección de datos ya se ha postulado en varias ocasiones sobre el tema y ha sancionado en diferente ocasiones esta práctica (este mismo año a un hotel de Girona con 4.500€, reducida).
Pero hay que tener cuidado, esto no solo afecta a los hoteles. No estaremos actuando conforme al reglamento, si mientras nuestra actividad laboral, hacemos fotos del DNI de nuestro cliente sin una causa justificada y proporcional (También este año se le sancionó a una empresa de grúas con 11.000€ por realizar una foto al DNI).
El DNI no solo contiene nuestro nombre, contiene muchos datos innecesarios para el fin para el que se recogió, por lo general (ejemplo, el nombre de los padres). Escanear o fotografiar el DNI puede ser un gran riesgo para nuestra privacidad y perdemos el control sobre nuestros datos cuando ocurre esto.
Brechas de seguridad ¿Qué es? ¿Y como actuar?
El RGPD define las violaciones de seguridad como "toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos".
La empresa tiene un plazo de 72 horas para avisar a la Agencia Española de Protección de datos (AEPD). En caso de avisar fuera de este plazo, se deberá explicar el motivo de la dilación. También es posible ir aportando la información de forma gradual, pero tase explicará el motivo. No será necesario la notificación, si la empresa implantó medidas previas, que hayan conseguido que el riesgo para los derechos del interesado sea improbables (ejemplo con una aplicación correcta de seudonimización).
Se deberá llevar un registro documentado de las brechas que haya ido teniendo la empresa a lo largo de su vida.
La comunicación deberá incluir como mínimo:
- Descripción de lo ocurrido y si es posible categoría y número de los datos e interesados afectados.
- Los datos de contacto del delegado o de otro punto de contacto.
- Medidas adoptadas.
Encargado del tratamiento.
El encargado del tratamiento es una persona física, jurídica, autoridad pública o cualquier otro organismo al que acude una empresa y trata datos personales por cuenta de esta empresa.
Un ejemplo claro sería una asesoría laboral. Las empresas acuden a éstas para que le presten servicios que ellos no pueden llevar. Así, la asesoría laboral necesitarán de la empresa datos de los empleados para poder prestarle el servicio.
Lo que exige el Reglamento a la hora de contratar estos servicio es:
- Que se formalice un contrato o acto jurídico. Éste debe tener el contenido mínimo que exige el RGPD.
- Verificar que el encargado cumple con las suficientes garantías, aplicando medidas técnicas y organizativas apropiadas, a fin de cumplir con las exigencias del Reglamento.
- El encargado solo tratará los datos bajo las instrucciones del responsable, y solo podrá acudir a otro encargado bajo autorización previa del responsable o bajo el modo que se haya reflejado en el contrato de encargado.
- El encargado colaborará con el responsable en el cumplimiento del Reglamento (ejercicio de derecho, brechas de seguridad, evaluación de impacto, actuaciones con la Agencia de Protección de datos...).
¿Qué tiene que tener una web para cumplir con el RGPD, LOPD y LSSI?
Es muy importante que la web cumpla con estas normativas. La web es una parte muy visible de una empresa y no cumplir adecuadamente puede suponer sanciones, pérdida de reputación, falta de compromiso con el usuario...
Por lo tanto, toda web debe:
- Tener una comunicación entre el navegador web y el servidor cifrada. Debe ser una web segura (https).
- Disponer de una forma, por la cual, se informe al usuario sobre las cookies, permitiendo a éste tomar una decisión sobre éstas de forma clara y sencilla. No puede instalar cookies antes de la toma de decisión. Además, tan fácil como fue dar el consentimiento debe de serlo la revocación (generalmente se hace con un aviso emergente).
- Tener los textos legales (aviso legal, política de cookies y política de privacidad) actualizados, propios de la empresa (es común usar plantillas estandarizadas o copiadas de otras webs, que pueden derivar en sanción) y completos.
- Si se permite las comparas online, tiene que tener, también como texto legal, los términos y condiciones.
- Cualquier formulario o apartado de la web para completar con información del usuario (formulario de contacto, newsletter, trabaja con nosotros...) debe tener una información sobre la privacidad correcta (se recomienda por capas).
Consentimiento de uso de la imagen de menores
Cuando la imagen de un menor de 14 años va a ser utilizada, por ejemplo una guardería que publica la imagen de estos en su web, es necesario que se recoja el consentimiento de ambos tutores legales. Es importante recordar, que cada uso de la imagen deberá tener su consentimiento individual.
Con este consentimiento hay que informar sobre quien es el responsable, la finalidad, la base legal, el plazo de conservación, los derechos, la posibilidad de revocar el consentimiento y la posibilidad de interponer demanda ante la AEPD.
Aviso de cookies en la web
Las normativas en protección de datos exige que cuando se vaya a recoger información de una persona, hay que informar a ésta, con el fin de respetar el principio de transparencia. Con las cookies que instala una web pasa lo mismo, se recoge información y hay que informar de ello.
Para cumplir con este principio, una web debe informar antes de instalar las cookies, permitir al usuario decidir que cookies quiere instalar, tener un enlace a la política de cookies para tener más información (información por capas) y posibilitar al usuario poder modificar su consentimiento en cualquier momento.
Desconexión digital. Que es y como cumplir
Cada vez nos encontramos a más empresa que nos pregunta sobre la desconexión digital, generalmente no dice que le han llamado diciendo que tiene que hacer un curso obligatorio. Eso no es solo falso, si no que además no será suficiente para cumplir.
Todo viene de la LOPD, que exige a las empresas a elaborar unas políticas que protejan el derecho del trabajador a la desconexión, a fin de garantizar el respeto a su tiempo de descanso, permisos, baja y vacaciones. Éstas deberán establecer la información sobre la formación y sensibilización en el tema.
Esto va a venir recalcado cuando salga la nueva ley que prepara el gobierno para la redución de la jornada. Pero la obligación la establece la LOPD, por lo tanto, es obligatorio desde 2018.
Así pues, lo que necesita una empresa para cumplir es estas políticas. Los cursos son buenos, es parte para cumplir, pero no es la base del cumplimiento. Una empresa que haya hecho un curso solo no estará cumplimiento con la normativa.
"Que no te la den con curso"
La expresión "que no te la den con queso" viene del mundo de la viticultura. Antiguamente, los bodegueros utilizaban el queso para vender vinos de mala calidad, ya que el sabor intenso del queso puede enmascarar los defectos del vino.
Algo parecido pasa hoy en día con los cursos. Vivimos una época, en la cual, entran en vigor nuevas obligaciones legales y muchas compañías aprovechan para engañar y vender cursos que no conseguirán que cumplamos con tales exigencias de forma completa. Algunos ejemplos son:
- Agente de igualdad: la obligación de la empresa es establecer unas normas o protocolo con el objetivo de evitar discriminación laboral entre hombre y mujeres. Además deberá promover la sensibilización y ofrecer formación.
- Planes de igualdad y LGTBI: solo para empresas con más de 50 trabajadores.
- Desconexión digital: la empresa debe garantizar la el derecho a la desconexión digital de los trabajadores, respetando su tiempo de vacaciones, descanso, baja y permisos.
¿Tienes actualizado el cartel de las cámaras de videovigilancia?
Es obligatorio que una empresa tenga un cartel informativo de que su centro de trabajo está vigilado. Pero es común que solo tenga el de la compañía de alarma o que haya buscado uno cualquiera.
Lo importante de un cartel de videovigilancia es que respete el principio de transparencia. Se debe informar de quien es el responsable, donde poder ejercer los derechos o solicitar más información, la finalidad, plazo de conservación, derechos, cesiones y la posibilidad de interponer demanda ante la AEPD.
Lo ideal es dar una información por capas, una primera con una información más escueta y una segunda donde se desarrolle ésta. No se cumple con el cartel de la alarma contratada y cuidado con los carteles con leyes desactualizadas como los de la ley 15/1991.
