abril 21, 2023

Datos empresariales (V): Protección (y aprendizaje)

El objetivo de este hilo es ser consciente de la información valiosa de la empresa y como protegerla. Especialmente ahora y en un futuro en que el desarrollo de la Inteligencia Artificial lucha (en este caso) en contra nuestra.

Somos los buenos defendiendo el fuerte. Y aunque no tenemos garantía alguna de victoria porque “Dios ayuda a los malos cuando son más que los buenos”, seremos Blas de Lezo en la defensa de la Cartagena de Indias que es nuestra empresa. Y de acuerdo con Sun Tzu, la mejor estrategia es la más simple y la mejor enfocada, ya que las estrategias demasiado complejas pueden confundir a los miembros del propio ejército comprometiendo sus posibilidades de victoria.

Ya todos estamos acostumbrados a la gestión de datos personales según la LOPDGDD, pero, ¿y si extrapolamos los mecanismos que ya usamos con fluidez a la protección de datos empresariales?. Existen pautas y mecanismos para protegerlos.

Así, de una forma muy general, podríamos establecer los siguientes pasos/pautas:

1.- Análisis previo.-

−  Categorización de los Datos

−  Estudio de los contratos con terceros (Google, Amazon, Fb… )

−  Limitación en contratos con proveedores y clientes

−  Designar un responsable de tratamiento de Datos Empresariales

2.- Control pasivo de los Datos.-

2.1.- Obviamente la ciberseguridad. El uso de medios de prevención de jaqueos, intrusiones o filtraciones que pueden generar daños:

−  Siniestros en la red

−  Brechas de seguridad y privacidad

−  Suplantaciones

−  Ciber extorsión

−  Daños reputacionales,

2.2.- Pero también filtraciones indirectas (Fb, Linkedin -de empresa y de sobre todo de empleados-, Whatsapp y/o Telegram (grupos de empresa y empleados).

2.3.- O incluso filtraciones directas ‘involuntarias’: las redes, contactos y/o mensajes de los propietarios, directivos o empleados pueden revelar una increíble cantidad de datos que, como hemos dicho, de forma aislada no significan nada pero que en su conjunto, cruzados, estudiados y evaluados, pueden revelar informaciones valiosísimas.

3.- Control de datos liberados.-

Suena a película de espías y algo hay de ello, pero liberar datos ‘controlados’ puede suponer una interesante arma empresarial.

4.- Protección activa.-

−  Planteamiento desde el diseño, tanto del conjunto y filosofía de la empresa como de cada una de las acciones a adoptar en cualquier ámbito dentro de la misma.

−  Planificación y diseño de las acciones a tomar con la perspectiva de protección de datos empresariales.

−  Establecimiento de mecanismos y protocolos.

−  Análisis de Riesgos.

− Inclusión de los empleados, clientes y proveedores en el plan (cláusulas de confidencialidad, seguimiento de contactos, educación a empleados para prevención de posibles filtraciones en redes, control de los medios de la empresa, etc). Y a modo de nota, recordemos que controlar el teléfono y el ordenador de la empresa, aunque sea de uso privado de un empleado, es legal.

Además, ese análisis de los datos de nuestra propia empresa (nuestra ‘ramita’ de nuestro árbol), también ayudarán a conocer el funcionamiento de las ‘ramitas’ de alrededor. Y aunque normalmente nunca podremos ver el bosque completo, reconocer el árbol en que está nuestra ‘ramita’, su estructura, su ‘orientación’ y su movimiento con el viento nos podría proporcionar una ventaja competitiva.

Y en el plano operativo, tal recopilación de datos llevará sin duda a conocer sin demasiado esfuerzo los proveedores, los clientes (tipo o incluso individualizados), las estrategias, los proyectos, los objetivos, el rango de tarifas/precios, el sector de mercado, las vulnerabilidades, etc. Es decir, hacia donde sopla el aire (o tendencias del mercado, dicho de otra forma).

En conclusión, debemos controlar sobremanera los datos liberados de la empresa, porque al contrario del caso de los Datos Personales, esa recopilación de los datos empresariales con el fin de obtener un beneficio económico −en su mayor parte− ES LEGAL.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

octubre 14, 2022

Datos empresariales (III): vulnerabilidad de los Datos

Todo negocio maneja datos sensibles que marcan la viabilidad del mismo.

Podemos estar hablando de empresas de proyectos innovadores que, aunque no lo parezcan, son públicos a poco que crucemos suficientes datos y a suficientes personas.

Pero también podemos estar hablando de empresas o negocios que tiene una ventaja competitiva simplemente por haber encontrado un proveedor mejor o haber implementado mecanismos internos más eficientes. Esos datos que no parecen tan ‘espectaculares’, si se liberan -y lo harán si alguien se toma el suficiente interés porque son igual de ‘públicos’- acabarán con esa ventaja competitiva haciéndola accesible al local de al lado.

Piense qué datos concretos de su empresa supondrían un problema caso de ser conocidos por su competencia, por sus clientes o por terceros. Por si no se le ocurren muchos, a continuación enumero una lista que no pretende ser en modo alguno cerrada: 

  • Know-how.
  • Datos de clientes.
  • Datos de proveedores.
  • Datos de productos.
  • Datos de empleados (piense en el desarrollador del nuevo proyecto con su perfil en Linkedin y sus contactos).
  • Contabilidad.
  • Facturación.
  • Tarifas.
  • etc.

Pero pensará al mismo tiempo que esos datos no son públicos. El problema es que, como se mostrará en este ‘hilo’, si alguien se toma el suficiente interés y lo sabe cómo hacerlo, sí pueden serlo.

¿De verdad quiere público para esos datos?

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

octubre 7, 2022

Datos empresariales II: Vulnerabilidad (legal) de los datos empresariales

De forma previa a las sus consecuencias, riesgos y posibilidades, veremos el distinto nivel de protección que la ley da a un tipo de datos frente a otros.

El Derecho ‘absoluto’ de los datos personales

A pesar de que ya sabemos que ningún Derecho tiene carácter ‘absoluto’, en el campo de los Datos Personales, como Derecho Fundamental que es, la formulación se acerca bastante a ese grado ‘absoluto’ (si obviamos el cajón de sastre del “Interés Legítimo”, por supuesto).

Sin entrar el elevadísimo grado de protección que tienen, no podemos sino empezar por ver qué son los datos personales:

Artículo 4 RGPD. Definiciones. A efectos del presente Reglamento se entenderá por: «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

El derecho ‘condicional’ de los datos empresariales

En el caso de los Datos Empresariales, por supuesto tenemos toda la protección legal de la propiedad industrial e intelectual, pero llena de lagunas en una normativa muy dispersa y en buena parte no adecuada a la realidad actual.

De forma específica y general sólo existe la Ley 1/2019, de 20 de febrero, de Secretos Empresariales. Que brinda una protección limitada (no todos los datos) y condicionada (y no en todos los casos):

Qué son “Secretos empresariales”:

Artículo 1. Objeto. 1. El objeto de la presente ley es la protección de los secretos empresariales.

A efectos de esta ley, se considera secreto empresarial cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero, que reúna las siguientes condiciones:

a) Ser secreto, en el sentido de que, en su conjunto o en la configuración y reunión precisas de sus componentes, no es generalmente conocido por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información o conocimiento en cuestión, ni fácilmente accesible para ellas;

b) tener un valor empresarial, ya sea real o potencial, precisamente por ser secreto, y

c) haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.

Y cuándo se produce una ‘violación’

Artículo 3. Violación de secretos empresariales.

1. La obtención de secretos empresariales sin consentimiento de su titular se considera ilícita cuando se lleve a cabo mediante:

a) El acceso, apropiación o copia no autorizadas de documentos, objetos, materiales, sustancias, ficheros electrónicos u otros soportes, que contengan el secreto empresarial o a partir de los cuales se pueda deducir; y

b) Cualquier otra actuación que, en las circunstancias del caso, se considere contraria a las prácticas comerciales leales.

Y además, los datos empresariales obtenidos legalmente se pueden almacenar, tratar y utilizar prácticamente sin límite.  Como se ve, los datos empresariales con legalmente más vulnerables que los datos personales.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

septiembre 30, 2022

Datos empresariales I-introducción: Comercio de Datos Personales vs Empresariales

Empiezo aquí este ‘hilo’ de posts para mostrar como los datos empresariales son vulnerables, su valor en el mercado las posibles acciones para protegerlos.

LOPD vs Ley de Secretos Empresariales.

Google, Facebook, Amazon, etc, venden y/o usan sus datos personales, ¿Qué le hace suponer que los datos empresariales mucho más valiosos no son utilizados o no están a la venta?

Particulares y empresas usamos utilísimos servicios de internet para comunicarnos, para almacenar datos, para comunicar con terceros, para relacionarnos o conectar con terceros; para nuestras actividades personales y para nuestras actividades profesionales.

El comercio de los Datos personales.

Es extensamente sabido por un lado que los Datos Personales son un enorme mercado con un inmenso valor que va mucho más allá de la publicidad dirigida en nuestros móviles, sino que tienen un mercado donde se compran y se venden desde datos de contraseñas, de tarjetas de crédito o datos médicos –por los que más se paga en el mercado- que van desde esos datos que ‘regalamos’ con nuestras búsquedas en Internet; con nuestros relojes; con esas divertidas apps del teléfono que te cuentan los pasos, cuándo y por donde los das; o hasta de expedientes médicos completos. Datos que ‘liberamos’ las 24 horas del día (¿duerme con su smartwatch o su pulsera de correr?, pues una empresa conoce las pautas de todo lo que hace en la cama) y que tienen un valor económico.

Con esos datos se elaboran exhaustivos ‘dosieres’ individualizados aunque erróneamente pensemos que en ese inmenso océano que es Internet somos solo una gota indistinguible de las demás de cada persona obtenidos con robots o con invitaciones masiva en redes sociales a través de las cuales acceden a datos que compartimos solo con nuestros contactos. Y que se venden a empresas o instituciones en función de los perfiles específicos que demanden los compradores.

El comercio de los datos empresariales.

Menos conocido, aunque igual de preocupante, el mercado de esos Datos Empresariales o Profesionales que liberamos a través de esos medios de internet oponemos en manos de terceros de forma consciente o inconsciente. 

Más allá del evidente uso de datos concretos de cada empresa, algunos de los cuales pueden ser el mismísimo corazón del negocio, Metadatos, tendencias del mercado, anticipación e incluso manipulación del mismo lo hacen un ‘mercado’ para quien lo quiera aprovechar aún más interesante y lucrativo que el de los datos personales.

Desde ‘backup’ colgado en ‘la nube’ aparentemente tan inocente y que nos hace sentir tan seguros. Los datos colgados en páginas Web, en redes sociales, los contactos de sus empleados, clientes y proveedores; Los comentarios, imágenes o mensajes de estos en redes sociales.

Todos esos datos se cruzan o son susceptibles de ser cruzados para obtener un beneficio potencialmente mucho mayor que le ya grandísimo de los Datos Personales, porque en este caso el beneficio potencial es mucho mayor que vender una camisa, un implante coronario o un coche.

Y se preguntará: ¿es todo eso legal? En su mayor parte -particularmente los datos personales-, no, pero existe recomiendo leer para quien no esté familiarizado ‘La privacidad es poder’ de Carissa Veliz )..

La normativa se preocupa en extremo del primero de ellos, los Datos Personales: categorizados como Derechos Fundamentales regula lo que pueden hacer con nuestros datos, del valor que tienen en el mercado y del coste que tiene su cesión para nosotros

Pero no ocurre lo mismo y la regulación no es la misma en el caso de los Datos Empresariales. ¿Cuál es la protección de la parte ‘empresarial’ de potencial y directamente de mucho mayor valor?. ¿Protegemos adecuadamente los secretos de nuestras empresas?

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

noviembre 20, 2019

Novedades (con sorpresa) en las Cookies

Filed under: Comercio Electrónico,Emprender,Informática,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 10:53

La AEPD ha actualizado Guía Sobre el Uso de las Cookies. Que no es norma, pero que son una serie de recomendaciones a la luz del RGPD y de la LOPDGDD que más nos vale seguir.

El documento es extenso, pero las novedades no son tantas.

Información

En primer lugar se mantiene la recomendación del sistema de información por capas, con una primera capa con la información esencial sin ‘rollos‘ innecesarios ni frases vacías de contenido del tipo «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted«.

Así, para esta primera capa, en función de las cookies que se usen y de la funcionalidad de las mismas, la AEPD sugiere una serie de textos

Ejemplo 1:  Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ.

ACEPTAR COOKIES         RECHAZAR COOKIES

Ejemplo 2: Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica AQUÍ para más información. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso clicando AQUÍ.

ACEPTAR

Ejemplo 3: Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias, en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Si continúas navegando, consideraremos que aceptas su uso.

Puedes configurar o rechazar la utilización de cookies u obtener más información AQUÍ.

Consentimiento (y sorpresa)

Es este último ejemplo el que probablemente marca la mayor novedad y más interés despertará entre los diseñadores de páginas Web, puesto que admite que la opción de ‘seguir navegando‘ constituye una prestación válida del consentimiento .

Si bien este tipo de consentimiento solo será válido si se cumplen requisitos de FORMA como

  • Que el aviso se encuentra  en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pueda existir seguridad de que el aviso no ha pasado desapercibido para el usuario.
  • Que se incluya en el panel un botón para rechazar todas las cookies, para respetar el requisito de que sea tan fácil retirar el consentimiento como darlo.

Y  que el usuario realice una acción que pueda calificarse como una clara acción afirmativa. A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación. O en dispositivos como el móvil o la tablet, cuando desliza la pantalla accediendo al contenido.

Y límites en cuento al FONDO, por cuanto  no será válido en los casos en que a través de las cookies se realicen tratamientos de datos que requieran un consentimiento expreso, tales como:

  • categorías especiales de datos personales del Art 9 RGPD
  • que se tomen decisiones individuales automatizadas del Art 22  RGPD
  • o se realicen transferencias internacionales de datos amparadas en el consentimiento de las del Capítulo V  RGPD

Tiempo  

Por una parte la AEPD recomienda valorar si es necesario la instalación de cookies persistentes en lugar de las de sesión,  puesto que señala que, «para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad«. Y que es mucho más probable que se consideren como exceptuadas del deber de  consentimiento  las cookies de sesión que las persistentes.

Y en cuanto a las cookies persistentes instaladas, la AEPD viene a recomendar una actualización del consentimiento cada 2 años: «Esta Agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.»

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 28, 2019

Warning!: Brexit y Protección de Datos.

Brexit is eventually a disaster for everyone(*).

Llevo semanas no queriendo escribir este post con la ilusa esperanza de que el Brexit no se materializaría, pero después de las votaciones de ayer, la conclusión parece clara: el hijo británico es firme en su decisión de emanciparse de la casa comunitaria (UE) después de 45 años. Pero el hijo ‘emancipando’ exige poder seguir yendo a comer, a que le hagan la colada y a que le planchen la ropa; Y mamá UE está en firme desacuerdo.

Así que todo parece indicar que habrá riña doméstica en forma de Brexit duro. Y la riña del Brexit duro nos obligará a hacer cambios a todos los que usamos un ordenador para una actividad no estrictamente personal y privada.

Cualquier negocio o profesional, de cualquier tamaño, que mantenga una página Web o use cualquier servicio online (almacenamiento, copias de seguridad, etc) debe hacer ya algunas comprobaciones con el fin de evitar posibles multas.

CAPÍTULO V

Transferencias de datos personales a terceros países u organizaciones internacionales

Artículo 44

Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.

Explicación

Un Brexit duro significa que Reino Unido pasa a ser automáticamente un tercer estado completamente ajeno a la normativa y al nivel de protección que  la normativa de la Unión otorga .

Ni Reino Unido ni sus empresas estarían en un primer momento dentro del marco del ‘decisiones de adecuación’ para la transferencia de datos personales a terceros países como el Privacyshield.

Aunque no os demos cuenta, hay numerosos servicios online que usamos a diario y que transmiten o almacenan datos en servidores de terceros países, tales como por ejemplo:

  • Sistemas de almacenamiento online del tipo Google Drive; Onedrive; Dropbox; Icloud; Mega, etc.
  • Sistemas de copias de seguridad o de respaldo.
  • Hosting .
  • Bases de datos.
  • Cookies.
  • Servicios de chat.
  • Análisis web.
  • Servicio al cliente.
  • Etc.

Warning!

  1. Compruebe todos los servicios que tiene contratados, porque es bastante frecuente que el titular de dichos servicios ni siquiera sepa que los tiene contratados. Por ejemplo las cookies que carga en su Web.
  2. Compruebe donde se encuentran los servidores de todos los servicios que tiene contratados.
  3. Y si algún servidor o Encargado del tratamiento se encuentra en Reino Unido, vaya buscando ya una alternativa legal.

No sabemos lo que falta, pero ello le evitará posibles multas.

.

(*)Lamentablemente ‘eventually‘ no significa lo mismo que ‘eventualmente

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

junio 5, 2018

Entender el RGPD como paso previo para adaptarse

Filed under: Comercio Electrónico,Informática,Protección de Datos,RGPD — Etiquetas: , , — legisconsulting @ 12:08

El RGPD es un ladrillo. Ya asustan de entrada los 173 considerandos en sus primeras 32 páginas antes de llegar al artículo 1. Pero en la práctica, implementarlo no es para tanto si se ha entendido…

«Efecto Reglamento»

Para quien tenga edad y memoria, con el RGPD ha pasado lo mismo que con el principio del milenio con ‘el efecto 2000‘.  Los ordenadores colapsarían y las consecuencias sería impredecibles.

Han pasado ya varios días desde la entrada en vigor del RGPD  y aún no ha pasado de moda. Siguen llegando los emails pidiendo consentimientos o comunicando unas condiciones de privacidad «adaptadas al reglamento» que dejan la enciclopedia británica como relato breve. Parece que aquello de que la información debe ser «en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo« no debe venir en todas las ediciones del reglamento.

Las consultas que entran son básicamente del tipo: «¿qué papeles debo tener en el cajón  para cumplir con el RGPD?«. Y en respuesta a tal pregunta surgen la ofertas para adaptarse al RGPD con un simple sistema informático que prometen cumplir con todas las exigencias y hasta notificar los ficheros a la AGPD. Cuando hasta la AGPD facilita la documentación para bajo nivel de riesgo.

A esta confusión contribuyen hasta las televisiones con expertos que dicen cosas cuando menos extrañas: como el alto responsable de una empresa informática que vi el otro día que, simplificando el RGPD hasta el extremo, mantenía que lo importante era el consentimiento. Que había que pedirlo de nuevo y que si el interesado lo denegaba, pues que tocaba volver a pedirlo hasta que se consiguiera… Pero muchos de los consentimientos que todo el mundo tenía antes del viernes 25 de mayo de 2018 eran válidos. La operativa de aquellos que lo venía haciendo bien sigue siendo válida; y el tratamiento de los datos de quien cumplía la LOPD necesitará de pocas adaptaciones al RGPD.

Pero muy pocos lo hacían bien porque lo limitaban a una lista de formalismos y papeles.

Qué es el RGPD

Si se ha entendido y se hace bien, la adaptación en la inmensa mayoría de los casos debería ser fácil y rápida. Pero para ello es necesario asimilar lo que NO es el RGPD

  • –        El RGPD NO es un caos: los requisitos y exigencias no son tantos si se hace debidamente.
  • –        NO es una lista de papeles: Sí hay documentos que hay que tener (que no depositar ante ala AGPD), pero no más de los que se exigían antes.
  • –        NO es una lista de formalismos
  • –        Y NO es algo que pueda hacer cualquiera

Y sí entender lo que Sí es el RGPD.

«La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal…»

  • –        Es una forma de pensar
  • –        Es una forma de actuar
  • –        Es sentido común y empatía

Obviamente, como no puede ser de otra manera, el RGPD establece una serie de formalismos concretos, pero junto a ellos plantea una serie de obligaciones, requisitos, formas de actuar e incluso conceptos jurídicos mucho menos concretos y detallados pero que sí exige que sean demostrables: «sé proactivo en la ‘protección de datos por la protección de datos’ y demuéstrame que lo eres«.

Y la única forma de hacer eso y realmente cumplir con el reglamento es entendiendo el reglamento.

Entender el Reglamento

Legalmente, prestar servicios de asesoramiento jurídico sólo lo podemos hacer los abogados. Como profesión regulada que es, el ordenamiento jurídico entiende que para prestar tales servicios se necesita de unos estudios y conocimientos específicos. Pero el Reglamento (RGPD) fija algo que parece contradictorio: El Delegado de protección de datos es por ejemplo el máximo responsable de informar, asesorar y supervisar el cumplimiento de las disposiciones del reglamento, pero no se le exige ser jurista.

Ello es porque la primera exigencia del Reglamento es entender  el entorno para saber cómo proteger los datos. Y entiende -desde mi punto de vista erróneamente- que los conocedores del entorno serán los que mejor podrán protegerlos. Y quien vive en y por esos entornos, normalmente no son juristas.

Pero el paso previo es leer y entender el Reglamento para poder aplicarlo en un entorno concreto. Y leer y entender el Reglamento es algo propio de juristas. No porque seamos más listos o menos, sino porque nuestra mente funciona de forma distinta en un ecosistema propio. Es conocido por un estudiante de primero de Derecho -y lo entiende uno de matemáticas o de informática-, que el Ordenamiento es un sistema con capacidad de auto y hetero-integración en el que todo está conectado.

(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental.

(2) … El presente Reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas.

Por ello parece que en un tema tan particularmente complejo y tan lleno de pequeños matices sean los juristas los más apropiados, aunque siempre necesitaremos de otros profesionales para cualquier adaptación plena.

Se acabaron las notificaciones de archivos a la AGPD y la tenencia de papeles en un cajón colocados allí el día antes de la anunciada visita de los inspectores de la Agencia. El Reglamento establece ahora una gestión activa de los datos, unas obligaciones en la operativa diaria del tratamiento de los datos y unas funciones de autocontrol a través de órganos internos que antes estaban reservadas a la agencia. Igual que hacienda externaliza el cobro del IVA en manos de los empresarios, el reglamento externaliza la gestión y control de los datos en manos de todo el que trate datos personales con cualquier fin fuera del ‘ejercicio de actividades exclusivamente personales o domésticas‘. Y la AGPD controlará que se hace igual que hacienda controla que se cargue el IVA en las facturas.

Adaptación al RGPD

Como decía antes, la adaptación al RGPD debería ser en la mayoría de los casos fácil y rápida. Y si bien es posible crear herramientas que faciliten la labor y/o aporten un valor añadido, estas sólo pueden ser a día de hoy una solución parcial. Se requiere más: siempre serán necesarias acciones adicionales específicas sobre todo en (y en función de) la operativa.

Aprenderse de memoria el RGPD no basta. Hay que entender qué bien está protegiendo y los objetivos y límites de tal protección. La inteligencias artificial tiene un grandísimo futuro, pero para la adaptación al RGPD, la inteligencia mejor Emocional.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 25, 2018

Servicio de adaptación fácil, segura y sin papeles al Reglamento — RGPD X

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , , — legisconsulting @ 13:15

Legisconsulting lanza un NUEVO SERVICIO que le ayudará a adaptar a su empresa al nuevo reglamento. Ahora y en el futuro.

Características del servicio

Fácil

Información y redacción de documentos adaptados a su actividad

Notificaciones periódicas sobre obligaciones del RGPD

Adopción de medidas  «seguridad proactiva» obligatorias del el RGPD.

Seguro

Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Sin papeles

Almacenamos su documentación y le damos un  acceso remoto con claves personales

Mantenemos su documentación siempre actualizada a las novedades legislativas o a las directrices de la AGPD

Razones para elegir el servicio de Legisconsulting:

  1. Adaptaciones al Reglamento: Cualquier modificación sobre los datos del reglamento se implementará de manera fácil y ágil.
  2. Accesibilidad: Acceso a la documentación mediante claves personales en cualquier lugar y desde cualquier dispositivo.
  3. Actualización normativa Adaptación del servicio a cualquier actualización normativa o directriz de la AGPD que se produzca en el futuro.
  4. Cumplimiento de obligaciones proactivas Podrá demostrar que ha adoptado las obligatorias acciones activas para el tratamiento y la seguridad de los datos.
  5. Modificaciones Cualquier modificación se realizará de manera inmediata.
  6. Almacenamiento seguro Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 17, 2018

Como adaptar la Web al Reglamento de Protección de Datos — RGPD IX

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 11:26

El próximo 25 de mayo entrará en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD) que traerá la obligación de adaptarse al mismo a todas las Webs. Porque aunque para entonces no habrá Ley nacional, este será plenamente aplicable y la AGPD ya avisa que empezará a imponer sanciones por su incumplimiento.

Webs obligadas a adaptarse

Básicamente viene obligado quien viene obligado por la ya veterana en este mundo LSSI. Como ya hemos señalado en numerosas ocasiones en este Blog, cualquiera que mantenga una actividad económica relacionada de alguna forma con la Web. (Obligados).

El aviso de Privacidad

Todas las Webs deberán disponer de un texto de aviso de privacidad en que se informe a los usuarios de que se están captando datos personales. Qué datos de se están captando; con qué finalidad; quien los está captando;  cómo y por quien van a ser tratados esos datos; y durante qué plazo se van a conservar. (Tratamiento de los datos)

Además se debería proporcionar al usuario la nueva información obligatoria derivada del RGPD y de los nuevos derechos que le otorga el RGPD.

Pero es que además, de forma previa a la captación de los datos, el usuario debe prestar su consentimiento.

Las Cookies

El nuevo RGPD mantiene en su considerando 30 que en el momento en que la web instale algo en el ordenador (cookies) que permita identificar a una persona entramos en el ámbito de actuación del Reglamento, por ello cabe entender como válida en su práctica totalidad guía de Cookies que en su día publicó la AGPD en aplicación del Art. 22.2 LSSI que nos permite instalar tales cookies.

Por tanto, el  modelo de cookies sigue siendo válido, pero se acabó la mecánica habitual de «si sigue navegando acepta«. El consentimiento ya siempre debe ser expreso siempre y el texto (y la consiguiente consecuencia técnica) debería transformarse de algo del «si quiere seguir navegando con cookies, acepta«.

Las Condiciones de Servicio

Las Condiciones de Servicio integran en muchas ocasiones el mismo «Aviso de Privacidad» porque en muchas ocasiones resulta más práctico y facilita la usabilidad del sitio Web. Pero incluso en los casos en que no se integra, las propias condiciones del servicio y la forma en que se presta este pueden afectar al los datos personales; a como se captan y al uso que se hace de ellos. En este caso sería necesario adaptar también estas Condiciones de Servicio al RGPD.

El consentimiento

El consentimiento es la primera pieza angular del nuevo RGPD  y el que más cambios nos obligará a adoptar en las páginas Web y en la operativa de cualquier presencia online.

Como ya se ha señalado anteriormente, el consentimiento de verá ser siempre expreso y se deberán establecer mecanismos que demuestren que se ha prestado ese consentimiento de forma expresa y una forma segura de almacenar tales consentimientos.

Y la «Actitud»

Los datos no se podrán almacenar, tratar o usar como hasta ahora. Y sobre todo, la actitud no podrá ser la misma que hasta ahora.

Aunque parezca un concepto algo abstracto, el RGPD exige, como segunda piedra angular,  una actitud proactiva en el tratamiento y la protección de los datos personales. Actitud que debe reflejarse en acciones materiales concretas y demostrables que demuestren tal actitud. Algo nada abstracto pero mucho más flexible para los titulares de webs que deberán plantearse en cada caso concreto qué acciones deberían tomar. Y si no las encuentran, consultar a un especialista.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 2, 2018

Obligados a la protección de datos — RDPD VIII

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 13:07

El 25 de mayo entra plenamente en vigor en nuevo Reglamento Europeo de Protección de Datos que afecta a PYMES, autónomos y muchas personas que ni se les pasa por la imaginación que pudiesen estar obligados y por lo tanto expuestos a cuantiosas sanciones.

Obligados

En resumen, todo el mundo, ya sean personas físicas o jurídicas, con datos en ficheros personalmente total o parcialmente automatizados, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero de personas físicas, en actividades que no sean  exclusivamente personales o domésticas.

Es decir, cualquier dato personal en cualquier actividad que no esté exclusiva y únicamente relacionado con nuestra vida privada personal.

Artículo 2 Ámbito de aplicación material

2.El presente Reglamento NO se aplica al tratamiento de datos personales:

c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

Es casi textualmente lo mismo que señala la vigente LOPD y, como normativa complementaria en el campo que le es propio, la LSSI. Por ello disponemos de un amplio y detallado desarrollo de lo que esto significa. Así, quedarán dentro de las actividades sujetas a la ley todas las actividades económicas, incluidos «los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios«.

Pero esto es sólo el resumen y conviene analizar cada elemento  para ver si realmente se está sujeto a las obligaciones del Reglamento (RGPD).

Que son ‘Datos Personales’

Toda información sobre una persona física identificada o identificable cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

Es decir, casi cualquier dato referido a una persona, desde su nombre o número de DNI hasta la dirección IP de su ordenador.

Que es un ‘Fichero’

Fichero es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Es decir, desde las bases de datos en la nube, la agenda del teléfono, hasta la agenda de teléfonos en papel que dejó el abuelo en el cajón del despacho o hasta los Post-it con los teléfonos que pegamos a la pantalla son ‘ficheros‘ a efectos de la Ley .

Que es el ‘Tratamiento de datos’

Es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

Es decir, desde un punto de vista legal, desde guardas las IP de las personas que visitan nuestra Web hasta tirar el Post-it que decíamos antes a la papelera es ‘tratamiento‘ de datos.

En qué ‘Actividad’

La obligación se extiende a todo tratamiento datos personales independientemente de la actividad u objetivo que se persiga con los datos personales. Sólo existe una excepción general a esa norma si se ‘tratan‘  en un ámbito exclusivamente personal o doméstico.

Soy consciente de que el concepto puede ser lo suficientemente abstracto para que genere dificultad aplicarlo a un caso concreto, por lo que tal vez trasladarlo ejemplos concretos puede facilitar su comprensión.

Ejemplos

  • La agenda que los abuelos guardan en la mesita del teléfono: obviamente no hay nada tan doméstico ni personal como eso y por tanto estaría excluido de las obligaciones del RGPD.
  • El frutero de la abuela (o cualquier tienda física)  que le lleva a la compra a casa porque pesa.  Es igual de obvio que la dirección de la abuela no es una dato personal ni doméstico del frutero y debería cumplir todas las exigencias de la normativa de protección de datos aún cuando tenga la dirección en un papel en la caja.
  • Una Web en la que se venden productos, se ofrecen servicios o funciona como mero ‘escaparate’. En este casi Sí estará obligada a cumplir las disposiciones en materia de protección de datos aún cuando no se venda o contrate nada online. Aunque si a través de la Web no se recaba ningún tipo de dato personal ni se recaban datos ya sea de forma consciente o inconsciente (por uso de cookies por ejemplo). En ese caso NO estaría obligada por el simple hecho de que no hay datos que tratar.
  • Un blog en el que se enseña a diseñar y montar centros de mesa y en el que, como en la mayoría de los blogs, se permite dejar comentarios o hacer consultas con la dirección de Email, que es un dato personal:
  • Si el blog se mantiene -o desde la asociación de vecinos o la biblioteca municipal- y quien lo hace no tiene ninguna actividad profesional relacionada, esta persona NO estaría obligada.
  • Pero si el titular del blog tiene o es socio o trabajador con según qué responsabilidad en algún tipo de negocio relacionado con las flores en el sentido más amplio -desde una floristería; a un salón de banquetes; o a una funeraria, se me ocurre-, en este caso estaría fuera de su esfera estrictamente personal o doméstica y  SÍ estaría obligado a cumplir con todas las obligaciones aunque el único dato personal al que tenga acceso sea el Email de los usuarios con sus comentarios.
  • Un canal de Youtube en que se enseñan a fabricar anzuelos para la pesca. Al igual que en el caso anterior, en tanto se haga por diversión y se realice a titulo estrictamente personal, NO estaría obligado.  Al menos durante el tiempo en que las visitas no se cuenten por miles, porque cuando sea así y se empiece a cobrar, por poco que sea, entonces SÍ se pasará a estar obligado.
  • Médicos, dentistas, fisioterapeutas, etc. Los datos que tratan y a los que acceden están especialmente protegidos y sus obligaciones son mayores que las de resto de interesados y las sanciones por incumplimiento de dichas obligaciones, sustancialmente mayores. SÍ, SIEMPRE están obligados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Older Posts »