El Impacto de la Protección de Datos en los Chatbots

9 diciembre, 2020 | DPD DPO

Los chatbots o bot conversacional son sistemas informáticos cuya funcionalidad es poder mantener una interacción con el ser humano. A través de este programa, el usuario es capaz de mantener una conversación en línea con una persona a partir de determinadas respuestas automáticas. El citado software, tiene una serie de respuestas preparadas de antemano, y de esta manera, destaca por su inmediatez.  Actualmente son utilizados por las compañías para poder interactuar con sus clientes o potenciales clientes, y así responder de forma ágil a las preguntas que se formulen sobre el servicio.

Para poder realizar su función de interacción con el usuario, el programa deberá procesar y almacenar la información que le facilita el usuario, entre dicha información se pueden contener datos de carácter personal. Un dato de carácter personal es toda información identificada o identificable referente a una persona física. Es por ello que, podrá almacenar datos personales de diferente tipo: desde un nombre, apellidos, dirección… a determinados datos de salud, religión etc. (considerados datos de categoría especial).

Si se va utilizar este sistema, deberá tenerse en cuenta las siguientes implicaciones en materia de protección de datos:

  1. Deberá identificar los tratamientos de datos que se van a realizar en la plataforma, y registrarlo en su Registro de Actividades de Tratamiento correspondiente, con toda la información exigida por el artículo 30 del RGPD.

  2. Se deberán analizar los riesgos derivados de estos tratamientos sobre los derechos y libertades de los individuos y comprobar si dicho tratamiento lleva aparejada la realización de una Evaluación de Impacto (en adelante EIPD). Además, comprobar si el mismo, se encuentra recogido en la lista de tratamientos que requieren una EIPD de forma obligatoria.

  3. Aplicar las medidas tanto técnicas como organizativas adecuadas a los riesgos que hayamos previsto para los tratamientos de datos.

  4. Buscar una base de legitimación de las recogidas en el artículo 6 del RGPD para los tratamientos realizados en el chatbot.

  5. Informar a los usuarios que utilicen el servicio de forma sencilla, ágil y transparente según lo estipulado en los artículos 13 y 14 del RGPD.

  6. En el caso de que el servicio lo provea un tercero ajeno a la organización, deberá firmarse el correspondiente contrato de encargado del tratamiento, conforme a los requisitos del artículo 28 del RGPD.

Además, debemos recordar que todas estas cuestiones deberán plantearse de manera previa a la implantación del sistema. Para cumplir con el principio de privacidad desde el diseño, el Responsable del tratamiento deberá estudiar todas estas implicaciones de forma previa y evaluar los riesgos derivados. Para ello, si fuera necesario, aplicará una serie de controles para que el servicio ofrecido se pueda desarrollar sin problemas jurídicos sobre la protección de datos de los usuarios que lo vayan a utilizar.

Marcos Rubiales

Equipo Govertis

KEEP READING

Es obligatorio el Delegado de Protección de Datos para las empresas que desarrollan actividades de publicidad y Prospección Comercial

26 noviembre, 2020 | DPD DPO

El uso de nuevas tecnologías resulta de mucha utilidad para la realización de una gran variedad de tratamientos de datos personales y en concreto, para aquellas actividades que se utilizan para desarrollar campañas publicitarias y prospección comercial, puesto que aplican técnicas de marketing digital con el objetivo de llegar a un público más personalizado y por tanto, obtener un mayor éxito en las ofertas de productos o servicios.

La pregunta es porqué la nueva Ley de Protección de Datos y Garantía de Derechos Digitales, 3/ 2018, de 5 de Diciembre, (LOPDGDD) fija de manera obligatoria para estas actividades, por lo tanto, para las compañías que se dedican a dichas funciones, nombrar un Delegado de Protección de Datos.

La ley, es muy clara, en este sentido, pues conforme establece su artículo 34, “Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso cuando se trate de las siguientes entidades:

  • k) las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos”.

Si se observa, la Ley no obliga a todas las empresas que se dediquen a las actividades publicitarias y de prospección comercial a nombrar a un delegado de protección de datos, sino, solo a aquellas que realizan actividades que permiten conocer las preferencias de las personas o que elaboren perfiles. Esto es lo que claramente, marca la línea divisoria entre designar un delegado de protección de datos de manera obligatoria o voluntaria, tener y buscar o vigilar los gustos y hábitos de vida para elaborar perfiles debido al conocimiento de  las  preferencias personales de los usuarios.

Si en la actividad publicitaria no se realizaran perfilados, el delegado de protección de datos, podrá designarse por las compañías de una  manera voluntaria,  aunque siempre constituye una garantía de cumplimiento y de Responsabilidad Proactiva del Responsable del tratamiento,  a tenor del Reglamento Europeo de Protección de Datos  2016/ 679 del Parlamento Europeo  y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46.

Para poder entender un poco mejor, en qué consiste la elaboración de perfiles, se trata de cualquier forma de tratar los datos personales de manera que consiguen evaluar aspectos y preferencias de nuestra vida privada, como, por ejemplo, lo que nos gusta comer, o donde preferimos ir de vacaciones, en que tiendas compramos más, o en qué momento vamos a tal restaurante, es decir, se realiza una vigilancia de nuestros movimientos, comportamientos, salud o preferencias de cualquier tipo.

(fuente imagen: adveischool)

Es precisamente esta circunstancia de vigilancia de nuestros hábitos que realizado sobre un número de personas muy elevado, se denomina “tratamiento de datos personales a “gran escala” o “perfilado a gran escala” , piensen  por ejemplo en una gran cadena internacional de alimentación,  ya que  se recogen gran cantidad y variedad de datos personales (Big Data) , con la ayuda de la Inteligencia Artificial  (IA).

Este tratamiento de datos, en sí mismo, comporta riesgos especialmente relevantes (alto riesgo), para los derechos y libertades de las personas que hace necesario y obligatorio designar un delegado de protección de datos, precisamente para tomar medidas que reduzcan, dentro de lo posible, el riesgo de dañar o perjudicar a las personas, o afectar negativamente sus derechos y libertades, impidiendo o limitando su ejercicio o contenido.

Como se puede deducir, el Big Data tiene un fuerte impacto sobre nuestra privacidad, ya que las predicciones sobre las que se basan para toma de decisiones, serán mejores cuantos más datos personales se recojan, por lo tanto, cuanto más sepan de nosotros y más tiempo se tratan dichos datos, más se puede ver comprometida nuestra vida privada, ello hace que la normativa exige unas determinadas garantías para poder llevar a cabo dichos tratamientos personales que resultan más intrusivos.

La Inteligencia Artificial, junto con el Big Data, juegan un papel fundamental en esta recopilación de información personal, pues gracias a ella se utilizan sistemas que muestran un comportamiento inteligente que analiza el  entorno y  realizar acciones  con cierto grado de autonomía, para lograr un objetivo específico, por las empresas que llevan a cabo actividades  de publicidad comportamental, partiendo lógicamente desde el conocimiento de nuestras preferencias personales, intereses, fiabilidad o ubicación y movimientos

Por todo lo anterior, entendemos  por qué la legislación en materia de protección de datos, obliga a  todas aquellas empresas que realicen prospección comercial y publicidad que implique la elaboración de perfiles, o el tratamiento se base en las preferencias de los afectados , nombrar un delegado de protección de datos, por ser experto en la materia, cuya función será, entre otras muchas,  la de vigilar y poner la debida atención a los riesgos  asociados  a las operaciones de tratamiento, por considerarse  intrusivas para nuestra privacidad, teniendo sobre todo en cuenta la naturaleza de los datos que traten, así como su alcance, contexto, y finalidad del tratamiento.

Autora: Carmen Lopez Belda.

Associate-Legal & Privacy Advisor  en Govertis-Telefónica

IT Lawyer

@LopezBelda
https://www.linkedin.com/in/carmenlopezbelda

23 de Noviembre 2020

https://www.aepd.es/sites/default/files/2019-12/wp251rev01-es.pdf

https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-be-subject-automated-individual-decision-making-including-profiling_es

KEEP READING

Gestionar contraseñas es proteger el acceso a nuestro negocio.

18 noviembre, 2020 | DPD DPO

No cabe duda de que vivimos en una era de ciberseguridad evolutiva, en la que cualquier corporación ya sea mercantil, gubernamental u organización sin fines lucrativos, conlleva un alto nivel de protección, no sólo del activo más importante en una organización, que es su información hoy en día, sino también la protección de nuestra vida digital.

Dentro de este marco, no es menos importante la seguridad en los accesos a la información, dispositivos o aplicaciones locales o web. La llave que nos brinda el paso a todo ello, son nuestras contraseñas, a menudo gestionadas por los mismos usuarios de distintos niveles de perfil técnico.

Ante la necesidad de los constantes cambios de contraseñas para mejorar el cifrado en el acceso, surge en los usuarios “la presión añadida” de memorizar o almacenar (en ocasiones de forma rudimentaria y poco segura) estas claves.

Para aumentar la calidad del trabajo TI, es casi imprescindible automatizar este proceso, aún más cuando precisamos cumplir con auditorias de seguridad como PCI (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard).

Existen multitud de software gestores que cuentan con funcionalidades diversas como:

  • La generación automática de contraseñas fuertes y aleatorias
  • Sistemas de doble autenticación
  • Gestión de la temporalidad de la contraseña (longevidad),
  • Filtro de repetición de claves ya obtenidas o simplemente
  • Almacenar de forma segura en una base de datos, que a su vez se protege por una password maestra de acceso inicial, para después de forma automática con autoescritura aplicarla junto con el usuario en cualquier acceso.

Con estas herramientas eliminamos el tedioso hábito de memorizar infinidad de contraseñas, recurriendo a menudo a la errática costumbre de asociarlo con fechas o elementos privados para poder recordarlos o en otros casos anotarlos en archivos de Word o de anotaciones de fácil acceso.

Con esta concienciación y el uso de backups programados de la base de datos donde se alojan nuestras claves, la seguridad se incrementa exponencialmente, aportando calidad en el trabajo diario, relacionado directamente con el resultado que espera el consumidor final de nuestra actividad empresarial.

Algunos consejos para la creación de contraseñas cuando no son generadas automáticamente pueden ser estos:

  • Cambio de claves periódicamente (mensual o trimestral dependiendo de la información a la que se pretende acceder).
  • No repetir contraseñas antiguas.
  • No relacionar claves de acceso con datos o eventos personales (fechas, teléfonos, DNI, matrículas de coche, etc…)
  • Diferenciar los sitios de acceso con claves diferentes.
  • No almacenar las contraseñas en archivos sin acceso seguro y mucho menos en soporte papel.
  • Si el entorno no es seguro, es decir, si estamos conectados a una red Wifi pública o que no está protegida de forma privada o dentro de nuestra corporación, evitar acceder a sitios con nuestro usuario y password.
  • Si el equipo no está en un sistema operativo corporativo configurado con usuarios de entorno, y el equipo no es el habitual de trabajo, evitar el acceso, puede ser descifrado con sistemas de validación de pulsaciones de teclado.

Este es un concepto más de seguridad, que debe estar respaldado por un Firewall, Políticas de Seguridad y restricciones.

Rocío Bremón

Equipo Govertis

KEEP READING

La obligación de bloqueo de datos: dificultades conceptuales sobre su aplicación

22 octubre, 2020 | DPD DPO

Al integrar en nuestro sistema de Compliance el cumplimento de las obligaciones del RGPD y la LOPDGDD ¿cómo debemos interpretar la obligación de bloqueo que preceptúa el artículo 32 de la LOPDGDD? “El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión”. Más allá de las cuestiones relativas a como ejecutar materialmente el denominado “bloqueo” en nuestro sistema de información, otra de las cuestiones prácticas claves es bajo qué circunstancias y durante cuánto tiempo debemos bloquear dichos datos.

Las posibles responsabilidades

Cabe destacar ciertos detalles de la redacción del artículo 32.2 cuando se refiere a restringir el tratamiento y únicamente permitirlo para su puesta a disposición a las autoridades: para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas”. La redacción puede ser problemática, en el sentido de que entendemos como “posibles responsabilidades”, ¿se trata de responsabilidades que ya han nacido a consecuencia de un determinado hecho y que, ya sea porque nuestra entidad lo ha detectado o porque se ha iniciado el correspondiente proceso judicial o administrativo, corresponde bloquear los datos personales vinculados al mismo?, o ¿se refiere a cualquier potencial responsabilidad, ocurra o no el hecho generador de la misma, sobre la que pueda responder la entidad?

Responsabilidades derivadas del tratamiento

Otro elemento de incertidumbre en la redacción del artículo 32, en concreto su apartado 2, es la relativa a que debemos entender por “responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.”

Aunque ello puede parecer a priori una forma de restricción que evite una hipertrofia del abanico de responsabilidades legales que pueden motivar el bloqueo de datos, dicha restricción nos obliga a llevar a cabo un segundo análisis causalista, no exento de complejidad e incertidumbre, sobre qué acciones dentro de la definición de tratamiento de datos personales, pueden ser susceptibles de producir responsabilidades de algún tipo y, una vez determinadas, establecer el plazo de bloqueo conforme su período de prescripción.

Distintos escenarios de prescripción de responsabilidades derivadas del tratamiento

Obviamente las responsabilidades derivadas del tratamiento quizás más evidentes serían las correspondientes al régimen sancionador de la LOPDGDD y sus correspondientes plazos de prescripción, siendo 3 años el más alto, para infracciones muy graves, tal como establece el artículo 72.1.

No obstante, ¿debemos detener el análisis en la prescripción de las sanciones de la LOPDGDD? Podemos encontrar en otros cuerpos legislativos, supuestos de hecho en los que, un tratamiento vulnerando alguna de las disposiciones del RGPD, puede generar una serie de consecuencias que den lugar a responsabilidad civil o incluso penal.

Si analizamos, por ejemplo, el marco del Real Decreto Legislativo 1/2007 por el que se aprueba el texto refundido de la Ley General para la Defensa de los consumidores y Usuarios y otras leyes complementarias (TRLGCU), una posible falta de conformidad en el producto recibido por un consumidor podría ser fruto de que el empresario llevó a cabo un tratamiento sin establecer medidas para garantizar el principio de exactitud del RGPD. Dicha falta negligente de exactitud, podría ser relativa a medidas corporales del cliente que se requieren para la personalización del producto o la confusión de direcciones de envío distintas, enviando productos a los destinatarios incorrectos, ¿estaríamos también en ese caso ante una responsabilidad derivada del tratamiento? Recordamos que las acciones por faltas de conformidad de los consumidores y usuarios prescriben a los 2 años, artículo 123.1 TRLGCU, y por ello, ¿deberíamos bloquear todos los datos de nuestros clientes, en condición de consumidores y usuarios, durante 2 años?

Continuando con el análisis, si nos fijamos en el marco penal, tenemos delitos como los de descubrimiento y revelación de secretos del artículo 197 y siguientes del Código Penal, que pueden ser cometidos por persona jurídica y versan muy directamente sobre datos de carácter personal, especialmente sobre la esfera de la confidencialidad, así como otros delitos como los daños informáticos del artículo 264 y siguientes que, aunque no se refieren expresamente a los datos de carácter personal, tampoco excluyen los mismos y se centran en aspectos relativos a la disponibilidad e integridad de los datos. ¿Encajarían entonces en la definición de “responsabilidades derivadas del tratamiento”?

Si la respuesta fuera afirmativa, sería necesario relacionar el plazo de prescripción de los delitos para la determinación de dicho período de bloqueo. Sin pretender entrar en una discusión doctrinal sobre la prescripción, dichos plazos podrían llegar a situarse en los 15 años, en interpretación conjunta del artículo 131 y 33.7 del Código Penal, junto a la doctrina del Tribunal Supremo sobre la valoración de la pena en abstracto del delito para la determinación del plazo de prescripción (STS 4264/2017 y Acuerdo del Pleno no jurisdiccional de la Sala 2 del TS de 16 diciembre de 2008 “la pena de la que hay que partir para la prescripción es la abstracta señalada al delito por el legislador y no la concreta resultante de aplicar la reglas sobre el grado de ejecución participación y circunstancias”). ¿Estaríamos entonces ante la obligación de que cualquier persona jurídica, por razón de sus “responsabilidades derivadas del tratamiento”, debería adoptar un sistema de bloqueo de datos personales de 15 años en cumplimiento del artículo 32.2 de la LOPDGDD y los eventuales plazos de prescripción penal aplicables?

Obligación de bloqueo y compatibilidad con el RGPD

La incertidumbre sobre la determinación del período de bloqueo, especialmente si tenemos en consideración los plazos de prescripción por responsabilidad penal, obligan a plantear la siguiente cuestión: ¿en qué medida una obligación de conservar o quizás, mejor dicho, una obligación de no destruir los datos de hasta 15 años, una vez se ha agotada la finalidad que motivó el inicial tratamiento, puede ser compatible con el principio de limitación del plazo de conservación del RGPD?

En conclusión, sería deseable mayores precisiones del legislador, teniendo en cuenta que tanto el incumplimiento de la obligación de bloqueo como la infracción de principios del artículo 5 del RGPD se tipifican en la LOPDGDD como sanciones muy graves, produciendo un escenario de riesgo complejo según como gestionemos la limitación del plazo de conservación junto con la obligación de bloqueo. Finalmente, cabe reflexionar sobre hasta qué punto el legislador nacional puede delimitar, modificar o matizar el alcance de un principio del Reglamento europeo e incluso generar incluso un concepto jurídico no previsto por este si tenemos en cuenta los conocidos principios de primacía y efecto directo.

Jordi Morera Torres

Equipo Govertis

Fuente de la imagen: https://pixabay.com/illustrations/security-secure-locked-technology-2168233/ Free for commercial use, No attribution required

KEEP READING

Las imágenes de videovigilancia como prueba judicial fuera del plazo de conservación

7 octubre, 2020 | DPD DPO

Como ya vimos en publicaciones anteriores, la Agencia Española de Protección de Datos (AEPD) ha venido aclarando todo lo relativo a los dispositivos de vídeo y sistemas videovigilancia mediante una serie de resoluciones, instrucciones y guías

Particularmente, en cuanto a la legitimación temporal del tratamiento de las imágenes de esas fuentes.

A modo de prolegómenos, comentar que el Reglamento General de Protección de Datos (RGPD), en su considerando 39, anuncia la necesidad de “garantizar que se limite a un mínimo estricto” el plazo de conservación de los datos personales, los cuales a su vez deben ser “adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados”.

El artículo 22.3 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), concreta –en cuanto a los tratamientos con fines de videovigilancia– que “los datos serán suprimidos en el plazo máximo de un mes desde su captación”. 

Se trata del mismo plazo que ya estableció la Instrucción 1/2006 de la AEPD, cuando todavía se llamaba “plazo de cancelación”. En 2019, en su Guía sobre el uso de videocámaras para seguridad y otras finalidades, la AEPD ha precisado que el plazo de un mes indicado en dicha Instrucción es, efectivamente, de supresión.

Ahora bien, si durante el tratamiento legítimo (dentro del mes desde su captación) se observa que las imágenes pueden “acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones”, existe el deber de comunicar la existencia de la grabación “en un plazo máximo de 72 horas” y su entrega a las autoridades (art. 22.3 LOPDGDD). Consecuentemente, las imágenes pasarían a ser tratadas ya en el marco del respectivo procedimiento judicial, investigación policial o procedimiento administrativo sancionador (nueva lógica de conservación que es igualmente aplicable cuando se incoe un expediente disciplinario en el ejercicio de la potestad sancionadora de los empresarios ante incumplimientos laborales de los trabajadores).

Pero, ¿qué pasaría si unos hechos –que en principio merecerían reproche penal, administrativo o laboral– se descubren revisando imágenes guardadas más de lo debido? Es decir, superando el plazo mensual para ello, habiendo incumplido la LOPDGDD por no destruir los archivos. ¿Podrían servir como prueba en juicio? 

Por una parte, en virtud del artículo 11.1 de la Ley Orgánica de Poder Judicial, “no surtirán efecto las pruebas obtenidas, directa o indirectamente, violentando los derechos o libertades fundamentales”. Siendo la protección de datos un derecho fundamental ex art. 18.4 de la Constitución Española, “cuando alguna de las partes, o incluso el tribunal de oficio, considere que en la obtención u origen de alguna prueba admitida se han vulnerado derechos fundamentales habrá de alegarlo de inmediato…”, dispone el art. 287 de la Ley de Enjuiciamiento Civil.

Desde la doctrina jurídica, el magistrado Suárez-Quiñones en su artículo «Las videograbaciones como prueba en el proceso penal» [en: Boletín del Ministerio de Justicia (estudios doctrinales), 2006, número 2024, pág. 13] expone que las grabaciones de cámaras de seguridad tienen un “plazo de validez” como prueba y recuerda: “las imágenes y sonidos obtenidos por cualquiera de las maneras previstas, serán destruidos en el plazo de un mes desde su captación”. Plazo que, por cierto, en caso de tratamientos que surgen de investigaciones profesionales, sería de tres años, según el art. 49.4 de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

Por otra parte, en nuestros juzgados y tribunales el planteamiento en cuestión no resulta del todo pacífico.

En la jurisdicción social encontramos posturas más flexibles a este tipo de actos del empresario, en vez de declarar su nulidad (como se hace por motivo de violar el derecho fundamental a la protección de datos en la Sentencia del Tribunal Constitucional 29/2013). Así, la justificación viene por el lado de incidir en una supuesta separación entre la actividad probatoria y la calificación que deba darse a circunstancias como la sanción de un trabajador. Nótese la Sentencia del Tribunal Superior de Justicia de Cataluña 7109/2000 que sostiene lo siguiente: “la calificación del despido debe vincularse al móvil que lo determina, o a la violación de derechos y libertades del art.  55.5 ET, y no a la ilegalidad de alguna de las pruebas aportadas al proceso, ello puede, no obstante, determinar la improcedencia [no la nulidad] del despido”.

En el ámbito de lo penal, a falta de mayor jurisprudencia en este sentido, llama la atención la Sentencia del Tribunal Supremo 4281/2019, cuyo fundamento jurídico tercero redunda en un intento de separar la valoración de unas imágenes de videovigilancia entre “el ámbito de la propia legislación reguladora de protección de datos, es decir, en el tratamiento que al efecto puede llevar la Agencia de protección de datos” y la “incidencia en el proceso penal”. Se apunta pues a que no valdría alegar la mera vulneración, sino que cabe establecer un grado concreto de invasión de un derecho constitucional (como el de la propia imagen o el de la protección de datos) a partir del cual alcanzamos la nulidad de la prueba.   

La citada sentencia, ponderando la seguridad pública, con el interés social de la persecución y prueba del delito, sugiere que existe una diferencia entre el alcance de las “correcciones administrativas” que pueda imponer la AEPD y lo que sería la validez de las imágenes en sede judicial para convertirse en prueba documental. Los requisitos que apunta el alto tribunal para discernir dicha diferencia se limitarían únicamente a “no vulnerar derechos fundamentales como el de la intimidad o la dignidad de la persona al captarlas” y no “hacerlo en espacios, lugares o locales libres y públicos, y dentro de ellos nunca en espacios considerados privados (como los aseos, vestuarios) sin autorización judicial”. Aparentemente, desde este planteamiento aislado –aunque de momento no contrastable con otros casos de jurisprudencia mayor–, se concibe dentro orden penal la asunción puntual de una suerte de ligas de derechos fundamentales en la que la protección de datos jugaría en segunda división. 

En cualquier caso, independientemente del fin para el que se realiza la disposición, el mero hecho de no haber suprimido los archivos cuando así tocaba ya constituye una infracción muy grave de la normativa de protección de datos.

De hecho, la posibilidad de reclamar ante la Agencia –con la certeza sobre el sentido del pronunciamiento y sanción– sirve, si no como desincentivo a valerse en juicio de este tipo de imágenes para quien las guarde, como un instrumento en manos de la parte afectada para su defensa o negociaciones. 

Andreu Yakúbuv-Trembach

Equipo Govertis

KEEP READING

Rastreo de usuarios por internet y medidas para minimizarlo

30 septiembre, 2020 | DPD DPO

Cuando visitamos páginas webs por medio de ordenadores, móviles, tabletas u otros dispositivos, nuestra privacidad se ve amenazada por distintas prácticas que, mediante el envío de identificadores únicos, permiten distinguir al usuario y sus hábitos de navegación 

A través de diversos rastreadores, las organizaciones, los prestadores de servicios y las páginas webs, entre otros, obtienen información y datos que posteriormente podrán ser utilizados con fines de publicidad, analíticos, estadísticos, para ofrecer servicios concretos, crear perfiles, o como base para el desarrollo de mejoras o nuevos productos y serviciosDe esta forma, logran un conocimiento exhaustivo de cada usuario.  

Para poder recopilar dicha información se utilizan distintas tecnologías que impactan de forma directa sobre la privacidad de los usuarios en cuestión. Las más conocidas por todos son las cookies, pero no son el único método, hay muchos otros: almacenamiento local, logs de servidores, identificadores únicos de publicidad, huella digital, etc.  

Teniendo en cuenta lo anterior, ¿Cómo podemos reducir este seguimiento de actividad en la navegación en internet y proteger nuestro anonimato?  

Para dar respuesta a esta cuestión, recientemente la Agencia Española de Protección de Datos (AEPD) ha publicado en su página web una serie de recomendaciones que resumiremos a continuación y que pueden ser consultadas en la página web de la AEPD de forma completa.  

Recomendaciones para usuarios sin conocimientos avanzados: 

  • Navegadores, aplicaciones y redes sociales: 
    • Se recomienda elegirlos, instalarlos o utilizarlos teniendo en cuenta las garantías de privacidad que ofrecen, atendiendo a los últimos análisis que se publiquen sobre ellos. Evitando el acceso a aquellos servicios que no ofrecen garantías adecuadas.  
    • Revisar y configurar las opciones de personalización, perfiles y publicidad que brindan.  
    • Evitar instalar aplicaciones que no sean necesarias. 
    • Evitar, en lo posible, iniciar sesión en el navegador, o al menos, evitar que la sesión se mantenga abierta de forma indefinida.  
    • Configurar el navegador para no sincronizar datos de navegación con los del usuario de sesión. 
  • Protección avanzada anti-rastreo: 
    • Mantener las aplicaciones y navegadores actualizados con el fin de disfrutar de las últimas tecnologías anti-rastreo 
    • En caso de que el navegador disponga de protección avanzada (anti rastreo/seguimiento) se recomienda activar o mantener activada esta configuración eligiendo el nivel más elevado.  
    • Si el navegador no dispone de protección avanzada anti-rastreo/seguimiento, se pueden instalar extensiones que realicen esta función, siempre que ofrezcan garantías adecuadas 
  • Respecto a las cookies: 
    • Se aconseja configurar el navegador para bloquear las cookies de terceros, como mínimo para cuando se navegue en modo privado 
    • Configurar el navegador para que al cerrar la página web las cookies se borren de forma automática. 
    • Borrar las cookies manualmente cada cierto tiempo.  
  • Para poder navegar por sitios que exigen mayor acceso a tus datos puedes seguir las siguientes opciones: 
    • Contar con dos navegadores distintos para que, si las configuraciones restrictivas te impiden acceder a algunos servicios, puedas hacerlo con el otro navegador que otorga mayores permisos.  
    • Añadir una excepción en la configuración del navegador que estés utilizando, pero estarás exponiendo información personal con los sitios incluidos en la excepción. 
  • Configura tu dispositivo:  
    • Cambia las opciones de tu dispositivo de forma que no se utilice el identificador de publicidad para crear perfiles o mostrar anuncios personalizados basados en la localización o el perfil.  
    • Si el dispositivo lo permite, también puedes cambiar el identificador de publicidad cada cierto tiempo desde las opciones de configuración de privacidad. 

Recomendaciones para usuarios con conocimientos avanzados: 

  • Configurar en la red doméstica un bloqueador de consultas DNS.  
  • Navegar a través de una VPN (red privada virtual) o la red TOR. 
  • Instalar máquinas virtuales en tu sistema, incluyendo únicamente un navegador de Internet y navegar en las sesiones virtuales. 
  • Utilizar sistemas operativos diseñados para preservar la privacidad y el anonimato.  

 Referencia:  https://www.aepd.es/sites/default/files/2020-09/nota-tecnica-evitar-seguimiento.pdf

Carolina Pena

Equipo Govertis

KEEP READING

El Delegado de Protección de Datos como negociador

26 mayo, 2020 | DPD DPO

Con la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD) se perfilaron algunas de las funciones del Delegado de Protección de Datos (DPD).

En concreto, el artículo 37 de la LOPDGDD regula la intervención del DPD en caso de reclamación ante las autoridades de protección de datos, estableciendo dos opciones diferentes. La primera de estas vías indica que, en los supuestos en que se haya designado un DPD, el afectado puede, antes de presentar su reclamación ante la autoridad de control, dirigirse al Delegado.

La segunda opción de intervención del DPD surge cuando el afectado presenta una reclamación ante la autoridad de control. En este caso, se prevé que la AEPD o la autoridad autonómica competente remitan esta reclamación al DPD de la entidad dándole un plazo de respuesta de un mes.

La AEPD destacó en la presentación de su Memoria de 2018 que: «En lo referente a las reclamaciones resueltas con respuesta satisfactoria tras haberlas remitido al responsable o al delegado de protección de datos (DPD), se han producido 863 durante 2018 y 2.079 hasta el 15 de mayo de 2019», aunque igualmente esta entidad aclaró que: «el traslado de la reclamación al responsable/DPD no implica necesariamente que no se vayan a realizar actuaciones inspectoras a posteriori, ya que la Agencia tiene potestad para investigar los mecanismos establecidos por la empresa. De hecho, un 13% de esas 863 reclamaciones (110) están en proceso de investigación». En la Memoria de 2019 se señaló que «los traslados al responsable para que analice la reclamación y dé respuesta al ciudadano crecieron un 147%, pasando de 2.300 en 2018 a 5.691 en 2019». Parece que esta vía ha llegado para quedarse.

Como señala la LOPDGDD en su Preámbulo, el DPD «permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento», cabe plantearnos por tanto que, además de las características que el Esquema de Certificación exige a los DPD, las soft skills que debe tener este rol, centrándonos en este caso en sus habilidades como negociador.

La negociación es un medio de resolución de conflictos autocompositivo, pero a diferencia de otros medios autocompositivos como la mediación, en que dos o más partes intentan voluntariamente alcanzar ellas mismas un acuerdo con la intervención de un mediador, en este caso las partes tienen autonomía para resolver por sí mismas el conflicto. Por otra parte, cabe diferenciar estos medios de los heterocompositivos, en los que la resolución resulta impuesta por un tercero, por ejemplo un árbitro o un juez.

En el ámbito de la protección de datos es el DPD quien se relaciona en nombre de la organización a la que representa con el afectado y quien, de forma amistosa, debe intentar llegar a una solución con este. «El proceso de negociación puede estructurarse de forma muy diferente, dependiendo principalmente de los negociadores y su cultura negocial» (Soleto, 2011). De este modo, el DPD deberá, en primer lugar, conocer su estilo negociador; desarrollar y trabajar sus habilidades negociadoras y, finalmente, elegir el tipo de negociación que quiere afrontar en su relación con los interesados.

El estilo negociador del DPD va a influir, sin duda alguna, en la negociación. Por este motivo, el DPD deberá conocer su estilo negociador en el ámbito de sus funciones y, en este caso, a la hora de negociar con un afectado. Es importante que tengamos en cuenta que cada persona se comporta en la negociación influido por el contexto; es decir, no negociaremos igual a la hora de adquirir un vehículo, al tratar un asunto laboral con nuestro jefe, o ante una decisión personal con nuestra pareja o progenitores. El Test Thomas-Killman es uno de los más famosos a la hora de analizar cuál es nuestro estilo de confrontación de conflictos, arrojando como resultado el predominio de, al menos, uno de estos cinco estilos: competidor, colaborador, comprometido, evitativo y acomodaticio.

Por otro lado, también será de enorme utilidad conocer el estilo negociador del afectado que nos contacta, así como identificar correctamente sus intereses. Será muy útil analizar la reclamación que haga llegar al DPD, los términos en que lo hace, así como la petición que nos hace llegar.

Además, el DPD, a la hora de representar a su organización en la negociación, deberá tener claras las líneas rojas que no podrá cruzar a la hora de ofrecer soluciones al afectado cuando entabla esta posible negociación (su Zona de Posible Acuerdo). Este aspecto es especialmente importante cuando se reclama una indemnización de carácter económico a cambio, por ejemplo, de no acudir a la autoridad de control o de no reclamar una indemnización de daños y perjuicios conforme al artículo 82 RGPD. En este último aspecto, incluso nos podríamos estar acercando a ser víctimas de un delito de extorsión, como ya analizamos en esta entrada del blog.

En cualquier caso, debemos identificar nuestros objetivos en la negociación, que pueden ser, por ejemplo, que el afectado quede satisfecho con la respuesta o, incluso, poder demostrar a la autoridad de control la voluntad de la organización al atender al interesado, independientemente de que este quede o no conforme con la respuesta que le es dada.

En cuanto al estilo de negociación que el DPD quiere afrontar en su relación con los interesados, en términos generales, existen dos tipos de negociación: la distributiva y la colaborativa. La negociación distributiva es el método tradicional de negociación; se relaciona con el estilo competidor de negociación y se basa en ganar intentando conseguir más que los demás; por su parte, el estilo colaborativo, basado en el Método Harvard, se vincula a un estilo negociador colaborador, en el que se tratará de ganar y que los demás también ganen. Este último modelo adquiere especial interés cuando se trata de negociar con una persona con quien queremos mantener una relación a largo plazo, como un empleado o un cliente, buscando de este modo ‘agrandar la tarta’ y/o buscar beneficios comunes.

Independientemente de uno u otro estilo de negociación, para afrontar con éxito cualquier negociación será necesario que entre las soft skills del DPD se encuentren la empatía para identificar los intereses del afectado y de la propia organización a la que representa, las habilidades comunicativas para expresarse con claridad durante la negociación, independientemente de si esta es oral o escrita, deberá saber controlar sus reacciones en la negociación y mantenerse proactivo a lo largo de esta.

Finalmente, nos queda únicamente plantearnos si estas habilidades negociadoras podrían ser también interesantes en las relaciones del DPD con sus grupos de interés internos o, incluso, con corresponsables y encargados del tratamiento.

BIBLIOGRAFÍA

Soleto, H. (2009) Conocer Y Dominar Los Estilos De Negociación. Revista Iuris, (nº 137), p.28-31. Recuperado de http://hdl.handle.net/10016/10298

Soleto, H. (2010). Negociar Lo Que Vas a Negociar: El Proceso De Negociación. Revista Iuris: actualidad y práctica del derecho, (nº154), p. 33-35. Recuperado de http://hdl.handle.net/10016/10692

 

Equipo Govertis

KEEP READING

El rol del DPO ante la rendición de cuentas o el principio de accountability

30 enero, 2020 | DPD DPO

El principio de responsabilidad proactiva se encuentra regulado en el artículo 5 del RGPD:

“El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)”.

Este principio es posteriormente desarrollado en el artículo 24 del RGPD:

  1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
  2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
  3. La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento”.

Lo relevante y la novedad principal introducida por el RGPD radica en que no basta simplemente con cumplir con las obligaciones establecidas en el RGPD, sino que además hay que ser capaz de demostrar que se cumple con el RGPD.

El rol del DPD puede tener un incalculable valor a la hora de demostrar el cumplimiento del RGPD:

  • El DPO ya está garantizando por el mero hecho de su nombramiento una presunción de cumplimiento del principio de privacidad por diseño y por defecto puesto que su rol de asesor y supervisor implica que con carácter previo debe haber asesorado al responsable o encargado sobre el nuevo tratamiento que se pretende iniciar o sobre las nuevas finalidades y usos no previstos inicialmente sobre alguno de los tratamientos existentes.
  • El DPO en su labor de asesoramiento y supervisión debe emitir informes y dictámenes lo que genera un conjunto de documentos que dan trazabilidad a las medidas adoptadas para reducir o eliminar los riesgos que pueden afectar a los diferentes tratamientos.
  • El DPO tiene un papel relevante otorgado por el RGPD dentro de las EIPD y su labor de documentación, así como las opiniones reflejadas en las diferentes actas aportan una información de gran importancia a la hora de demostrar que se pretendía y se pretende cumplir con el RGPD.
  • Tanto EL RGPD como la LOPDGDD obligan al DPO a comunicar internamente a los órganos de dirección los incumplimientos que detecten del RGPD. Esta obligación obliga a documentar por parte del DPO la vulneración y posteriormente ayudará a demostrar cómo se ha avanzado dentro de un ciclo de mejora continua desde que se detecta un incumplimiento del RGPD hasta que se elimina o reduce a un nivel aceptable ese incumplimiento.
  • La LOPDGDD obliga a responsables y encargados que hayan designado DPO a comunicarle cualquier adición, modificación o exclusión en el contenido del registro de actividades de tratamiento. Esta medida da trazabilidad al contenido del registro y sus diferentes versiones puesto que además de justificar por escrito que se ha comunicado al DPO, este último deberá emitir un informe o dictamen sobre su parecer sobre los cambios proyectados. Mas aún si cabe, la primera versión del registro de actividades también debería ir acompañada de un dictamen o informe sobre la conformidad o disconformidad del DPO sobre el registro.
  • La LOPDGDD dispone que el DPO en el ejercicio de sus funciones tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto. Por su parte el artículo 38.1 del RGPD dispone que tanto el responsable como el encargado del tratamiento garantizarán que el DPO participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Ese conocimiento del contexto de los tratamientos que tiene el DPO junto con sus informes o dictámenes permitirán demostrar documentalmente las medidas implementadas para eliminar las vulneraciones del RGPD y LOPDGDD.
  • Su papel dentro de la gestión de una violación de seguridad de datos personales es de vital importancia, puesto que su asesoramiento y consejo documentado permitirán a la organización justificar documentalmente aquellos aspectos que llevaron a determinar que existía o no, un riesgo o un alto riesgo para los interesados, así como las medidas que se deben implementar para evitar sucesos similares en el futuro.
  • Es el punto de contacto entre la organización que representa y la autoridad de control y los interesados por lo que puede asesorar sobre la mejor actuación y respuesta a dar ante reclamaciones y solicitudes de información.
  • En definitiva, esa labor de informar, asesorar y supervisar los tratamientos realizados por el responsable o encargado sobre los tratamientos realizados dejan una importante documental de cara a demostrar el cumplimiento del RGPD tanto desde las fases iniciales hasta las fases finales en las que se pueda emitir la conformidad del DPO en aspectos tan diversos como:
    • Registro de actividades de tratamiento
    • Cumplimiento de los principios del RGPD (licitud, minimización etc)
    • Conformidad con las bases de legitimación del tratamiento
    • Conformidad con las comunicaciones de datos
    • Conformidad con las garantías ofrecidas por los prestadores de servicios que acceden a datos
    • Conformidad con las transferencias internacionales realizadas
    • Conformidad con los planes de formación y concienciación de empleados que se han realizado o programado
    • Conformidad con los resultados de los análisis de riesgos o evaluaciones de impacto en protección de datos
    • Conformidad con las medidas de seguridad implementadas
    • Conformidad con los resultados de las auditorías internas o externas y los planes de mejora continua implementados para eliminar o reducir las no conformidades detectadas.

Equipo de Govertis

Logo Govertis

KEEP READING

II Congreso “Diálogos de DPDs” del Club DPD de la AEC: Un año con la nueva LOPDGDD

2 diciembre, 2019 | DPD DPO

El 29 de noviembre se celebró el II Congreso del Club DPD de la Asociación Española para la Calidad (y del que son partners Telefónica y Govertis). Esta vez llevó por título  “Diálogos de DPDs” y en él expertos de primer nivel y DPDs de referencia compartieron su visión, conocimientos y experiencias de éxito tras el primer año de existencia de la LOPDGDD.

Inauguración del Congreso

Para inaugurar esta relevante cita del “club del dato” contamos con Pedro Pablo Pérez, CEO de Elevenpaths, quien tras realizar unas breves reflexiones sobre el estado de la protección de datos presentó todo lo que estaba por venir durante el Congreso.

A continuación, Avelino Brito, Director General de la AEC, presentó la Asociación (y el #ClubDPD_AEC)  y puso el foco en el impacto de las nuevas tecnologías y la inmensa cantidad de datos que se generan en la actualidad, con el consiguiente reto que ello supone para la labor de los DPD.

Conferencia “El Delegado de Protección de Datos: experiencias, retos y oportunidades”

José Luis Piñar Mañas, Catedrático de Derecho Administrativo en la Universidad San Pablo CEU, DPD del Consejo General de la Abogacía Española, y Ex Director General de la AEPD; expuso los retos y oportunidades del DPD tanto desde la perspectiva del RGPD como de la LOPDGDD.

Insistió en la importancia del RGPD y en el hecho inédito de su alcance global a partir de  su extensión de ámbito territorial pues no hay prácticamente país en el que no se aplique a alguna organización.

También recalcó la idea de que el DPD (sea contratado laboralmente o en régimen mercantil) no es nunca “externo” sino que ese rol se incardina dentro de la organización (sin perjuicio de la forma jurídica que se le de). Y no sólo debe de incardinarse organizativamente dentro de ella sino que es fundamental que entre sus conocimientos estén el necesario conocimiento de la actividad de la organización.

José Luis desgranó ciertos aspectos relativos al estatuto básico (posición) del DPD que regula el RGPD y la LOPDGDD, como por ejemplo su cualificación.  Destacó que el DPD pasa a ser una figura imprescindible en el nuevo modelo de protección de datos;  Y citó – como prueba de ello – el artículo 37 de la LOPDGDD que regula su intervención en caso de reclamaciones. Subrayó  la necesidad de realizar ciertas aclaraciones como por ejemplo la incompatibilidad del mismo con la figura del responsable de legal (abogado) en las empresas o por ejemplo la de que el DPD ( a su juicio no es un encargado del tratamiento).

También profundizó sobre el significado del principio de responsabilidad proactiva  y para ello puso un ejemplo muy  gráfico: anteriormente era el legislador quien definía el riesgo, pero actualmente es el “gestor” (responsbale y encargado del tratamiento) quienes lo hacen. “Antes nos decían que podíamos ir a 120 km/h, ahora nos dicen que vayamos a la velocidad adecuada”, explicaba José Luis. Indicó que éste es un cambio de punto de vista muy importante: nuevo modelo es más flexible pero también más incierto.

Y acabó diciendo que tras un año y medio de aplicación del nuevo RGPD éste ha tenido un importante impacto cultural; y que respecto de los DPD en su día a día  en muchas ocasiones se atribuyen tareas al DPD más allá de los “verbos que le asigna” el RGPD: asesorar, supervisar, coordinar etc.

Meda Redonda: Diálogos con DPD

A continuación, se celebró una mesa redonda moderada por Eduard Chaveli, CEO de Govertis, formada por DPDs de diferentes organizaciones:

  • Francisco Lázaro Anguis, DPD y CISO de Renfe
  • Raquel Sánchez Rodríguez, DPD de la Universidad Francisco de Vitoria
  • Irene Benavides Zurera, DPD de Telefónica España
  • Jordi Verdú Benavent, DPD del Ayuntamiento de Valencia

Durante la mesa redonda se dio respuesta a dos preguntas de gran relevancia:

  • ¿Cuál es la opinión de los integrantes de la mesa sobre el estado de la regulación actual?

Los intervinientes estuvieron de acuerdo en que “en términos generales” la normativa de protección de datos es de calidad, aunque especifícamente, la LOPDGDD se podría haber afinado más y se mencionaron algunos errores en la regulación.

Jordi Verdú menciono como ejemplo de mejoras en la legislación la necesidad de clarificar el interés público como causa de legitimación, y citó algunos ejemplos. Puso de manifiesto la necesidad de que los diferentes  organismos y autoridades públicas con competencias en la materia (particularmente AEPD y CCN) tuvieran una mayor coordinación y complicidad.

Por su parte Irene Benavides insistió en la idea también avanzada por Jordi de que la legislación no parece del todo hecha pensando en el interesado.  Y citó un aspecto especialmente criticable que es la inclusión del título X de  la LOPDGDD no porque no sea necesario (que lo ess) sino por el proceso seguido en su precipitada gestación.

Raquel Sánchez puso el acento en la importancia de la formación en protección de datos y en el hecho de que aunque la nueva LOPDGDD la contempla como obligación su falta de desarrollo convierte esta previsión actualmente en un “brindis al sol”

Francisco Lázaro recogió el testigo de Jordi Verdú y amplió esa necesaria coordinación a otros  actores como INCIBE o CNPIC lo que se visualiza especialmente en materia de gestión de brechas de seguridad.

dav

  • ¿Qué dificultades habéis tenido en el cumplimiento de la nueva ley y qué soluciones habéis acometido?

Jordi Verdú habló de las dificultades de recursos necesarios para ejercer este rol que se han ido supliendo y también de la dificultad pero necesidad de tejer alianzas con servicios transversales; y también – como es lógico – en realizar acciones de concienciación y formación en diferentes niveles: Políticos, mandos intermedios y usuarios del sistema de información.

Irene Benavides comentó el reto que ha supuesto en una organización como Telefónica ya el propio hecho de inventariar los tratamientos (más de 1000) y también la realización de los análisis de riesgos y evaluaciones de impactos requeridas sobre ellos. Para ello también insistió en la estrategia apuntada por Jordi de encontrar aliados: “Champions”.  Y citó dificultades como por ejemplo conseguir que el derecho de información sea inteligible y por tanto eficaz sirviendo a los interesados para comprenderlo.

Raquel Sánchez puso foco en un aspecto muy importante: las dificultades para conseguir cumplir con el deber de diligencia en la selección de los encargados del tratamiento y habló de la experiencia  seguridad en la Universidad Francisco de Vitoria.

Francisco Lázaro hizo un  gran repaso de las dificultades mencionadas por algunos compañeros de la mesa para posteriormente apuntar algunos aspectos específicos de Renfe. Por ejemplo esa necesaria coordinación con otras áreas, o por ejemplo el control de los encargados que en Renfe por ser infraestructura crítica tiene una importancia aún mayor derivada no sólo de la protección de datos personales sino de la seguridad de las personas.

Conferencia “ISO 27701:2019. El nuevo estándar en Protección de Datos”

Javier Cao Avellaneda, Lead Advisor en Ciber Riesgos de Govertis, profundizó en la ISO 27701:201, analizando su estructura, dando claves para su implantación y evaluando el futuro de la misma.

Durante la ponencia aclaró términos utilizados en la normativa y fue profundizando en las diferentes cláusulas y en la orientación a objetivos y resultados y SGPD.

Como resumen de la presentación, Javier destacó tres cuestiones relevantes:

  • ISO 27.701 supone la formalización de un ciclo PDCA para dar soporte a un sistema de gestión de la privacidad que permite demostrar el cumplimiento del principio de responsabilidad proactiva.
  • La nueva norma, supone una extensión de la norma ISO 27.001 y por tanto, implica la implantación del conjunto de controles existentes (114) incluyendo las ampliaciones realizadas sobre 33 de estos controles.
  • Incluye además un marco de controles específico para la figura del Responsable del Tratamiento (4 objetivos de control y 31 nuevos controles) y del Encargado de Tratamiento (4 objetivos de control y 18 nuevos controles).

Para finalizar, Javier realizó una encuesta en directo con los asistentes al Congreso sondeando la opinión de los asistentes en relación a como afrontar la certificación de esta norma, si de manera independiente o conjuntamente con las ISO 27001 y 27002.

Javier Cao en el II Congreso del Club DPD

Conferencia “La privacidad: una aproximación cultural”

Por último, Antonio Muñoz Marcos, Director de Oficina DPD de Telefónica, impartió una conferencia con su visión de  la privacidad desde un punto de vista cultural. Antonio señalaba que cumplir adecuadamente con el reglamento requiere reflexionar sobre el impacto de la privacidad desde un punto de vista más amplio, pues la privacidad emana de las reglas culturales. En la nueva sociedad los datos fluyen y se genera un nuevo modelo por lo que la aproximación cultural a la privacidad requiere una reflexión por nuestra parte sobre la privacidad.

Agradecimientos

Para finalizar el Congreso, Alberto González, Gestor del Club DPD de la AEC hizo un resumen de la jornada y agradeció la colaboración a nuestros partners Telefónica y Govertis, así como a los ponentes que participaron en el evento, y dio las gracias a los asistentes por acompañarnos en esta relevante cita con la protección de datos.

¿Te gustaría asistir a los próximos encuentros? ¡Apúntate al Club DPD!

KEEP READING

III Insight del Club DPD: Anonimización, Redes Sociales y ENS

19 julio, 2019 | DPD DPO

El Club DPD realizó el 18 de julio un nuevo encuentro sobre RGPD y LOPDGDD. En esta ocasión se trataron en abierto dos temáticas de máxima relevancia en el sector: la Anonimización de Datos y la Protección de Datos en Redes Sociales. Además, los miembros del Club DPD disfrutaron también de un taller práctico sobre la implantación del ENS y el RGPD de forma integrada.

Anonimización de datos: aclarando conceptos

La primera de las ponencias corrió a cargo de Francisco González-Calero, Lead Advisor en Govertis Advisory Services y profesor en distintos programas formativos y Másters. Francisco, explicó la diferencia entre la anonimización y seudonimización, destacando que no se trata de sinónimos. Además, explicó cuándo es adecuada la seudonimización y cuándo lo es la anonimización, así como el proceso de esta última. A continuación puedes ver la ponencia completa:

Protección de Datos y Redes Sociales: aspectos prácticos de actualidad

Samuel Parra, jurista experto en Protección de Datos, comenzó su ponencia definiendo el concepto de red social, el cual posteriormente relacionó con los datos personales. Samuel respondió a varias preguntas concernientes a la protección de datos en redes sociales:

  • ¿Podemos compartir imágenes sin consentimiento de las personas que aparecen en ellas?
  • ¿Sería posible acogernos a la excepción doméstica a la hora de compartir contenidos en redes sociales?
  • El titular de perfil en Twitter relativo a una persona física, ¿realiza un tratamiento de datos sometido al RGPD?
  • El titular de este perfil de Twitter, ¿podría publicar mensajes de contenido publicitario?
  • ¿Puede el empresario, en el marco de un proceso de selección, revisar las redes sociales abiertas de un candidato?
  • Administro una Fan Page de Facebook, ¿soy responsable del tratamiento?

Puedes ver la ponencia completa a continuación:

Cómo implantar el ENS y el RGPD de forma integrada

Para finalizar la jornada, David Barrientos, GRC Advisor en Govertis Advisory Services, impartió un taller práctico, exclusivo para los miembros del Club DPD. El taller comenzó con una visión general del cumplimiento integrado del ENS y RGPD. A continuación presentó el plan de proyecto, marcando las fases y actividades que lo componen, así como el rol que juega cada uno de los actores y sus responsabilidades. David hizo especial hincapié en la “fase do”, la “fase check” y la “fase act”.

El Club DPD de la AEC

Este Insight fue el III que ha llevado al Club DPD creado por la Asociación Española para la Calidad. Aunque el encuentro completo se encuentra reservado para los miembros del Club, las dos primeras ponencias se retransmitieron públicamente vía streaming.

¿Te gustaría disfrutar del resto de encuentros del Club DPD completos? ¡Apúntate al Club DPD!

KEEP READING