915 752 750
aec@aec.es
915 752 750
aec@aec.es
El uso de nuevas tecnologías resulta de mucha utilidad para la realización de una gran variedad de tratamientos de datos personales y en concreto, para aquellas actividades que se utilizan para desarrollar campañas publicitarias y prospección comercial, puesto que aplican técnicas de marketing digital con el objetivo de llegar a un público más personalizado y por tanto, obtener un mayor éxito en las ofertas de productos o servicios.
La pregunta es porqué la nueva Ley de Protección de Datos y Garantía de Derechos Digitales, 3/ 2018, de 5 de Diciembre, (LOPDGDD) fija de manera obligatoria para estas actividades, por lo tanto, para las compañías que se dedican a dichas funciones, nombrar un Delegado de Protección de Datos.
La ley, es muy clara, en este sentido, pues conforme establece su artículo 34, “Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso cuando se trate de las siguientes entidades:
Si se observa, la Ley no obliga a todas las empresas que se dediquen a las actividades publicitarias y de prospección comercial a nombrar a un delegado de protección de datos, sino, solo a aquellas que realizan actividades que permiten conocer las preferencias de las personas o que elaboren perfiles. Esto es lo que claramente, marca la línea divisoria entre designar un delegado de protección de datos de manera obligatoria o voluntaria, tener y buscar o vigilar los gustos y hábitos de vida para elaborar perfiles debido al conocimiento de las preferencias personales de los usuarios.
Si en la actividad publicitaria no se realizaran perfilados, el delegado de protección de datos, podrá designarse por las compañías de una manera voluntaria, aunque siempre constituye una garantía de cumplimiento y de Responsabilidad Proactiva del Responsable del tratamiento, a tenor del Reglamento Europeo de Protección de Datos 2016/ 679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46.
Para poder entender un poco mejor, en qué consiste la elaboración de perfiles, se trata de cualquier forma de tratar los datos personales de manera que consiguen evaluar aspectos y preferencias de nuestra vida privada, como, por ejemplo, lo que nos gusta comer, o donde preferimos ir de vacaciones, en que tiendas compramos más, o en qué momento vamos a tal restaurante, es decir, se realiza una vigilancia de nuestros movimientos, comportamientos, salud o preferencias de cualquier tipo.
(fuente imagen: adveischool)
Es precisamente esta circunstancia de vigilancia de nuestros hábitos que realizado sobre un número de personas muy elevado, se denomina “tratamiento de datos personales a “gran escala” o “perfilado a gran escala” , piensen por ejemplo en una gran cadena internacional de alimentación, ya que se recogen gran cantidad y variedad de datos personales (Big Data) , con la ayuda de la Inteligencia Artificial (IA).
Este tratamiento de datos, en sí mismo, comporta riesgos especialmente relevantes (alto riesgo), para los derechos y libertades de las personas que hace necesario y obligatorio designar un delegado de protección de datos, precisamente para tomar medidas que reduzcan, dentro de lo posible, el riesgo de dañar o perjudicar a las personas, o afectar negativamente sus derechos y libertades, impidiendo o limitando su ejercicio o contenido.
Como se puede deducir, el Big Data tiene un fuerte impacto sobre nuestra privacidad, ya que las predicciones sobre las que se basan para toma de decisiones, serán mejores cuantos más datos personales se recojan, por lo tanto, cuanto más sepan de nosotros y más tiempo se tratan dichos datos, más se puede ver comprometida nuestra vida privada, ello hace que la normativa exige unas determinadas garantías para poder llevar a cabo dichos tratamientos personales que resultan más intrusivos.
La Inteligencia Artificial, junto con el Big Data, juegan un papel fundamental en esta recopilación de información personal, pues gracias a ella se utilizan sistemas que muestran un comportamiento inteligente que analiza el entorno y realizar acciones con cierto grado de autonomía, para lograr un objetivo específico, por las empresas que llevan a cabo actividades de publicidad comportamental, partiendo lógicamente desde el conocimiento de nuestras preferencias personales, intereses, fiabilidad o ubicación y movimientos
Por todo lo anterior, entendemos por qué la legislación en materia de protección de datos, obliga a todas aquellas empresas que realicen prospección comercial y publicidad que implique la elaboración de perfiles, o el tratamiento se base en las preferencias de los afectados , nombrar un delegado de protección de datos, por ser experto en la materia, cuya función será, entre otras muchas, la de vigilar y poner la debida atención a los riesgos asociados a las operaciones de tratamiento, por considerarse intrusivas para nuestra privacidad, teniendo sobre todo en cuenta la naturaleza de los datos que traten, así como su alcance, contexto, y finalidad del tratamiento.
Autora: Carmen Lopez Belda.
Associate-Legal & Privacy Advisor en Govertis-Telefónica
IT Lawyer
@LopezBelda
https://www.linkedin.com/in/carmenlopezbelda
23 de Noviembre 2020
https://www.aepd.es/sites/default/files/2019-12/wp251rev01-es.pdf
KEEP READINGNo cabe duda de que vivimos en una era de ciberseguridad evolutiva, en la que cualquier corporación ya sea mercantil, gubernamental u organización sin fines lucrativos, conlleva un alto nivel de protección, no sólo del activo más importante en una organización, que es su información hoy en día, sino también la protección de nuestra vida digital.
Dentro de este marco, no es menos importante la seguridad en los accesos a la información, dispositivos o aplicaciones locales o web. La llave que nos brinda el paso a todo ello, son nuestras contraseñas, a menudo gestionadas por los mismos usuarios de distintos niveles de perfil técnico.
Ante la necesidad de los constantes cambios de contraseñas para mejorar el cifrado en el acceso, surge en los usuarios “la presión añadida” de memorizar o almacenar (en ocasiones de forma rudimentaria y poco segura) estas claves.
Para aumentar la calidad del trabajo TI, es casi imprescindible automatizar este proceso, aún más cuando precisamos cumplir con auditorias de seguridad como PCI (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard).
Existen multitud de software gestores que cuentan con funcionalidades diversas como:
Con estas herramientas eliminamos el tedioso hábito de memorizar infinidad de contraseñas, recurriendo a menudo a la errática costumbre de asociarlo con fechas o elementos privados para poder recordarlos o en otros casos anotarlos en archivos de Word o de anotaciones de fácil acceso.
Con esta concienciación y el uso de backups programados de la base de datos donde se alojan nuestras claves, la seguridad se incrementa exponencialmente, aportando calidad en el trabajo diario, relacionado directamente con el resultado que espera el consumidor final de nuestra actividad empresarial.
Algunos consejos para la creación de contraseñas cuando no son generadas automáticamente pueden ser estos:
Este es un concepto más de seguridad, que debe estar respaldado por un Firewall, Políticas de Seguridad y restricciones.
Rocío Bremón
Equipo Govertis
Al integrar en nuestro sistema de Compliance el cumplimento de las obligaciones del RGPD y la LOPDGDD ¿cómo debemos interpretar la obligación de bloqueo que preceptúa el artículo 32 de la LOPDGDD? “El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión”. Más allá de las cuestiones relativas a como ejecutar materialmente el denominado “bloqueo” en nuestro sistema de información, otra de las cuestiones prácticas claves es bajo qué circunstancias y durante cuánto tiempo debemos bloquear dichos datos.
Las posibles responsabilidades
Cabe destacar ciertos detalles de la redacción del artículo 32.2 cuando se refiere a restringir el tratamiento y únicamente permitirlo para su puesta a disposición a las autoridades: “para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas”. La redacción puede ser problemática, en el sentido de que entendemos como “posibles responsabilidades”, ¿se trata de responsabilidades que ya han nacido a consecuencia de un determinado hecho y que, ya sea porque nuestra entidad lo ha detectado o porque se ha iniciado el correspondiente proceso judicial o administrativo, corresponde bloquear los datos personales vinculados al mismo?, o ¿se refiere a cualquier potencial responsabilidad, ocurra o no el hecho generador de la misma, sobre la que pueda responder la entidad?
Responsabilidades derivadas del tratamiento
Otro elemento de incertidumbre en la redacción del artículo 32, en concreto su apartado 2, es la relativa a que debemos entender por “responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.”
Aunque ello puede parecer a priori una forma de restricción que evite una hipertrofia del abanico de responsabilidades legales que pueden motivar el bloqueo de datos, dicha restricción nos obliga a llevar a cabo un segundo análisis causalista, no exento de complejidad e incertidumbre, sobre qué acciones dentro de la definición de tratamiento de datos personales, pueden ser susceptibles de producir responsabilidades de algún tipo y, una vez determinadas, establecer el plazo de bloqueo conforme su período de prescripción.
Distintos escenarios de prescripción de responsabilidades derivadas del tratamiento
Obviamente las responsabilidades derivadas del tratamiento quizás más evidentes serían las correspondientes al régimen sancionador de la LOPDGDD y sus correspondientes plazos de prescripción, siendo 3 años el más alto, para infracciones muy graves, tal como establece el artículo 72.1.
No obstante, ¿debemos detener el análisis en la prescripción de las sanciones de la LOPDGDD? Podemos encontrar en otros cuerpos legislativos, supuestos de hecho en los que, un tratamiento vulnerando alguna de las disposiciones del RGPD, puede generar una serie de consecuencias que den lugar a responsabilidad civil o incluso penal.
Si analizamos, por ejemplo, el marco del Real Decreto Legislativo 1/2007 por el que se aprueba el texto refundido de la Ley General para la Defensa de los consumidores y Usuarios y otras leyes complementarias (TRLGCU), una posible falta de conformidad en el producto recibido por un consumidor podría ser fruto de que el empresario llevó a cabo un tratamiento sin establecer medidas para garantizar el principio de exactitud del RGPD. Dicha falta negligente de exactitud, podría ser relativa a medidas corporales del cliente que se requieren para la personalización del producto o la confusión de direcciones de envío distintas, enviando productos a los destinatarios incorrectos, ¿estaríamos también en ese caso ante una responsabilidad derivada del tratamiento? Recordamos que las acciones por faltas de conformidad de los consumidores y usuarios prescriben a los 2 años, artículo 123.1 TRLGCU, y por ello, ¿deberíamos bloquear todos los datos de nuestros clientes, en condición de consumidores y usuarios, durante 2 años?
Continuando con el análisis, si nos fijamos en el marco penal, tenemos delitos como los de descubrimiento y revelación de secretos del artículo 197 y siguientes del Código Penal, que pueden ser cometidos por persona jurídica y versan muy directamente sobre datos de carácter personal, especialmente sobre la esfera de la confidencialidad, así como otros delitos como los daños informáticos del artículo 264 y siguientes que, aunque no se refieren expresamente a los datos de carácter personal, tampoco excluyen los mismos y se centran en aspectos relativos a la disponibilidad e integridad de los datos. ¿Encajarían entonces en la definición de “responsabilidades derivadas del tratamiento”?
Si la respuesta fuera afirmativa, sería necesario relacionar el plazo de prescripción de los delitos para la determinación de dicho período de bloqueo. Sin pretender entrar en una discusión doctrinal sobre la prescripción, dichos plazos podrían llegar a situarse en los 15 años, en interpretación conjunta del artículo 131 y 33.7 del Código Penal, junto a la doctrina del Tribunal Supremo sobre la valoración de la pena en abstracto del delito para la determinación del plazo de prescripción (STS 4264/2017 y Acuerdo del Pleno no jurisdiccional de la Sala 2 del TS de 16 diciembre de 2008 “la pena de la que hay que partir para la prescripción es la abstracta señalada al delito por el legislador y no la concreta resultante de aplicar la reglas sobre el grado de ejecución participación y circunstancias”). ¿Estaríamos entonces ante la obligación de que cualquier persona jurídica, por razón de sus “responsabilidades derivadas del tratamiento”, debería adoptar un sistema de bloqueo de datos personales de 15 años en cumplimiento del artículo 32.2 de la LOPDGDD y los eventuales plazos de prescripción penal aplicables?
Obligación de bloqueo y compatibilidad con el RGPD
La incertidumbre sobre la determinación del período de bloqueo, especialmente si tenemos en consideración los plazos de prescripción por responsabilidad penal, obligan a plantear la siguiente cuestión: ¿en qué medida una obligación de conservar o quizás, mejor dicho, una obligación de no destruir los datos de hasta 15 años, una vez se ha agotada la finalidad que motivó el inicial tratamiento, puede ser compatible con el principio de limitación del plazo de conservación del RGPD?
En conclusión, sería deseable mayores precisiones del legislador, teniendo en cuenta que tanto el incumplimiento de la obligación de bloqueo como la infracción de principios del artículo 5 del RGPD se tipifican en la LOPDGDD como sanciones muy graves, produciendo un escenario de riesgo complejo según como gestionemos la limitación del plazo de conservación junto con la obligación de bloqueo. Finalmente, cabe reflexionar sobre hasta qué punto el legislador nacional puede delimitar, modificar o matizar el alcance de un principio del Reglamento europeo e incluso generar incluso un concepto jurídico no previsto por este si tenemos en cuenta los conocidos principios de primacía y efecto directo.
Jordi Morera Torres
Equipo Govertis
Fuente de la imagen: https://pixabay.com/illustrations/security-secure-locked-technology-2168233/ Free for commercial use, No attribution required
KEEP READINGComo ya vimos en publicaciones anteriores, la Agencia Española de Protección de Datos (AEPD) ha venido aclarando todo lo relativo a los dispositivos de vídeo y sistemas videovigilancia mediante una serie de resoluciones, instrucciones y guías
Particularmente, en cuanto a la legitimación temporal del tratamiento de las imágenes de esas fuentes.
A modo de prolegómenos, comentar que el Reglamento General de Protección de Datos (RGPD), en su considerando 39, anuncia la necesidad de “garantizar que se limite a un mínimo estricto” el plazo de conservación de los datos personales, los cuales a su vez deben ser “adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados”.
El artículo 22.3 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), concreta –en cuanto a los tratamientos con fines de videovigilancia– que “los datos serán suprimidos en el plazo máximo de un mes desde su captación”.
Se trata del mismo plazo que ya estableció la Instrucción 1/2006 de la AEPD, cuando todavía se llamaba “plazo de cancelación”. En 2019, en su Guía sobre el uso de videocámaras para seguridad y otras finalidades, la AEPD ha precisado que el plazo de un mes indicado en dicha Instrucción es, efectivamente, de supresión.
Ahora bien, si durante el tratamiento legítimo (dentro del mes desde su captación) se observa que las imágenes pueden “acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones”, existe el deber de comunicar la existencia de la grabación “en un plazo máximo de 72 horas” y su entrega a las autoridades (art. 22.3 LOPDGDD). Consecuentemente, las imágenes pasarían a ser tratadas ya en el marco del respectivo procedimiento judicial, investigación policial o procedimiento administrativo sancionador (nueva lógica de conservación que es igualmente aplicable cuando se incoe un expediente disciplinario en el ejercicio de la potestad sancionadora de los empresarios ante incumplimientos laborales de los trabajadores).
Pero, ¿qué pasaría si unos hechos –que en principio merecerían reproche penal, administrativo o laboral– se descubren revisando imágenes guardadas más de lo debido? Es decir, superando el plazo mensual para ello, habiendo incumplido la LOPDGDD por no destruir los archivos. ¿Podrían servir como prueba en juicio?
Por una parte, en virtud del artículo 11.1 de la Ley Orgánica de Poder Judicial, “no surtirán efecto las pruebas obtenidas, directa o indirectamente, violentando los derechos o libertades fundamentales”. Siendo la protección de datos un derecho fundamental ex art. 18.4 de la Constitución Española, “cuando alguna de las partes, o incluso el tribunal de oficio, considere que en la obtención u origen de alguna prueba admitida se han vulnerado derechos fundamentales habrá de alegarlo de inmediato…”, dispone el art. 287 de la Ley de Enjuiciamiento Civil.
Desde la doctrina jurídica, el magistrado Suárez-Quiñones en su artículo «Las videograbaciones como prueba en el proceso penal» [en: Boletín del Ministerio de Justicia (estudios doctrinales), 2006, número 2024, pág. 13] expone que las grabaciones de cámaras de seguridad tienen un “plazo de validez” como prueba y recuerda: “las imágenes y sonidos obtenidos por cualquiera de las maneras previstas, serán destruidos en el plazo de un mes desde su captación”. Plazo que, por cierto, en caso de tratamientos que surgen de investigaciones profesionales, sería de tres años, según el art. 49.4 de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
Por otra parte, en nuestros juzgados y tribunales el planteamiento en cuestión no resulta del todo pacífico.
En la jurisdicción social encontramos posturas más flexibles a este tipo de actos del empresario, en vez de declarar su nulidad (como se hace por motivo de violar el derecho fundamental a la protección de datos en la Sentencia del Tribunal Constitucional 29/2013). Así, la justificación viene por el lado de incidir en una supuesta separación entre la actividad probatoria y la calificación que deba darse a circunstancias como la sanción de un trabajador. Nótese la Sentencia del Tribunal Superior de Justicia de Cataluña 7109/2000 que sostiene lo siguiente: “la calificación del despido debe vincularse al móvil que lo determina, o a la violación de derechos y libertades del art. 55.5 ET, y no a la ilegalidad de alguna de las pruebas aportadas al proceso, ello puede, no obstante, determinar la improcedencia [no la nulidad] del despido”.
En el ámbito de lo penal, a falta de mayor jurisprudencia en este sentido, llama la atención la Sentencia del Tribunal Supremo 4281/2019, cuyo fundamento jurídico tercero redunda en un intento de separar la valoración de unas imágenes de videovigilancia entre “el ámbito de la propia legislación reguladora de protección de datos, es decir, en el tratamiento que al efecto puede llevar la Agencia de protección de datos” y la “incidencia en el proceso penal”. Se apunta pues a que no valdría alegar la mera vulneración, sino que cabe establecer un grado concreto de invasión de un derecho constitucional (como el de la propia imagen o el de la protección de datos) a partir del cual alcanzamos la nulidad de la prueba.
La citada sentencia, ponderando la seguridad pública, con el interés social de la persecución y prueba del delito, sugiere que existe una diferencia entre el alcance de las “correcciones administrativas” que pueda imponer la AEPD y lo que sería la validez de las imágenes en sede judicial para convertirse en prueba documental. Los requisitos que apunta el alto tribunal para discernir dicha diferencia se limitarían únicamente a “no vulnerar derechos fundamentales como el de la intimidad o la dignidad de la persona al captarlas” y no “hacerlo en espacios, lugares o locales libres y públicos, y dentro de ellos nunca en espacios considerados privados (como los aseos, vestuarios) sin autorización judicial”. Aparentemente, desde este planteamiento aislado –aunque de momento no contrastable con otros casos de jurisprudencia mayor–, se concibe dentro orden penal la asunción puntual de una suerte de ligas de derechos fundamentales en la que la protección de datos jugaría en segunda división.
En cualquier caso, independientemente del fin para el que se realiza la disposición, el mero hecho de no haber suprimido los archivos cuando así tocaba ya constituye una infracción muy grave de la normativa de protección de datos.
De hecho, la posibilidad de reclamar ante la Agencia –con la certeza sobre el sentido del pronunciamiento y sanción– sirve, si no como desincentivo a valerse en juicio de este tipo de imágenes para quien las guarde, como un instrumento en manos de la parte afectada para su defensa o negociaciones.
Andreu Yakúbuv-Trembach
Equipo Govertis
Cuando visitamos páginas webs por medio de ordenadores, móviles, tabletas u otros dispositivos, nuestra privacidad se ve amenazada por distintas prácticas que, mediante el envío de identificadores únicos, permiten distinguir al usuario y sus hábitos de navegación.
A través de diversos rastreadores, las organizaciones, los prestadores de servicios y las páginas webs, entre otros, obtienen información y datos que posteriormente podrán ser utilizados con fines de publicidad, analíticos, estadísticos, para ofrecer servicios concretos, crear perfiles, o como base para el desarrollo de mejoras o nuevos productos y servicios. De esta forma, logran un conocimiento exhaustivo de cada usuario.
Para poder recopilar dicha información se utilizan distintas tecnologías que impactan de forma directa sobre la privacidad de los usuarios en cuestión. Las más conocidas por todos son las cookies, pero no son el único método, hay muchos otros: almacenamiento local, logs de servidores, identificadores únicos de publicidad, huella digital, etc.
Teniendo en cuenta lo anterior, ¿Cómo podemos reducir este seguimiento de actividad en la navegación en internet y proteger nuestro anonimato?
Para dar respuesta a esta cuestión, recientemente la Agencia Española de Protección de Datos (AEPD) ha publicado en su página web una serie de recomendaciones que resumiremos a continuación y que pueden ser consultadas en la página web de la AEPD de forma completa.
Recomendaciones para usuarios sin conocimientos avanzados:
Recomendaciones para usuarios con conocimientos avanzados:
Referencia: https://www.aepd.es/sites/default/files/2020-09/nota-tecnica-evitar-seguimiento.pdf
Carolina Pena
Equipo Govertis
Con la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD) se perfilaron algunas de las funciones del Delegado de Protección de Datos (DPD).
En concreto, el artículo 37 de la LOPDGDD regula la intervención del DPD en caso de reclamación ante las autoridades de protección de datos, estableciendo dos opciones diferentes. La primera de estas vías indica que, en los supuestos en que se haya designado un DPD, el afectado puede, antes de presentar su reclamación ante la autoridad de control, dirigirse al Delegado.
La segunda opción de intervención del DPD surge cuando el afectado presenta una reclamación ante la autoridad de control. En este caso, se prevé que la AEPD o la autoridad autonómica competente remitan esta reclamación al DPD de la entidad dándole un plazo de respuesta de un mes.
La AEPD destacó en la presentación de su Memoria de 2018 que: «En lo referente a las reclamaciones resueltas con respuesta satisfactoria tras haberlas remitido al responsable o al delegado de protección de datos (DPD), se han producido 863 durante 2018 y 2.079 hasta el 15 de mayo de 2019», aunque igualmente esta entidad aclaró que: «el traslado de la reclamación al responsable/DPD no implica necesariamente que no se vayan a realizar actuaciones inspectoras a posteriori, ya que la Agencia tiene potestad para investigar los mecanismos establecidos por la empresa. De hecho, un 13% de esas 863 reclamaciones (110) están en proceso de investigación». En la Memoria de 2019 se señaló que «los traslados al responsable para que analice la reclamación y dé respuesta al ciudadano crecieron un 147%, pasando de 2.300 en 2018 a 5.691 en 2019». Parece que esta vía ha llegado para quedarse.
Como señala la LOPDGDD en su Preámbulo, el DPD «permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento», cabe plantearnos por tanto que, además de las características que el Esquema de Certificación exige a los DPD, las soft skills que debe tener este rol, centrándonos en este caso en sus habilidades como negociador.
La negociación es un medio de resolución de conflictos autocompositivo, pero a diferencia de otros medios autocompositivos como la mediación, en que dos o más partes intentan voluntariamente alcanzar ellas mismas un acuerdo con la intervención de un mediador, en este caso las partes tienen autonomía para resolver por sí mismas el conflicto. Por otra parte, cabe diferenciar estos medios de los heterocompositivos, en los que la resolución resulta impuesta por un tercero, por ejemplo un árbitro o un juez.
En el ámbito de la protección de datos es el DPD quien se relaciona en nombre de la organización a la que representa con el afectado y quien, de forma amistosa, debe intentar llegar a una solución con este. «El proceso de negociación puede estructurarse de forma muy diferente, dependiendo principalmente de los negociadores y su cultura negocial» (Soleto, 2011). De este modo, el DPD deberá, en primer lugar, conocer su estilo negociador; desarrollar y trabajar sus habilidades negociadoras y, finalmente, elegir el tipo de negociación que quiere afrontar en su relación con los interesados.
El estilo negociador del DPD va a influir, sin duda alguna, en la negociación. Por este motivo, el DPD deberá conocer su estilo negociador en el ámbito de sus funciones y, en este caso, a la hora de negociar con un afectado. Es importante que tengamos en cuenta que cada persona se comporta en la negociación influido por el contexto; es decir, no negociaremos igual a la hora de adquirir un vehículo, al tratar un asunto laboral con nuestro jefe, o ante una decisión personal con nuestra pareja o progenitores. El Test Thomas-Killman es uno de los más famosos a la hora de analizar cuál es nuestro estilo de confrontación de conflictos, arrojando como resultado el predominio de, al menos, uno de estos cinco estilos: competidor, colaborador, comprometido, evitativo y acomodaticio.
Por otro lado, también será de enorme utilidad conocer el estilo negociador del afectado que nos contacta, así como identificar correctamente sus intereses. Será muy útil analizar la reclamación que haga llegar al DPD, los términos en que lo hace, así como la petición que nos hace llegar.
Además, el DPD, a la hora de representar a su organización en la negociación, deberá tener claras las líneas rojas que no podrá cruzar a la hora de ofrecer soluciones al afectado cuando entabla esta posible negociación (su Zona de Posible Acuerdo). Este aspecto es especialmente importante cuando se reclama una indemnización de carácter económico a cambio, por ejemplo, de no acudir a la autoridad de control o de no reclamar una indemnización de daños y perjuicios conforme al artículo 82 RGPD. En este último aspecto, incluso nos podríamos estar acercando a ser víctimas de un delito de extorsión, como ya analizamos en esta entrada del blog.
En cualquier caso, debemos identificar nuestros objetivos en la negociación, que pueden ser, por ejemplo, que el afectado quede satisfecho con la respuesta o, incluso, poder demostrar a la autoridad de control la voluntad de la organización al atender al interesado, independientemente de que este quede o no conforme con la respuesta que le es dada.
En cuanto al estilo de negociación que el DPD quiere afrontar en su relación con los interesados, en términos generales, existen dos tipos de negociación: la distributiva y la colaborativa. La negociación distributiva es el método tradicional de negociación; se relaciona con el estilo competidor de negociación y se basa en ganar intentando conseguir más que los demás; por su parte, el estilo colaborativo, basado en el Método Harvard, se vincula a un estilo negociador colaborador, en el que se tratará de ganar y que los demás también ganen. Este último modelo adquiere especial interés cuando se trata de negociar con una persona con quien queremos mantener una relación a largo plazo, como un empleado o un cliente, buscando de este modo ‘agrandar la tarta’ y/o buscar beneficios comunes.
Independientemente de uno u otro estilo de negociación, para afrontar con éxito cualquier negociación será necesario que entre las soft skills del DPD se encuentren la empatía para identificar los intereses del afectado y de la propia organización a la que representa, las habilidades comunicativas para expresarse con claridad durante la negociación, independientemente de si esta es oral o escrita, deberá saber controlar sus reacciones en la negociación y mantenerse proactivo a lo largo de esta.
Finalmente, nos queda únicamente plantearnos si estas habilidades negociadoras podrían ser también interesantes en las relaciones del DPD con sus grupos de interés internos o, incluso, con corresponsables y encargados del tratamiento.
BIBLIOGRAFÍA
Soleto, H. (2009) Conocer Y Dominar Los Estilos De Negociación. Revista Iuris, (nº 137), p.28-31. Recuperado de http://hdl.handle.net/10016/10298
Soleto, H. (2010). Negociar Lo Que Vas a Negociar: El Proceso De Negociación. Revista Iuris: actualidad y práctica del derecho, (nº154), p. 33-35. Recuperado de http://hdl.handle.net/10016/10692
Equipo Govertis
“El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)”.
Lo relevante y la novedad principal introducida por el RGPD radica en que no basta simplemente con cumplir con las obligaciones establecidas en el RGPD, sino que además hay que ser capaz de demostrar que se cumple con el RGPD.
Equipo de Govertis
El 29 de noviembre se celebró el II Congreso del Club DPD de la Asociación Española para la Calidad (y del que son partners Telefónica y Govertis). Esta vez llevó por título “Diálogos de DPDs” y en él expertos de primer nivel y DPDs de referencia compartieron su visión, conocimientos y experiencias de éxito tras el primer año de existencia de la LOPDGDD.
Para inaugurar esta relevante cita del “club del dato” contamos con Pedro Pablo Pérez, CEO de Elevenpaths, quien tras realizar unas breves reflexiones sobre el estado de la protección de datos presentó todo lo que estaba por venir durante el Congreso.
A continuación, Avelino Brito, Director General de la AEC, presentó la Asociación (y el #ClubDPD_AEC) y puso el foco en el impacto de las nuevas tecnologías y la inmensa cantidad de datos que se generan en la actualidad, con el consiguiente reto que ello supone para la labor de los DPD.
José Luis Piñar Mañas, Catedrático de Derecho Administrativo en la Universidad San Pablo CEU, DPD del Consejo General de la Abogacía Española, y Ex Director General de la AEPD; expuso los retos y oportunidades del DPD tanto desde la perspectiva del RGPD como de la LOPDGDD.
Insistió en la importancia del RGPD y en el hecho inédito de su alcance global a partir de su extensión de ámbito territorial pues no hay prácticamente país en el que no se aplique a alguna organización.
También recalcó la idea de que el DPD (sea contratado laboralmente o en régimen mercantil) no es nunca “externo” sino que ese rol se incardina dentro de la organización (sin perjuicio de la forma jurídica que se le de). Y no sólo debe de incardinarse organizativamente dentro de ella sino que es fundamental que entre sus conocimientos estén el necesario conocimiento de la actividad de la organización.
José Luis desgranó ciertos aspectos relativos al estatuto básico (posición) del DPD que regula el RGPD y la LOPDGDD, como por ejemplo su cualificación. Destacó que el DPD pasa a ser una figura imprescindible en el nuevo modelo de protección de datos; Y citó – como prueba de ello – el artículo 37 de la LOPDGDD que regula su intervención en caso de reclamaciones. Subrayó la necesidad de realizar ciertas aclaraciones como por ejemplo la incompatibilidad del mismo con la figura del responsable de legal (abogado) en las empresas o por ejemplo la de que el DPD ( a su juicio no es un encargado del tratamiento).
También profundizó sobre el significado del principio de responsabilidad proactiva y para ello puso un ejemplo muy gráfico: anteriormente era el legislador quien definía el riesgo, pero actualmente es el “gestor” (responsbale y encargado del tratamiento) quienes lo hacen. “Antes nos decían que podíamos ir a 120 km/h, ahora nos dicen que vayamos a la velocidad adecuada”, explicaba José Luis. Indicó que éste es un cambio de punto de vista muy importante: nuevo modelo es más flexible pero también más incierto.
Y acabó diciendo que tras un año y medio de aplicación del nuevo RGPD éste ha tenido un importante impacto cultural; y que respecto de los DPD en su día a día en muchas ocasiones se atribuyen tareas al DPD más allá de los “verbos que le asigna” el RGPD: asesorar, supervisar, coordinar etc.
A continuación, se celebró una mesa redonda moderada por Eduard Chaveli, CEO de Govertis, formada por DPDs de diferentes organizaciones:
Durante la mesa redonda se dio respuesta a dos preguntas de gran relevancia:
Los intervinientes estuvieron de acuerdo en que “en términos generales” la normativa de protección de datos es de calidad, aunque especifícamente, la LOPDGDD se podría haber afinado más y se mencionaron algunos errores en la regulación.
Jordi Verdú menciono como ejemplo de mejoras en la legislación la necesidad de clarificar el interés público como causa de legitimación, y citó algunos ejemplos. Puso de manifiesto la necesidad de que los diferentes organismos y autoridades públicas con competencias en la materia (particularmente AEPD y CCN) tuvieran una mayor coordinación y complicidad.
Por su parte Irene Benavides insistió en la idea también avanzada por Jordi de que la legislación no parece del todo hecha pensando en el interesado. Y citó un aspecto especialmente criticable que es la inclusión del título X de la LOPDGDD no porque no sea necesario (que lo ess) sino por el proceso seguido en su precipitada gestación.
Raquel Sánchez puso el acento en la importancia de la formación en protección de datos y en el hecho de que aunque la nueva LOPDGDD la contempla como obligación su falta de desarrollo convierte esta previsión actualmente en un “brindis al sol”
Francisco Lázaro recogió el testigo de Jordi Verdú y amplió esa necesaria coordinación a otros actores como INCIBE o CNPIC lo que se visualiza especialmente en materia de gestión de brechas de seguridad.
dav
Jordi Verdú habló de las dificultades de recursos necesarios para ejercer este rol que se han ido supliendo y también de la dificultad pero necesidad de tejer alianzas con servicios transversales; y también – como es lógico – en realizar acciones de concienciación y formación en diferentes niveles: Políticos, mandos intermedios y usuarios del sistema de información.
Irene Benavides comentó el reto que ha supuesto en una organización como Telefónica ya el propio hecho de inventariar los tratamientos (más de 1000) y también la realización de los análisis de riesgos y evaluaciones de impactos requeridas sobre ellos. Para ello también insistió en la estrategia apuntada por Jordi de encontrar aliados: “Champions”. Y citó dificultades como por ejemplo conseguir que el derecho de información sea inteligible y por tanto eficaz sirviendo a los interesados para comprenderlo.
Raquel Sánchez puso foco en un aspecto muy importante: las dificultades para conseguir cumplir con el deber de diligencia en la selección de los encargados del tratamiento y habló de la experiencia seguridad en la Universidad Francisco de Vitoria.
Francisco Lázaro hizo un gran repaso de las dificultades mencionadas por algunos compañeros de la mesa para posteriormente apuntar algunos aspectos específicos de Renfe. Por ejemplo esa necesaria coordinación con otras áreas, o por ejemplo el control de los encargados que en Renfe por ser infraestructura crítica tiene una importancia aún mayor derivada no sólo de la protección de datos personales sino de la seguridad de las personas.
Javier Cao Avellaneda, Lead Advisor en Ciber Riesgos de Govertis, profundizó en la ISO 27701:201, analizando su estructura, dando claves para su implantación y evaluando el futuro de la misma.
Durante la ponencia aclaró términos utilizados en la normativa y fue profundizando en las diferentes cláusulas y en la orientación a objetivos y resultados y SGPD.
Como resumen de la presentación, Javier destacó tres cuestiones relevantes:
Para finalizar, Javier realizó una encuesta en directo con los asistentes al Congreso sondeando la opinión de los asistentes en relación a como afrontar la certificación de esta norma, si de manera independiente o conjuntamente con las ISO 27001 y 27002.
Por último, Antonio Muñoz Marcos, Director de Oficina DPD de Telefónica, impartió una conferencia con su visión de la privacidad desde un punto de vista cultural. Antonio señalaba que cumplir adecuadamente con el reglamento requiere reflexionar sobre el impacto de la privacidad desde un punto de vista más amplio, pues la privacidad emana de las reglas culturales. En la nueva sociedad los datos fluyen y se genera un nuevo modelo por lo que la aproximación cultural a la privacidad requiere una reflexión por nuestra parte sobre la privacidad.
Para finalizar el Congreso, Alberto González, Gestor del Club DPD de la AEC hizo un resumen de la jornada y agradeció la colaboración a nuestros partners Telefónica y Govertis, así como a los ponentes que participaron en el evento, y dio las gracias a los asistentes por acompañarnos en esta relevante cita con la protección de datos.
¿Te gustaría asistir a los próximos encuentros? ¡Apúntate al Club DPD!
KEEP READINGEl Club DPD realizó el 18 de julio un nuevo encuentro sobre RGPD y LOPDGDD. En esta ocasión se trataron en abierto dos temáticas de máxima relevancia en el sector: la Anonimización de Datos y la Protección de Datos en Redes Sociales. Además, los miembros del Club DPD disfrutaron también de un taller práctico sobre la implantación del ENS y el RGPD de forma integrada.
La primera de las ponencias corrió a cargo de Francisco González-Calero, Lead Advisor en Govertis Advisory Services y profesor en distintos programas formativos y Másters. Francisco, explicó la diferencia entre la anonimización y seudonimización, destacando que no se trata de sinónimos. Además, explicó cuándo es adecuada la seudonimización y cuándo lo es la anonimización, así como el proceso de esta última. A continuación puedes ver la ponencia completa:
Samuel Parra, jurista experto en Protección de Datos, comenzó su ponencia definiendo el concepto de red social, el cual posteriormente relacionó con los datos personales. Samuel respondió a varias preguntas concernientes a la protección de datos en redes sociales:
Puedes ver la ponencia completa a continuación:
Para finalizar la jornada, David Barrientos, GRC Advisor en Govertis Advisory Services, impartió un taller práctico, exclusivo para los miembros del Club DPD. El taller comenzó con una visión general del cumplimiento integrado del ENS y RGPD. A continuación presentó el plan de proyecto, marcando las fases y actividades que lo componen, así como el rol que juega cada uno de los actores y sus responsabilidades. David hizo especial hincapié en la “fase do”, la “fase check” y la “fase act”.
Este Insight fue el III que ha llevado al Club DPD creado por la Asociación Española para la Calidad. Aunque el encuentro completo se encuentra reservado para los miembros del Club, las dos primeras ponencias se retransmitieron públicamente vía streaming.
¿Te gustaría disfrutar del resto de encuentros del Club DPD completos? ¡Apúntate al Club DPD!
KEEP READINGEl cambio de paradigma en los tiempos actuales hace que se tome más preocupación y conciencia sobre la protección de los dispositivos. El antivirus tradicional (EPP) ya no es suficiente.
KEEP READING
