¿Cuánto ha costado y cuánto va a costar el RGPD?

Estoy intentando calcular el coste del RGPD para las empresas españolas. Pero no me refiero tanto a lo que ha costado el proceso de adaptación, sino a los errores de interpretación.

Por ejemplo, las empresas que han pedido una confirmación del consentimiento a sus clientes y a los suscriptores de sus newsletters, cuando estaban legitimadas para tratar los datos en base al contrato o al consentimiento expreso de la LSSI, y han perdido el 95% de sus bases de datos.

El próximo 21 de junio, a las 9.30, en la Real Academia de Jurisprudencia y Legislación. Calle Marqués de Cubas 13-28014, Madrid, comentaré las conclusiones y hablaré de estos asuntos:

  • Buenas prácticas y errores identificados en los últimos 40 días
  • Cuál será su coste para las empresas españolas
  • Proyecto de la nueva LOPD: principales novedades y retos que supondrá su aplicación

Si quieres asistir, aquí tienes tu invitación:

http://www.aranzadi.es/sites/aranzadi.es/files/creatividad/Marketing/Invitaciones2018/ES-8159_Desayuno_DPO_AENOR_agentes_0.html

Muchas gracias.

Jornada sobre ciberseguridad en ESADE

Jornada “Ciberseguridad: cómo actuar antes, durante y después de un ciberataque”
Viernes, 27 de abril de 2018, de 9:00 a 14:00 horas
Esta jornada está diseñada desde el Master IT+IP de ESADE Law School con el fin de analizar la creciente amenaza de los ciberataques y las contramedidas que las empresas y los organismos públicos pueden aplicar.
La jornada se estructura en una línea de tiempo de tres fases, que comprenden las estrategias a aplicar antes, durante y después del ciberataque.
El objetivo de la jornada es actualizar los conocimientos sobre ciberseguridad con los últimos datos y tendencias, con el fin de conocer las distintas opciones existentes para mejorar la defensa de los sistemas, en un formato orientado al intercambio de conocimientos entre los asistentes.
PROGRAMA

9:00 h Llegada de los asistentes y acreditaciones

9:15 h Bienvenida e inauguración
Xavier Ribas, co-director del Master IT+IP de ESADE Law School

9:30 h Antes del ciberataque: medidas preventivas y formación
Tim Caps, responsable del ProSOC (Lab de alerta temprana) de Proficio
Agustín Corredera, especialista de transformación digital de Microsoft
Antonio Cañada, enterprise account manager de FireEye

10:30 h Debate y turno de preguntas

Moderador: Xavier Ribas

10:45 h Durante el ciberataque: gestión, notificación y mitigación del impacto del ataque
Teniente Coronel Daniel Baena, Guardia Civil
Carlos Valderrama, responsable de respuestas ante ataques de Necsia
Xavier Serrano
, responsable de seguridad tecnológica de Banco Sabadell

11:30 h Debate y turno de preguntas

Moderador: Mario Sol, co-director del Master IT+IP de ESADE Law School

11:45 h  Coffee break

12:15 h Después del ataque – Continuidad del negocio y ciberseguros
Nelia Argaz, líder de Ciberseguridad y Business Resilience de Marsh Risk Consulting
Xavier Morrus, director de Mediacloud
Martí de Riquer, CISO de Médicos sin Fronteras

13:30 h Debate y turno de preguntas

Moderadora: Rebeca Velasco, abogada de Ribas y Asociados y colaboradora académica de ESADE Law School

14:00 h Clausura de la jornada

Viernes, 27 de abril de 2018
De 9:00 a 14:00 horas
ESADEFORUM
Av. Pedralbes, 60-62
Barcelona
Importe:300€

255€ (miembros de ESADE Alumni, de la Asamblea de la Fundación ESADE y del Consejo Profesional de ESADE Law School)

INSCRIPCIÓN

#ESADELaw
Comenta el acto vía Twitter
Para más información:
Neus Casajuana
neus.casajuana@esade.edu
Tel: 93 553 02 26
www.esade.edu

 

Jornada en Barcelona sobre el RGPD y la nueva LOPD

El próximo 8 de marzo participaré en una jornada de Thomson Reuters sobre aspectos concretos del RGPD y la nueva LOPD, de acuerdo con los detalles de la convocatoria que aparece a continuación.

TRRGPDBCN

Formulario de inscripción:

https://www.thomsonreuters.es/es/formulario/evento-dpo-barcelona-marzo.html

Programa completo:

http://app.engage.es-pt.thomsonreuters.com/e/es?s=570777387&e=324674&elqTrackId=737d279007ef425f800bd0eff6dcff07&elq=85674359140244e5be44f385d1caca39&elqaid=21854&elqat=1

Inicio del proceso de selección de DPOs

Hoy damos inicio al proceso de selección de DPOs (Data Protection Officer) o DPDs (Delegado de Protección de Datos) para nuestros clientes.

Las formas de contratación dependen de la modalidad elegida por cada cliente, habiendo identificado hasta ahora las siguientes:

  1. Contratación por parte de nuestro despacho con alta en el régimen general de la Seguridad Social con el fin de realizar la función de DPO de manera externalizada para varios clientes.
  2. Contratación por parte del cliente con alta en el régimen general de la Seguridad Social con el fin de realizar la función de DPO a jornada completa, o a tiempo parcial, en la empresa.

En ambos casos la formación, el seguimiento y el soporte continuado lo realizará nuestro despacho, con el fin de conseguir la máxima unificación de criterios.

Si te interesa participar en este proceso, puedes enviar un mensaje indicándolo a montse.otalora@ribastic.com.

Muchas gracias.

Jornada de actualización sobre el RGPD y la nueva LOPD (Presencial en Madrid + Streaming)

El próximo jueves participaré en una jornada de Thomson Reuters sobre aspectos concretos del RGPD y la nueva LOPD, de acuerdo con los detalles de la convocatoria que aparece a continuación.

TRRGPD

Más información y confirmación de asistencia en el siguiente enlace:

http://app.engage.es-pt.thomsonreuters.com/e/es?s=570777387&e=319834&elqTrackId=737d279007ef425f800bd0eff6dcff07&elq=21cf6efa513448d09045fa905cc25f68&elqaid=21616&elqat=1

Jornada RGPD y RRHH – Los tres grandes riesgos del tratamiento de los datos de los trabajadores

El próximo viernes participaré en esta jornada sobre RRHH y RGPD organizada por la Asociación Catalana de Dirección de Recursos Humanos, en la que hablaremos de los datos que una empresa trata durante el ciclo de vida de la relación laboral y los tres grandes riesgos que ello genera:

  1. Tratar datos sin informar al trabajador.
  2. Aplicar los datos a finalidades distintas de las informadas.
  3. No identificar a las más de 80 categorías de proveedores con acceso a los datos.

Todo ello desde la óptica del Reglamento General de Protección de Datos.

Más información e inscripciones:

https://www.aedipecatalunya.com/es/els-tres-grans-riscos-del-tractament-de-les-dades-dels-treballadors-per-rh-23022018/

 

“Tras 6 meses de proyecto RGPD, todavía aparecen tratamientos”

La frase que da título a este artículo fue pronunciada por un amiga que trabaja en una gran consultora. Estaba desesperada porque, después de 6 meses de proyecto, todavía descubría tratamientos.

Este problema ya surgió en 1992 con la aprobación de la LORTAD y se reprodujo en 1999 con la aprobación de la LOPD. Las preguntas típicas eran: “¿Cómo puedo conocer todos los datos que tratan los departamentos y cuándo tengo que dejar de buscar?”. Pensando que éramos nostros los que teníamos que encontrar el dato, y no al revés, en 1992 empezamos a utilizar programas de búsqueda de texto en el que introducíamos varios apellidos con operadores booleanos. Primero en cada ordenador, después en los servidores y finalmente, con herramientas de red.

Pero pronto nos dimos cuenta de que la solución no pasaba por monitorizar constantemente lo que hacía el negocio, ya que ello tendía a la saturación de información, al caos, a la paranoia y a la frustración. Era mucho más eficaz analizar las necesidades reales de la empresa, definir un modelo de datos, aplicarlo y exigir su cumplimiento. Es decir, pasar de una metodología “pull” a una metodología “push”.

En la actualidad, las herramientas de descubrimiento de datos se han perfeccionado hasta el punto de llegar a terminales remotos, detectar ordenadores apagados y volver a revisarlos cuando están operativos, gestionar correctamente los falsos positivos… Pero el objetivo no es tratar el dato personal como si fuese un virus, alertando sobre cada CV que llegue por correo electrónico, sino completar y actualizar el modelo de datos acordado, con una frecuencia que se estime razonable. Además, estas herramientas no detectan los tratamientos no automatizados realizados en papel y en otros soportes.

Como siempre, las mejores soluciones incorporan elementos de varias metodologías. Los proyectos de Compliance son un ejemplo de ello, al combinar el canal ético, los controles de prevención y detección y la verificación periódica. Es decir, se espera que el negocio se autorregule, cumpla la ley y comunique los riesgos y los incumplimientos a través del canal ético, pero de forma complementaria también se implantan medidas preventivas, se verifica el funcionamiento de los controles y se realizan investigaciones internas.

En el RGPD se establecen principios como el de la privacidad desde el diseño y por defecto y el de responsabilidad proactiva, que permiten exigir a los departamentos que realizan tratamientos un mayor grado de colaboración que el que podrían mostrar con la simple asistencia a una entrevista de análisis de tratamientos o a la disposición a dejarse monitorizar con herramientas de descubrimiento de datos.

La experiencia de 1992, perfectamente vigente en la actualidad, nos demuestra que la eficacia en la gestión de los tratamientos es mayor cuando los departamentos pasan de la colaboración a la implicación. Y ello se puede conseguir en un proyecto de RGPD aplicando un sencillo protocolo de 5 pasos:

  1. Análisis de tratamientos
  2. Definición del modelo de datos
  3. Confirmación y aprobación del modelo de datos
  4. Comunicación del modelo de datos a los departamentos
  5. Firma del modelo de datos

El punto 5 consiste en un compromiso de transparencia total, una declaración firmada en la que aparece la lista de datos tratados y la lista de finalidades del tratamiento. En este documento el firmante declara que se obliga a aplicar el modelo de datos y finalidades y a comunicar cualquier propuesta de modificación al Comité de Protección de Datos y Seguridad de la Información.

Mientras el incumplimiento de esta obligación supone una infracción muy grave de la política de protección de datos de la empresa, el cumplimiento permite al solicitante tener la tranquilidad de que los tratamientos que realice estarán plenamente reflejados en el registro de tratamientos y quedará acreditada su diligencia y la de la empresa.

El modelo de datos puede complemetarse y actualizarse con herramientas de discovery, pero lo que resulta evidente es que ni la empresa ni el DPO pueden estar permanentemente vigilando al negocio. Éste debe alcanzar un nivel de madurez y responsabilidad que no sólo es necesario, sino también exigible, desde el momento del diseño de cualquier nueva campaña, producto o servicio.

Pensemos que el riesgo de no informar del tratamiento de un dato o aplicarlo a una finalidad no informada es uno de los más altos de todo el RGPD, tanto en probabilidad como en impacto. Ello exige actuar en proporción a la cuantía de la sanción, que es también la más alta.

Incluso en los casos en que es imposible realizar todas las entrevistas en los tres primeros meses, debido a la complejidad de la estructura corporativa y de las agendas de los interlocutores, descubrir tratamientos a los 6 meses de un proyecto de adecuación al RGPD invita a revisar la metodología o el nivel de autoridad del responsable del proyecto.


Los documentos de base correspondientes a los puntos 1 a 5 de este artículo son cinco de los 103 entregables de nuestra metodología RGPD.

La seguridad es el 20% de un proyecto RGPD

La gran demanda de servicios de adecuación al RGPD (GDPR por sus siglas en inglés) experimentada este año en la Unión Europea está teniendo una respuesta absolutamente heterogénea por parte de las empresas consultoras y los despachos de abogados.  Mientras las primeras dan más importancia a la seguridad en el alcance de la propuesta, los segundos dan mayor protagonismo a las obligaciones de contenido jurídico.

Es absolutamente normal y legítimo que cada uno defienda el alcance que considera más adecuado para satisfacer una necesidad de cumplimiento normativo que comporta importantes sanciones, especialmente en relación a una norma que el cliente medio no conoce a fondo debido a la situación de hiperregulación existente en la actualidad en la Europa continental.

Todos estamos de acuerdo en que los proyectos RGPD deben tener un enfoque multidisciplinar que incluya e integre los conocimientos jurídicos y los conocimientos tecnológicos, estructurados habitualmente en medidas organizativas, jurídicas y de seguridad. En lo que no hay un criterio uniforme es en la proporción de cada área.

Por ello, en el mercado actual podemos encontrar multiples combinaciones que configuran diversas modalidades de enfoque que escoran hacia una u otra disciplina en función de quién lidere el proyecto.

Siguiendo la regla del 80-20, es habitual que los proyectos impulsados por consultoras de seguridad dediquen un 80% a la seguridad y un 20% a las cuestiones jurídicas. Y también es habitual que los proyectos impulsados por despachos de abogados dediquen un 80% a las cuestiones jurídicas y un 20% a la seguridad. Estos porcentajes variarán en función de los acuerdos de colaboración externa o de organización interna, y del peso que cada disciplina tenga en esos acuerdos, llegando, en algunos casos, a la proporción aparentemente ideal del 50-50.

Los argumentos comerciales han coincidido en resaltar la cuantía de las sanciones en ambas disiciplinas, aunque en materia de seguridad el argumento principal se ha centrado en el impacto reputacional de tener que comunicar una brecha de seguridad o una fuga de datos.

En cuanto a los entregables, las consultoras acostumbran a dividir las fases de análisis de gap, disgnóstico, plan de acción e implantación, con una clara separación de esta última fase, que es opcional, de las anteriores fases. Los despachos de abogados se centran más en la adaptación, por lo que aunque las fases coincidan, los entregables incluyen más políticas, normas, procedimientos y aspectos organizativos relacionados con los principios del RGPD.

Para realizar un análisis objetivo del peso real de cada disciplina en un proyecto RGPD habría que valorar los siguientes elementos:

  1. Número de obligaciones del RGPD que guardan relación con cada una de las dos disciplinas.
  2. Número de infracciones del RGPD que guardan relación con cada una de las dos disciplinas
  3. Probabilidad de que se produzca una infracción de las obligaciones jurídicas y de las obligaciones de seguridad.
  4. Probabilidad de que una infracción del RGPD llegue a ser conocida, denunciada y sancionada.
  5. Cuantía de las sanciones impuestas en el RGPD a las infracciones relacionadas con obligaciones jurídicas y de seguridad.
  6. Carga de trabajo que supone el análisis del riesgo y la actividad preventiva en relación a los riesgos jurídicos y de seguridad del RGPD.
  7. La certeza de que no todos los incidentes de seguridad que se produzcan constituirán una violación de datos que tenga que ser notificada o comunicada.

Una primera aproximación a estos seis elementos de valoración nos da los resultados que aparecen reseñados en los artículos enlazados en la lista anterior.

CONCLUSIONES

Tras analizar los datos objetivos que ofrece el RGPD y las estadísticas analizadas, se puede llegar a las siguientes conclusiones:

  1. Los proyectos RGPD deben dar prioridad a las medidas destinadas a prevenir las infracciones graves y muy graves.
  2. La mayor parte de estas medidas son jurídicas.
  3. Las obligaciones de contenido jurídico constituyen el 84% de las obligaciones establecidas en el RGPD.
  4. Las medidas de seguridad constituyen el 6% de las obligaciones establecidas en el RGPD.
  5. Las infracciones relativas a las medidas de contenido jurídico pueden tener una sanción máxima de 20 millones.
  6. Las infracciones relativas a las medidas de seguridad pueden tener una infracción máxima de 10 millones.
  7. El 99% infracciones más sancionadas en España en 2016 estaban relacionadas con obligaciones jurídicas.
  8. El 1% de las infracciones más sancionadas en España en 2016 estaban relacionadas con medidas de seguridad.
  9. La obligación de comunicar las violaciones de datos pude producir un incremento en la comunicación de las violaciones de la confidencialidad de los datos que tengan sus efectos fuera del perímetro de la empresa, pero es muy probable que las violaciones de la integridad y la disponibilidad de los datos que sólo tengan efectos en el interior de la empresa, sigan sin ser comunicadas.

Las dos disciplinas, la jurídica y la relativa a la seguridad son absolutamente complementarias y deben trabajar juntas en los proyectos RGPD, pero el miedo a tener que comunicar una violación de datos no puede hacer perder la atención en el objetivo principal del proyecto, que es prevenir las infracciones que realmente tengan más probabilidad y más impacto económico en función de las estadísticas analizadas, las tendencias previsibles, las obligaciones establecidas en el RGPD y la cuantía de las sanciones.

Carga de trabajo que supone el análisis del riesgo y la actividad preventiva en relación a los riesgos jurídicos y de seguridad del RGPD

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

La parte jurídica de un proyecto RGPD está sujeta a la interpretación constante de la empresa que se adapta, de sus asesores, de las autoridades de control y de las autoridades judiciales.

La parte de seguridad contiene una obligación de resultado consistente en que no tiene que producirse ninguna violación de datos.

Tanto en las obligaciones jurídicas como en las relativas a la seguridad de los datos personales, intervienen factores y variables que van mucho más allá de la carga de trabajo que suponga el proyecto.

Ello hace que, aunque un proyecto mayor en duración y recursos debería, aparentemente, ser más eficaz en la prevención de infracciones que uno pequeño, en la práctica no tiene por qué ser así. Puede darse perfectamente el caso de que un gran proyecto no consiga impedir que se produzcan infracciones y uno pequeño sí. Ocurre lo mismo que en las campañas de publicidad, que no permiten saber dónde se está tirando el dinero.

Entre los factores que pueden contribuir a que haya o no infracciones, independientemente del esfuerzo realizado y los recursos invertidos en un proyecto RGPD, destacan los siguientes:

  1. La metodología aplicada
  2. La experiencia de las personas que lideran el proyecto
  3. El conocimiento de las medidas más eficaces
  4. La priorización de los datos más sensibles
  5. La priorización de las obligaciones con mayor sanción
  6. La concentración del esfuerzo en los riesgos con mayor probabilidad e impacto
  7. La cultura de cumplimiento de la empresa
  8. La voluntad de cumplimiento del negocio
  9. El apetito de riesgo
  10. Los objetivos económicos del negocio
  11. La presión comercial y en materia de marketing
  12. El sector al que pertenece la empresa
  13. La tipología de los datos
  14. La tipología de los interesados
  15. El valor de los datos en el mercado
  16. El nivel de interés de eventuales atacantes en los datos
  17. El factor humano
  18. La suerte

Debe tenerse en cuenta que un proyecto de RGPD no parte de cero, ya que acumula el trabajo realizado y la experiencia adquirida en 25 años de protección de datos en España. Por ello debe evitarse caer en los mismos errores que se cometieron en los primeros años.

Por ejemplo, en materia de análisis de tratamientos, una metodología que siga descubriendo tratamientos tres meses después del inicio del proyecto no puede ser una buena metodología, ya que demuestra una gestión caótica y sin autoridad del modelo de datos. Pasaba lo mismo en los años 90 con los ficheros.

El análisis y registro de los tratamientos no puede quedar permanentemente dependiendo de las múltiples iniciativas que tenga cada departamento (metodología pull) sino que debe establecer un modelo de datos que vaya acompañado de procedimientos que garanticen la privacidad desde el diseño y por defecto (metodología push), de manera que, una vez implantado el modelo de datos, cualquier modificación del mismo deba iniciar este procedimiento, con la correspondiente evaluación de impacto, si es necesario.

Este simple cambio de una metodología pull a una metodología push puede ahorrar muchas horas de proyecto y prevenir los riesgos de nuevos tratamientos sin consentimiento o de nuevas finalidades no informadas con una mayor eficacia.

En materia de seguridad ocurre algo parecido.

Por todo ello es muy difícil compararar la carga de trabajo de las dos disciplinas en términos meramente cuantitativos.

Acceso a las conclusiones del análisis