Atrapados entre las reclamaciones de los interesados y las limitaciones de responsabilidad de los encargados del tratamiento

Si hacemos un análisis de las brechas de seguridad que se han conocido desde el 25 de mayo veremos que un gran número de ellas han tenido su origen en el proveedor que trataba los datos.

En el momento de distribuir las responsabilidades veremos que el incumplimiento de las obligaciones del proveedor encargado del tratamiento puede afectar al responsable del tratamiento que ha contratado sus servicios. 

El responsable del tratamiento tiene la obligación de contratar proveedores que ofrezcan garantía suficientes (culpa in eligendo) y controlar su actividad, llegando a auditarlos en el caso de los proveedores críticos (culpa in vigilando)

En la siguiente tabla se puede ver cómo podrían distribuirse las responsabilidades entre el responsable y el encargado del tratamiento en cada uno de los escenarios en los que puede incurrir un proveedor.

Esta tabla no contempla las posibles acciones penales derivadas de un eventual delito contra la intimidad en el caso de violación de la confidencialidad o de un delito de daños en el caso de violación de la integridad.

En la práctica, la empresa responsable del tratamiento será la que tendrá que hacer frente a las reclamaciones de los interesados, por ser la que tiene legitimación pasiva en virtud del contrato suscrito con ellos.

Salvo en el caso de las excepciones contempladas en la tabla anterior, el interesado no tiene acción directa contra el encargado del tratamiento, por lo que si quiere reclamar los daños y perjuicios sufridos tendrá que demandar al responsable del tratamiento, que es el que tiene una relación contractual con el interesado. 

El problema surge cuando el responsable del tratamiento quiere repercutir al encargado del tratamiento las sanciones de la AEPD y las indemnizaciones pagadas a los interesados, ya que puede encontrar limitaciones de responsabilidad en el contrato o limitaciones de cobertura en la póliza de seguros del proveedor.

La empresa responsable del tratamiento puede verse entonces atrapada entre las reclamaciones de los perjudicados y las limitaciones de responsabilidad del proveedor que ha incumplido el RGPD y ha causado el perjuicio a los interesados. 

La primera barrera, es decir, la limitación de responsabilidad por vía contractual puede ser de tres tipos:

  1. Cuantitativa: establecida en una cantidad determinada o en el resultado de multiplicar el coste del servicio por una cifra.
  2. Cualitativa: basada en la exclusión de unos supuestos determinados de responsabilidad.
  3. Indirecta: derivada del incumplimiento de otros requisitos o provocada de facto por la insolvencia del proveedor.

En el caso de que no existan limitaciones contractuales, o éstas sean anuladas tras una negociación con el proveedor o por vía judicial, aparece la segunda barrera, consistente en las limitaciones de la póliza de seguros de responsabilidad civil o en la de ciberriesgo. La limitación de responsabilidad en este caso también puede ser tres tipos:

  1. Cualitativa: supuestos excluidos de la cobertura.
  2. Cuantitativa individual: límite por siniestro.
  3. Cuantitativa anual: límite por la suma anual de siniestros.

Un ejemplo de supuesto excluido de la cobertura del seguro de responsabilidad civil son las sanciones de la AEPD, que acostumbran a formar parte de la cobertura del seguro de ciberriesgo.

La tercera barrera sería la solvencia económica del proveedor.

El análisis de la existencia y la dimensión de las tres barreras que pueden impedir la repercusión al proveedor de las sanciones impuestas por la AEPD y de las cantidades pagadas a los interesados en concepto de indemnización por daños y perjuicios, debe hacerse en la fase de selección y homologación de proveedores, es decir, en la fase previa a la contratación.

Si la empresa no hace sus deberes en esa fase previa, tendrá que hacerlos en un momento en que puede ser demasiado tarde:

  1. Durante la fase de negociación del contrato con el proveedor seleccionado.
  2. Durante la vigencia del contrato, tras una auditoría contractual, o de seguros, que evidencia la existencia de limitaciones a la responsabilidad.
  3. Tras la brecha de seguridad o el incidente o imcumplimiento que ha causado el perjuicio, negociando una distribución adecuada de responsabilidades en función del nivel de implicación en las causas del incidente o por vía judicial.

Una vez constatado el papel de los proveedores en las brechas de seguridad y en las infracciones del RGPD que se han producido hasta el momento, las empresas responsables del tratamiento deberán revisar su metodología de selección, homologación, contratación y control continuado de los proveedores que traten datos personales, con el fin de introducir medidas que permitan una distribución adecuada de las responsabilidades. 

Estas medidas deberán incluir una revisión del contrato, de la cobertura del seguro y de la solvencia del proveedor, con el fin de identificar, gestionar y tener en cuenta, en el proceso de toma de decisiones a aplicar en la fase de selección, las limitaciones que puedan existir a la responsabilidad del proveedor.

 

Cómo prevenir la pérdida de la iniciativa en un proyecto continuado de RGPD o de compliance

La gestión continuada de proyectos tan exigentes como como los relativos al RGPD, el compliance penal o el compliance general implica un trabajo de verificación periódica del modelo de prevención y de la eficacia de los controles. Esta gestión está rodeada de amenazas que pueden provocar cambios en las prioridades, retrasos en la planificación y otros efectos que ponen en peligro la consecución de los objetivos establecidos por el órgano de control.

En este artículo se relacionan las principales circunstancias que pueden provocar la pérdina de la iniciativa, y, en consecuencia el cambio de las prioridades del responsable del proyecto, interno o externo, así como las medidas aplicables para evitar que ello ocurra.

Objetivos del proyecto continuado

El responsable interno o externo del proyecto, y preferiblemente ambos de mutuo acuerdo, establecen, al inicio del ejercicio, los objetivos del proyecto continuado de RGPD o de compliance. Entre estos objetivos cabe citar los siguientes:

  1. Mantener actualizado el mapa de riesgos.
  2. Mantener actualizada la estructura de control.
  3. Mantener actualizada la estructura normativa.
  4. Verificar el cumplimiento de las obligaciones legales.
  5. Verificar la eficacia de los controles.
  6. Obtener evidencias de la eficacia de los controles.
  7. Crear pruebas del esfuerzo realizado, la diligencia y la cultura de cumplimiento.
  8. Prevenir incumplimientos.
  9. Prevenir sanciones en caso de infracción.
  10. Mantener actualizado el repositorio de evidencias.

Estos objetivos generan una larga lista de tareas recurrentes que deben ser realizadas con la frecuencia establecida para cada una de ellas y que corresponden al concepto de la verificación periódica, común a todos los proyectos orientados al cumplimiento normativo.

El problema reside en la constancia y la regularidad de la realización de estas tareas, que puede quedar afectada por cualquiera de las circunstancias comentadas en el punto siguiente.

Circunstancias que pueden hacer perder la iniciativa

Entre las circunstancias o cambios que pueden provocar interferencias en la rutina establecida para la verificación periódica del cumplimiento, o agotar todas las horas y recursos disponibles para esta labor, cabe citar las siguientes:

  1. Cambios legislativos o jurisprudenciales.
  2. Nuevas guías o instrucciones del regulador de la autoridad de control.
  3. Cambios en los criterios del regulador o de la autoridad de control.
  4. Alta frecuencia de consultas.
  5. Alta frecuencia de incidentes y conflictos internos o externos.
  6. Conflictos de competencias. Por ejemplo, entre Asesoría Jurídica y Auditoría Interna.
  7. Redefinición permanente de los órganos de control y de la estructura de control.
  8. Apuesta de la empresa por una cultura abierta que huye de las normas y el control previo.
  9. Falta de acuerdo sobre las prioridades.
  10. Cambio constante en las prioridades.
  11. Empresa familiar no profesionalizada.
  12. Crecimiento acelerado del negocio que dificulta la aplicación del modelo de prevención.
  13. Problemas de comunicación con el negocio.
  14. Falta de recursos.
  15. Falta de apoyo de la alta dirección.
  16. Falta de autoridad o de reconocimiento frente al negocio.
  17. Exceso de confianza con el negocio.
  18. Falta de claridad en la asignación de las distintas responsabilidades y tareas a realizar.
  19. Alto nivel de ocupación de los interlocutores.

Consecuencias de la pérdida de la iniciativa y escenarios en los que ésta puede evidenciarse

La pérdida de la iniciativa en estos proyectos que exigen dedicación constante se traduce irremediablemente en el retraso de las tareas planificadas. En algunas ocasiones, el retraso puede ser muy grande y puede poner en peligro los objetivos de cumplimiento.

El responsable del proyecto intentará de forma repetida recuperar la iniciativa y volver a la planificación, pero antes de que lo consiga, pueden darse una serie de escenarios que evidenciarán el retraso, generando la apariencia de que éste es imputable al responsable del proyecto, cuando en realidad no es así. 

Entre estos escenarios cabe destacar aquéllos en los que se va a requerir un informe de la situación del proyecto y del modelo de prevención:

  1. Auditoría solicitada por un accionista o un consejero.
  2. Due diligence de un posible inversor.
  3. Proceso de profesionalización de la empresa familiar, en el que la familia se aparta y se renueva el equipo directivo.
  4. Relevo generacional en la empresa familiar.
  5. Compra de la empresa y cambio del equipo directivo
  6. Cambios en la dirección de la empresa.
  7. Cambio de interlocutores internos o externos en el proyecto.

Medidas para prevenir la pérdida de la iniciativa

Es evidente que la mejor forma de mantener la iniciativa es aprender a nadar y a guardar la ropa, es decir, atender todas las exigencias del proyecto y hacer frente a las amenazas que pueden poner en peligro los objetivos marcados sin desatender las tareas recurrentes y la verificación periódica.

Ello puede parecer muy fácil al planificar el ejercicio, pero entraña una gran dificultad en la práctica.

Entre las medidas que pueden contribuir a mantener la iniciativa, cabe citar las siguientes:

  1. Negociar con el Consejo de Administración la delegación de autoridad necesaria para el proyecto.
  2. Conseguir el reconocimiento del negocio a la utilidad del proyecto a través de la prevención de la responsabilidad individual de los directivos.
  3. Negociar y aprobar los objetivos y las prioridades al inicio de cada ejercicio.
  4. Bloquear un porcentaje de tiempo y recursos para las tareas recurrentes y la verificación periódica.
  5. Identificar los puntos de verificación más críticos y marcar los que son irrenunciables. En el RGPD hemos identificado más de 325 puntos de verificación. En Compliance, la lista tiende al infinito.
  6. Simplificar las tareas de verificación.
  7. Acordar con el negocio la creación de indicadores que faciliten la verificación.
  8. Asignar a una persona el control del cumplimiento de las tareas recurrentes y la verificación periódica.
  9. Establecer alertas automáticas para el momento en que se superen los plazos acordados para la aplicación de un control y para la entrega de las evidencias.
  10. Incrementar las acciones de formación y concienciación.
  11. Utilizar el canal de denuncias y el sistema disciplinario interno para corregir las malas prácticas y prevenir incumplimientos, siendo las sanciones una prueba de la eficacia del modelo de prevención.

Paco Umbral consiguió que la frase “He venido a hablar de mi libro”, se convirtiese en un ejemplo de vehemencia e insistencia en la consecución de un objetivo. Aunque en este artículo sólo hemos realizado una aproximación a las medidas que podemos aplicar para intentar evitar que las interferencias externas pongan en peligro el proyecto, la solución pasa por colaborar con todos los niveles de la empresa y asegurar el tiempo y los recursos que necesitamos para hablar de nuestro libro, y para que lo compren.

Invitación a la jornada “RGPD: ¿Qué ha pasado en las empresas desde su obligada aplicación?

El próximo 27 de septiembre tendrá lugar la jornada “RGPD: ¿Qué ha pasado en las empresas desde su obligada aplicación?, en la que participaré con la ponencia “Impacto y valoración de la aplicación del RGPD”.

En ella trataré los siguientes puntos:

  1. Buenas prácticas y errores identificados en los últimos cuatro meses.
  2. Cuál será su coste para las empresas españolas.
  3. Brechas de seguridad que se han conocido desde el 25 de mayo, cómo se han gestionado y cómo podían haberse evitado.

Acceso a la invitación

Nuevo curso RGPD básico en vídeo para empresas de más de 250 usuarios

La semana pasada finalizamos el curso RGPD básico en vídeo, que ya está plenamente disponible en nuestro campus online.

El curso va dirigido a empresas con más de 250 usuarios, ya que contempla escenarios propios de una estructura organizativa y orgánica de empresa mediana o grande. Se recomienda que el curso se imparta a los usuarios que tienen acceso o que tratan datos personales en la empresa.

El objetivo es formar y concienciar a los usuarios en materia de protección de datos, información confidencial y ciberseguridad, con escenarios cotidianos en los que se espera una actuación determinada.

El curso está formado por 18 vídeos de una media de 6 minutos cada uno y un total de 1 hora y cuarenta y cinco minutos si se seleccionan los 18 vídeos.

El cliente puede seleccionar los vídeos que quiere que los usuarios visualicen y los que quiere ocultar, de manera que el contenido y la duración total del curso se adapte al sector, a la empresa o al perfil del usuario (por grupos o categorías).

Cada vídeo tiene su propio test de evaluación, por lo que la secuencia natural es ver el vídeo y después contestar el test. Los tests de evaluación tienen una media de tres preguntas que son clave para la concienciación del usuario.

También hay 5 casos prácticos autoevaluables.

La duración total del curso, sumando los vídeos, los tests y los casos prácticos permite cumplir los requisitos establecidos por Fundae.

El certificado de finalización del curso se suministra en formato PDF, con fima electrónica y sellado de tiempo, con el fin de que la empresa disponga de una prueba del esfuerzo formativo realizado.

Los clientes de nuestro despacho pueden solicitar un acceso temporal al campus a xavier.ribas@ribastic.com con el fin de que puedan valorar el contenido y el formato del curso.

Nuevo contenido y formato de las capas de información sobre las cookies

En 2013, tras la elaboración de la Guía sobre cookies por parte de la AEPD, Adigital, Autocontrol e IAB, publicamos una infografía que resumía los puntos más importantes de la guía.

Este año la AEPD ha modificado los criterios relativos al consentimiento y a las capas de información, con el fin de adaptarlos al RGPD. Posteriormente, Adigital ha publicado un resumen de los cambios que suponen los nuevos criterios de la AEPD.

A continuación relacionamos, a modo de checklist, los puntos a tener en cuenta en las dos capas de información sobre las cookies de un sitio web.

Primera capa

  1. Identificación del titular de la página web.
  2. Advertencia sobre el uso de cookies propias.
  3. Advertencia sobre el uso de cookies de terceros.
  4. Información sobre las finalidades de las cookies.
  5. Información sobre la elaboración de perfiles, en su caso.
  6. Información sobre la monitorización de los hábitos de navegación, en su caso.
  7. Opción del usuario de aceptar o rechazar las cookies.
  8. Opción del usuario de configurar las cookies.
  9. Ver el detalle de estas opciones en el resumen de Adigital.
  10. Acceso directo al panel de configuración de las cookies

Segunda capa

  1. Información sobre el tipo de cookies y su finalidad.
  2. Panel de configuración de las cookies.
  3. Botón para habilitar las cookies.
  4. Posibilidad de seleccionar las cookies a habilitar agrupadas por finalidad.
  5. Posibilidad de agrupar las cookies en función de la empresa que las instala.
  6. El nivel de detalle o granularidad de las cookies activables no debe ser excesivo.
  7. Botón para desactivar todas las cookies.
  8. Identificación de los terceros cuyas cookies se utilizan en la página web.

Publicado el Real Decreto-ley de seguridad de las redes y sistemas de información

El BOE de hoy publica el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea. Se trata de la Directiva NIS, o de ciberseguridad.

El objeto de este real decreto-ley es regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.

Ámbito de aplicación

a) Servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

b) Servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de cloud computing.

Obligaciones de seguridad

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios prestados.

Tendrán también deber de notificar incidentes de seguridad, y deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.

El desarrollo reglamentario del real decreto-ley preverá las medidas necesarias para el cumplimiento de las obligaciones de seguridad.

Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta, como mínimo, los avances técnicos y los siguientes aspectos:

a) La seguridad de los sistemas e instalaciones;

b) La gestión de incidentes;

c) La gestión de la continuidad de las actividades;

d) La supervisión, auditorías y pruebas;

e) El cumplimiento de las normas internacionales.

Acceso a la norma: 

https://www.boe.es/diario_boe/txt.php?id=BOE-A-2018-12257

Modificación de la ley de prevención del blanqueo de capitales

El Consejo de Ministros de ayer aprobó un Real Decreto-ley con el fin de incorporar diversas Directivas pendientes de transposición, entre las que destaca la Directiva 2015/849. Como resultado de esta trasposición se modifica la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo.

Principales novedades

1. Obligación de aplicar medidas de diligencia debida reforzadas respecto de aquellos países que se relacionen en la lista que al efecto elabora la Comisión Europea de conformidad con el artículo 9 de la Directiva.

2. Nueva regulación al régimen aplicable a las personas con responsabilidad pública, que se endurece en relación con las personas con responsabilidad pública domésticas, yendo más allá de lo exigido por las Recomendaciones de GAFI.

3. Reducción del umbral en el que los comerciantes de bienes que utilizan el efectivo como medio de pago, están obligados a cumplir con las obligaciones de prevención del blanqueo de capitales, que bajan de 15.000 a 10.000 euros .

4. Adaptación de los límites sancionadores a los umbrales máximos establecidos por la normativa de la UE, incorporando además nuevas normas en materia de publicidad y nuevos tipos infractores.

5. Nuevo sistema de comunicación o denuncia de infracciones que tendrá naturaleza confidencial.

6. Nueva obligación de registro de prestadores de servicios a sociedades.

Este RDL se publicará en breve en el BOE.