Acciones a realizar por un DPO con recursos insuficientes

Son muchas las empresas que han nombrado un DPO y no lo han dotado de recursos suficientes para realizar su función. En este artículo analizaremos las acciones que puede realizar el DPO para superar esta situación, agrupándolas en dos apartados: (1) En un mundo ideal, en el que se platean las acciones que un DPO puede desarrollar en un plano teórico y (2) En el mundo real, en el que comentamos las acciones más prácticas que puede realizar un DPO al que no le queda otra opción que adaptarse a un esquema low cost.

EN UN MUNDO IDEAL

Infracción grave

El artículo 38.2 del RGPD, impone al responsable del tratamiento la obligación de facilitar al DPO los recursos necesarios para el desempeño de sus funciones. El incumplimiento de esta obligación es una infracción grave, prevista en el artículo 83.4.a del RGPD.

Es evidente que el DPO no va a denunciar a la empresa que lo ha contratado, pero al menos puede argumentar que la asignación de recursos insuficientes a un DPO es una infracción tan grave como no tener DPO, cuando es exigible su nombramiento. Este argumento se basa en la necesidad de dar coherencia al nombramiento del DPO, dándole recursos para evitar que su función quede sin cumplir. También se basa en el riesgo de que la insuficiencia de recursos quede acreditada en una inspección de la autoridad de control y se imponga la correspondiente sanción.

Posición correcta

Otra acción a realizar en el plano teórico es verificar que la posición del DPO en el organigrama de la empresa es la adecuada. De acuerdo con el artículo 38.3 del RGPD el DPO rendirá cuentas directamente al más alto nivel jerárquico y no recibirá ninguna instrucción en lo que respecta al desempeño de sus funciones. Si el DPO no está en esa posición, su independencia no está garantizada y se producirá una infracción grave del RGPD, al incumplir las obligaciones establecidas en el artículo 38 del RGPD.

En la rendición de cuentas, el DPO puede reiterar la necesidad de contar con más recursos, o de ocupar una posición más cercana al nivel jerárquico más alto, dejando constancia del riesgo de infracción grave del RGPD en ambos casos.

Delegación de autoridad

Otra anomalía consiste en que el DPO no tenga la autoridad suficiente, tanto a nivel jurídico como práctico. Ello se traducirá en una escasa eficacia de las instrucciones dirigidas al negocio, de la actividad de supervisión y de la aplicación del principio de privacidad desde el diseño. Un ejemplo clásico es el de las campañas de marketing que se diseñan, se elaboran sin contar con el DPO hasta la fase final, previa al lanzamiento.

En este caso el DPO debe realizar un esfuerzo adicional para demostrar la utilidad de la labor preventiva, sensibilizando al negocio sobre la necesidad de revisar con suficiente antelación cualquier iniciativa que pueda tener impacto en materia de privacidad. La delegación de autoridad debe contribuir al objetivo de que el negocio tenga un nivel de sensibilización y alerta adecuado sin tener que recurrir a mensajes apocalípticos ni al constante envío de noticias sobre incidentes de seguridad e infracciones en otras empresas. Aunque ello sigue siendo bastante efectivo en la práctica.

Justificación del presupuesto

Siguiendo en el plano teórico e ideal, el presupuesto del DPO se puede justificar fácilmente siguiendo los siguientes pasos:

  1. Elaboración de una lista de tareas a realizar, clasificándolas en función del nivel de criticidad y de la gravedad de las infracciones que pretenden evitar.
  2. Cuantificación de la carga de trabajo del DPO a través de la asignación de un tiempo estimado de dedicación a cada tarea.
  3. Suma del total de horas necesarias para realizar las tareas recurrentes y puntos de verificación.
  4. Cálculo del equipo necesario para realizar las tareas seleccionadas, teniendo en cuenta que cada persona dedica toda su jornada laboral a esta función, es decir, entre 1.700 y 1.800 horas al año.

En la lista de 364 tareas derivadas del RGPD elaborada por nuestro despacho, la suma total del tiempo de dedicación asciende a más de 4.000 horas al año, lo cual sugeriría un equipo ideal de al menos 2 personas a jornada completa para una gran empresa. Estas cifras pueden cambiar en función del sector al que pertenece la empresa (B2B o B2C) y del número de empresas que formen el grupo.

Estos pueden ser los datos a utilizar en el momento de justificar y negociar el presupuesto. Otra cosa es conseguirlo.

Cabe añadir que la externalización total o parcial de las funciones del DPO puede permitir un ahorro importante gracias a la especialización en la materia y al uso de una metodología orientada a la eficiencia operativa.

Comparativa con otros riesgos de incumplimiento

Cabe añadir a la lista de argumentos el hecho de que la normativa de protección de datos ha llegado a un nivel de complejidad, probabilidad e impacto que no tiene nada que envidiar a otras normativas, como la tributaria o la laboral. Si la prevención de los riesgos tributarios, contables, laborales y societarios tienen asignados unos recursos internos y externos proporcionados a su complejidad, probabilidad e impacto potencial, es lógico que el DPO también cuente con recursos similares.

Sensibilización de los directivos que tienen que aprobar el presupuesto

Dado que estamos hablando de cumplimiento normativo, en la tarea de concienciación de los directivos que tienen que aprobar su presupuesto, el DPO puede aprovechar algunos de los 25 argumentos que en su día elaboramos para el Compliance Officer.

EN EL MUNDO REAL

Creación de una estructura de control

Si el DPO no consigue presupuesto para disponer de un equipo propio o externo, deberá recurrir a los recursos internos de la empresa. Ello significa utilizar la estructura de control ya existente, estableciendo una colaboración directa con los responsables de las distintas funciones de control, siempre que ello no afecte a su independencia ni genere conflictos de interés.

Otra opción consiste en que el DPO cree su propia estructura de control. Para ello puede solicitar la colaboración de los responsables internos de cada tratamiento, a los que identificó en el momento de realizar el registro de actividades de tratamiento. Estos responsables deben asumir la ejecución de cada tarea o delegarla a otros miembros de su equipo.

Si el DPO no ha conseguido la suficiente delegación de autoridad, deberá utilizar habilidades de comunicación y persuasión que le permitan conseguir la colaboración de los distintos departamentos en la creación de la estructura de control.

Asignación de tareas periódicas

Una vez creada la estructura interna de control, habrá que distribuir las tareas relacionadas en la lista de tareas recurrentes y puntos de verificación antes comentada. La asignación de estas tareas requerirá la correspondiente formación, que puede impartirse de forma presencial o a través de fichas, manuales o tutoriales en vídeo que puede elaborar el propio DPO. También puede utilizar los elaborados por nuestro despacho.

Seguimiento de la ejecución de las tareas

Al delegar una buena parte de las tareas recurrentes, el DPO podrá destinar más tiempo al seguimiento y a la supervisión de su ejecución. Este trabajo puede hacerse de forma manual o incluso se puede automatizar con aplicaciones genéricas de gestión de proyectos o con aplicaciones especializadas como Compliance 3.0.

Recogida de evidencias

Finalmente, y de acuerdo con el principio de responsabilidad proactiva establecido en el artículo 5.2 del RGPD, el DPO deberá utilizar la estructura de control creada para obtener las pruebas que acrediten la ejecución de las acciones de prevención y control, así como el cumplimiento del RGPD y de la LOPD. La conservación ordenada de estas pruebas puede realizarse a través de un sistema de gestión documental genérico o a través de un repositorio de evidencias especializado y con sellado de tiempo automático, como el de la aplicación Compliance 3.0.

La creación de una cultura de cumplimiento en materia de protección de datos es un objetivo que necesita un tiempo de maduración cuya duración depende mucho del sector al que pertenece la empresa. Mientras se alcanza el nivel de madurez apropiado, el DPO puede argumentar que los recursos destinados al cumplimiento del RGOD y la LOPD no son un gasto únicamente asociado al cumplimiento, sino también una inversión destinada a proteger otros activos intangibles que conviven con los datos personales en los mismos sistemas informáticos: la información confidencial, la información privilegiada, la propiedad intelectual y la propiedad industrial.

 


 

ACTUALIZACIÓN – 09/03/2019

Añado al artículo las aportaciones de Jordi Civit, al que agradezco su colaboración.

Nombramiento voluntario del DPO

En el supuesto que el nombramiento del DPO haya sido voluntario, por no cumplir con las exigencias que establece el Reglamento, cabe recordar que la gravedad del incumplimiento es la misma ya que en el caso de dicha designación voluntaria le atienden las mismas obligaciones al responsable del tratamiento.

Relación de controles asignados a los responsables

Como último recurso, cabría la posibilidad que el DPO defina una relación de controles a llevar a cabo por parte de los Responsables de las diferentes actividades de tratamiento de la organización con objeto de remitir una autoevaluación de controles que deban ser valorados de forma objetiva por su parte. De esta forma se conseguirían dos objetivos, i) el DPO demostraría diligencia en la supervisión y asesoramiento de la organización en cuanto el cumplimiento normativo y; ii) el Responsable del tratamiento sería consciente de las obligaciones que le atienden así como de las acciones que debería llevar a cabo (son los controles) para alinearse con la regulación.

Reputación empresarial

Adicionalmente, y como activo intangible más importante a proteger por parte de las organizaciones estaría la REPUTACIÓN EMPRESARIAL.
¿Se ha parado su organización a reflexionar sobre la dificultad de conseguir la fidelidad de sus consumidores? La confianza es una labor que se trabaja día a día, y que cuesta mucho alcanzar pero cuesta muy poco perder.

Jornadas de sensibilización

En aquellas organizaciones donde sea difícil evidenciar el valor de la función del DPO, es recomendable que se realicen jornadas de sensibilización con la Dirección o las diferentes áreas que componen la organización.
El hecho de realizar una jornada específica puede dificultar la captación de la atención, es por ello que es recomendable participar como un ponente más en jornadas de reuniones departamentales o ejecutivas que puedan realizarse. En dicho foro, es el momento de exponer los objetivos de la organización en materia de Privacidad, las obligaciones que nos atienden por nuestra práctica sistemática así como los riesgos a los que estamos sujetos.
A la hora de mostrar la debida diligencia, por parte del DPO, es importante mantener un registro de los asistentes y la duración de dichas jornadas.
Como se comentaba anteriormente, es importante una adecuada gestión de la comunicación con las Direcciones de las diferentes áreas de negocio con objeto de que vean con buenos ojos la participación en dichas reuniones, así como evidenciar el beneficio que les pueda suponer a ellos como responsables de las actividades de tratamiento de la organización.

Publicar Infografía o resúmenes periódicos

La gestión de la comunicación es un factor fundamental para ir creando las estructuras de control necesarias en las organizaciones. Una acción bastante sencilla y que puede tener una gran repercusión es la creación de breves resúmenes con aspectos más relevantes a tener en cuenta en la operación habitual de la organización. Incluso, se podrían desarrollar una relación de DO’s & DONT’s a llevar a cabo por cada una de las áreas de negocio en base al nivel de aplicación del reglamento en sus tratamientos de datos. Si se dispone de un portal interno, o repositorio común de información, es importante que se publique y se encuentre dicha información disponible para consulta de todos los colaboradores.

Infografía – Derecho a la intimidad en el uso de los recursos TIC corporativos (Nueva LOPD)

En esta infografía se identifican los puntos más importantes de la regulación de la intimidad en el uso de los recursos TIC corporativos en el ámbito laboral, tras la entrada en vigor de la nueva LOPD.

También incluimos unas recomendaciones en relación a las acciones a realizar con el fin de adaptar la empresa a la nueva regulación, de acuerdo con nuestra interpretación de la norma. Estas recomendaciones son generales y deben ser adaptadas a cada caso concreto. Nuestra interpretación puede diferir de la que hagan las autoridades de control y los tribunales.

Acceso a la infografía en formato PDF

Jornada en Barcelona sobre el RGPD y la nueva LOPD

El próximo 8 de marzo participaré en una jornada de Thomson Reuters sobre aspectos concretos del RGPD y la nueva LOPD, de acuerdo con los detalles de la convocatoria que aparece a continuación.

TRRGPDBCN

Formulario de inscripción:

https://www.thomsonreuters.es/es/formulario/evento-dpo-barcelona-marzo.html

Programa completo:

http://app.engage.es-pt.thomsonreuters.com/e/es?s=570777387&e=324674&elqTrackId=737d279007ef425f800bd0eff6dcff07&elq=85674359140244e5be44f385d1caca39&elqaid=21854&elqat=1

Probabilidad de que una infracción del RGPD llegue a ser conocida, denunciada y sancionada

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Análisis a las conclusiones del análisis

Para calcular la probabilidad de que un incumplimiento del RGPD llegue a ser conocido, denunciado y sancionado, depende, en gran medida, de que el incumplimiento tenga sus efectos, o pueda ser percibido por fuera del perímetro de la empresa.

Si valoramos el riesgo de que esto suceda en cada una de las obligaciones del RGPD que pueden ser incumplidas por una empresa, podemos elaborar una tabla como la siguiente, en la que se valora, de forma aproximativa, el riesgo de que una infracción pueda tener efectos o ser percibida fuera del perímetro de la empresa:

  1. Principios relativos al tratamiento – Riesgo alto
  2. Licitud del tratamiento – Riesgo alto
  3. Condiciones para el consentimiento – Riesgo alto
  4. Consentimiento de menores – Riesgo alto
  5. Categorías especiales de datos – Riesgo medio
  6. Datos relativos a condenas e infracciones penales – Riesgo medio
  7. Tratamientos que no requieren identificación – Riesgo bajo
  8. Ejercicio de derechos del interesado – Riesgo alto
  9. Información al interesado en la obtención directa – Riesgo alto
  10. Información al interesado en la obtención indirecta – Riesgo medio
  11. Derecho de acceso del interesado – Riesgo alto
  12. Derecho de rectificación – Riesgo alto
  13. Derecho de supresión – Riesgo alto
  14. Derecho a la limitación del tratamiento – Riesgo alto
  15. Notificación de las acciones relativas a los derechos anteriores – Riesgo alto
  16. Derecho a la portabilidad de los datos – Riesgo alto
  17. Derecho de oposición – Riesgo alto
  18. Decisiones individuales automatizadas y elaboración de perfiles – Riesgo medio
  19. Limitaciones  – Riesgo bajo
  20. Responsabilidad del responsable del tratamiento – Riesgo medio
  21. Protección de datos desde el el diseño y por defecto – Riesgo medio
  22. Corresponsables del tratamiento  – Riesgo medio
  23. Representantes en la Unión Europea  – Riesgo alto
  24. Encargado del tratamiento – Riesgo medio
  25. Tratamiento bajo la autoridad del responsable o del encargado – Riesgo bajo
  26. Registro de las actividades de tratamiento  – Riesgo bajo
  27. Cooperación con la autoridad nacional –  – Riesgo alto
  28. Seguridad del tratamiento  – Riesgo bajo en relación a la disponibilidad y a la integridad y riesgo alto en relación a la confidencialidad
  29. Notificación de una violación de la seguridad a la autoridad de control – Riesgo alto
  30. Comunicación de una violación de la seguridad al interesado – Riesgo alto
  31. Evaluación de impacto – Riesgo bajo
  32. Consulta previa – Riesgo alto
  33. Designación del Delegado de Protección de Datos – Riesgo alto
  34. Posición del Delegado de Protección de Datos – Riesgo bajo
  35. Funciones del Delegado de Protección de Datos – Riesgo bajo
  36. Códigos de conducta – Riesgo alto
  37. Supervisión de los códigos de conducta – Riesgo alto
  38. Certificación – Riesgo alto
  39. Principio general de las transferencias a terceros países – Riesgo alto
  40. Transferencias basadas en una decisión de adecuación – Riesgo alto
  41. Transferencias mediante garantías adecuadas – Riesgo alto
  42. Normas corporativas vinculantes – Riesgo alto
  43. Transferencias no autorizadas por el Derecho de la Unión – Riesgo alto
  44. Excepciones para situaciones específicas – Riesgo alto

Al realizar este ejercicio nos damos cuenta de que todas las obligaciones en las que el interesado puede, de alguna manera, monitorizar o percibir el nivel de cumplimiento son aquellas en las que una eventual infracción tendría una manifestación o unos efectos fuera de la empresa. En cambio, las infracciones que sólo se manifestan o tienen sus efectos dentro de la empresa, son susceptibles de ser ocultadas o subsanadas, con la excepción de las que sean filtradas o denunciadas por alguien que se halle dentro del círculo de confianza de la empresa o sea expulsado del mismo a causa de un confilcto o de un despido.

En el caso de infracción de una obligación jurídica con riesgo alto de conocimiento por parte del interesado, la empresa no tiene muchas opciones para ocultar, corregir o eliminar los efectos de la infracción, ya que éstos han salido de su ámbito de control. Por ejemplo, si la empresa realiza un envío masivo de publicidad por correo electrónico y sin consentimiento, la prueba de la infracción está en cada uno de los buzones de entrada de los múltiples destinatarios.

En el caso de infracción de una obligación específica en materia de seguridad, como las relacionadas con las violaciones de datos, el Grupo de Trabajo del Artículo 29 ha identificado tres opciones:

  • Las violaciones de la integridad.
  • Las violaciones de la disponibilidad.
  • Las violaciones de la confidencialidad.

En el caso de las dos primeras, la empresa puede actuar de forma rápida y solucionar el problema sin que el interesado llegue a darse cuenta. En el caso de una violación de la confidencialidad, la existencia de la divulgación de los datos puede llegar a conocimiento del interesado o no, ya que puede deberse a un incidente involuntario intrascendente o a un ataque que no ha sido hecho público.

El gran impacto reputacional y la desconfianza en la seguridad de la empresa que puede generar la divulgación de una violación de datos hace que, en la mayoría de los casos, las empresas sólo publiquen datos de las violaciones de datos que ya han sido conocidas por los interesados.

No parece que esta estrategia vaya a cambiar a pesar de la obligación de comunicar las violaciones de datos. Las empresas, especialmente las de aquellos sectores en los que los datos personales sea un activo crítico, intentarán no tener que comunicar la existencia de la violación. Salvo que la brecha de seguridad haya sido dada a conocer por terceros, en la medida de lo posible, y especialmente en los casos de violación de la integridad y de la disponibilidad, estos incidentes seguirán siendo de ámbito interno muy probablemente.

Si a ello unimos las conclusiones del análisis histórico de sanciones, en el que las cuestiones relativas a la seguirdad prácticamente no aparecen, es posible afirmar que existe una mayor probabilidad de que el incumplimiento de una obligación jurídica sea sancionado, frente a la menor probabilidad de sanción del incumplimiento de una obligación de seguridad.

Acceso a las conclusiones del análisis

Número de infracciones del RGPD que guardan relación con las medidas jurídicas y con las medidas de seguridad

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

Las infracciones que establece el artículo 83 del RGPD se distribuyen en dos grandes grupos:

A) Infracciones con sanciones de hasta 20 millones o el 4% del volumen de negocio, cuyo contenido es exclusivamente jurídico, ya que se refieren a:

  1. Los principios básicos del tratamiento (Artículos 5, 6, 7 y 9)
  2. Los derechos de los interesados (Artículos 12 a 22)
  3. Las transferencias de datos personales a un tercer país (Artículos 44 a 49)
  4. El incumplimiento de obligaciones en virtud del Derecho de los Estados miembros (Artículos 85 a 91)
  5. El incumplimiento de resoluciones de la autoridad de control (Artículo 58)

B) Infracciones con sanciones de hasta 10 millones o el 2% del volumen de negocio, cuyo contenido es predominantemente jurídico, ya que se refieren a:

  1. Las obligaciones del responsable y del encargado del tratamiento
  2. Las obligaciones de los organismos de certificación
  3. Las obligaciones de las autoridades de control

Las infracciones en materia de seguridad están incluidas en el punto 1, relativo a las obligaciones del responsable y del encargado del tratamiento, que están descritas en los artículos 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 y 43.

Por lo tanto, una infracción de las obligaciones establecidas en materia de seguridad, tendría una sanción de hasta 10 millones o el 2% del volumen de negocio y afectaría a 3 de los 19 artículos del RGPD cuya infracción comportaría este tipo de sanciones.

En términos absolutos, el reparto de las infracciones entre las dos disciplinas es el siguiente:

  • Infracción de obligaciones jurídicas con sanciones de hasta 20 millones contenidas en 21 artículos.
  • Infracción de obligaciones jurídicas con sanciones de hasta 10 millones contenidas en 16 artículos.
  • Infracción de obligaciones en materias de seguridad con sanciones de hasta 10 millones contenidas en 3 artículos.

Cabe añadir que dos de los tres artículos relativos a medidas de seguridad se refieren a la obligación de notificar y comunicar las violaciones de datos.

Acceso a las conclusiones del análisis

“Data breach” y RGPD: la realidad de un concepto mal traducido

La traducción oficial al español de “data breach” en el Reglamento General de Protección de Datos es “violación de la seguridad de los datos personales”. Sin tener en cuenta artículos y preposiciones, el traductor oficial convierte dos palabras en cuatro.

Añadir “personales” no me parece mal, ya que confirma que el RGPD no se refiere a cualquier violación de datos, sino que ésta tiene que referirse a datos personales.

El problema surge al añadir la palabra seguridad, ya que ello puede generar la errónea interpretación de que el concepto “data breach” se refiere a cualquier incidente de seguridad en un entorno en el que haya datos personales. Y del texto de los artículos 33 y 34 del RGPD se deduce claramente que esto no es así.

Esta traducción ha provocado que, por economía de palabras, buena parte de las referencias al concepto “data breach” aparezcan en la práctica como “brechas de seguridad” o como “violaciones de seguridad”, con la consiguiente interpretación por parte de los profanos en la materia, de que todos los incidentes de seguridad que afecten a un sistema en el que haya datos personales serán un “data breach” y deberán ser objeto de notificación a la autoridad de control o de comunicación a los interesados. De ahí la pregunta habitual: “¿Cada vez que se pierda un móvil tendré que notificarlo a la Agencia?”

Para analizar el alcance real de un incidente de seguridad deberán tenerse en cuenta todas las circunstancias que lo rodean, así como las medidas anteriores, coetáneas y posteriores al incidente, que el responsable del tratamiento haya adoptado.

Entre las cuestiones conceptuales que deberán tenerse en cuenta destacan las siguientes:

  1. No todos los incidentes de seguridad constituirán una violación de la seguridad de los datos personales.
  2. No todas las violaciones de la seguridad de los datos personales serán una violación de los datos personales.
  3. La seguridad se representa gráficamente como un escudo de protección del sistema que alberga los datos personales, pero este escudo puede tener varias capas y formatos, de manera que un incidente en la primera capa de seguridad no implica forzosamente que exista un alto riesgo para los datos personales, ya que estos pueden encontrarse protegidos por varias capas de seguridad.
  4. Por ejemplo, un incidente en el firewall perimetral de una empresa puede no afectar a los datos que se encuentran cifrados dentro de una aplicación protegida con contraseña, en una máquina virtual protegida por un firewall propio albergada en un servidor interno, protegido a su vez por su propio firewall.

De manera similar a una ciudadela o a una fortaleza militar, el sistema informático de una empresa cuenta con varias líneas de defensa que permiten afirmar que un incidente de seguridad perimetral puede llegar a ser absolutamente irrelevante para los datos personales que alberga el sistema.

Si hablamos concretamente de una violación de la seguridad de los datos personales, igualmente debemos tener en cuenta que dicha seguridad puede estar compuesta por distintas capas y metodologías de protección, tanto físicas, como lógicas, como organizativas.

Por todo ello, y tal como puede verse en los dos gráficos que acompañan a este artículo, y que han sido incluidos en el nuevo curso de DPO de Thomson Reuters, una empresa debe contar con un protocolo de actuación ante incidentes de seguridad y con un protocolo de evaluación de la violación de los datos personales.

En el primer gráfico podemos ver que, antes del incidente, la empresa tiene que haber aplicado las medidas de seguridad necesarias para reducir la probabilidad de que se produzcan incidentes de seguridad y para mitigar los efectos de los que lleguen a producirse a pesar de las medidas aplicadas.

En relación al cifrado de datos, el Grupo de Trabajo del Artículo 29, en la guía que recientemente ha publicado sobre esta materia, ha manifestado que, si la confidencialidad de la clave de cifrado está intacta, los datos personales son en principio ininteligibles, y por lo tanto no se deberá realizar la notificación. Por ello es muy importante que las medidas adoptadas antes, durante y después del incidente vayan orientadas a asegurar la custodia de dicha clave.

También será necesario disponer de un plan de actuación ante un incidente, en el que se asignen funciones específicas a los responsables y se establezcan tiempos de respuesta en los contratos con los proveedores.

Durante y después del incidente, deberá realizarse un análisis de su alcance, del número de afectados, el origen (interno o externo) y el nivel de intencionalidad, así como cualquier otra circunstancia que permita determinar las medidas a aplicar y evaluar los riesgos.

La evaluación del riesgo deberá tener en cuenta, entre otras cuestiones, el tipo de incidente, su alcance en relación a los derechos fundamentales de los afectados, la sensibilidad de los datos, la gravedad del impacto para los afectados y la facilidad de identificación de los mismos. En esta fase será fundamental disponer de una checklist completa que permita evaluar el riego desde la óptica de los derechos y libertades fundamentales de los interesados.

El protocolo de actuación acabará con una decisión final en relación a la notificación y a la comunicación a realizar en función del riesgo evaluado. Si el riesgo es bajo, el incidente podrá ser registrado y archivado. Si el riesgo es alto, deberá realizarse la notificación a la AEPD y si el riesgo es muy alto, deberá realizarse la comunicación a los afectados.

En el segundo gráfico puede verse el protocolo de actuación que propongo aplicar para evaluar si se ha producido una violación de datos que deba ser notificada o comunicada.

Para ello habrá que recopilar información completa del incidente, evaluar la probabilidad y el impacto del riesgo, verificar si las medidas anteriores, coetáneas y posteriores al incidente han protegido de forma suficiente los datos, o si, por el contrario, se ha producido una violación.

De acuerdo con la guía del Grupo de Trabajo del Artículo 29, dicha violación puede referirse a la confidencialidad, a la disponibilidad y a la integridad de los datos. La violación de la confidencialidad permitiría que se produjese una comunicación o un acceso no autorizado a los datos. La violación de la disponibilidad podría provocar una pérdida de acceso a los datos o una destrucción de los mismos. La violación de la integridad supondría una alteración no autorizada de los datos.

Por lo tanto, y como conclusión final, para que un incidente de seguridad se convierta en una violación de datos, se tiene que haber producido una violación de la confidencialidad, la disponibilidad o la integridad de los datos. Si el riesgo de que esta violación afecte a los derechos y libertades de los interesados es alto, habrá que notificarla a la AEPD y si es muy alto, habrá que comunicarla a los interesados.

La diferencia entre riesgo alto y riesgo muy alto no queda definida en el RGPD, pero lo que sí queda claro es que, si una empresa ha cumplido sus obligaciones en materia de seguridad, consiguiendo un umbral razonable de garantías en relación a la confidencialidad, disponibilidad e integridad de los datos personales, tiene más posibilidades de que una violación de la seguridad no se convierta en una violación de datos, y, por lo tanto, consiga no tener que notificar ni comunicar el incidente.

El objetivo del DPO y del responsable del tratamiento es que ese umbral de garantías en relación a la confidencialidad, disponibilidad e integridad de los datos personales sea lo más alto posible.

Las violaciones de datos y las evaluaciones de impacto son dos puntos del RGPD que preocupan a las empresas por su operativa y por su contenido. En el nuevo curso de DPO de Thomson Reuters hemos dedicado especial atención a estos dos puntos, con una amplia descripción de los protocolos a seguir y, en el caso de las evaluaciones de impacto, al contenido detallado del informe que debe describir las procesos sedigos para realizar la evaluación y la justificación de la decisión final adoptada.

Tratamiento de datos de contacto y de empresarios individuales en la nueva LOPD

El anteproyecto de la nueva LOPD aclara una de las dudas que el texto del Reglamento (RGPD) suscitaba en relación a los datos de contacto de las personas físicas que prestan sus servicios en una persona jurídica.

El artículo 12 del anteproyecto establece que se entenderá amparado en lo dispuesto en el interés legítimo el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:

  1. Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional.
  2. Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios. 

El mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

La remisión del anteproyecto al artículo 6.1.f del RGPD enmarca el tratamiento de este tipo de datos en el interés legítimo, por lo que añade los siguientes requisitos:

  1. El tratamiento debe ser necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.
  2. Siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

En el caso de que el texto de este artículo del anteproyecto prospere, y el responsable del tratamiento cumpla los requisitos establecidos en él, esta excepción permitirá que el tratamiento de este tipo de datos sea lícito sin necesidad de obtener el consentimiento del interesado.

Otra ventaja de la aprobación de este texto sería que contaríamos con un supuesto que claramente formaría parte de la lista de supuestos en los que concurre el interés legítimo. Ello es realmente importante teniendo en cuenta el carácter indeterminado de este concepto y la inseguridad jurídica que ello supone.

También será una ventaja poder excluir estos datos de contacto de la regularización del consentimiento tácito que habrá que realizar antes del 25 de mayo de 2018, al concurrir en este caso la excepción del interés legítimo.

La necesaria compatibilidad entre el interés legítimo del RGPD y el futuro Reglamento e-Privacy permitirá valorar si cabe plantear una revisión del régimen de las comunicaciones electrónicas entre empresas, con el fin de que tengan un tratamiento diferente del regulado actualmente en el artículo 21 de la LSSI. Pero todo parece indicar que la idea del legislador europeo es exactamente la contraria.

Novedades de la propuesta de Reglamento UE de Protección de Datos

Durante este mes de junio nuestro despacho ha organizado un ciclo de desayunos de trabajo en los que RAMÓN MIRALLES, Coordinador de Auditoría y Seguridad de la Información en la Autoridad Catalana de Protección de Datos, ha expuesto las principales novedades de la propuesta de Reglamento UE de Protección de Datos tras las últimas enmiendas aprobadas y ha anticipado los puntos que probablemente formarán parte de la nueva norma.

Agradecemos a Ramón Miralles su participación como ponente en este ciclo de reuniones de trabajo y sus aportaciones en el posterior debate, que ha sido muy enriquecedor para los asistentes.

En este documento se resumen los principales puntos de su ponencia:

Novedades del Reglamento UE sobre Protección de Datos

 

¿Por qué se declaran tan pocas transferencias internacionales de datos?

En la jornada sobre cloud computing que la Agencia Española de Protección de Datos (AEPD) organizó en enero de 2012 se llegó a la conclusión de que la computación en la nube había generado un cambio de paradigma en las subcontrataciones y en las transferencias internacionales de datos.

Este cambio de paradigma fue analizado posteriormente en este blog para comprobar cómo estaba actuando la oferta y la demanda en materia de subcontrataciones y transferencias internacionales.

En esta ocasión me gustaría analizar si este cambio de paradigma se ha manifestado en la tipología de las transferencias internacionales que fueron autorizadas por el Director de la AEPD durante 2012 y si la globalización y el abaratamiento de los servicios de hosting, unido a la aparición de nuevas categorías de servicios, está provocando una menor identificación de los supuestos en los que se produce una transferencia internacional de datos.

En relación a la primera cuestión, es fácil comprobar que las transferencias internacionales de datos autorizadas por el Director de la AEPD en 2012 se distribuyen en dos grandes tipologías:

– 122 transferencias internacionales realizadas en el marco de un contrato de prestación de servicios de encargado de tratamiento (call center, gestión de aplicaciones, gestión de bases de datos).

– 53 transferencias internacionales relativas a la gestión centralizada de datos de RRHH o de clientes en la sede central de una empresa multinacional.

En ninguna de ellas se identificó como destinatario de la transferencia internacional a alguno de los grandes proveedores que ofrecen servicios de hosting como prestación principal, es decir, como prestación no complementaria a los servicios de call center o gestión de bases de datos.

Tampoco se identificó como destinatario de la transferencia internacional a alguno de los grandes proveedores de cloud computing, en su modalidad de nube pública, ni a las principales redes sociales.

De este análisis rápido, basado exclusivamente en las transferencias internacionales autorizadas por el Director de la AEPD en 2012, extraigo las siguientes conclusiones:

  1. Sigue pareciéndome bajo el número de empresas que identifican y declaran como transferencia internacional los servicios contratados a proveedores que tratan datos en países con un nivel de protección no equiparable al de la UE. Según la Memoria de la AEPD de 2011, sólo se han autorizado 735 transferencias internacionales en total en 12 años, incluyendo las transferencias a la sede central de multinacionales.
  2. No parece que exista una práctica generalizada de declarar como transferencia internacional los servicios de cloud computing en los que los datos son almacenados en países de protección no equiparable.
  3. Lo mismo sucede con la contratación de servicios de mero hosting de datos.
  4. Lo mismo sucede con el tratamiento de datos realizado por las empresas en las redes sociales.

Estas conclusiones me llevan a plantear si se están dando en el mercado circunstancias que dificultan la identificación de los supuestos en los que se produce una transferencia internacional de datos que exigiría la autorización del Director de la AEPD.

Todo parece indicar que efectivamente se está produciendo una progresiva pérdida de control por parte del responsable del fichero sobre los distintos encargados y subencargados del tratamiento que acceden a sus ficheros. Por otro lado, hay nuevos servicios en los que cuesta más identificar dónde están los datos a lo largo del ciclo de vida de la relación con el proveedor.

Agrupando estas nuevas circunstancias con las que ya pueden considerarse clásicas, podríamos enumerar las principales razones por las que no llegan al Director de la AEPD todas las transferencias internacionales que se están produciendo:

  1. Tratamiento realizado aparentemente en la UE o en país con protección equiparable
  2. Consentimiento del usuario final a través de los términos y condiciones del servicio
  3. Desconocimiento de la obligación por parte del responsable del fichero
  4. Falta de identificación de la transferencia internacional en ciertos servicios
  5. Imposibilidad de controlar la ubicación de los datos en ciertos servicios
  6. Aplicación de técnicas de cifrado, ofuscación y fragmentación de datos
  7. Dificultad para controlar las subcontrataciones en materia de hosting

Además de estas razones, estamos asistiendo a un proceso de transformación de la manera en que vemos la información y su almacenamiento. Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar, sino un flujo a optimizar, y hoy más que nunca cobra sentido esta afirmación.

Por ello, es comprensible que cada vez sea más difícil, y a la vez irrelevante, saber dónde están realmente los datos.