BRECHA 001 – Datos compartidos por WhatsApp en una cadena de supermercados

Primera entrega de GDPR Brechas.

GDPR Brechas es un espacio para el análisis de las brechas de seguridad que han sido objeto de resolución por las autoridades de control. Puedes ver el vídeo completo de esta brecha y descargar el PDF de cada uno de los casos analizados y participar en el debate en: https://www.campus-ribas.com/p/brechas-de-seguridad


ACCESO AL PROYECTO GDPR BRECHAS

Puedes participar en el proyecto accediendo a la sección GDPR Brechas en Campus Ribas:

https://www.campus-ribas.com/p/brechas-de-seguridad

En dicha sección podrás ver los vídeos explicativos del proyecto y de cada uno de los casos que se vayan publicando.

También podrás descargar la ficha de cada caso en formato PDF.

En el apartado de comentarios podrás manifestar tu opinión sobre cada caso y sobre cada resolución.

GDPR Hack 02 – Periodicidad de las auditorías GDPR

  PLANTEAMIENTOS Planteamiento 1 – Proyecto inicial incompleto
  1. La mayor parte de los proyectos de adecuación al RGPD se planificaron para acabar el 25 de mayo de 2018.
  2. La prioridad de cumplir el plazo hizo que algunos proyectos no profundizasen en algunos puntos críticos.
  3. La idea era completar el proyecto posteriormente, pero muchas empresas no lo han hecho.
Planteamiento 2 – Información inicial escasa
  1. Una parte de las guías de las autoridades de control se publicaron tras la finalización del proyecto.
  2. El nivel de detalle y concreción del RGPD es escaso en algunos puntos.
  3. Las empresas no dispusieron durante el proyecto de tanta información como la existente en la actualidad.
Planteamiento 3 – Cultura de auditoría
  1. Las grandes empresas realizan auditorías de riesgos cada año.
  2. Los riesgos derivados del RGPD han sido incluidos por Auditoría Interna en las auditorías anuales.
  3. El alcance de estas auditorías hasta ahora ha sido limitado.
Planteamiento 4 – Criterio del legislador
  1. El RGPD menciona las auditorías al hablar de las funciones del DPO pero no establece plazos.
  2. El RGPD también habla de las auditorías a los encargados del tratamiento pero tampoco establece plazos.
  3. El legislador español estableció una periodicidad máxima de dos años en la normativa anterior.
Planteamiento 5 – Cambios constantes en el modelo de datos y en las finalidades
  1. El modelo de datos (la estructura de campos) de los tratamientos cambian constantemente.
  2. También pueden producirse cambios en las finalidades de los tratamientos.
  3. El registro de tratamientos queda desactualizado muy rápidamente.
  4. El principio de privacidad desde el diseño y por defecto exige realizar verificaciones periódicas.
  5. El principio de responsabilidad proactiva exige realizar verificaciones periódicas del cumplimiento.
Cuestión planteada ¿Cuál es la periodicidad más adecuada de las auditorías GDPR? Interpretación 1 – Auditoría anual El RGPD exige la realización de verificaciones periódicas. El modelo de datos y las finalidades de los tratamientos están sujetos a cambios constantes. El registro de actividades de tratamiento se desactualiza rápidamente. Es aconsejable realizar una auditoría cada año. Interpretación 2 – Auditoría bienal Es suficiente realizar una auditoría cada dos años. Interpretación 3 – Auditoría mixta Se pueden revisar cada año los elementos más afectados por los cambios y realizar una auditoría en profundidad cada dos años. Interpretación 4 – Auditoría continuada Las tareas de revisión se pueden repartir a lo largo del año con verificaciones mensuales de un tratamiento grupo de tratamientos, de un departamento o de un grupo de controles. COMENTARIOS Puedes realizar tus aportaciones y apoyar una de las dos alternativas en la sección de comentarios de GDPR Hacks en Campus Ribas. Las opiniones pueden ir acompañadas de fundamentación jurídica o de los criterios que te han llevado a tomar partido por la alternativa escogida. Acceso a Campus Ribas https://www.campus-ribas.com Acceso a GDPR Hacks https://www.campus-ribas.com/p/gdpr-hacks

GDPR Hack 01 – ¿Quien puede lo más puede lo menos?

PLanteamientos

Planteamiento 1 – Categorías especiales de datos

El artículo 9.1 del GDPR establece la prohibición del tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

Planteamiento 2 – Datos que el interesado ha hecho manifiestamente públicos

El apartado e) del artículo 9.2 establece que la prohibición del apartado 1 no será de aplicación cuando el tratamiento se refiera a datos personales que el interesado ha hecho manifiestamente públicos.

Planteamiento 3 – Principio “Quién puede lo más puede lo menos”

El principio “Quien puede lo más puede lo menos” (Qui potest minus, potest plus) ha sido reconocido en diversas sentencias del Tribunal Supremo. Una de las más recientes es las sentencias de la Sala de lo Social de fecha 24-09-2015, en la que se establece que: “esa fundamentación no es acertada y debe rechazarse porque así lo impone el principio de derecho que establece “quien puede lo más puede lo menos”. En efecto, el principio “qui potest plus, potest minus”, que viene del derecho romano, obliga a entender que quien está facultado para negociar un convenio colectivo, también puede pactar una modificación parcial del mismo”.

Cuestión planteada

De acuerdo con el principio “Quien puede lo más puede lo menos”, ¿la excepción establecida en el apartado e) del artículo 9.2 para el tratamiento de los datos sensibles que el interesado haya hecho manifiestamente públicos es también aplicable a las restantes categorías de datos? En otras palabras, si puedo tratar con una base jurídica distinta del consentimiento de un interesado los datos relativos a una ideología política con la que el interesado ha manifestado afinidad en Twitter, ¿puedo tratar también con una base jurídica distinta del consentimiento la dirección postal que un interesado ha publicado en Instagram?

Interpretación 01

Sí. La excepción establecida en el apartado e) del artículo 9.2 para el tratamiento de los datos sensibles que el interesado haya hecho manifiestamente públicos es también aplicable a las restantes categorías de datos.

Interpretación 02

No. La excepción establecida en el apartado e) del artículo 9.2 para el tratamiento de los datos sensibles que el interesado haya hecho manifiestamente públicos sólo es aplicable a las categorías especiales de datos.

COMENTARIOS

Puedes realizar tus aportaciones y apoyar una de las dos alternativas en la sección de comentarios de GDPR Hacks en Campus Ribas. Las opiniones pueden ir acompañadas de fundamentación jurídica o de los criterios que te han llevado a tomar partido por la alternativa escogida.

Acceso a Campus Ribas

https://www.campus-ribas.com

Acceso a GDPR Hacks

https://www.campus-ribas.com/p/gdpr-hacks

Presentación de la iniciativa GDPR hacks

Origen de la idea

La iniciativa GDPR Hacks surge a causa de la falta de concreción de algunos puntos del GDPR y la diversidad de interpretaciones que ello ha originado.

Las guías de las autoridades de control han sido de gran ayuda para esclarecer cuestiones controvertidas y aportar más detalle a una regulación que en algunos casos puede ser demasiado genérica.

Esta labor de unificación de criterios no ha llegado todavía a zonas que permanecen inexploradas por la doctrina, por las guías y por las resoluciones.

No se trata únicamente de una cuestión cultural ni de la falta de encaje del derecho anglosajón y el derecho continental. La complejidad de la materia y su trascendencia económica exigen una mayor exactitud en algunos puntos de la norma.

Ante la opción de que un mismo precepto pueda tener varias interpretaciones, las altas cuantías de las sanciones del GDPR han hecho que, en muchos casos, los responsables del tratamiento hayan escogido la opción más conservadora. Ese exceso de prudencia ha provocado una pérdida de competitividad en las empresas europeas y, en algunos casos evidentes como el de la interpretación del consentimiento, ha generado pérdida de negocio y un impacto en el PIB acumulado de la UE que nunca llegaremos a conocer.

Sin ningún afán de alterar el sentido de la norma ni la intención original del legislador, GDPR Hacks es un espacio para la reflexión y el análisis de las distintas interpretaciones que puede admitir un artículo o un concepto del GDPR, con el fin de encontrar la más acorde y coherente con el hilo argumental del Reglamento y con cada escenario concreto.

¿Qué es un GDPR Hack?

El concepto GDPR Hack puede incluir, por lo tanto, una gran variedad de opciones:

  1. Un análisis de las distintas interpretaciones que pueden existir sobre una determinada materia.
  2. Un espacio para la reflexión y el debate sobre dichas interpretaciones.
  3. Una invitación a plantear una alternativa a las interpretaciones derivadas más de una inercia que de una reflexión profunda.
  4. Una oportunidad para identificar situaciones en las que hemos sido excesivamente prudentes o conservadores en la interpretación de un precepto al que el legislador, en realidad, había dado otro sentido.
  5. Una forma más eficiente y fácil de cumplir una obligación, dentro de la legalidad, o de crear una evidencia de cumplimiento.
  6. Un reto para la creatividad.
  7. Una nueva visión sobre cuestiones obvias que tal vez no se han tenido en cuenta.
  8. Una nueva conclusión obtenida por inferencia tras el análisis conjunto de varios preceptos. O la detección de una contradicción.
  9. Una exploración conjunta sobre cuestiones que las guías de las autoridades de control no han resuelto todavía.
  10. Una nueva oportunidad para los considerandos, que complementan y explican los preceptos del Reglamento.

¿Qué no es un GDPR Hack?

Un GDPR Hack no es, ni pretende ser, una forma de reingeniería jurídica orientada a alterar el criterio del legislador con la finalidad de alcanzar objetivos que, no siendo los propios de la norma analizada, podrían equivaler a una infracción de la misma.

Debe tenerse en cuenta que los actos realizados al amparo del texto de una norma que persigan un resultado prohibido por el ordenamiento jurídico, o contrario a él, se considerarán ejecutados en fraude de ley y no impedirán la debida aplicación de la norma que se hubiere tratado de eludir.

Un GDPR Hack simplemente plantea dos interpretaciones alternativas que ayuden a formar un criterio sobre aspectos complejos, controvertidos o inexplorados de una norma compleja como el GDPR.

Ya que el usuario es el que toma partido a favor de una de las dos alternativas, un GDPR Hack no lleva implícito ningún tipo de asesoramiento ni recomendación por parte de Campus Ribas.

Un GDPR Hack es un ejercicio dialéctico que puede ayudar a la toma de decisiones, pero no puede ser la única base para la interpretación del GDPR, ya que su aplicación en una organización exige asesoramiento profesional especializado.

Vídeo de presentación

Ver vídeo de presentación en YouTube

Enlace a Campus Ribas

http://www.campus-ribas.com

Cinco nuevas circulares de la Fiscalía General del Estado con contenido tecnológico

La Fiscalía General del Estado acaba de publicar las siguientes circulares:

  1. Circular 1/2019 sobre disposiciones comunes y medidas de aseguramiento de las diligencias de investigación tecnológica en la Ley de Enjuiciamiento Criminal.
  2. Circular 2/2019 sobre interceptación de comunicaciones telefónicas y telemáticas.
  3. Circular 3/2019 sobre captación y grabación de comunicaciones orales mediante la utilización de dispositivos electrónicos.
  4. Circular 4/2019 sobre utilización de dispositivos técnicos de captación de la imagen, de seguimiento y de localización.
  5. Circular 5/2019 sobre registro de dispositivos y equipos informáticos.

Acciones a realizar por un DPO con recursos insuficientes

Son muchas las empresas que han nombrado un DPO y no lo han dotado de recursos suficientes para realizar su función. En este artículo analizaremos las acciones que puede realizar el DPO para superar esta situación, agrupándolas en dos apartados: (1) En un mundo ideal, en el que se platean las acciones que un DPO puede desarrollar en un plano teórico y (2) En el mundo real, en el que comentamos las acciones más prácticas que puede realizar un DPO al que no le queda otra opción que adaptarse a un esquema low cost.

EN UN MUNDO IDEAL

Infracción grave

El artículo 38.2 del RGPD, impone al responsable del tratamiento la obligación de facilitar al DPO los recursos necesarios para el desempeño de sus funciones. El incumplimiento de esta obligación es una infracción grave, prevista en el artículo 83.4.a del RGPD.

Es evidente que el DPO no va a denunciar a la empresa que lo ha contratado, pero al menos puede argumentar que la asignación de recursos insuficientes a un DPO es una infracción tan grave como no tener DPO, cuando es exigible su nombramiento. Este argumento se basa en la necesidad de dar coherencia al nombramiento del DPO, dándole recursos para evitar que su función quede sin cumplir. También se basa en el riesgo de que la insuficiencia de recursos quede acreditada en una inspección de la autoridad de control y se imponga la correspondiente sanción.

Posición correcta

Otra acción a realizar en el plano teórico es verificar que la posición del DPO en el organigrama de la empresa es la adecuada. De acuerdo con el artículo 38.3 del RGPD el DPO rendirá cuentas directamente al más alto nivel jerárquico y no recibirá ninguna instrucción en lo que respecta al desempeño de sus funciones. Si el DPO no está en esa posición, su independencia no está garantizada y se producirá una infracción grave del RGPD, al incumplir las obligaciones establecidas en el artículo 38 del RGPD.

En la rendición de cuentas, el DPO puede reiterar la necesidad de contar con más recursos, o de ocupar una posición más cercana al nivel jerárquico más alto, dejando constancia del riesgo de infracción grave del RGPD en ambos casos.

Delegación de autoridad

Otra anomalía consiste en que el DPO no tenga la autoridad suficiente, tanto a nivel jurídico como práctico. Ello se traducirá en una escasa eficacia de las instrucciones dirigidas al negocio, de la actividad de supervisión y de la aplicación del principio de privacidad desde el diseño. Un ejemplo clásico es el de las campañas de marketing que se diseñan, se elaboran sin contar con el DPO hasta la fase final, previa al lanzamiento.

En este caso el DPO debe realizar un esfuerzo adicional para demostrar la utilidad de la labor preventiva, sensibilizando al negocio sobre la necesidad de revisar con suficiente antelación cualquier iniciativa que pueda tener impacto en materia de privacidad. La delegación de autoridad debe contribuir al objetivo de que el negocio tenga un nivel de sensibilización y alerta adecuado sin tener que recurrir a mensajes apocalípticos ni al constante envío de noticias sobre incidentes de seguridad e infracciones en otras empresas. Aunque ello sigue siendo bastante efectivo en la práctica.

Justificación del presupuesto

Siguiendo en el plano teórico e ideal, el presupuesto del DPO se puede justificar fácilmente siguiendo los siguientes pasos:

  1. Elaboración de una lista de tareas a realizar, clasificándolas en función del nivel de criticidad y de la gravedad de las infracciones que pretenden evitar.
  2. Cuantificación de la carga de trabajo del DPO a través de la asignación de un tiempo estimado de dedicación a cada tarea.
  3. Suma del total de horas necesarias para realizar las tareas recurrentes y puntos de verificación.
  4. Cálculo del equipo necesario para realizar las tareas seleccionadas, teniendo en cuenta que cada persona dedica toda su jornada laboral a esta función, es decir, entre 1.700 y 1.800 horas al año.

En la lista de 364 tareas derivadas del RGPD elaborada por nuestro despacho, la suma total del tiempo de dedicación asciende a más de 4.000 horas al año, lo cual sugeriría un equipo ideal de al menos 2 personas a jornada completa para una gran empresa. Estas cifras pueden cambiar en función del sector al que pertenece la empresa (B2B o B2C) y del número de empresas que formen el grupo.

Estos pueden ser los datos a utilizar en el momento de justificar y negociar el presupuesto. Otra cosa es conseguirlo.

Cabe añadir que la externalización total o parcial de las funciones del DPO puede permitir un ahorro importante gracias a la especialización en la materia y al uso de una metodología orientada a la eficiencia operativa.

Comparativa con otros riesgos de incumplimiento

Cabe añadir a la lista de argumentos el hecho de que la normativa de protección de datos ha llegado a un nivel de complejidad, probabilidad e impacto que no tiene nada que envidiar a otras normativas, como la tributaria o la laboral. Si la prevención de los riesgos tributarios, contables, laborales y societarios tienen asignados unos recursos internos y externos proporcionados a su complejidad, probabilidad e impacto potencial, es lógico que el DPO también cuente con recursos similares.

Sensibilización de los directivos que tienen que aprobar el presupuesto

Dado que estamos hablando de cumplimiento normativo, en la tarea de concienciación de los directivos que tienen que aprobar su presupuesto, el DPO puede aprovechar algunos de los 25 argumentos que en su día elaboramos para el Compliance Officer.

EN EL MUNDO REAL

Creación de una estructura de control

Si el DPO no consigue presupuesto para disponer de un equipo propio o externo, deberá recurrir a los recursos internos de la empresa. Ello significa utilizar la estructura de control ya existente, estableciendo una colaboración directa con los responsables de las distintas funciones de control, siempre que ello no afecte a su independencia ni genere conflictos de interés.

Otra opción consiste en que el DPO cree su propia estructura de control. Para ello puede solicitar la colaboración de los responsables internos de cada tratamiento, a los que identificó en el momento de realizar el registro de actividades de tratamiento. Estos responsables deben asumir la ejecución de cada tarea o delegarla a otros miembros de su equipo.

Si el DPO no ha conseguido la suficiente delegación de autoridad, deberá utilizar habilidades de comunicación y persuasión que le permitan conseguir la colaboración de los distintos departamentos en la creación de la estructura de control.

Asignación de tareas periódicas

Una vez creada la estructura interna de control, habrá que distribuir las tareas relacionadas en la lista de tareas recurrentes y puntos de verificación antes comentada. La asignación de estas tareas requerirá la correspondiente formación, que puede impartirse de forma presencial o a través de fichas, manuales o tutoriales en vídeo que puede elaborar el propio DPO. También puede utilizar los elaborados por nuestro despacho.

Seguimiento de la ejecución de las tareas

Al delegar una buena parte de las tareas recurrentes, el DPO podrá destinar más tiempo al seguimiento y a la supervisión de su ejecución. Este trabajo puede hacerse de forma manual o incluso se puede automatizar con aplicaciones genéricas de gestión de proyectos o con aplicaciones especializadas como Compliance 3.0.

Recogida de evidencias

Finalmente, y de acuerdo con el principio de responsabilidad proactiva establecido en el artículo 5.2 del RGPD, el DPO deberá utilizar la estructura de control creada para obtener las pruebas que acrediten la ejecución de las acciones de prevención y control, así como el cumplimiento del RGPD y de la LOPD. La conservación ordenada de estas pruebas puede realizarse a través de un sistema de gestión documental genérico o a través de un repositorio de evidencias especializado y con sellado de tiempo automático, como el de la aplicación Compliance 3.0.

La creación de una cultura de cumplimiento en materia de protección de datos es un objetivo que necesita un tiempo de maduración cuya duración depende mucho del sector al que pertenece la empresa. Mientras se alcanza el nivel de madurez apropiado, el DPO puede argumentar que los recursos destinados al cumplimiento del RGOD y la LOPD no son un gasto únicamente asociado al cumplimiento, sino también una inversión destinada a proteger otros activos intangibles que conviven con los datos personales en los mismos sistemas informáticos: la información confidencial, la información privilegiada, la propiedad intelectual y la propiedad industrial.

 


 

ACTUALIZACIÓN – 09/03/2019

Añado al artículo las aportaciones de Jordi Civit, al que agradezco su colaboración.

Nombramiento voluntario del DPO

En el supuesto que el nombramiento del DPO haya sido voluntario, por no cumplir con las exigencias que establece el Reglamento, cabe recordar que la gravedad del incumplimiento es la misma ya que en el caso de dicha designación voluntaria le atienden las mismas obligaciones al responsable del tratamiento.

Relación de controles asignados a los responsables

Como último recurso, cabría la posibilidad que el DPO defina una relación de controles a llevar a cabo por parte de los Responsables de las diferentes actividades de tratamiento de la organización con objeto de remitir una autoevaluación de controles que deban ser valorados de forma objetiva por su parte. De esta forma se conseguirían dos objetivos, i) el DPO demostraría diligencia en la supervisión y asesoramiento de la organización en cuanto el cumplimiento normativo y; ii) el Responsable del tratamiento sería consciente de las obligaciones que le atienden así como de las acciones que debería llevar a cabo (son los controles) para alinearse con la regulación.

Reputación empresarial

Adicionalmente, y como activo intangible más importante a proteger por parte de las organizaciones estaría la REPUTACIÓN EMPRESARIAL.
¿Se ha parado su organización a reflexionar sobre la dificultad de conseguir la fidelidad de sus consumidores? La confianza es una labor que se trabaja día a día, y que cuesta mucho alcanzar pero cuesta muy poco perder.

Jornadas de sensibilización

En aquellas organizaciones donde sea difícil evidenciar el valor de la función del DPO, es recomendable que se realicen jornadas de sensibilización con la Dirección o las diferentes áreas que componen la organización.
El hecho de realizar una jornada específica puede dificultar la captación de la atención, es por ello que es recomendable participar como un ponente más en jornadas de reuniones departamentales o ejecutivas que puedan realizarse. En dicho foro, es el momento de exponer los objetivos de la organización en materia de Privacidad, las obligaciones que nos atienden por nuestra práctica sistemática así como los riesgos a los que estamos sujetos.
A la hora de mostrar la debida diligencia, por parte del DPO, es importante mantener un registro de los asistentes y la duración de dichas jornadas.
Como se comentaba anteriormente, es importante una adecuada gestión de la comunicación con las Direcciones de las diferentes áreas de negocio con objeto de que vean con buenos ojos la participación en dichas reuniones, así como evidenciar el beneficio que les pueda suponer a ellos como responsables de las actividades de tratamiento de la organización.

Publicar Infografía o resúmenes periódicos

La gestión de la comunicación es un factor fundamental para ir creando las estructuras de control necesarias en las organizaciones. Una acción bastante sencilla y que puede tener una gran repercusión es la creación de breves resúmenes con aspectos más relevantes a tener en cuenta en la operación habitual de la organización. Incluso, se podrían desarrollar una relación de DO’s & DONT’s a llevar a cabo por cada una de las áreas de negocio en base al nivel de aplicación del reglamento en sus tratamientos de datos. Si se dispone de un portal interno, o repositorio común de información, es importante que se publique y se encuentre dicha información disponible para consulta de todos los colaboradores.

Lista de los mejores autores del año de Thomson Reuters

Thomson Reuters ha publicado la lista de los mejores autores del año, entre los cuales ha incluido mi nombre.

https://www.thomsonreuters.es/es/tienda/colecciones/compendio-mejores-autores.html?utm_campaign=ES-10429-Compendio-Autores.html&utm_medium=email&utm_source=Eloqua

Las obras a las que asocia mi nombre son el resultado de un intenso trabajo del despacho, especialmente en el caso del Practicum de Compliance, en el que también han intervenido autores externos de gran nivel. A todos ellos agradezco mucho su contribución.

Las obras reseñadas son las siguientes:

Curso Online Experto Data Protection Officer (DPO)

Curso Experto Compliance Officer 2ª Edición

Practicum de Compliance 2018

A ellas hay que añadir el nuevo curso sobre la LOPD de 2018.

Muchas gracias a todos los que habéis participado activamente en estos cuatro proyectos, como autores, colaboradores, alumnos o lectores.