Atrapados entre las reclamaciones de los interesados y las limitaciones de responsabilidad de los encargados del tratamiento

Si hacemos un análisis de las brechas de seguridad que se han conocido desde el 25 de mayo veremos que un gran número de ellas han tenido su origen en el proveedor que trataba los datos.

En el momento de distribuir las responsabilidades veremos que el incumplimiento de las obligaciones del proveedor encargado del tratamiento puede afectar al responsable del tratamiento que ha contratado sus servicios. 

El responsable del tratamiento tiene la obligación de contratar proveedores que ofrezcan garantía suficientes (culpa in eligendo) y controlar su actividad, llegando a auditarlos en el caso de los proveedores críticos (culpa in vigilando)

En la siguiente tabla se puede ver cómo podrían distribuirse las responsabilidades entre el responsable y el encargado del tratamiento en cada uno de los escenarios en los que puede incurrir un proveedor.

Esta tabla no contempla las posibles acciones penales derivadas de un eventual delito contra la intimidad en el caso de violación de la confidencialidad o de un delito de daños en el caso de violación de la integridad.

 

En la práctica, la empresa responsable del tratamiento será la que tendrá que hacer frente a las reclamaciones de los interesados, por ser la que tiene legitimación pasiva en virtud del contrato suscrito con ellos.

Salvo en el caso de las excepciones contempladas en la tabla anterior, el interesado no tiene acción directa contra el encargado del tratamiento, por lo que si quiere reclamar los daños y perjuicios sufridos tendrá que demandar al responsable del tratamiento, que es el que tiene una relación contractual con el interesado. 

El problema surge cuando el responsable del tratamiento quiere repercutir al encargado del tratamiento las sanciones de la AEPD y las indemnizaciones pagadas a los interesados, ya que puede encontrar limitaciones de responsabilidad en el contrato o limitaciones de cobertura en la póliza de seguros del proveedor.

La empresa responsable del tratamiento puede verse entonces atrapada entre las reclamaciones de los perjudicados y las limitaciones de responsabilidad del proveedor que ha incumplido el RGPD y ha causado el perjuicio a los interesados. 

La primera barrera, es decir, la limitación de responsabilidad por vía contractual puede ser de tres tipos:

  1. Cuantitativa: establecida en una cantidad determinada o en el resultado de multiplicar el coste del servicio por una cifra.
  2. Cualitativa: basada en la exclusión de unos supuestos determinados de responsabilidad.
  3. Indirecta: derivada del incumplimiento de otros requisitos o provocada de facto por la insolvencia del proveedor.

En el caso de que no existan limitaciones contractuales, o éstas sean anuladas tras una negociación con el proveedor o por vía judicial, aparece la segunda barrera, consistente en las limitaciones de la póliza de seguros de responsabilidad civil o en la de ciberriesgo. La limitación de responsabilidad en este caso también puede ser tres tipos:

  1. Cualitativa: supuestos excluidos de la cobertura.
  2. Cuantitativa individual: límite por siniestro.
  3. Cuantitativa anual: límite por la suma anual de siniestros.

Un ejemplo de supuesto excluido de la cobertura del seguro de responsabilidad civil son las sanciones de la AEPD, que acostumbran a formar parte de la cobertura del seguro de ciberriesgo.

La tercera barrera sería la solvencia económica del proveedor.

El análisis de la existencia y la dimensión de las tres barreras que pueden impedir la repercusión al proveedor de las sanciones impuestas por la AEPD y de las cantidades pagadas a los interesados en concepto de indemnización por daños y perjuicios, debe hacerse en la fase de selección y homologación de proveedores, es decir, en la fase previa a la contratación.

Si la empresa no hace sus deberes en esa fase previa, tendrá que hacerlos en un momento en que puede ser demasiado tarde:

  1. Durante la fase de negociación del contrato con el proveedor seleccionado.
  2. Durante la vigencia del contrato, tras una auditoría contractual, o de seguros, que evidencia la existencia de limitaciones a la responsabilidad.
  3. Tras la brecha de seguridad o el incidente o imcumplimiento que ha causado el perjuicio, negociando una distribución adecuada de responsabilidades en función del nivel de implicación en las causas del incidente o por vía judicial.

Una vez constatado el papel de los proveedores en las brechas de seguridad y en las infracciones del RGPD que se han producido hasta el momento, las empresas responsables del tratamiento deberán revisar su metodología de selección, homologación, contratación y control continuado de los proveedores que traten datos personales, con el fin de introducir medidas que permitan una distribución adecuada de las responsabilidades. 

Estas medidas deberán incluir una revisión del contrato, de la cobertura del seguro y de la solvencia del proveedor, con el fin de identificar, gestionar y tener en cuenta, en el proceso de toma de decisiones a aplicar en la fase de selección, las limitaciones que puedan existir a la responsabilidad del proveedor.

 

Invitación a la jornada “RGPD: ¿Qué ha pasado en las empresas desde su obligada aplicación?

El próximo 27 de septiembre tendrá lugar la jornada “RGPD: ¿Qué ha pasado en las empresas desde su obligada aplicación?, en la que participaré con la ponencia “Impacto y valoración de la aplicación del RGPD”.

En ella trataré los siguientes puntos:

  1. Buenas prácticas y errores identificados en los últimos cuatro meses.
  2. Cuál será su coste para las empresas españolas.
  3. Brechas de seguridad que se han conocido desde el 25 de mayo, cómo se han gestionado y cómo podían haberse evitado.

Acceso a la invitación

Nuevo curso RGPD básico en vídeo para empresas de más de 250 usuarios

La semana pasada finalizamos el curso RGPD básico en vídeo, que ya está plenamente disponible en nuestro campus online.

El curso va dirigido a empresas con más de 250 usuarios, ya que contempla escenarios propios de una estructura organizativa y orgánica de empresa mediana o grande. Se recomienda que el curso se imparta a los usuarios que tienen acceso o que tratan datos personales en la empresa.

El objetivo es formar y concienciar a los usuarios en materia de protección de datos, información confidencial y ciberseguridad, con escenarios cotidianos en los que se espera una actuación determinada.

El curso está formado por 18 vídeos de una media de 6 minutos cada uno y un total de 1 hora y cuarenta y cinco minutos si se seleccionan los 18 vídeos.

El cliente puede seleccionar los vídeos que quiere que los usuarios visualicen y los que quiere ocultar, de manera que el contenido y la duración total del curso se adapte al sector, a la empresa o al perfil del usuario (por grupos o categorías).

Cada vídeo tiene su propio test de evaluación, por lo que la secuencia natural es ver el vídeo y después contestar el test. Los tests de evaluación tienen una media de tres preguntas que son clave para la concienciación del usuario.

También hay 5 casos prácticos autoevaluables.

La duración total del curso, sumando los vídeos, los tests y los casos prácticos permite cumplir los requisitos establecidos por Fundae.

El certificado de finalización del curso se suministra en formato PDF, con fima electrónica y sellado de tiempo, con el fin de que la empresa disponga de una prueba del esfuerzo formativo realizado.

Los clientes de nuestro despacho pueden solicitar un acceso temporal al campus a xavier.ribas@ribastic.com con el fin de que puedan valorar el contenido y el formato del curso.

Aspectos destacados del nuevo RDL de medidas urgentes para la adaptación del Derecho español al RGPD

Estos son los aspectos más destacados del nuevo RDL de medidas urgentes para la adaptación del Derecho español al RGPD, publicado hoy en el BOE:

Resumen general

Inspección en materia de protección de datos

Régimen sancionador en materia de protección de datos

Régimen transitorio de los contratos de encargado del tratamiento

Texto completo del RDL

Régimen transitorio de los contratos de encargado del tratamiento

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la LOPD mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos.

En el caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. 

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del RGPD. 

Ver otros temas destacados de este RDL

Régimen sancionador en materia de protección de datos

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece el siguiente régimen sancionador en materia de protección de datos.

Sujetos responsables

Están sujetos al régimen sancionador establecido en el RGPD y la normativa española de protección de datos las siguientes personas físicas o jurídicas: 

  1. Los responsables de los tratamientos.
  2. Los encargados de los tratamientos.
  3. Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  4. Las entidades de certificación.
  5. Las entidades acreditadas de supervisión de los códigos de conducta. 

No será de aplicación al delegado de protección de datos el régimen sancionador en esta materia. 

Prescripción de las infracciones

  1. Las infracciones con multas de hasta 20 millones prescribirán a los tres años.
  2. Las infracciones con multas de hasta 10 millones prescribirán a los dos años.
  3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador.
  4. Se reiniciará el plazo de prescripción si el expediente sancionador estuviese paralizado durante más de seis meses por causas no imputables al presunto infractor.

Los procedimientos ya iniciados a la entrada en vigor de este real decreto-ley se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado. 

Los detalles del procedimiento se regulan en el el artículo 7 y siguientes del RDL.

Ver otros temas destacados de este RDL

Inspección en materia de protección de datos

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece el siguiente régimen en materia de inspección.

Personal competente para el ejercicio de la actividad de investigación de la AEPD

  1. La actividad de investigación se llevará a cabo por los funcionarios de la AEPD.
  2. También podrán llevarla a cabo funcionarios ajenos a la AEPD habilitados expresamente por su Director.
  3. Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones.
  4. Estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él. 

Alcance de la actividad de investigación de la AEPD

Los funcionarios que desarrollen la actividad de investigación podrán:

  1. Recabar las informaciones precisas para el cumplimiento de sus funciones.
  2. Realizar inspecciones.
  3. Requerir la exhibición o el envío de los documentos y datos necesarios.
  4. Examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos.
  5. Obtener copia de ellos.
  6. Inspeccionar los equipos físicos y lógicos
  7. Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación. 

Los poderes de investigación en lo que se refiere a la entrada en domicilios deben ejercerse de conformidad con las normas procesales, en particular, en los casos en los que sea precisa la autorización judicial previa. 

Ver otros temas destacados de este RDL

Jornada RGPD y RRHH – Los tres grandes riesgos del tratamiento de los datos de los trabajadores

El próximo viernes participaré en esta jornada sobre RRHH y RGPD organizada por la Asociación Catalana de Dirección de Recursos Humanos, en la que hablaremos de los datos que una empresa trata durante el ciclo de vida de la relación laboral y los tres grandes riesgos que ello genera:

  1. Tratar datos sin informar al trabajador.
  2. Aplicar los datos a finalidades distintas de las informadas.
  3. No identificar a las más de 80 categorías de proveedores con acceso a los datos.

Todo ello desde la óptica del Reglamento General de Protección de Datos.

Más información e inscripciones:

https://www.aedipecatalunya.com/es/els-tres-grans-riscos-del-tractament-de-les-dades-dels-treballadors-per-rh-23022018/

 

La seguridad es el 20% de un proyecto RGPD

La gran demanda de servicios de adecuación al RGPD (GDPR por sus siglas en inglés) experimentada este año en la Unión Europea está teniendo una respuesta absolutamente heterogénea por parte de las empresas consultoras y los despachos de abogados.  Mientras las primeras dan más importancia a la seguridad en el alcance de la propuesta, los segundos dan mayor protagonismo a las obligaciones de contenido jurídico.

Es absolutamente normal y legítimo que cada uno defienda el alcance que considera más adecuado para satisfacer una necesidad de cumplimiento normativo que comporta importantes sanciones, especialmente en relación a una norma que el cliente medio no conoce a fondo debido a la situación de hiperregulación existente en la actualidad en la Europa continental.

Todos estamos de acuerdo en que los proyectos RGPD deben tener un enfoque multidisciplinar que incluya e integre los conocimientos jurídicos y los conocimientos tecnológicos, estructurados habitualmente en medidas organizativas, jurídicas y de seguridad. En lo que no hay un criterio uniforme es en la proporción de cada área.

Por ello, en el mercado actual podemos encontrar multiples combinaciones que configuran diversas modalidades de enfoque que escoran hacia una u otra disciplina en función de quién lidere el proyecto.

Siguiendo la regla del 80-20, es habitual que los proyectos impulsados por consultoras de seguridad dediquen un 80% a la seguridad y un 20% a las cuestiones jurídicas. Y también es habitual que los proyectos impulsados por despachos de abogados dediquen un 80% a las cuestiones jurídicas y un 20% a la seguridad. Estos porcentajes variarán en función de los acuerdos de colaboración externa o de organización interna, y del peso que cada disciplina tenga en esos acuerdos, llegando, en algunos casos, a la proporción aparentemente ideal del 50-50.

Los argumentos comerciales han coincidido en resaltar la cuantía de las sanciones en ambas disiciplinas, aunque en materia de seguridad el argumento principal se ha centrado en el impacto reputacional de tener que comunicar una brecha de seguridad o una fuga de datos.

En cuanto a los entregables, las consultoras acostumbran a dividir las fases de análisis de gap, disgnóstico, plan de acción e implantación, con una clara separación de esta última fase, que es opcional, de las anteriores fases. Los despachos de abogados se centran más en la adaptación, por lo que aunque las fases coincidan, los entregables incluyen más políticas, normas, procedimientos y aspectos organizativos relacionados con los principios del RGPD.

Para realizar un análisis objetivo del peso real de cada disciplina en un proyecto RGPD habría que valorar los siguientes elementos:

  1. Número de obligaciones del RGPD que guardan relación con cada una de las dos disciplinas.
  2. Número de infracciones del RGPD que guardan relación con cada una de las dos disciplinas
  3. Probabilidad de que se produzca una infracción de las obligaciones jurídicas y de las obligaciones de seguridad.
  4. Probabilidad de que una infracción del RGPD llegue a ser conocida, denunciada y sancionada.
  5. Cuantía de las sanciones impuestas en el RGPD a las infracciones relacionadas con obligaciones jurídicas y de seguridad.
  6. Carga de trabajo que supone el análisis del riesgo y la actividad preventiva en relación a los riesgos jurídicos y de seguridad del RGPD.
  7. La certeza de que no todos los incidentes de seguridad que se produzcan constituirán una violación de datos que tenga que ser notificada o comunicada.

Una primera aproximación a estos seis elementos de valoración nos da los resultados que aparecen reseñados en los artículos enlazados en la lista anterior.

CONCLUSIONES

Tras analizar los datos objetivos que ofrece el RGPD y las estadísticas analizadas, se puede llegar a las siguientes conclusiones:

  1. Los proyectos RGPD deben dar prioridad a las medidas destinadas a prevenir las infracciones graves y muy graves.
  2. La mayor parte de estas medidas son jurídicas.
  3. Las obligaciones de contenido jurídico constituyen el 84% de las obligaciones establecidas en el RGPD.
  4. Las medidas de seguridad constituyen el 6% de las obligaciones establecidas en el RGPD.
  5. Las infracciones relativas a las medidas de contenido jurídico pueden tener una sanción máxima de 20 millones.
  6. Las infracciones relativas a las medidas de seguridad pueden tener una infracción máxima de 10 millones.
  7. El 99% infracciones más sancionadas en España en 2016 estaban relacionadas con obligaciones jurídicas.
  8. El 1% de las infracciones más sancionadas en España en 2016 estaban relacionadas con medidas de seguridad.
  9. La obligación de comunicar las violaciones de datos pude producir un incremento en la comunicación de las violaciones de la confidencialidad de los datos que tengan sus efectos fuera del perímetro de la empresa, pero es muy probable que las violaciones de la integridad y la disponibilidad de los datos que sólo tengan efectos en el interior de la empresa, sigan sin ser comunicadas.

Las dos disciplinas, la jurídica y la relativa a la seguridad son absolutamente complementarias y deben trabajar juntas en los proyectos RGPD, pero el miedo a tener que comunicar una violación de datos no puede hacer perder la atención en el objetivo principal del proyecto, que es prevenir las infracciones que realmente tengan más probabilidad y más impacto económico en función de las estadísticas analizadas, las tendencias previsibles, las obligaciones establecidas en el RGPD y la cuantía de las sanciones.

Carga de trabajo que supone el análisis del riesgo y la actividad preventiva en relación a los riesgos jurídicos y de seguridad del RGPD

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

La parte jurídica de un proyecto RGPD está sujeta a la interpretación constante de la empresa que se adapta, de sus asesores, de las autoridades de control y de las autoridades judiciales.

La parte de seguridad contiene una obligación de resultado consistente en que no tiene que producirse ninguna violación de datos.

Tanto en las obligaciones jurídicas como en las relativas a la seguridad de los datos personales, intervienen factores y variables que van mucho más allá de la carga de trabajo que suponga el proyecto.

Ello hace que, aunque un proyecto mayor en duración y recursos debería, aparentemente, ser más eficaz en la prevención de infracciones que uno pequeño, en la práctica no tiene por qué ser así. Puede darse perfectamente el caso de que un gran proyecto no consiga impedir que se produzcan infracciones y uno pequeño sí. Ocurre lo mismo que en las campañas de publicidad, que no permiten saber dónde se está tirando el dinero.

Entre los factores que pueden contribuir a que haya o no infracciones, independientemente del esfuerzo realizado y los recursos invertidos en un proyecto RGPD, destacan los siguientes:

  1. La metodología aplicada
  2. La experiencia de las personas que lideran el proyecto
  3. El conocimiento de las medidas más eficaces
  4. La priorización de los datos más sensibles
  5. La priorización de las obligaciones con mayor sanción
  6. La concentración del esfuerzo en los riesgos con mayor probabilidad e impacto
  7. La cultura de cumplimiento de la empresa
  8. La voluntad de cumplimiento del negocio
  9. El apetito de riesgo
  10. Los objetivos económicos del negocio
  11. La presión comercial y en materia de marketing
  12. El sector al que pertenece la empresa
  13. La tipología de los datos
  14. La tipología de los interesados
  15. El valor de los datos en el mercado
  16. El nivel de interés de eventuales atacantes en los datos
  17. El factor humano
  18. La suerte

Debe tenerse en cuenta que un proyecto de RGPD no parte de cero, ya que acumula el trabajo realizado y la experiencia adquirida en 25 años de protección de datos en España. Por ello debe evitarse caer en los mismos errores que se cometieron en los primeros años.

Por ejemplo, en materia de análisis de tratamientos, una metodología que siga descubriendo tratamientos tres meses después del inicio del proyecto no puede ser una buena metodología, ya que demuestra una gestión caótica y sin autoridad del modelo de datos. Pasaba lo mismo en los años 90 con los ficheros.

El análisis y registro de los tratamientos no puede quedar permanentemente dependiendo de las múltiples iniciativas que tenga cada departamento (metodología pull) sino que debe establecer un modelo de datos que vaya acompañado de procedimientos que garanticen la privacidad desde el diseño y por defecto (metodología push), de manera que, una vez implantado el modelo de datos, cualquier modificación del mismo deba iniciar este procedimiento, con la correspondiente evaluación de impacto, si es necesario.

Este simple cambio de una metodología pull a una metodología push puede ahorrar muchas horas de proyecto y prevenir los riesgos de nuevos tratamientos sin consentimiento o de nuevas finalidades no informadas con una mayor eficacia.

En materia de seguridad ocurre algo parecido.

Por todo ello es muy difícil compararar la carga de trabajo de las dos disciplinas en términos meramente cuantitativos.

Acceso a las conclusiones del análisis