Las operadoras cobrarán medio millón de euros por ceder los datos al INE

operadores cobraran medio millon

Hace escasas semanas, se ha hecho público que el Instituto Nacional de Estadística (INE) va a elaborar un estudio acerca de la movilidad de los españoles en determinados momentos del año.

No obstante, el procedimiento a través del cual se van a recabar los datos ha despertado algunas suspicacias entre los consumidores.

Concretamente, se va a contar con la ayuda de las operadoras telefónicas, las cuales cobrarán un total 498.615,86 euros, por ceder información anonimizada proveniente de sus usuarios.

¿Es legal la utilización de datos móviles para la elaboración de las estadísticas del INE?

Poco después de que el proyecto se hiciera público, muchos consumidores expresaron su desconcierto en las redes sociales.

Ciertamente, quizá habría sido deseable que el INE hubiese informado previamente de una manera más detallada, con el fin de evitar el recelo de los usuarios.

No obstante, y a pesar del revuelo original generado, todo parece indicar que el procedimiento llevado a cabo por el INE cumple con la normativa vigente.

Así lo expresaron las asociaciones de consumidores, quienes recomendaron adoptar una actitud prudente, a la espera de contar con más detalles.

Por otro lado, la Agencia Española de Protección de Datos (AEPD) procedió a solicitar más información al INE, acerca de los protocolos utilizados para la obtención de los datos de telefonía móvil.

Sea como fuere, lo primero que hay que señalar es que el INE no va a tener acceso a datos individuales o personalizados acerca de números de teléfonos o los titulares de las líneas.
En su lugar, sólo va a disponer de un conjunto de tablas agregadas de datos anónimos, proporcionados por las operadoras telefónicas.

Es decir, se está garantizando la privacidad de los usuarios; y los datos suministrados han sido previamente anonimizados, por lo que no son objeto de especial protección por parte la normativa.

Por otro lado, la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD), en su artículo 25, establece que: “El tratamiento de datos personales llevado a cabo por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la función estadística pública se someterá a lo dispuesto en su legislación específica, así como en el Reglamento (UE) 2016/679 y en la presente ley orgánica.”
Dicho esto, y según la Ley de la Función Estadística Pública (LFEP), la autoridad competente para la función estadística es el INE.

Además, la normativa permite que los datos anonimizados sean libremente comercializados, sin que sea necesario obtener el consentimiento de los usuarios.

¿Cómo se va a obtener y tratar el big data?

Los detalles de las condiciones de contratación con las operadoras telefónicas pueden encontrarse en la base de datos de licitación del INE, con el título: “Servicio de elaboración de información agregada y anonimizada sobre movilidad de la población a partir de datos de posicionamiento de teléfonos móviles contenidos en la base de datos”.

Este organismo ha optado por recabar datos de las tres principales operadoras telefónicas del país que, además, disponen de sus propias unidades de big data, dotadas con inteligencia artificial.

La de Telefónica se denomina Luca; la de Vodafone se llama Vodafone Analytics, y la de Orange, Flux Vision.

Para llevar a cabo el estudio, el INE ha dividido el territorio nacional en 3.500 celdas con un mínimo de 5.000 personas.

Así mismo, se llevará a cabo un rastreo de cuántos dispositivos móviles hay conectados a la misma antena de radiotelefonía, en determinadas franjas horarias, y durante los siguientes días:

  • Días laborables 18, 19, 20 y 21 de noviembre.
  • Domingo 24 de noviembre.
  • Día festivo 25 de diciembre.
  • 20 de julio.
  • Y 15 de agosto.

Cabe señalar que los datos de localización proporcionados por las operadoras están limitados a cada celda, por lo que el INE no tendrá acceso al posicionamiento exacto de los teléfonos móviles. 

En su lugar, este organismo sólo podrá saber cuántos terminales hay en cada celda, a lo largo de un horario predeterminado. 

  • En primer lugar, se determinará el lugar de residencia a partir del recuento de los dispositivos móviles presentes en cada celda entre las doce de la noche y las seis de la mañana.
  • Acto seguido, se analizará la ubicación entre las nueve de la mañana y las seis de la tarde, para determinar el destino habitual. Para ello, será necesario que el móvil permanezca en una misma zona, durante un mínimo de cuatro horas, en dos de los cuatro días de noviembre.

Propósito del estudio del INE

El propósito es recabar información acerca de la movilidad de los españoles en los días laborables, los domingos, el verano y el día de navidad.

Las conclusiones deberían servir para optimizar la gestión de los servicios públicos de transporte.

Es decir, al conocer los hábitos de desplazamiento cotidiano de los españoles, se podrá detectar qué servicios públicos tienen una mayor demanda, y cuáles pueden estar siendo infrautilizados.

Un buen ejemplo de utilización de big data

Dejando a un lado el hecho de que el INE quizá debería haber sido más transparente en su forma de proceder, lo cierto es que este este proyecto refleja los beneficios del uso eficaz del big data.

Anteriormente, un estudio de esta características habría requerido llevar a cabo llevar a cabo millones de entrevistas personales a los usuarios de transportes públicos. 

Esto no sólo habría supuesto un cuantioso coste económico, también habría implicado un periodo de ejecución de años, y ni siquiera sería totalmente fiel a la realidad, debido al sesgo propio de cualquier encuesta.

En su lugar, el INE va a contar con los datos de 43 millones de dispositivos móviles, que representan el 80% del total de los que están operativos en España. 

Además, tiene previsto que la publicación del estudio tenga lugar antes de mediados de 2020, por lo que se podrá adoptar medidas en un plazo mucho más corto de tiempo.

RGPD y Protección de datos para clubes deportivos

Todos los clubes deportivos están obligados a cumplir con la nueva normativa de protección de datos, establecida por el RGPD (Reglamento General de Protección de Datos) y la LOPDGDD (Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales).

En esta guía, vamos a indicarte cómo puedes garantizar dicho cumplimiento, y evitar así las posibles sanciones derivadas de su infracción.

Protección de datos para tu club deportivo

El nuevo RGPD ha endurecido las condiciones para recabar y procesar datos de carácter personal.

El objetivo es proteger a las personas titulares de esos datos, y garantizar que los mismos son utilizados de una forma legítima.

La actividad de un club deportivo implica la recogida y tratamiento de gran cantidad de datos de esta naturaleza, por lo de que, si aún no lo habéis hecho, vuestra organización debe adoptar inmediatamente las medidas contenidas en el siguiente apartado. 

Cumplimiento del RGPD en clubes deportivos

Para garantizar que tu entidad deportiva cumple con la normativa de protección de datos, se han de poner en práctica una serie de medidas, que procedemos a explicar.

Conviene tener en cuenta que estas medidas deberían articulares, tanto en la interacción personal con los usuarios interesados, como en la página web de vuestra organización.

Lectura recomendada:

Cómo adaptar mi web al RGPD

Solicitud del consentimiento para el tratamiento de los datos

En primer lugar, todos los datos de carácter personal deben ser recabados con el previo consentimiento libre, específico, informado e inequívoco por parte de su titular.

En la práctica, esto implica que cualquier formulario o ficha de inscripción utilizados en el club deportivo deben incluir:

  • La correspondiente cláusula informativa, en la que se detalle el uso y la finalidad que se va a dar a los datos personales recogidos.
  • Una casilla de verificación o mecanismo correspondiente, con la que el titular de los datos pueda confirmar expresamente haber leído y aceptado las condiciones.

Gracias a Asentify, y el uso de la tecnología blockchain, puedes garantizar que el consentimiento y la administración de derechos de los titulares tiene lugar con el máximo rigor. Además, dispones de una trazabilidad permanente y completa de los datos, por lo que su utilización por parte de proveedores externos siempre estará bajo control.

Cláusulas informativas sobre el tratamiento de los datos

El derecho a la información por parte de los titulares de los datos exige que tu club deportivo proporcione una cláusula informativa, detallando un conjunto de datos de forma concisa, transparente e inteligible, que exponga:

  • Los datos identificativos del representante del club deportivo o federación que sea responsable del tratamiento de los datos.
  • La forma de contacto, mediante dirección postal y correo electrónico del responsable del tratamiento.
  • La finalidad del uso de los datos.
  • La legitimación del tratamiento de los datos, articulada habitualmente, en forma de consentimiento por parte de su titular.
  • La voluntad o posibilidad de cesión a terceros.
  • Los derechos que los titulares de los datos pueden ejercer.
  • El plazo de conservación de los datos.
  • La posibilidad de formular reclamación antes la AEPD (Agencia Española de Protección de Datos).
  • La utilización de decisiones automatizadas, incluyendo elaboración de perfiles, información sobre la lógica aplicada, así como la importancia y consecuencias previstas de dicho tratamiento para el interesado.

Además, en el momento de cese de la actividad para la cual se creo el club deportivo, o en el momento en que finaliza el objeto de tratamiento para el que los datos fueron recogidos, se debe proceder a la eliminación de los mismos.

Por ejemplo, la desaparición de un club de fútbol o de una competición deportiva puede suponer el borrado de los datos personales, recogidos originalmente para su funcionamiento.

Información sobre el ejercicio de derecho

Especialmente importante es que todos los usuarios de tu club deportivo, cuyos datos personales sean recabados, sean informados de cuáles son sus derechos y cómo pueden ejercerlos.

Es decir, el acceso, rectificación, supresión, oposición, limitación del tratamiento, oposición a decisiones individuales automatizadas y portabilidad de los datos.

Puedes leer más al respecto en nuestro artículo: Qué son los derechos ARCO

Registro de las actividades de tratamiento de datos que se van a realizar

Tu club deportivo también debe contar con un Registro permanentemente de actividades de tratamiento, el cual incluya:

  • La clase de datos almacenados.
  • El uso que se hace de los datos y la forma en la que este tiene lugar.
  • Las personas a las que los datos se refieren.
  • La política de almacenamiento.
  • Las cesiones y transferencias internacionales de los datos.

En el caso de un club deportivo, cabe señalar a modo de ejemplo, el tratamiento de los datos correspondientes a:

  • Socios o deportistas inscritos.
  • Proveedores, empleados y curriculums.
  • Contabilidad.
  • Archivos de videovigilancia.

Hay que destacar que cada actividad debe ser registrada en su propio fichero. Es decir, los datos de los jugadores del equipo, los socios, los proveedores y el resto de titulares se distribuirán en ficheros separados.

Nombramiento e identificación del responsable de protección de datos

Los clubes deportivos, ya se trate de empresas privadas o entes públicos, deben nombrar a una persona que se hará responsable de la protección de los datos personales atesorados por la organización, y que deberá velar por el cumplimiento de la normativa.

Los responsables del tratamiento pueden ser miembros de la junta directiva del propio club, o bien un representante autorizado para ello.

Confección de un documento de seguridad

El RGPD establece que el responsable del tratamiento de los datos debe aplicar medidas de seguridad apropiadas para el riesgo al que se exponen los datos. El primer paso para ello es la elaboración de un documento de seguridad, que recoja:

  • El procedimiento de recopilación de los datos.
  • La finalidad para la que se van a usar los datos.
  • El lugar de almacenamiento de los datos.
  • Las personas autorizadas para acceder a los datos.
  • El procedimiento por el que los usuarios y socios pueden ejercer sus derechos.
  • Las medidas técnicas y organizativas adecuadas al riesgo, para asegurar la protección de los datos.

Elaboración del análisis de riesgos

Para determinar y justificar las medidas de seguridad apropiadas, se debe realizar un análisis de riesgos en la conservación y tratamiento de los datos. Con ese propósito, se han de sopesar los siguientes aspectos:

  • Tipo y naturaleza de los datos.
  • Sistemas de tratamiento.
  • Cesiones y transferencias internacionales de los datos.
  • Número de titulares de los datos.

Firma de contratos con los encargados del tratamiento

Cualquier entidad tercera que vaya a acceder a los datos personales atesorados por tu club deportivo debe firmar previamente un contrato en el que garantice, a su vez, el cumplimiento de la normativa de protección de datos.

Es posible que tu club deportivo se valga de otras empresas para las labores de mantenimiento y limpieza, seguridad, gestoría contable, etc. Estos proveedores deben firmar el correspondiente contrato.

Modelo de protección de datos para club deportivo

Las exigencias recogidas en la normativa de protección de datos implican la necesidad de utilizar diferente documentación informativa. Esto incluye:

  • Cláusulas en la página web, con los avisos legales, la política de privacidad y la advertencia de uso de cookies.
  • Consentimientos específicos otorgados por los socios, clientes, empleados, candidatos, así como los consentimientos para la toma de fotografías (algo muy habitual en las actividades deportivas).
  • Carteles y documentación informativa acerca de la actividad de videovigilancia.
  • Contratos con terceros.
  • Comunicaciones mediante correo postal, correo electrónico, facturación, etc.

Para la redacción de esta documentación, te recomendamos contar con asesoramiento jurídico o valerte de modelos de protección de datos, adecuadamente validados.

Una vez hayas puesto en práctica estas instrucciones, te recomendamos verificar si estás aplicando bien el RGPD en tu empresa.

Ciberseguridad: Actual riesgo nº 1 para las empresas

ciberseguridad

De acuerdo con el reciente informe “Risk in Focus 2020. Hot topics for internal auditors”, publicado por la European Confederation of Institutes of Internal Auditing (ECIIA), la ciberseguridad y la seguridad de los datos es el riesgo que más preocupa a los directivos de las empresas.

De hecho, un 78% de los directivos encuestados la considera uno de sus cinco mayores riesgos.

Múltiples amenazas para la ciberseguridad

Durante los últimos años, la sucesión de noticias acerca de las brechas de seguridad sufridas por centenares de empresas a lo largo del mundo ha contribuido a dar exposición a uno de los mayores retos del sector.

En el caso de España, Accenture estima que nuestras empresas están expuestas a un riesgo equivalente a 88.000 millones de euros, en el periodo 2019-2023.

La seguridad de los sistemas y bases de datos de las empresas está constantemente expuesta a amenazas de todo tipo. Sin embargo, y aunque el cibercrimen es el que suele llenar las portadas, existen otros peligros que también deben ser considerados y neutralizados.

Amenazas internas

Por sorprendente que parezca, la actividad de los empleados supone una amenaza constante para la ciberseguridad.

  • En algunos casos, su comportamiento negligente provoca situaciones de vulnerabilidad, que los criminales utilizan para acceder al sistema.
  • En otras ocasiones, es el propio empleado quien realiza voluntariamente una actividad perjudicial para la empresa.

Por regla general, estas situaciones podrían prevenirse con las soluciones especializadas en gestión de accesos e identidades. Es decir, con un mayor control y un uso racional de las credenciales de acceso a las diferentes aplicaciones y bases de datos utilizadas por el negocio.

Cibercrimen

Por su parte, el cibercrimen tiene múltiples caras y motivaciones.

Lejos de la imagen del “hacker como lobo solitario” que el público tiene de esta actividad delictiva, la realidad es que el cibercrimen ha adquirido un elevado nivel de sofisticación y organización:

  • Las organizaciones criminales funcionan como auténticos negocios, cuyo producto es la información sustraída de las empresas y organizaciones en las que fijan sus objetivos.
  • Los países también actúan como fuente de financiación de ataques informáticos contra objetivos de carácter estratégico en naciones enemigas.
  • Por último, también existen organizaciones de ciberactivistas, que actúan movidas por criterios ideológicos o políticos.

Sea como fuere, las empresas y los organismos públicos son los principales objetivos de estas actividades criminales.

Desastres naturales

Aunque España no es un país caracterizado por los desastres naturales, muchas de nuestras empresas sí actúan en rincones del mundo donde este tipo de fenómenos pueden provocar graves daños a la infraestructura digital de sus instalaciones.

Coste económico de los incidentes de IT

Durante mucho tiempo, la inversión en ciberseguridad había sido concebida como un coste propio de la actividad del negocio. 

Sin embargo, la práctica ha demostrado que el verdadero coste se manifiesta cuando tiene lugar un incidente que afecta a la infraestructura digital de aquel.

Ya en el informe “SMB Business Continuity”, elaborado por IDC en 2015, se expuso el coste medio por cada hora de interrupción de la actividad en una pequeña empresa de hasta 10 empleados es de 8.220 dólares.

Más recientemente, el informe “2018 Cost of a Data Breach Study: Global Overview”, publicado por el Ponemon Institute, indicó que el coste medio de una brecha de seguridad ha aumentado en un 6,4% en apenas 1 año.

Hay que tener en cuenta que el coste no sólo se limita al propio incidente, sino que tiene múltiples ramificaciones:

  • Por un lado, tenemos los costes generados por la pérdida de datos, así como la paralización de la actividad durante la resolución del problema. Es decir, hay que sumar el coste de los ingresos habituales, que dejan de obtenerse.
  • Además, hay que asumir los costes fijos, que la empresa continúa sufragando pese a la interrupción de su actividad.
  • Por descontado, se deben sumar los costes invertidos en las reparaciones y recuperación del incidente de IT.
  • El daño reputacional es uno de los más difíciles de estimar, pero no por ello deja de tener un impacto real en el futuro inmediato del negocio.
  • Finalmente, no se debe descartar el coste legal, en caso de que el incidente de IT se haya visto favorecido o agravado por la ausencia de las medidas de seguridad de obligado cumplimiento, de acuerdo con la normativa vigente.

El Reglamento General de Protección de Datos (RGPD) es un ejemplo de la importancia que los legisladores nacionales e internacionales han dado a la protección de los datos de carácter personal, atesorado por las organizaciones.

Las sanciones por su incumplimiento pueden alcanzar los 20 000 000 EUR o el 4 % del volumen de negocio total anual.

Si deseas dotar a tu negocio con una solución que garantice una óptima gestión del consentimiento de los datos, en cumplimiento con el RGPD, te recomendamos solicitar información acerca de Asentify.

Lectura recomendada:

Cómo adaptar mi web al RGPD

Inversión en ciberseguridad

Según el mencionado informe de ECIIA, el 68% de las empresas afirman que la ciberseguridad es uno de los principales riesgos, en el que invierten la mayor parte de sus recursos de auditoría interna. 

Ahora bien, el reciente informe publicado por Deloitte, “Las preocupaciones del CISO. El estado de la ciberseguridad en 2019”, ha revelado que el 30% de las empresas españolas no se consideran preparadas para combatir eficazmente las amenazas contra la seguridad digital.

Nuestro tejido empresarial necesita dotarse de los recursos necesarios, para garantizar su ciberseguridad y, por lo tanto, la continuidad de su actividad.

7 Casos de uso de la tecnología blockchain

La tecnología de blockchain ha alcanzado una gran popularidad gracias al auge de las criptomonedas y, en particular, el bitcoin.

Sin embargo, las “cadenas de bloques” pueden ser utilizadas en múltiples sectores, para resolver diversas problemáticas que, hasta ahora, resultaban excesivamente costosas o inviables.

Por ejemplo, Accenture ha estimado recientemente que el sector financiero puede generar un ahorro de 10.000 millones de dólares, gracias al uso de esta tecnología.

Este es tan sólo un ejemplo de cómo la blockchain puede traducirse en una importante ventaja competitiva, para aquellas empresas que sepan adelantarse al mercado.

Introducción rápida al blockchain

La blockchain es una base de datos, cuyo registro está distribuido, y que se vale de una red criptográfica para garantizar la veracidad e inalterabilidad de la información.

Esto permite que las partes que utilizan esta base de datos puedan crear y confiarse mutuamente el registro de todo tipo de datos y transacciones, de una forma plenamente transparente, y sin la necesidad de una tercera parte que los supervise.

Lo que sigue es una lista de algunos de los sectores y casos de uso para blockchain más prometedores.

Casos de uso del blockchain

Sector legal: smart contract

El contrato tradicional siempre ha estado sujeto a la subjetividad del lenguaje, y la consiguiente interpretación por las partes implicadas, o el tribunal encargado de dirimir un desacuerdo.

El smart contract (contrato inteligente) permite articular las condiciones contractuales de forma codificada e integrada en una cadena de bloques, que garantiza su inalterabilidad.

Este contrato incluye todas las condiciones establecidas por las partes, y permite su ejecución en el momento en que dichas condiciones son cumplidas. No hay lugar a interpretación, y su ejecución o cancelación se produce automáticamente.

Esta forma de articular las relaciones contractuales agiliza los acuerdos, pues incrementa drásticamente el nivel de confianza entre las partes.

Logística: cadena de suministro

Uno de los mayores retos en la gestión de la cadena de suministro es la falta de transparencia y trazabilidad del producto, desde su fabricación o recolección, hasta el momento en que es puesto en manos del consumidor final.

Si surge algún problema de conservación, calidad o autenticidad, resulta difícil, identificar y aislar las causas del mismo, encareciendo todo el proceso.

Gracias a la tecnología de blockchain, es posible identificar cada producto con una identidad digital única e inalterable. Así mismo, se puede hacer un seguimiento completo de la localización y estado del producto en cada etapa de la cadena de suministro.

Esto no sólo permite al distribuir tener una visión completa y permanente del estado de sus productos, sino también garantizar y demostrar al consumidor final la autenticidad y calidad del mismo.

Sector alimentario: Seguridad sanitaria y calidad

Precisamente, la seguridad en la cadena de suministro del sector alimentario es otro de los grandes retos que la tecnología de blockchain puede resolver.

La globalización ha dado lugar a que la industria alimentaria transporte productos desde todos los confines del mundo. Sin embargo, los sistemas de registro utilizados habitualmente son vulnerables a todo tipo de alteraciones e imprecisiones.

La cuestión es que, cuando se trata de alimentos, la falta de transparencia a la que aludiamos en el anterior apartado puede dar lugar a situaciones peligrosas para la salud.

La blockchain permite registrar digitalmente y de forma inalterable toda la información referente a la recolección, procesamiento y condiciones de conservación hasta el momento de la venta al consumidor.

Sistema electoral: seguridad de la votación

En una sociedad interconectada digitalmente como la nuestra, el sistema de votación digital debería estar plenamente instaurado.

Sin embargo, los problemas de ciberseguridad, y el consiguiente peligro de fraude durante el proceso han impedido, hasta ahora, extender esta práctica.

La tecnología de blockchain puede convertirse en el garante de la fiabilidad del voto, dado que imposibilita la falsificación del mismo y la identidad del votante.

Además, la posibilidad de emitir el voto de forma segura y a través de Internet se perfila como un instrumento para incrementar la participación del electorado durante las votaciones.

Sector de la salud: mejora del tratamiento y diagnóstico

A lo largo de la última década, la digitalización de los historiales médicos ha permitido resolver gran parte de los problemas de accesibilidad y diagnóstico.

Sin embargo, las exigencias normativas ligadas a la privacidad y protección de esta información han impedido una utilización más fluida y rentable de la misma.

Además, la supervisión en la distribución y consumo de fármacos también presenta importantes retos en términos de transparencia.

La tecnología de blockchain permite una mayor interacción entre las bases de datos de los historiales médicos, así como en los sistemas de suministro de medicamentos.

Todo ello se traduce en diagnósticos más precisos, tratamientos más personalizados y una notable reducción en los costes del sistema de salud.

Sector bancario: reducción de costes operativos

Debido a las necesidades de supervisión y seguridad propias del sector bancario, gran parte de su actividad implica considerables costes operativos, así como largos plazos de ejecución.

Por un lado, la contabilidad de las transacciones entre instituciones financieras requiere una gran carga de trabajo, así como la duplicidad de los registros. La tecnología blockchain resuelve ese problema al permitir crear un registro seguro e inmutable.

Por otra parte, la operativa internacional también exige una carga administrativa que ralentiza y encarece los procesos. Gracias a la blockchain, está previsto que los pagos y transacciones tengan lugar de una forma mucho más ágil, reduciendo a escasos minutos plazos de ejecución que antes duraban varios días.

Cómo adaptar mi website al RGPD

como adaptar mi website al rgpd

Pese a que la nueva normativa de protección de datos lleva en vigor desde el 28 de mayo de 2018, aún son muchos los portales de Internet que no están cumplimiento con sus exigencias legales.

Esto puede acarrear elevadas sanciones, así que vamos a explicarte cómo adaptar tu website al RGPD (Reglamento General de Protección de Datos).

En caso de que aún te estés pensando llevar a cabo este proceso, permítenos recordarte que el artículo 82 del RGPD recoge el derecho a indemnización y responsabilidad.

De acuerdo con este precepto: “Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

Se trata de un importante incentivo a la denuncia por parte de usuarios y consumidores oportunistas, que busquen recibir una indemnización; así que te recomendamos tomarte esta circunstancia con la seriedad que requiere.

Pasos para adaptar tu web al RGPD

En esta guía, vamos a indicarte cuáles son los ámbitos que debes cubrir para garantizar que tu website está plenamente adaptada al nuevo RGPD o GDPR (por sus siglas en inglés).

Revisión y adaptación de los textos legales

La nueva normativa establece una serie de requisitos informativos, que pueden requerir la modificación del aviso legal, la política de privacidad y la política de cookies; así como la utilización de mensajes complementarios.

Por otro lado, la redacción de toda la información está sometida al principio de transparencia; es decir, se ha de utilizar un lenguaje claro, fácil de comprender y accesible para cualquier usuario.

Además, la normativa incorpora el concepto de “información por capas”, lo que implica presentar a los usuarios una primera capa informativa con los aspectos más relevantes, acompañada de la opción de acceder a una segunda capa de información en profundidad.

Aspectos a incluir en los textos legales

Estos son los datos que deben estar presentes en los textos legales de tu website.
Identidad del responsable de la gestión de los datos, así como la del delegado de protección de datos, cuando proceda. Esta última figura constituye una novedad respecto a la anterior normativa.

Identidad de los destinatarios de los datos personales o las categorías de estos.
Descripción de la tipología de datos que se recogen y utilizan, el alcance de su tratamiento, y las consecuencias de no facilitar semejantes datos.
Finalidad del tratamiento de los datos, y la base jurídica que lo justifique.
Plazo de conservación de los datos personales o bien los criterios utilizados para determinar dicho plazo.

Mención de los derechos del titular de los datos de rectificación, supresión, limitación, oposición al tratamiento, así como la portabilidad de los datos.

Mecanismo y forma de contacto para proceder a ejercer los derechos mencionados.

Existencia de decisiones automatizadas, incluyendo la elaboración de perfiles de segmentación o el tratamiento con efectos jurídicos sobre el titular de los datos.

En lo que se refiere al aviso y política de cookies, se ha de informar acerca de qué es una cookie, cuáles se utilizan en la website, cómo se pueden desactivar y cuáles son las consecuencias de desactivar o no aceptar dichas cookies.

Bloqueo de cookies

Este ámbito trasciende la regulación contenida en el RGPD. No obstante, conviene recordar que la LSSI-CE (Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico), establece que cualquier cookie que recoja datos de carácter personal debe ser bloqueada hasta que el usuario facilite su consentimiento explícito.

Exposición de los elementos informativos

Con el fin de facilitar el acceso a la información por parte de los usuarios, tu página web debe incluir una serie de menciones y enlaces en lugares estratégicos.

Enlaces a textos legales en el footer

El footer presente en todas las páginas de una website debe incluir, al menos, los enlaces al aviso legal, la política de privacidad y la política de cookies.

Capa informativa en los formularios

Todos los formularios de registro, contacto o comentarios deben incluir una cláusula con una casilla de verificación, un enlace a la política de privacidad y un breve texto legal al pie del formulario.

La casilla de verificación debe ser marcada por el usuario, para verificar su consentimiento expreso y la aceptación de la política de privacidad.

Confirmación por correo electrónico

Aunque este ámbito trasciende a la propia website, conviene recordar que el usuario debe recibir un mensaje por correo electrónico, el cual incluya un breve texto legal, confirmando su consentimiento.

Condiciones de contratación

En aquellos casos en los que se incluyan pasarelas de pago para la compra de productos o contratación de servicios online, se ha de incluir un enlace de acceso a las correspondientes condiciones de contratación.

Solicitud expresa de consentimiento

El nuevo RGPD establece que todo acto de requerimiento de datos personales debe contar con un consentimiento expreso y verificable por parte del titular de dichos datos.

Concretamente, el Considerando (32) del RGPD establece que: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado”.

En consecuencia, las antiguas prácticas que se valían de consentimientos tácitos en formularios de suscripción y contacto ya no son válidas.

De igual modo, las casillas premarcadas o la asunción del consentimiento por inacción del usuario tampoco constituyen prácticas legales.

Con una herramienta como Asentify, no sólo podrás garantizar el consentimiento expreso de los usuarios de tu web. También contarás con una trazabilidad completa en el uso e intercambio de los datos personales con terceros; algo que resulta indispensable en la actividad de la mayoría de las empresas.

Consentimiento de los anteriores usuarios

En el caso de los titulares de datos personales que figuraban en tu base de datos o listado de correo electrónico antes de la entrada en vigor del nuevo RGPD, pueden darse dos circunstancias.

  • Si el consentimiento dado previamente por estos usuarios tuvo lugar de manera expresa y verificable, tal y como exige la nueva normativa, no hay necesidad de hacer nada.
  • Sin embargo, si sus datos fueron recabados mediante un consentimiento tácito o de alguna manera que contravenga los requisitos legales actuales, será necesario volver a solicitar su consentimiento.

Dicha solicitud puede realizarse por diversas vías, siendo la más habitual el envío de un boletín de correo electrónico, solicitando su consentimiento expreso. Es decir, será necesario que los usuarios que figuren en tu base de datos vuelvan a suscribirse mediante un procedimiento válido.

Confiamos en que esta breve guía contribuya a facilitar el proceso de adaptación de tu website al RGPD.

Qué son los derechos ARCO: Guía 2019

derechos ARCO

Tras la entrada en vigor del RGPD (Reglamento General de Protección de Datos), los derechos de los ciudadanos respecto a la protección de sus datos personales se han visto modificados y ampliados.

En esta guía, vamos a explicarte con detalles cuáles son los derechos ARCO, cómo se han visto modificados por la actual normativa, cómo se ejercen y cuáles son los plazos de respuesta del responsable del tratamiento.

Qué son los derechos ARCO: definición

Los derechos ARCO son un conjunto de derechos que todo ciudadano puede ejercer, respecto al uso y tratamiento que un tercero esté haciendo de sus datos personales.

Concretamente, se trata de los derechos de:

  • Acceso.
  • Rectificación.
  • Cancelación.
  • Oposición.

No obstante, el RGPD ha sustituido el antiguo de derecho de cancelación por el de supresión.

Asimismo, ha añadido los siguientes derechos:

  • Derecho a la limitación del tratamiento.
  • Derecho a la portabilidad de los datos.
  • Derecho de oposición a decisiones individuales automatizadas, incluida la elaboración de perfiles.

Regulación en el RGPD y la LOPDGDD

Originalmente, los derechos ARCO fueron recogidos por la antigua LOPD. 

No obstante, y como ya hemos señalado al comienzo, el RGPD ha regulado nuevamente estos derechos en sus artículos 15 a 21, lo cual ha supuesto una ampliación de su alcance.

Además, la LOPDGDD 3/2018 (Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales) también ha recogido estos derechos en sus artículos 13 a 18, remitiéndose a la regulación del propio reglamento europeo.

Una vez solicitado el acceso, el responsable del fichero tiene un plazo máximo de 30 días para resolver la solicitud de acceso.

Cómo ejercer los derechos ARCO

En primer lugar, conviene señalar que el ejercicio de estos derechos es gratuito. 

Además, tiene un carácter personal. Es decir, estos derechos deben ser ejercidos por el titular de los datos o, en su defecto, su representante legal o un representante debidamente autorizado.

En caso contrario, el responsable del fichero puede denegar la solicitud del ejercicio del derecho esgrimido.

Finalmente, cuando la solicitud sea presentada por medios electrónicos, la información facilitada también deberá transmitirse por dichos medios, salvo que el titular interesado solicite un medio diferente.

Dicho esto, procedemos a analizar las características y ejercicio de cada derecho.

Derecho de acceso

Este derecho permite al titular solicitar al responsable de un fichero la información referente a si sus datos personales obran en su poder y están siendo objeto de tratamiento.

Además, en caso de que dicho tratamiento esté teniendo lugar, también se deberá informar acerca del origen de los datos, la comunicación realizada o prevista de los mismos, y la finalidad del tratamiento.

En conclusión, este derecho permite a su titular saber qué datos tiene el responsable del fichero y qué uso se hace de ellos.

Derecho de rectificación

Este derecho permite que el titular solicite y obtenga la rectificación de aquellos datos que obren en poder del responsable del fichero, y que puedan ser incorrectos o hayan quedado desactualizados.

Derecho de supresión

Antiguamente conocido como derecho de cancelación, este derecho permite que el titular solicite y obtenga el bloqueo o supresión de aquellos datos que estén en poder del responsable del tratamiento.

El titular deberá indicar aquellos datos que desea cancelar, así como el motivo de la cancelación. Para lo cual, podrá aportar la documentación justificativa oportuna.

No obstante, los datos podrán ser conservados, únicamente para atender a posibles responsabilidades derivadas del tratamiento que haya tenido lugar previamente.

Derecho de oposición

Este derecho permite que el titular solicite y obtenga del responsable del fichero el cese en el tratamiento de sus datos personales. En el caso de que dicho tratamiento aún no haya tenido lugar, este derecho también permite evitar dicho tratamiento.

Derecho a la limitación del tratamiento

Este derecho permite que su titular limite el tratamiento de sus datos personales, siempre y cuando se den determinadas circunstancias.

Derecho a la portabilidad de los datos

Con este derecho, el titular podrá migrar sus datos personales de un responsable del tratamiento a otro, cuando se cumplan una serie de características.

Derecho de oposición a decisiones individuales automatizadas

Este derecho permite que el titular se oponga a ser objeto de decisiones basadas únicamente a partir del tratamiento automatizado de sus datos, incluyendo la elaboración de perfiles, el tratamiento que genere efectos jurídicos en él, o bien cualesquiera otros que le afecten de forma similar.

Plazo de respuesta del responsable del fichero

Por último, el artículo 12.3 del RGPD establece que el plazo de respuesta por parte del responsable del fichero frente a las solicitudes de los titulares es de un mes, a partir de la recepción de la solicitud.

No obstante, este plazo podrá “prorrogarse durante otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.”

En este último caso, el responsable deberá informar al titular interesado del uso de dicha prórroga en el plazo inicial de un mes desde a recepción de la solicitud, así como de los motivos de la dilación en la respuesta.

Las apps y la vulnerabilidad de la protección de datos

las apps y la vulnerabilidad de la proteccion de datos

Actualmente, existen miles de aplicaciones disponibles para los principales sistemas operativos Android e iOS.

Desgraciadamente, un elevado número de estas apps vulneran la normativa de protección de datos, exponiendo a los usuarios a una utilización no consentida de su información de carácter personal.

Vulneración de la protección de datos personales en las apps

En febrero de este año, una investigación publicada por el International Computer Science Institute, reveló la existencia de más de 17.000 apps de Android que podrían estar infringiendo la política de privacidad de Google.

De acuerdo con esta investigación, estas aplicaciones podrían estar llevando a cabo un registro permanente de la actividad de sus usuarios, para proceder a facilitar a terceros la información recogida sin su consentimiento. Por regla general, los datos se suministrarían a empresas de publicidad.

Cabe señalar que esta circunstancia no es nueva ni exclusiva de los dispositivos Android.

En 2017, el propio Tim Cook amenazó con retirar la app de Uber de la App Store, debido al incumplimiento de sus políticas de privacidad.

Registro no autorizado de datos de carácter personal

Volviendo al hallazgo reciente, las aplicaciones señaladas están combinando el ID publicitario de Google con los marcadores del hardware de cada dispositivo, sin el expreso consentimiento por parte de los usuarios. 

El problema añadido de semejante combinación es que el usuario ya no puede recuperar su privacidad, una vez los identificadores son enviados a las empresas publicitarias.

El ID de publicidad de Google puede ser reseteado, pero no así el resto de identificadores ligados a cada dispositivo, los cuales no pueden configurarse para su borrado del registro.

El resultado es que las empresas a las que se han cedido los datos continúan conservando información clave como el IMEI o el Android ID, incluso después de resetear el ID publicitario.

Google recomienda que los desarrolladores de Google Play se limiten a utilizar el ID de publicidad facilitado por la compañía. Sin embargo, una gran parte hace caso omiso de esta recomendación.

Lejos de tratarse de casos aislados, se ha señalado a decenas de aplicaciones que cuentan con cientos e incluso miles de millones de descargas. Tal es el caso de Clean Master, Flipboard, Temple Run 2 o Angry Birds, por mencionar tan sólo un puñado de las más conocidas entre los usuarios españoles.

Advertencia de la AEPD acerca del ecosistema de apps móviles

El pasado marzo, la AEPD (Agencia Española de Protección de Datos) publicó el estudio “Análisis de los flujos de información en Android. Herramientas para el cumplimiento de la responsabilidad proactiva”.

Se trata de un estudio dirigido a desarrolladores de apps y responsables de tratamiento de datos personales.

Riesgo de pérdida de control en el tratamiento de datos personales por parte de las apps

En primer lugar, el estudio advierte de que el entorno de las aplicaciones móviles presenta un alto riesgo para la privacidad de la información personal. Concretamente, alerta de las altas probabilidades de que tengan lugar “fugas de información”, y la potencial pérdida de control sobre la misma.

Por otro lado, facilita una serie de guías y metodologías, para garantizar que las políticas de privacidad presentada a los usuarios cumplen con las exigencias del RGPD (Reglamento General de Protección de Datos), y la LOPDGDD (Garantía de los Derechos Digitales).

La responsabilidad proactiva de desarrolladores y distribuidores de apps

El citado informe de la AEPD señala que el responsable directo del tratamiento de los datos no siempre es el propio desarrollador.

Los acuerdos o subcontrataciones para llevar a cabo desarrollos en librerías o entornos de terceros están provocando la aparición de ecosistemas difíciles de supervisar. Evidentemente, esto dificulta la verificación del cumplimiento de la normativa de protección de datos.

Sin embargo, la AEDP advierte que los desarrolladores, los subcontratistas de desarrollos y los distribuidores de apps también están sometidos a la normativa. 

Todos ellos deben asegurarse de aplicar los principios de responsabilidad proactiva recogidos por el RGPD:

  • Privacidad por defecto.,
  • Privacidad desde el diseño.

Con el fin de facilitar el cumplimiento de estas obligaciones, el informe de la AEPD incluye una guía para proceder a una auditoría de la aplicación, y el consiguiente análisis de los flujos de información personal, que tienen lugar en el dispositivo móvil:

  • Por un lado, detalla las características del entorno de ejecución de las aplicaciones, junto a sus componentes, los actores involucrados en el tratamiento de los datos, y la descripción del ciclo de vida de los datos.
  • Por otro lado, explica cuáles son las principales herramientas y técnicas para llevar a cabo el análisis de los flujos de información de carácter personal.

Cómo verificar si estás aplicando bien el RGPD en tu empresa

De acuerdo con un reciente estudio a escala global, elaborado por Instituto de
Investigación de Capgemini, tan sólo el 28% de las organizaciones afirman estar
cumpliendo con el RGPD (Reglamento Europeo de Protección de Datos), mientras
que un 30% considera estar cerca de conseguirlo.

Concretamente, la tasa de cumplimiento española es una de las más bajas de todos
los países analizados, con un 21%.

Conviene recordar que el incumplimiento de esta normativa puede acarrear sanciones
administrativas de hasta 20 millones de euros, o el 4% de la facturación anual.
De hecho, el primer año de vigencia del RGPD, ya se ha saldado con con multas
millonarias y un notable incremento en el número de reclamaciones.

En esta guía, te proponemos una serie de claves y pasos, para verificar la correcta
aplicación del RGPD en tu empresa.

Adecuación de la cultura corporativa

Todo cambio normativo está fundamentado en una serie de principios de carácter general. En este caso, el nuevo RGPD ha sido la respuesta del legislador europeo a la evolución de las nuevas tecnologías digitales y, en especial, al uso de los datos de carácter personal en Internet.

Esta información puede ser utilizada para múltiples propósitos, y sus titulares deben estar adecuadamente informados y protegidos. Sólo así se puede garantizar el respeto a sus derechos.

Eso es algo que todos los trabajadores y directivos de tu empresa deben interiorizar.

Análisis de riesgo de la seguridad de la información

El propio RGPD establece que los responsables del tratamiento de los datos deben llevar a cabo un análisis de riesgos de la seguridad de los mismos.

Este proceso tiene el propósito de establecer las medidas de seguridad y control oportunas, para garantizar la protección de los derechos de las personas. 

Hay que tener presente que la transformación digital genera un constante cambio en los procesos operativos internos. Por ese motivo, la gestión del riesgo debería concebirse como una labor de constante supervisión.

Establecimiento de medidas de seguridad y notificación

Como ya hemos señalado, el análisis de riesgos y la evaluación de su impacto sobre la protección de datos debe traducirse en la adopción de medidas.

  • En primer lugar, se han de establecer las medidas de seguridad que garanticen que la recogida, tratamiento y conservación de los datos no puedan verse comprometidas por un ciberataque u otro tipo de amenaza para la seguridad de la información.
  • Y en segundo lugar, se han de prever mecanismos para cumplir con la obligación de notificación pública en un plazo de 72 horas, en aquellos casos en los que haya tenido lugar una violación de la seguridad.

Revisión de los consentimientos

El RGPD tiene una carácter retroactivo respecto a todos aquellos consentimientos obtenidos de manera previa a su entrada en vigor.

Por esa razón, se debe revisar todos estos consentimientos y, en caso necesario:

  • Enviar toda la información referente a las nuevas políticas de uso y los derechos de los usuarios.
  • Recabar nuevamente el consentimiento cuando sea necesario.

Posible nombramiento de un Delegado de Protección de Datos

El RGPD regula en diversos preceptos -especialmente en su art. 37- la obligatoriedad de nombrar un Delegado de Protección de Datos (DPD). Los supuestos podrían resumirse de la siguiente manera:

  • Por un lado, las administraciones públicas.
  • Por otro lado, las empresas que se dedican a la observación de personas por medios físicos -videovigilancia-, o por medios informáticos -empresas de marketing digital.
  • Por último, los grandes hospitales y entidades que tratan datos de carácter personal a “gran escala”.

Ahora bien, el concepto de “gran escala” ha sido desarrollado por la nueva LOPD (Ley Orgánica de Protección de Datos), que establece la obligatoriedad del nombramiento de un DPD, en función de un listado de actividades, y con independencia del número de empleados o facturación que tenga.

Obtención de la acreditación del cumplimiento del RGPD

El Considerando (79) del RGPD establece que “el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento”.

Es decir, hay que estar en disposición de acreditar el cumplimiento normativo, para lo cual hay diversas alternativas:

Códigos de conducta

Por un lado, el art. 24.3 indica que: “La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.”

No obstante, estos mecanismos no son obligatorios; por lo que te sugerimos una segunda alternativa en la siguiente sección.

Documentación interna y evidencias de los Sistemas de Gestión

Para acreditar el cumplimiento normativo, también es posible presentar la documentación interna que se haya generado durante el análisis de riesgos, y el consiguiente establecimiento de medidas de control.

Esta documentación revestirá la forma de:

  • Protocolos internos.
  • Contratos de encargado del tratamiento de los datos.
  • Cláusulas de información.
  • Evaluaciones de impacto sobre la protección de datos.
  • Registros de actividades de tratamiento.

Así mismo, esta documentación puede completarse con todo tipo de evidencias del correcto funcionamiento de las medidas de control en los Sistemas de Gestión.

Desplegar la solución tecnológica acorde a los requerimientos normativos

Finalmente, te recomendamos desplegar una solución digital que te garantice el cumplimiento normativo, de una manera ágil y eficiente.

La plataforma de gestión y seguimiento del consentimiento de los datos que ofrecemos en Asentify te proporciona la total trazabilidad del uso e intercambio que tu empresa haga de los datos personales de sus clientes y usuarios.

Además, se integra con facilidad en el resto de sistemas de tu organización, por lo que su adopción tendrá lugar rápidamente.

Requisitos para cumplir con las leyes de protección de datos en centros educativos

Muchos de los procedimientos que se venían realizando con la antigua LOPD en los centros educativos españoles ya no son válidos y necesitan realizarse cambios para cumplir con la normativa europea GDPR.

Los centros educativos españoles ya venían realizando actividades de protección de datos antes de que entrase en vigor el Reglamento General de Protección de Datos. La antigua LOPD les obligaba, por ejemplo, a inscribir ante la Agencia Española de Protección de Datos los ficheros de datos recabados.

Sin embargo, con la llegada de GDPR y la renovación de la LOPD, esta práctica ya no será necesaria, pues será sustituida por un minucioso registro de actividades de tratamiento que se realizará de forma interna y solo será presentado ante la autoridad competente en caso de que haya de realizarse alguna inspección por incumplimiento.

Por otra parte, los centros educativos tienen ahora nuevas obligaciones además de este registro, como la recogida de un consentimiento expreso acorde a GDPR o el nombramiento de un Delegado de Protección de Datos (DPO, por sus siglas en inglés), ya que esta figura es necesaria para supervisar que se está cumpliendo con las normativas vigentes.

Además, los centros educativos deberán tener en cuenta que también tratan con datos de carácter sensible, que están especialmente protegidos por la normativa europea. Entre ellos se encuentra información sanitaria, de raza o de religión.

Claves y retos en materia de protección de datos

Al tratar con información tanto de empleados como de alumnos, que pueden ser menores de edad, además de manejar datos de carácter sensible, los centros educativos son unas de las instituciones que más cambios han tenido que llevar a cabo en materia de protección de datos.

El registro de las actividades de tratamiento es uno de los puntos clave de GDPR, ya que es de obligado cumplimiento para todas las empresas y organismos que tratan con datos personales. Los registros sirven como prueba ante cualquier conflicto en el que tenga que mediar la autoridad competente (AEPD en el caso de España). Por ello, los responsables del tratamiento deben realizar informes en los que se detalle la información que se está recogiendo y bajo qué base legal, entre otros puntos como la fecha y el almacenamiento de los mismos.

En los centros educativos se recogen numerosos datos bajo la base legal de la función pública, lo que significa que se recaba información para realizar una tarea de interés público: la educación. Sin embargo, cuando los datos recogidos se publican con otro interés, como por ejemplo dar publicidad al centro, la base legal debe ser diferente y basarse en el consentimiento que, según GDPR, debe ser expreso. Este consentimiento, además, también será necesario si establecen perfiles de almacenamiento en la nube para los alumnos.
Según GDPR, los mayores de 14 años pueden dar el consentimiento por sí mismos, mientras que los que no alcancen esa edad deben apoyarse en sus tutores legales para que consientan la actividad de tratamiento en cuestión.

El consentimiento expreso es diferente del que se venía practicando con la antigua LOPD. Con GDPR ya no se puede recurrir a las casillas premarcadas o a fórmulas comodín como “He leído y acepto la política de privacidad”, así como tampoco se pueden entender como un consentimiento el silencio o la inacción.

Los interesados deben manifestar afirmativamente y de forma clara que consienten todo lo informado. Para ello, ese consentimiento debe hacerse por bloques de tratamiento y no de forma global, de lo contrario no estaríamos hablando de un consentimiento explícito porque no se estaría informando debidamente a los interesados.

Para este registro del consentimiento y de las actividades de tratamiento, los responsables del tratamiento pueden utilizar gestores que les faciliten la tarea. De esta forma, la herramienta ayudará a tomar el control absoluto sobre la información gestionada, notarizando quién usa el dato, cuándo lo usa y qué uso está haciendo del mismo. Además, todas las actividades de tratamiento estarán centralizadas en un mismo repositorio con una trazabilidad completa.
Herramientas como Asentify, basadas en la tecnología Blockchain, ayudan a cumplir con GDPR porque cumplen con GDPR su principal objetivo: convertir al interesado en dueño de sus datos, asegurando sus derechos y su privacidad.

El cumplimiento normativo en materia de protección de datos en centros educativos requiere de la implicación de todos los empleados del centro, aunque sea el DPO quien supervise que la actividad del centro cumple con GDPR y LOPDGDD. Para ello, la Agencia Española de Protección de Datos ha puesto a disposición de los ciudadanos una Guía especial para Centros Educativos, en la que se incluye un decálogo de buenas prácticas a adoptar por el sector educativo, además de explicaciones sobre los conceptos básicos en materia de protección de datos y recursos útiles para facilitar el cumplimiento normativo.

Riesgos y sanciones por incumplimiento del RGPD en el sector financiero

De acuerdo con el informe “How Financial Services are taking a sustainable approach to GDPR compliance in a new era for privacy”, publicado por Deloitte, el 46% de las entidades financieras afirman no haber llevado a cabo una inversión relevante para adaptarse al nuevo RGPD (Reglamento General de Protección de Datos) o GDPR, por sus siglas en inglés.

Esto se debe a que su propia normativa sectorial de la banca y el resto del sector financiero siempre ha sido especialmente estricta en lo que se refiere a la protección de datos de carácter personal.

Al fin y al cabo, su actividad exige la recopilación y utilización de esta información, para llevar a cabo los correspondientes análisis de riesgo y tests de idoneidad en la venta de productos financieros.

En definitiva, su proceso de adaptación a la nueva legislación ha requerido un menor esfuerzo, en comparación con otros sectores.

Ahora bien, esto no significa que el sector financiero sea ajeno a los riesgos y las correspondientes sanciones, como consecuencia del incumplimiento del RGPD.

Riesgos del incumplimiento del RGPD

En términos generales, el incumplimiento de la normativa de protección de datos puede propiciar una brecha de seguridad, que suponga la pérdida, robo, inaccesibilidad o exposición indebida de los datos de carácter personal.

Dicho esto, en la práctica, podemos apreciar una serie de grandes categorías de riesgo y desafíos que estas entidades afrontan.

Pérdidas económicas

Si el incumplimiento normativo da lugar a una brecha de seguridad, la entidad financiera afectada podría sufrir cuantiosas pérdidas económicas.

Hay que tener presente que estas entidades basan su actividad en la gestión de información financiera de carácter personal.

Si esta información se perdiese o dañase, la continuidad de su actividad podría quedar en entredicho.

Daño reputacional

En el citado informe de Deloitte, el 56% las entidades financieras encuestadas señalaron el “potencial daño a la reputación” como uno de los principales motivos por los que garantizar el cumplimiento normativo.

Se trata de un riesgo de difícil cuantificación. Sin embargo, estas entidades son conscientes de que su marca es su activo de mayor valor.

La exposición no autorizada de datos personales puede generar una enorme pérdida de confianza por parte de suministradores, prospectos y clientes, de difícil reparación en el corto plazo.

Además, este daño a la reputación corporativa supone una merma importante en la capacidad de crecimiento de la marca en el mercado.

Sanciones administrativas

La “amenaza de multas regulatorias” también fue destacada por el 47% de las entidades financieras como un importante factor de preocupación.

Tal como veremos en la siguiente sección, el RGPD prevé cuantiosas sanciones en caso de incumplimiento normativo.

Demandas colectivas

Al igual que en otros sectores, las entidades financieras también se exponen a sufrir demandas judiciales, por parte de clientes afectados por una brecha de seguridad que haya expuesto sus datos personales.

En caso de que los tribunales condenen a las entidades, las compensaciones económicas pueden llegar a ser muy cuantiosas, dado el volumen de clientes que atesoran.

Requisitos normativos imprecisos

Uno de los principales desafíos que está planteando la aplicación del nuevo RGPD es la presencia de numerosas imprecisiones en su redacción.

Este texto normativo incluye términos indefinidos tales como “retraso indebido”, “esfuerzo desproporcionado” o “probabilidad de riesgo para los derechos y libertades”.

Igualmente, el reglamento alude repetidamente al concepto de “nivel de protección razonable”, al referirse a la salvaguarda de los datos personales.

Sin duda, cada una de estas expresiones son susceptibles de interpretación, tanto por autoridades administrativas con capacidad sancionadora, como por los tribunales.

Este nivel de incertidumbre supone un riesgo añadido, que sólo irá resolviendo conforme estas instituciones deban tomar decisiones en casos específicos.

Sanciones por incumplimiento del RGPD en el sector financiero

Antes de abordar el alcance de las sanciones que puede acarrear el incumplimiento normativo, conviene señalar que la investigación de una infracción puede iniciarse tanto  a instancia de parte, como de oficio.

Así, la autoridad de protección de datos competente -en España, la AEPD- está legitimada para llevar a cabo inspecciones periódicas, con el fin de garantizar el cumplimiento del RGPD.

En el caso de que la inspección tenga lugar tras la notificación de una violación de seguridad de la información, la autoridad competente deberá comprobar que el responsable del tratamiento de los datos:

  • Ha aplicado la tecnología y medidas organizativas adecuadas para detectar la brecha de seguridad.
  • Y ha notificado la brecha de seguridad sin dilación indebida.

Criterios para valorar el importe de la sanción administrativa

De acuerdo con el art. 83.2 del RGPD: “Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58 (…)”.

Acto seguido, procede a enumerar una total de 12 criterios; entre los que cabe destacar:

  • La naturaleza, gravedad y duración de la infracción.
  • La intencionalidad o negligencia en la infracción
  • Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
  • Toda infracción anterior cometida por el responsable o el encargado del tratamiento
  • El grado de responsabilidad del responsable o del encargado del tratamiento
  • El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción

Importe de las sanciones administrativas

La cuantía máxima de las sanciones se regula en función de dos categorías de infracción.

Infracciones de carácter general

Por un lado, el art. 83.4 alude a las infracciones por incumplimiento de las obligaciones reguladas por el propio RGPD:

  • Las obligaciones del responsable y del encargado.
  • Las obligaciones de los organismos de certificación.
  • Las obligaciones de la autoridad de control.

Estas infracciones serán sancionadas con “multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.

Nos gustaría destacar que la solución que brindamos en Asentify está diseñada para garantizar que el responsable del tratamiento de los datos en tu empresa dispone de los recursos necesarios para cumplir con sus obligaciones.

  • En primer lugar, tiene un control absoluto en la recogida del consentimiento de los usuarios y la administración de sus derechos.
  • En segundo lugar, cuenta con un repositorio centralizado de los datos, y dispone de una trazabilidad completa en el tratamiento de los mismos.
  • Finalmente, cuenta con garantía de máxima seguridad e inmutabilidad de los datos, gracias al uso de tecnología blockchain.

Infracciones de carácter grave

Por otro lado, el art. 83.5 se refiere a las infracciones por incumplimiento de:

  • Los principios básicos para el tratamiento de los datos.
  • Los derechos de los interesados.
  • Las transferencias de datos personales a un destinatario en un tercer país o una organización internacional.
  • Toda obligación en virtud del Derecho de los Estados miembros.
  • El incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control.

En cualquier de estos casos, los límites máximos se elevan 20 000 000 EUR o el 4 % del volumen de negocio total anual, respecto a lo indicado anteriormente.