Saltar al contenido

TecnoLOPD

TecnoLOPD Software s.l. Empresa de desarrollo de software de adaptación a la protección de datos para profesionales.

Polémica frente a la venta de bases de datos de clientes

  • por

El pasado mes de julio, el touroperador británico Low Cost Travel Group quebró irremediablemente, dejando a miles de usuarios afectados. Más de 120.000 viajeros que habían escogido esta agencia de viajes para emprender sus vacaciones se encontraron con reservas que no podían ser asumidas, debido a que la agencia no pudo hacer frente a los pagos de las mismas.

Con un proceso de quiebra drástico, los administradores concursales han tenido que buscar soluciones para poder hacer frente a los miles de acreedores que se han quedado sin cobrar. Por ello, buscaron opciones para vender sus activos. El problema es que no cuentan con muchos que sean vendibles. A finales de septiembre la noticia más destacable era que la Ley Orgánica de Protección de Datos española les impedía vender sus bases de datos de clientes a otros touroperadores.

Los administradores de Low Cost Travel Group achacan esto a las amplias restricciones de una ley, que impide estas prácticas, poco éticas para la Agencia de Protección de Datos. Hay que tener en cuenta que dicha agencia de viajes operaba mayoritariamente en Baleares, por lo que gran parte de los clientes de sus bases de datos estaban en España. Este hecho les obliga a acogerse a la LOPD, con el fin de evitar sanciones por parte de la AEPD.

El caso de Low Cost Travel Group volvió a abrir la polémica sobre la venta de bases de datos de clientes y este tipo de prácticas. No obstante, navegando por Internet podemos ser testigos de lo habitual que resulta encontrar empresas que venden bases de datos de e-mails. Pero, es importantísimo tener claro que esto no es para nada legal.

La venta de bases de datos de clientes: un negocio opaco

En primer lugar, es importante tener clara cuál es la procedencia de esas bases de datos de e-mails que se ofrecen a diestro y siniestro a través de La Red. ¿Cómo se han conseguido esos correos?, ¿Los usuarios han dado su consentimiento? Pese a que las respuestas garanticen que todo se ha llevado a cabo siguiendo las normas estrictas que establece la LOPD, nunca podrán ser traspasadas o vendidas a otras empresas.

Nuestro consejo es que jamás se compre una base de datos de clientes. Esta es la única forma de evitar las sanciones de la Agencia Española de Protección de Datos. Si un único cliente denuncia el hecho ante la AEPD, el expediente sancionador se abrirá y al comprobar la procedencia de los datos, la sanción estará garantizada.

Para llevar a cabo campañas de email marketing es esencial contar con el consentimiento expreso del cliente en cuestión. Además, este debe de estar perfectamente informado del uso y tratamiento que se dará a sus datos. Como cabe esperar, si has obtenido un consentimiento para enviar ofertas de tu negocio de frutas y verduras, nunca podrás enviar un correo desde una empresa de coches a ese cliente.

Vulnerar la normativa que establece la Ley Orgánica de Protección de Datos conlleva sanciones importantes. Por lo tanto, la única forma de contar con una base de datos de clientes legal es apostando por crearla en el entorno apropiado. Para ello, es esencial que el usuario de su consentimiento y esté perfectamente informado de sus derechos y obligaciones, según dictamina la LOPD. Estas bases de datos deben de estar registradas ante la AEPD.

 

*Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.

Primer código de conducta de empresas online para la protección de datos

  • por

La entrada en vigor del nuevo Reglamento Europeo de Protección de Datos de Carácter Personal ya está dejando las primeras reacciones para garantizar su cumplimiento. Si bien es cierto que la obligatoriedad de su cumplimiento no se hará efectiva hasta dentro de unos meses, ya podemos hablar del primer código de conducta de empresas que proveen de servicios en la nube para satisfacer el nuevo marco europeo.

Fue el pasado mes de septiembre cuando CISPE (Cloud Infrastructure Services Provides in Europe) mostró a la opinión pública este código de conducta en materia de protección de datos, al que se han acogido ya veinte de las empresas que forman esta asociación. El compromiso que adquieren dichas empresas es el de no utilizar los datos de sus clientes con fines lucrativos, ni crear perfiles con ellos. Es decir, se comprometen a no comercializar dichos datos de ninguna manera para obtener réditos propios.

El Reglamento europeo de Protección de Datos deja claro que el usuario siempre será el propietario final de su información personal. O sea, él será el que tenga la decisión última sobre qué se puede hacer y qué no se puede hacer con sus datos personales. Además, esta nueva norma es especialmente sensible con los datos que se aportan a través de Internet. De ahí que este código de conducta sea un paso en firme muy importante para su cumplimiento.

Claves del código de conducta de Protección de Datos

Anticipándose al obligado cumplimiento del reglamento europeo, CISPE posibilita un entorno seguro para los datos personales. De esta forma, los clientes de cada empresa podrán procesar sus datos y exigir que se almacenen exclusivamente en servidores ubicados en países de la Unión Europea. Obviamente, esto supone una garantía de protección, ya que tendrán que someterse al marco europeo en todo momento.

Las empresas que ofrecen infraestructuras en la nube aseguran que no desean tener acceso a los datos de sus clientes, por ello facilitarán en todo momento la ubicación de las instalaciones en las que se almacenan dicha información. Así el cliente tendrá constancia en todo momento de cuál es la normativa que se debe aplicar en el tratamiento de los datos de carácter personal.

No obstante, CISPE asegura que no depende únicamente de ellos el cumplimiento del nuevo reglamento, ya que son sus clientes los que, en última instancia, deben de garantizar el correcto uso de los datos personales que se facilitan online.

Por ello, las redes sociales, aplicaciones o empresas que usan estos servicios en la nube tendrán que comprometerse para evitar alejarse de las bases de protección que establece el nuevo marco. Lo que sí pueden asegurar estas empresas es que la infraestructura que se pone al servicio del cliente es completamente segura y está óptimamente adecuada a lo que establece el reglamento europeo. Sin duda, este nuevo código de conducta de protección de datos es solo una de las primeras reacciones ante la nueva situación legal.

Evaluación de Impacto en Protección de Datos II: Fases

  • por

En la primera entrega sobre la Evaluación de Impacto en Protección de Datos (EIPD) nos dedicamos a definir el concepto y las claves básicas para llevarla a cabo. Hoy vamos a adentrarnos un poco más ante la obligatoriedad de establecer una EIPD adecuada para las empresas u organizaciones.

Las fases de la Evaluación de Impacto en Protección de Datos son varias. En primer lugar, hay que tener en cuenta qué aspectos debemos de tratar y cómo llegar hasta ellos. En el documento que la AEPD ha establecido para orientar a las empresas sobre esta EIPD se pueden leer todas las claves para crear una evaluación de impacto óptima. No obstante, aquí vamos a repasar los aspectos fundamentales.

Fases para la Evaluación de Impacto en Protección de Datos

  1. Análisis de la necesidad

En la entrega anterior sobre EIPD especificamos qué empresas u organizaciones deben acogerse a la Evaluación de Impacto en Protección de Datos. En esta fase inicial hay que realizar una pequeña reflexión para tener clara la necesidad de contar con una EIPD. En el caso de que el tratamiento de los datos no sea masivo o la empresa no necesite explotar los datos de terceros, es posible que la evaluación de impacto no deba de ser tan exhaustiva.

  1. Descripción del proyecto

En una segunda instancia es importante comprobar cuáles son los riesgos que podrán en jaque la privacidad de los datos de terceros. Aquí hay que estudiar bien los objetivos del negocio, quiénes serán actores implicados, qué categorías de datos se tratan, las tecnologías que se usan para ello y las comunicaciones con terceros, entre otros aspectos.

Una descripción detallada de los riesgos es fundamental para tener claros los aspectos que afectarán a la privacidad.

  1. Definir los riesgos

Con la información aportada en la fase anterior, es el momento de identificar claramente los riesgos en el tratamiento de los datos a los que se expone la empresa. Según el documento que presenta la AEPD, estos riesgos pueden ser de dos tipos:

–          Los que afectan a personas: riesgos que puedan vulnerar sus derechos.

–          Los que afectan a la empresa: aquellos que se derivan de no implementar una correcta política de protección de datos, en función de lo que dicta la legalidad vigente.

  1. Gestión de los riesgos

Tras identificar los riesgos, el paso siguiente para garantizar la correcta Evaluación de Impacto en Protección de Datos, será la gestión de los mismos. Para ello es imprescindible recurrir a consultas internas y externas con los actores implicados. Tras esto habrá que determinar qué tipos de controles y medidas se van a implementar.

  1. Analizar el cumplimiento de la norma

En esta fase de la EIPD hay que verificar que todo el contenido que se está desarrollando cumple debidamente con la legalidad. En este punto hay que tener en cuenta el sector para el que se está creando la evaluación de impacto, ya que es posible que los requisitos legales en cuanto al tratamiento de datos sean de mayor o menor nivel.

  1. Creación del informe final

En este informe hay que detallar debidamente los riesgos que se han encontrado, así como las recomendaciones para que su gestión y eliminación sea drástica. Este informe se debe enviar a la dirección de la empresa u organización. Además, la difusión, total o parcial, es importante.

  1. Implantar recomendaciones

Después de que la dirección de la empresa haya revisado completamente el informe elaborado, tendrá que tomar las medidas oportunas para su cumplimiento. Además, es fundamental que designe al responsable de la evaluación de impacto, para que garantice el cumplimiento de todo lo detallado en el informe final.

  1. Revisión constante

Tras todo el proceso de la Evaluación de Impacto, hay que analizar debidamente el resultado final. De esta forma se podrá comprobar la efectividad de todo el trabajo, así como si han aparecido riesgos nuevos. La actualización constante de dicha EIPD es fundamental para garantizar la protección de datos de terceros.

*Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.

Evaluación de Impacto en Protección de Datos I: claves y concepto

Con la reciente aprobación del Nuevo Reglamento Europeo de Protección de Datos, se han sumado algunas obligaciones que, hasta la fecha, no estaban contempladas en nuestra Ley Orgánica de Protección de datos. Una de estas novedades es la necesaria realización de una Evaluación de Impacto en Protección de Datos. Par explicar qué es esto y cómo debe de ponerse en práctica vamos a realizar una serie de artículos que nos faciliten las claves básicas para ello.

La propia Agencia Española de Protección de Datos (AEPD) ha diseñado un manual, disponible online, para llevar a cabo una Evaluación de Impacto (EIPD) consensuada y acertada. La base de esta necesidad radica en los cambios a los que nos enfrentamos, con la alta participación de las nuevas tecnologías en la vida cotidiana. Los datos de carácter personal alcanzan valores económicos nunca antes vistos y esto obliga a las empresas e instituciones a no salirse ni un ápice del marco legal establecido.

Definición de la Evaluación de Impacto en Protección de Datos

Para dejar claro qué es esto de la Evaluación de Impacto es interesante comenzar por definir el concepto. Según la propia AEPD, se trata de un análisis exhaustivo de los riesgos que puede aportar un servicio o producto en cuanto a la protección de datos personales de los usuarios. Pero la cosa no queda ahí, ya que además de analizar ese impacto es importante crear tips para una gestión óptima, que permitan identificar los riesgos y tomar las medidas oportunas para eliminarlos de raíz.

Una de las ventajas de realizar una EIPD radica en el ahorro económico. Obviamente, realizar la Evaluación de Impacto previa evitará tener que realizar un proceso tedioso sobre un negocio ya creado. Además, en el marco del nuevo Reglamento europeo de Protección de Datos esto es obligatorio, por lo que anticiparse puede evitar sanciones y multas por parte de la AEPD.

La obligación de realizar una EIPD

El artículo 35 del famoso Reglamento Europeo, de obligada aplicación en toda la UE, habla precisamente de esta obligación de realizar una Evaluación de Impacto en Protección de Datos personales. Pero, ¿quién está obligado a ello? Bien, pues cualquier empresa o negocio que cuente con un tratamiento de los datos que presenten un riesgo elevado en cuanto a derechos y libertades de las personas.

El responsable de tratamiento, en colaboración con el delegado de protección de datos, será el encargado de realizar esta EIPD y garantizar las gestiones oportunas para salvaguardar los datos personales. Además, uno de los puntos clave es la obligatoriedad de seguir un sistema de observación de forma constante, que garantice que los datos están debidamente protegidos.

El resultado final de la Evaluación de Impacto debe de ser un completo documento en el que se detallen todas las especificidades exigidas por el nuevo reglamento, que la AEPD apoya completamente. Este documento debe de distribuirse y publicitarse para que los usuarios tengan pleno conocimiento del tratamiento que se dará a sus datos personales.

 

*Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.

¿Te dedicas a la adaptación de empresas y pymes a la Ley de Protección de Datos?

  • por

https://youtu.be/Eg4E2iBshuo

¿Te dedicas a la adaptación de empresas y pymes a la Ley de Protección de Datos? En este caso estarás familiarizado con la enorme cantidad de papeleo que se debe de llevar a cabo para cumplir con la normativa vigente. Pero… ¡No te preocupes más! Porque para facilitarte el trabajo llega TecnoLOPD. Un software para consultores LOPD, con múltiples características y funcionalidades, que permitirá que cada adecuación a la Ley la puedas gestionar de forma eficiente y segura.

¿Qué es TecnoLOPD?

TecnoLOPD es una aplicación web, pensada para que los consultores de adaptación a la LOPD dispongan de todas las herramientas necesarias para optimizar su trabajo. A través del software es posible llevar a cabo tantas acciones como sean necesarias para que cualquier empresa cuente con todas las garantías que exige la Ley de Protección de Datos en la actualidad.

Entre las características principales de este software de gestión para consultores LOPD destaca la innovación y la actualización constante del programa. Nuestros abogados y consultores, expertos en la Ley de Protección de Datos de Carácter Personal, trabajan a diario para incorporar todas las novedades legales al software TecnoLOPD. Todo ello sin tener que pagar costes de mantenimiento adicionales.

¿Qué puedes hacer con TecnoLOPD?

Desde el programa podrás hacer tantas gestiones como sean necesarias para adecuar cualquier empresa a la LOPD. La inscripción de ficheros a la Agencia de Protección de Datos se hace de forma automatizada, mediante firma electrónica o por correo ordinario.

TecnoLOPD está disponible 24 horas al día, los 365 días del año. Para acceder al software de gestión simplemente es necesario contar con un dispositivo electrónico y una conexión a Internet. Desde la interfaz de usuario podrás gestionar tantas cuentas de adaptación a la LOPD como desees.

Toda la documentación necesaria para adecuar una empresa a la Ley de Protección de Datos está disponible en TecnoLOPD y se cumplimenta de forma automática, a través del programa.

Y… ¿Qué pasa con el documento de seguridad? A través de este sencillo software se generarán todo tipo de documentos y contratos, totalmente actualizados y optimizados para formar parte del famoso documento de seguridad que exige la Ley.

¿A quién va dirigido TecnoLOPD?

TecnoLOPD está especialmente pensado para dar soporte a consultores LOPD, que desempeñan tareas de adaptación a la Ley de Protección de Datos para numerosos clientes. Por lo tanto, es un software especializado, que permite a sus usuarios aportar una calidad extrema durante las gestiones con cada cliente. No importa el tamaño de la empresa a adaptar a la Ley, TecnoLOPD está pesado para dar cobertura a todo tipo de negocios.

Todo el software permanece en constante revisión, apostando por la calidad y ofreciendo la mejor solución a los consultores LOPD. TecnoLOPD es la forma más sencilla de mantener las adaptaciones a la ley de protección de datos de forma oficial y legal.

TecnoLOPD ahorra tiempo y aporta calidad a tus gestiones

Gracias al potente software de TecnoLOPD, los consultores LOPD podrán contar con más clientes. La optimización del tiempo y la calidad de cada adaptación es primordial para que sea posible trabajar con varias adaptaciones de forma simultánea. Y esto, precisamente, es la principal baza que ofrece este programa.

TecnoLOPD es un programa líder en su sector. Se trata del software de adaptación a la LOPD más completo que se puede encontrar en el mercado.

No lo dudes e incorpora TecnoLOPD a tus herramientas de adaptación a la LOPD. La calidad de tu trabajo y la confianza de tus clientes aumentarán notablemente.

El abandono de ficheros con datos personales: motivo de sanción

  • por

Hace unos días vio la luz una noticia que mucho tiene que ver con la destrucción de ficheros con datos de carácter personal. Concretamente, la Agencia Española de Protección de Datos (AEPD), ha sancionado a Instituciones Penitenciarias por el abandono de ficheros con datos personales de los reclusos en una antigua cárcel de Huelva.

Esta cárcel se cerró en el año 2008 y hoy en día el edificio está en total estado de abandono. Al parecer, por el suelo de algunas de las estancias de la prisión se encontraron numerosos documentos con datos e informes sobre reclusos. La AEPD ha estipulado que se trata de una falta grave.

La investigación sobre este caso parte del pasado mes de febrero, cuando la Agencia decide actuar de oficio para solventar el asunto. Tras realizar las pesquisas pertinentes y comprobar la gravedad del asunto, se ha impuesto una sanción a Instituciones Penitenciarias para que no vuelva a suceder un hecho de estas características. No obstante, cabe destacar que la AEPD no impone sanción económica a las administraciones públicas. Por lo tanto, es meramente una llamada de atención.

Pese a que Instituciones Penitenciarias no esté obligada a hacer frente al pago de una multa económica, no ocurriría lo mismo si la sanción hubiera sido interpuesta a una empresa privada. Por lo tanto, nos parece importante y necesario resaltar la importancia de la destrucción de ficheros con datos personales antiguos.

La LOPD sobre la destrucción de ficheros

La Ley Orgánica de Protección de Datos de Carácter Personal es clara frente a este punto. Todos los ficheros, de cualquier soporte, que contengan datos de personas deben de ser destruidos de forma eficaz. Es decir, resulta primordial que la información sea irrecuperable.

En este sentido, la LOPD establece diferentes tipos de ficheros, concretamente 6. Entre ellos destacan los documentos en papel, en soportes ópticos, soportes magnéticos o electrónicos.

En el caso de los documentos en papel, como los encontrados en la cárcel onubense, deben de ser perfectamente destruidos. Para ello, las trituradoras de papel son una buena herramienta. Aunque en caso de necesitar eliminar cantidades ingentes de documentos, recurrir a empresas específicas para ello es una buena solución. La quema de papeles nos parece una opción poco práctica y peligrosa, por lo que nosotros la desaconsejamos.

Si estamos ante CDs con datos, DVDs, discos duros, USBs, etc. Es importante realizar un borrado de información. No obstante, en el caso de que esto no sea posible, habrá que inutilizar los dispositivos. Un martillo es una buena herramienta para lograrlo.

El objetivo principal es evitar que un tercero pueda tener acceso a la información personal almacenada en cualquier tipo de soporte. Y, obviamente, evitar las posibles sanciones por parte de la Agencia Española de Protección de Datos.

Facebook, WhatsApp y el uso de nuestros datos

  • por

Las redes sociales forman parte de nuestra vida cotidiana y esto hace que las grandes compañías se afanen en buscar nuevas técnicas y métodos para sacar el máximo rendimiento que se puede dar a este tipo de servicios. En este sentido, desde que la gran red social, Facebook, se hizo con las acciones del sistema de mensajería instantánea más utilizado en el mundo, WhatsApp, las acciones y cambios sobre la privacidad no han dejado de sucederse.

El caso más reciente es el último cambio sobre las políticas de privacidad y términos de servicio que todos los usuarios de WhatsApp han tenido que aceptar para continuar disfrutando de la aplicación. Si bien es cierto que la compañía ofreció un plazo de treinta días a los usuarios para decir que “NO” a sus nuevas políticas, han sido muchísimos los clientes de este sistema los que han aceptado las nuevas bases sin conocer exactamente el uso que tendrán sus datos.

Lo que debes conocer sobre las nuevas políticas de privacidad de WhatsApp

A finales del pasado mes de agosto, WhatsApp anunció un cambio importante en sus términos de servicio. Lo que se pretende es lograr una colaboración más grande y estrecha con Facebook. Esto se consigue conectando el número de teléfono de cada usuario con la red social. Las explicaciones de la compañía de Zuckerberg pasan por asegurar que lo que se pretende es mejorar la experiencia de los usuarios a todos los niveles.

Uno de los objetivos principales de esta acción es que los usuarios de ambas aplicaciones puedan comunicarse activamente con marcas comerciales, además de con sus contactos habituales. Obviamente, para lograr esto ha sido necesario gestionar un importante cambio en las políticas de privacidad de la empresa.

Según Facebook, pese a que WhatsApp colabore de forma activa con la red social, los datos de los usuarios jamás se venderán ni serán compartidos con terceros, ni siquiera con el propio Facebook. El principal uso que se darán a estos datos tiene su explicación en las estadísticas que obtendrá la compañía de cara a ofrecer una experiencia personalizada. De esta forma, los anuncios que muestran a través de la red social serán mucho más acordes a las necesidades y gustos de cada cliente.

Por otra parte, cabe destacar que todos los mensajes que se difunden a través de WhatsApp cuentan con un sistema de cifrado, que evita que ningún tercero tenga acceso a ellos. Es decir, cada mensaje es totalmente confidencial.

Pese a todas las explicaciones de WhatsApp y Facebook, que aseguran que la confidencialidad de los datos personales de sus usuarios está totalmente garantizada, la Agencia Española de Protección de Datos está analizando todos los cambios en los términos de servicio de la aplicación de mensajería para conocer qué impacto tendrá esto sobre la seguridad y la privacidad.

Datos a través de drones: ¿estamos protegidos?

Las nuevas tecnologías evolucionan a pasos agigantados. Esto hace que muchas de las leyes vigentes en materia de protección de datos hayan quedado totalmente obsoletas. De hecho, el nuevo Reglamento Europeo de Protección de Datos, se ha llevado a cabo para poder asumir todas las novedades digitales y tecnológicas. Este reglamento deroga la directiva europea del año 1955, que había quedado totalmente desfasada. No obstante, la nueva norma no cuenta con ningún apartado específico para los datos personales que pueden recabar los drones.

Los expertos en protección de datos aseguran que no es el momento de crear leyes más específicas, puesto que el nuevo reglamento europeo ya contempla diversas situaciones y los derechos y obligaciones que cada ciudadano tiene frente a los datos de carácter personal.

Datos captados por drones

Un dron es una aeronave de reducido tamaño, capaz de obtener todo tipo de datos. Vídeo, audio e imágenes pueden ser archivadas por estos pequeños aparatos, que son capaces de pasar desapercibidos ante el ojo humano. De hecho, lo que más preocupa a las autoridades y a los ciudadanos es esto. En muchas ocasiones, un dron puede estar actuando sin que nadie lo haya detectado y, obviamente, se estaría generando una intromisión en la intimidad y los derechos de aquellos que estén siendo grabados.

En España ya son casi 2.000 los drones registrados. Pero lo más importante es que estamos ante cifras que crecen de manera vertiginosa. Se espera que, en menos de cuatro años, las ventas de drones se cuadrupliquen. Desde la Agencia Española de Protección de Datos (AEPD) aseguran que poder proteger los datos de los ciudadanos se ha convertido en una prioridad extrema.

En este sentido, desde las autoridades competentes en esta materia, se explica claramente que cualquier persona que pilote un dron a control remoto debe de informar de lo que está haciendo. Exactamente igual que en todo espacio, público o privado, en el que hay colocadas cámaras de seguridad es imprescindible informar al ciudadano de que sus imágenes están siendo tomadas y grabadas, los usuarios de drones deberían de hacer lo mismo.

El problema, en este sentido, recae en la forma en la que los responsables deben de informar a la ciudadanía. Por ello, la AEPD ha establecido la necesidad de hacerlo a través de vías como los carteles, las redes sociales o la entrega de folletos aclaratorios. Si el ciudadano ha sido debidamente informado, podrá ejercer sus derechos de acceso, cancelación u oposición, en el caso de que desee que sus datos sean eliminados de cualquier archivo que generen los drones.

Los organismos encargados de la protección de datos de carácter personal aseguran que es muy importante que los propios ciudadanos que sepan que se está realizando un uso fraudulento de estas aeronaves, lo pongan en conocimiento de las autoridades competentes. Según la Agencia Española de Protección de Datos, en poco más de un año se denunciaron 150 usuarios de drones, que no estaban cumpliendo con la normativa vigente en cuestiones de seguridad y protección de datos.

La figura del delegado de protección de datos

  • por

Con la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, aparecen algunas novedades de obligado cumplimiento. Una de ellas es la nueva figura del delegado de protección de datos. Teniendo en cuenta que el Reglamento está en ese periodo transitorio de dos años para que todas las empresas y organismos de la UE lo pongan en práctica, es importante comprender qué novedades habrá que ir implementando para evitar futuras sanciones.

Cabe destacar que este nuevo Reglamento deroga la directiva europea de 1995 en materia de protección de datos. Además, es de obligado cumplimiento para todas las empresas, organizaciones y organismos públicos de la Unión Europea. De hecho, no es necesario que a nivel nacional se redacte una Ley para ponerlo en marcha, puesto que no se trata de una directiva.

En los artículos 37 a 39 de este nuevo Reglamento Europeo de Protección de Datos se detalla la incorporación de la figura del Delegado de protección de datos. Pero, ¿sabemos realmente cuáles son sus funciones?

Las funciones del delegado de protección de datos

El delegado de protección de datos o DPO (por sus siglas en inglés) debe de estar especializado en derecho de protección de datos y estará por encima del responsable de tratamiento y el encargado de tratamiento de los datos. Sus funciones son variadas y muy importantes:

  1. Asesoramiento a los encargados del tratamiento de los datos personales sobre sus obligaciones ante el nuevo Reglamento, así como las que se devienen de la normativa nacional.
  2. En el caso de que los datos que se manejan sean de alto riesgo, deberá de realizar un estudio de impacto, asesorando a los responsables sobre cada cuestión. Además, tendrá que comprobar su cumplimiento.
  3. Labores de supervisión a todos los niveles para cerciorarse de que se está poniendo en práctica el nuevo Reglamento Europeo en Protección de Datos (tanto en organismos públicos como en empresas privadas).
  4. Funcionará como nexo de unión entre los organismos público y empresas con la Agencia de Protección de Datos.

Además, el delegado de protección de datos podrá ser requerido por los titulares de los datos personales para solventar cualquier duda al respecto del tratamiento de sus datos.

¿Es obligatorio contar con esta figura?

La respuesta es “sí”. El delegado de protección de datos es una nueva figura que debe constar, de forma obligatoria, en todos los organismos públicos. Además, las empresas que se dediquen al tratamiento de datos masivo también tendrán que incorporar a un delegado en su organigrama.

Por otra parte, pese a que el Reglamento recomienda incorporar esta nueva figura a todas las empresas, no es obligatorio para aquellas PYMEs y otros organismos que su actividad principal no conlleve un tratamiento de datos personales que requieran un nivel de protección alto.

Nombramiento del delegado

Es importante tener en cuenta que no es necesario que cada empresa u organización cuente con un delegado de protección de datos independiente. De hecho, las administraciones públicas pueden tener un mismo delegado para diversos organismos. Lo mismo ocurre con los grupos empresariales. Además, aquellos organismos que representen a diferentes empresas tendrán la potestad de nombrar a un delegado para todas ellas.

Obviamente, el delegado de protección de datos puede formar parte o no de la plantilla del negocio. Aunque es importante que la independencia de esta figura esté totalmente garantizada y no podrá ser destituido de su cargo por motivos que atañan al desempeño de su labor.

¿Cómo actuar ante la suplantación de identidad en Internet?

  • por

En esta era tan tecnológica en la que todos los usuarios estamos activamente conectados es posible que se ocasionen situaciones nefastas como la suplantación de identidad online. De hecho, según los datos registrados por la Oficina de Seguridad del Internauta (OSI), las suplantaciones de identidad por Internet en España aumentaron, en 2015, hasta en un 178 %, respecto al ejercicio anterior.

Lo más importante es tener claro cómo actuar frente a este tipo de fraudes, que se ejecutan vulnerando la intimidad y la propia imagen de los ciudadanos. La suplantación de identidad online se puede producir de varias formas. Algunas son constitutivas de delito y otras no, pero siempre se están infringiendo las bases de la LOPD.

Registrar un perfil falso en redes sociales o en cualquier otro servicio online, en el que se detalle nombre o imagen de un tercero es una vulneración clara de la Ley de Protección de Datos. Pero si en ese perfil no se están usando datos relativos a la información personal, no será tenido en cuenta como delito.

Por otra parte, en el caso de que se incluyan datos personales, como el correo electrónico, número de teléfono, dirección, etc. estaríamos ante un caso constitutivo de delito. Además, si el usurpante usa la identidad de un tercero para acceder a numerosos servicios estaríamos ante graves casos de usurpación de identidad online. Según el artículo 18 de la Constitución española, las penas de cárcel para estos sujetos podrían llegar a los tres años.

Cómo prevenir la suplantación de identidad online

La prevención de la suplantación de identidad por Internet es clave para evitar disgustos mayores. Para ello es importante tener en cuenta los consejos que ofrecen organismos como la AEPD o la OSI.

  1. Contraseñas online: las contraseñas deben de ser complicadas, incluyendo números, signos, mayúsculas y minúsculas. Además, es conveniente cambiarlas cada cierto periodo de tiempo.
  2. Redes Wifi públicas: si se usa alguna conexión Wifi gratuita es importante evitar enviar datos relevantes, porque es posible que toda esa información esté siendo controlada.
  3. E-mails desconocidos: el banco jamás va a pedir claves y contraseñas a través de correos electrónicos. Por lo tanto, en caso de recibir e-mails solicitando información personal, es importante evitar enviarla.
  4. Contactos en Redes Sociales: existen perfiles en Redes Sociales que resultan fraudulentos y que solamente pretenden obtener datos personales de los usuarios. Por lo tanto, es importante proteger las Redes Sociales con elevadas medidas de seguridad y evitar añadir a contactos desconocidos.
  5. Política de privacidad: antes de rellenar formularios de inscripción a determinados servicios digitales es fundamental leer bien la política de privacidad. Esta es la única forma de entender qué se hará con los datos entregados.
  6. Pasarelas de pago: los datos de las tarjetas de crédito son especialmente sensibles. Por lo tanto, antes de abonar cualquier servicio online hay que asegurarse de que se trata de una pasarela de pago segura. En la barra de direcciones debe de aparecer un candado.

Actuar frente a la usurpación de identidad

En el caso de que ya se haya producido el fraude y la suplantación de identidad online es importante actuar de forma rápida. Si estamos ante la creación de un perfil falso en cualquier red social o página web, habrá que denunciar el hecho ante el propio servicio. Cada empresa cuenta con unos tiempos de respuesta concretos.

Si no se solventa satisfactoriamente el asunto con dicha empresa se puede recurrir a la Agencia Española de Protección de Datos, que está capacitada para actuar en estos casos. Además, la AEPD podrá interponer una multa económica si así lo considera oportuno.

En el caso de que la suplantación de identidad conlleve delito es primordial acudir inmediatamente a las Fuerzas y Cuerpos de Seguridad del Estado. Guardar cualquier prueba, como capturas de pantalla, mensajes, etc., es muy importante para que se pueda actuar de forma óptima.