Saltar al contenido

LOPD

Evaluación de Impacto en Protección de Datos II: Fases

  • por

En la primera entrega sobre la Evaluación de Impacto en Protección de Datos (EIPD) nos dedicamos a definir el concepto y las claves básicas para llevarla a cabo. Hoy vamos a adentrarnos un poco más ante la obligatoriedad de establecer una EIPD adecuada para las empresas u organizaciones.

Las fases de la Evaluación de Impacto en Protección de Datos son varias. En primer lugar, hay que tener en cuenta qué aspectos debemos de tratar y cómo llegar hasta ellos. En el documento que la AEPD ha establecido para orientar a las empresas sobre esta EIPD se pueden leer todas las claves para crear una evaluación de impacto óptima. No obstante, aquí vamos a repasar los aspectos fundamentales.

Fases para la Evaluación de Impacto en Protección de Datos

  1. Análisis de la necesidad

En la entrega anterior sobre EIPD especificamos qué empresas u organizaciones deben acogerse a la Evaluación de Impacto en Protección de Datos. En esta fase inicial hay que realizar una pequeña reflexión para tener clara la necesidad de contar con una EIPD. En el caso de que el tratamiento de los datos no sea masivo o la empresa no necesite explotar los datos de terceros, es posible que la evaluación de impacto no deba de ser tan exhaustiva.

  1. Descripción del proyecto

En una segunda instancia es importante comprobar cuáles son los riesgos que podrán en jaque la privacidad de los datos de terceros. Aquí hay que estudiar bien los objetivos del negocio, quiénes serán actores implicados, qué categorías de datos se tratan, las tecnologías que se usan para ello y las comunicaciones con terceros, entre otros aspectos.

Una descripción detallada de los riesgos es fundamental para tener claros los aspectos que afectarán a la privacidad.

  1. Definir los riesgos

Con la información aportada en la fase anterior, es el momento de identificar claramente los riesgos en el tratamiento de los datos a los que se expone la empresa. Según el documento que presenta la AEPD, estos riesgos pueden ser de dos tipos:

–          Los que afectan a personas: riesgos que puedan vulnerar sus derechos.

–          Los que afectan a la empresa: aquellos que se derivan de no implementar una correcta política de protección de datos, en función de lo que dicta la legalidad vigente.

  1. Gestión de los riesgos

Tras identificar los riesgos, el paso siguiente para garantizar la correcta Evaluación de Impacto en Protección de Datos, será la gestión de los mismos. Para ello es imprescindible recurrir a consultas internas y externas con los actores implicados. Tras esto habrá que determinar qué tipos de controles y medidas se van a implementar.

  1. Analizar el cumplimiento de la norma

En esta fase de la EIPD hay que verificar que todo el contenido que se está desarrollando cumple debidamente con la legalidad. En este punto hay que tener en cuenta el sector para el que se está creando la evaluación de impacto, ya que es posible que los requisitos legales en cuanto al tratamiento de datos sean de mayor o menor nivel.

  1. Creación del informe final

En este informe hay que detallar debidamente los riesgos que se han encontrado, así como las recomendaciones para que su gestión y eliminación sea drástica. Este informe se debe enviar a la dirección de la empresa u organización. Además, la difusión, total o parcial, es importante.

  1. Implantar recomendaciones

Después de que la dirección de la empresa haya revisado completamente el informe elaborado, tendrá que tomar las medidas oportunas para su cumplimiento. Además, es fundamental que designe al responsable de la evaluación de impacto, para que garantice el cumplimiento de todo lo detallado en el informe final.

  1. Revisión constante

Tras todo el proceso de la Evaluación de Impacto, hay que analizar debidamente el resultado final. De esta forma se podrá comprobar la efectividad de todo el trabajo, así como si han aparecido riesgos nuevos. La actualización constante de dicha EIPD es fundamental para garantizar la protección de datos de terceros.

*Aviso legal: este artículo es propiedad en exclusiva de TecnoLOPD. No está permitida su reproducción total o parcial sin el consentimiento previo del propietario.

El abandono de ficheros con datos personales: motivo de sanción

  • por

Hace unos días vio la luz una noticia que mucho tiene que ver con la destrucción de ficheros con datos de carácter personal. Concretamente, la Agencia Española de Protección de Datos (AEPD), ha sancionado a Instituciones Penitenciarias por el abandono de ficheros con datos personales de los reclusos en una antigua cárcel de Huelva.

Esta cárcel se cerró en el año 2008 y hoy en día el edificio está en total estado de abandono. Al parecer, por el suelo de algunas de las estancias de la prisión se encontraron numerosos documentos con datos e informes sobre reclusos. La AEPD ha estipulado que se trata de una falta grave.

La investigación sobre este caso parte del pasado mes de febrero, cuando la Agencia decide actuar de oficio para solventar el asunto. Tras realizar las pesquisas pertinentes y comprobar la gravedad del asunto, se ha impuesto una sanción a Instituciones Penitenciarias para que no vuelva a suceder un hecho de estas características. No obstante, cabe destacar que la AEPD no impone sanción económica a las administraciones públicas. Por lo tanto, es meramente una llamada de atención.

Pese a que Instituciones Penitenciarias no esté obligada a hacer frente al pago de una multa económica, no ocurriría lo mismo si la sanción hubiera sido interpuesta a una empresa privada. Por lo tanto, nos parece importante y necesario resaltar la importancia de la destrucción de ficheros con datos personales antiguos.

La LOPD sobre la destrucción de ficheros

La Ley Orgánica de Protección de Datos de Carácter Personal es clara frente a este punto. Todos los ficheros, de cualquier soporte, que contengan datos de personas deben de ser destruidos de forma eficaz. Es decir, resulta primordial que la información sea irrecuperable.

En este sentido, la LOPD establece diferentes tipos de ficheros, concretamente 6. Entre ellos destacan los documentos en papel, en soportes ópticos, soportes magnéticos o electrónicos.

En el caso de los documentos en papel, como los encontrados en la cárcel onubense, deben de ser perfectamente destruidos. Para ello, las trituradoras de papel son una buena herramienta. Aunque en caso de necesitar eliminar cantidades ingentes de documentos, recurrir a empresas específicas para ello es una buena solución. La quema de papeles nos parece una opción poco práctica y peligrosa, por lo que nosotros la desaconsejamos.

Si estamos ante CDs con datos, DVDs, discos duros, USBs, etc. Es importante realizar un borrado de información. No obstante, en el caso de que esto no sea posible, habrá que inutilizar los dispositivos. Un martillo es una buena herramienta para lograrlo.

El objetivo principal es evitar que un tercero pueda tener acceso a la información personal almacenada en cualquier tipo de soporte. Y, obviamente, evitar las posibles sanciones por parte de la Agencia Española de Protección de Datos.

La figura del delegado de protección de datos

  • por

Con la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, aparecen algunas novedades de obligado cumplimiento. Una de ellas es la nueva figura del delegado de protección de datos. Teniendo en cuenta que el Reglamento está en ese periodo transitorio de dos años para que todas las empresas y organismos de la UE lo pongan en práctica, es importante comprender qué novedades habrá que ir implementando para evitar futuras sanciones.

Cabe destacar que este nuevo Reglamento deroga la directiva europea de 1995 en materia de protección de datos. Además, es de obligado cumplimiento para todas las empresas, organizaciones y organismos públicos de la Unión Europea. De hecho, no es necesario que a nivel nacional se redacte una Ley para ponerlo en marcha, puesto que no se trata de una directiva.

En los artículos 37 a 39 de este nuevo Reglamento Europeo de Protección de Datos se detalla la incorporación de la figura del Delegado de protección de datos. Pero, ¿sabemos realmente cuáles son sus funciones?

Las funciones del delegado de protección de datos

El delegado de protección de datos o DPO (por sus siglas en inglés) debe de estar especializado en derecho de protección de datos y estará por encima del responsable de tratamiento y el encargado de tratamiento de los datos. Sus funciones son variadas y muy importantes:

  1. Asesoramiento a los encargados del tratamiento de los datos personales sobre sus obligaciones ante el nuevo Reglamento, así como las que se devienen de la normativa nacional.
  2. En el caso de que los datos que se manejan sean de alto riesgo, deberá de realizar un estudio de impacto, asesorando a los responsables sobre cada cuestión. Además, tendrá que comprobar su cumplimiento.
  3. Labores de supervisión a todos los niveles para cerciorarse de que se está poniendo en práctica el nuevo Reglamento Europeo en Protección de Datos (tanto en organismos públicos como en empresas privadas).
  4. Funcionará como nexo de unión entre los organismos público y empresas con la Agencia de Protección de Datos.

Además, el delegado de protección de datos podrá ser requerido por los titulares de los datos personales para solventar cualquier duda al respecto del tratamiento de sus datos.

¿Es obligatorio contar con esta figura?

La respuesta es “sí”. El delegado de protección de datos es una nueva figura que debe constar, de forma obligatoria, en todos los organismos públicos. Además, las empresas que se dediquen al tratamiento de datos masivo también tendrán que incorporar a un delegado en su organigrama.

Por otra parte, pese a que el Reglamento recomienda incorporar esta nueva figura a todas las empresas, no es obligatorio para aquellas PYMEs y otros organismos que su actividad principal no conlleve un tratamiento de datos personales que requieran un nivel de protección alto.

Nombramiento del delegado

Es importante tener en cuenta que no es necesario que cada empresa u organización cuente con un delegado de protección de datos independiente. De hecho, las administraciones públicas pueden tener un mismo delegado para diversos organismos. Lo mismo ocurre con los grupos empresariales. Además, aquellos organismos que representen a diferentes empresas tendrán la potestad de nombrar a un delegado para todas ellas.

Obviamente, el delegado de protección de datos puede formar parte o no de la plantilla del negocio. Aunque es importante que la independencia de esta figura esté totalmente garantizada y no podrá ser destituido de su cargo por motivos que atañan al desempeño de su labor.

¿Cómo actuar ante la suplantación de identidad en Internet?

  • por

En esta era tan tecnológica en la que todos los usuarios estamos activamente conectados es posible que se ocasionen situaciones nefastas como la suplantación de identidad online. De hecho, según los datos registrados por la Oficina de Seguridad del Internauta (OSI), las suplantaciones de identidad por Internet en España aumentaron, en 2015, hasta en un 178 %, respecto al ejercicio anterior.

Lo más importante es tener claro cómo actuar frente a este tipo de fraudes, que se ejecutan vulnerando la intimidad y la propia imagen de los ciudadanos. La suplantación de identidad online se puede producir de varias formas. Algunas son constitutivas de delito y otras no, pero siempre se están infringiendo las bases de la LOPD.

Registrar un perfil falso en redes sociales o en cualquier otro servicio online, en el que se detalle nombre o imagen de un tercero es una vulneración clara de la Ley de Protección de Datos. Pero si en ese perfil no se están usando datos relativos a la información personal, no será tenido en cuenta como delito.

Por otra parte, en el caso de que se incluyan datos personales, como el correo electrónico, número de teléfono, dirección, etc. estaríamos ante un caso constitutivo de delito. Además, si el usurpante usa la identidad de un tercero para acceder a numerosos servicios estaríamos ante graves casos de usurpación de identidad online. Según el artículo 18 de la Constitución española, las penas de cárcel para estos sujetos podrían llegar a los tres años.

Cómo prevenir la suplantación de identidad online

La prevención de la suplantación de identidad por Internet es clave para evitar disgustos mayores. Para ello es importante tener en cuenta los consejos que ofrecen organismos como la AEPD o la OSI.

  1. Contraseñas online: las contraseñas deben de ser complicadas, incluyendo números, signos, mayúsculas y minúsculas. Además, es conveniente cambiarlas cada cierto periodo de tiempo.
  2. Redes Wifi públicas: si se usa alguna conexión Wifi gratuita es importante evitar enviar datos relevantes, porque es posible que toda esa información esté siendo controlada.
  3. E-mails desconocidos: el banco jamás va a pedir claves y contraseñas a través de correos electrónicos. Por lo tanto, en caso de recibir e-mails solicitando información personal, es importante evitar enviarla.
  4. Contactos en Redes Sociales: existen perfiles en Redes Sociales que resultan fraudulentos y que solamente pretenden obtener datos personales de los usuarios. Por lo tanto, es importante proteger las Redes Sociales con elevadas medidas de seguridad y evitar añadir a contactos desconocidos.
  5. Política de privacidad: antes de rellenar formularios de inscripción a determinados servicios digitales es fundamental leer bien la política de privacidad. Esta es la única forma de entender qué se hará con los datos entregados.
  6. Pasarelas de pago: los datos de las tarjetas de crédito son especialmente sensibles. Por lo tanto, antes de abonar cualquier servicio online hay que asegurarse de que se trata de una pasarela de pago segura. En la barra de direcciones debe de aparecer un candado.

Actuar frente a la usurpación de identidad

En el caso de que ya se haya producido el fraude y la suplantación de identidad online es importante actuar de forma rápida. Si estamos ante la creación de un perfil falso en cualquier red social o página web, habrá que denunciar el hecho ante el propio servicio. Cada empresa cuenta con unos tiempos de respuesta concretos.

Si no se solventa satisfactoriamente el asunto con dicha empresa se puede recurrir a la Agencia Española de Protección de Datos, que está capacitada para actuar en estos casos. Además, la AEPD podrá interponer una multa económica si así lo considera oportuno.

En el caso de que la suplantación de identidad conlleve delito es primordial acudir inmediatamente a las Fuerzas y Cuerpos de Seguridad del Estado. Guardar cualquier prueba, como capturas de pantalla, mensajes, etc., es muy importante para que se pueda actuar de forma óptima.

¿Deben adecuarse los blogs a la LOPD?

Una de las dudas más frecuentes que surgen frente a la Ley de Protección de Datos de Carácter Personal, se basan en averiguar la necesidad que tienen los blogs a adecuarse a la LOPD. La realidad es que cualquier entidad que maneje datos personales debería estar adecuada a esta Ley. Pero hay algunos matices a tener en cuenta.

Un blog solamente debe obviar la LOPD en el caso de que no maneje datos de carácter personal. Esto ocurre cuando la web en cuestión simplemente se dedica a publicar posts o noticias. Pero, lo habitual es que los blogs recojan datos a través de formularios de suscripción o de contacto. En estos casos, es obligatorio que se tomen las medidas de seguridad que establece la Ley Orgánica de Protección de Datos.

¿Por qué un blog recoge datos personales?

Vamos a explicar todo esto de la forma más sencilla para evitar errores. Para ello es importante saber qué se entiende por “dato personal”. Cualquier información sobre una persona física identificada o posiblemente identificable tendrá el tratamiento de dato personal. Si tenemos en cuenta que través de los formularios de suscripción de cualquier blog se recoge (generalmente) el nombre y apellidos, así como el correo electrónico del usuario, es fácil comprender que se están tratando datos de carácter personal.

Si el blog simplemente recoge correos electrónicos la duda que se plantea es la siguiente: ¿es el e-mail un dato personal? Bien, la respuesta es afirmativa si a través de los caracteres, símbolos y signos de la dirección de correo se puede identificar a la persona que hay detrás de la dirección.

Por ejemplo: si nos encontramos una dirección como “perroverde@yo.com” no se está identificando al usuario que está detrás. Pero, supongamos que la dirección es “pacolopez@yo.com”, en este caso los datos personales del propietario del correo electrónico se identifican de forma sencilla.

Como este tipo de direcciones de correo electrónico son muy habituales, será primordial que el blog esté perfectamente adecuado a la LOPD. Además, el uso de una dirección de e-mail sin consentimiento del titular de la misma estaría vulnerando la normativa establecida por la LOPD. Obviamente, esto podría provocar una denuncia frente a la Agencia de Protección de Datos (AGPD).

¿Cómo adecuar un blog a la LOPD?

En el caso de que el blog esté en cualquiera de los supuestos detallados anteriormente es importante que cumpla los requisitos establecidos por la LOPD en cuanto a comunicación, tratamiento y seguridad de los datos de carácter personal. Si bien es cierto que en la actualidad las cosas están cambiando al entrar en vigor el Nuevo Reglamento Europeo de Protección de Datos, no será hasta el 25 de mayo de 2018 cuando se instaure definitivamente. De esto ya hemos hablado en otros artículos.

Los datos que se recogen a través de los formularios de un blog deben organizarse óptimamente en ficheros. Estos ficheros se tienen que comunicar a la AGPD, indicando su finalidad y quién será el encargado del tratamiento de los mismos.

A la hora de recabar datos de carácter personal es muy importante que el usuario esté debidamente informado del uso que se les va a dar a los mismos. En este sentido, los textos legales adquieren una importancia extrema. Además, hay que informar al usuario de los derechos que tiene sobre sus datos. Y como responsables del fichero, los bloggers están obligados a mantener los mismos actualizados y a borrar aquellos que ya no cumplan la función para la que fueron solicitados.