martes, 15 octubre 2019
ZONA PREMIUM
Liderazgo

“En cuestión de ciberseguridad, el riesgo cero no existe”

Entrevista a María Ángeles Rojo, abogada especializada en Tecnologías de la Información y de la Comunicación y responsable del departamento de nuevas tecnologías de Letradox Abogados

02 de septiembre de 2019. 10:55h Alexandra Gheorghiu
  • “En cuestión de ciberseguridad, el riesgo cero no existe”

La protección de datos forma parte indisoluble de la sociedad de la información y todos sus actores (empresas, ciudadanos u organismos públicos) deben concienciarse de su relevancia, de la necesidad de proteger los datos, sin olvidar que existe una legislación que les ampara al respecto.

El pasado 25 de mayo se cumplió el primer año de la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y para conocer su importancia, si las empresas están haciendo lo suficiente o qué relevancia tiene la protección de datos con respecto al registro de jornada laboral, DIRIGENTES habla con María Ángeles Rojo, abogada especializada en Tecnologías de la Información y de la Comunicación y responsable del departamento de nuevas tecnologías de Letradox Abogados.

“En cuestión de ciberseguridad, el riesgo cero no existe”

¿Por qué es tan importante la protección de datos?

En la actual sociedad de la información, los datos de carácter personal se han convertido en el motor de la economía. Por lo tanto, se trata de un activo muy cotizado por las empresas, pero también por ciberdelincuentes, que pretenden lucrarse con ello.

A su vez, la protección de datos es un derecho fundamental, reconocido por la legislación y la jurisprudencia. La difusión indiscriminada de cierta información o la toma de decisiones basadas en datos obtenidos sin consentimiento del titular constituyen un peligro para todo ciudadano que los gobiernos y las empresas deben respetar y proteger.

¿Cuáles son las principales claves de implementación del Reglamento de Protección de Datos (RGPD) en un negocio que acaba de comenzar en Internet?

El nuevo modelo que impone el RGPD es menos formalista y otorga más libertad de organización a las empresas, sin embargo una mayor libertad también implica una mayor responsabilidad.

Es esencial realizar un análisis de riesgos (o en su caso una evaluación de impacto) y en función del mismo, establecer las medidas de seguridad más adecuadas para mitigar ese riesgo o reducirlo al mínimo posible, siendo conscientes de que en ciberseguridad el riesgo cero no existe.

Además, no debemos olvidar la obligación de informar sobre el tratamiento que vamos a realizar de los datos de carácter personal, recabar el consentimiento y hacerlo de la forma que nos dice la ley, cuando así sea necesario, contar con los correspondientes contratos firmados con los encargados del tratamiento, etc.

En estas labores será de inestimable ayuda la figura del Delegado de Protección de Datos, que en algunos casos es obligatorio por ley, pero en todos es muy recomendable; así como contar con asesoramiento experto siempre que lo requiramos.

Respecto al registro de jornada laboral, ¿qué relevancia tiene la protección de datos en este ámbito?

Este sistema implica necesariamente un tratamiento de datos de carácter personal, pues tanto el nombre, apellidos y, probablemente, cargo del trabajador, quedan asociados a una concreta ubicación en un determinado momento del tiempo.

La empresa está legalmente obligada a llevar ese registro, por lo que no existiría problema de legitimación y el trabajador no tiene que dar su consentimiento a la misma para llevarlo a cabo.

Sin embargo, el trabajador ha de ser convenientemente informado, han de prestarse las medidas de seguridad adecuadas y, tener en cuenta que en determinados casos el método utilizado para llevar a cabo ese control implica el uso de datos especialmente protegidos como es el caso de las huellas dactilares o el reconocimiento facial, que se consideran datos biométricos.

"He leído y acepto" o "acepto las condiciones del servicio y la política de privacidad". Son los mensajes que se observan antes de ver un contenido en cualquier web. Muchas personas no leen estas condiciones. ¿La ley protege los datos personales o simplemente da la libertad de hacer lo que se quiera con ellos?

La protección de datos de carácter personal está reconocida por la normativa y la jurisprudencia como un derecho autónomo, por lo tanto y como regla general, los ciudadanos estamos protegidos frente al uso indebido de nuestros datos de carácter personal, si bien es cierto que, en la práctica, muchas empresas aún no están concienciadas con esta realidad y se realizan multitud de vulneraciones de derechos en relación a la misma.

El nuevo RGPD impone al responsable la obligación no solo de informar y/o en su caso, solicitar el consentimiento al interesado, así como imponer las medidas de seguridad adecuadas; sino también la obligación de demostrar que, efectivamente, está cumpliendo con sus obligaciones al respecto. Por lo tanto, no basta con utilizar una fórmula preestablecida o un mero formalismo y creer que con eso ya estamos cubiertos frente a cualquier eventualidad.

Cuando una aplicación nos pide permiso para acceder a datos, fotos y contactos de la agenda, ¿de qué manera se protegen los datos de las terceras personas de nuestras fotos personales o el número de teléfono de un familiar o amigo?

Todo esto dependerá del tratamiento de los datos que haga cada una de las aplicaciones para las cuales prestemos nuestro consentimiento y deberá quedar debidamente recogido en su política de privacidad, la cual debemos conocer y entender antes de proporcionar nuestro consentimiento o, en su caso, de instalar la aplicación.

Debemos tener especial cuidado cuando una aplicación nos solicite acceso a datos de terceros, pues si éstos no han dado su consentimiento previo, como norma general y salvo que exista otra fuente de legitimación, dicho acceso no estaría permitido.

Tras muchos escándalos producidos por brechas de seguridad, robos de información y de datos personales, por ejemplo, los relacionados con Facebook, ¿por qué ocurren estos hechos? ¿Cómo puede ser que empresas tan grandes tengan estos problemas de seguridad?

En cuestión de ciberseguridad el riesgo cero no existe. Cada día surgen nuevos retos que tienen en jaque a los responsables de los centros de datos. Es por ello que en algunos casos es inevitable que se produzcan situaciones de riesgo y que estos riesgos lleguen a materializarse. Si el responsable es capaz de demostrar que hizo todo lo posible para evitar dicha situación, es muy probable que evitemos también la sanción.

Sin embargo, en muchos otros casos se debe a falta de previsión por parte de los responsables a la hora de implementar las medidas de seguridad adecuadas, así como a errores humanos o conductas ilícitas por parte de trabajadores u otros miembros de la organización. En estos casos habrá que determinar hasta dónde llega la responsabilidad de las personas y organizaciones que debieron prever esa situación y actuar en consecuencia.

Al cerrar un negocio, ¿qué ocurre con todos esos datos, cómo se protegen?

La normativa de protección de datos nos dice que los mismos tienen que ser adecuadamente eliminados cuando ya no sean necesarios para la finalidad para la que fueron recabados, salvo que deban mantenerse para cumplir con otras obligaciones legales, como sucede con el caso de las reclamaciones o para cumplir con los deberes fiscales.

La eliminación debe ser adecuada, de tal forma que no puedan llegar a recuperarse. Existen empresas en el mercado que garantizan que efectivamente los datos han sido destruidos. Como sabemos no es suficiente con cumplir, sino que el responsable tiene, en todo momento, que estar en condiciones de probar que ha cumplido.

El 25 de mayo se cumplió un año de la entrada en vigor del Reglamento General de Protección de Datos (RGPD), ¿ha cambiado la forma en la que se tratan los datos? ¿Queda mucho por hacer? ¿habrá muchas sanciones por incumplimiento?

Tal vez, de cara a los ciudadanos cuando más pudo notarse fue los días previos al comienzo de la aplicación del nuevo RGPD, pues todos empezamos a recibir un aluvión de mensajes solicitándonos el consentimiento para el tratamiento de nuestros datos de carácter personal para adaptarse a la nueva normativa.

En muchas ocasiones no era necesario que las empresas volvieran a recabar el consentimiento, bien por haberlo obtenido ya con anterioridad con los requisitos del RGPD, bien porque el tratamiento podía ampararse en otra fuente de legitimación. Pero muchas empresas, sin duda mal asesoradas, prefirieron llevar a cabo este bombardeo de solicitudes, en muchos casos con resultados nefastos, pues muchos usuarios optaron por no renovar este consentimiento y algunas empresas perdieron miles de Leeds y con ello de potenciales clientes.

Queda muchísimo por hacer. Aún son muchas las empresas que no se toman en serio la protección de datos, o que se piensan que es algo que se hace por cumplir, una serie de textos que te redacta otro o que puedes copiar de cualquier sitio y con eso ya está todo hecho.

Las sanciones por incumplimiento sin duda se están produciendo y se producirán, pero aún más grave que las cuantiosas multas que una autoridad de control pueda imponer es el hecho de que un problema de protección de datos dentro de una empresa puede acarrear un enorme desprestigio que desemboque en una crisis de reputación, con todas las consecuencias que eso conlleva.

A medida que los usuarios conocemos y aprendemos la importancia de proteger nuestros datos, cuidamos más de los mismos y nos preocupa qué pueden hacer otros con ellos, por lo tanto, es de esperar que nadie quiera contratar con una empresa que no ofrece las garantías adecuadas en esta materia, más allá de la obligación legal, que por supuesto existe, y hay que tenerla siempre presente.