Junto con la protección de nuestros activos en materia de ciberseguridad, la gestión de los datos personales de nuestra organización y clientes es otro elemento capital en este periodo de vacaciones.
En esta oportunidad gracias a Paz Martin, abogada experta en privacidad y socia directora de Legal Things, vamos a conocer qué consejos se pueden poner en marcha para que la privacidad de esos datos personales esté a salvo.
Martin, abogada vinculada a la plataforma LEXGOAPP, conoce bien la problemática que supone gestionar la privacidad ahora desde los postulados del RGPD Europeo que obliga a las empresas en todo momento a demostrar su proactividad y que su modelo de privacidad responde a estos estándares europeos.
Para esta jurista, hay que seguir las tesis de la AEPD, regulador español que en los últimos años ha lanzado diferentes mensajes donde se invita a empresas de cualquier tipo y particulares a no bajar la guardia.
Desde el punto de vista de las empresas “las vacaciones no deben ser ninguna excepción a mantener nuestra política de privacidad y a seguir cumpliendo con la normativa del RGPD y la nuestra de la LOPDGDD. Esta política y procedimiento debe mantenerse aunque algunos de los responsables no estén físicamente en la oficina».
Esta abogada subraya que en las organizaciones el papel del Delegado de Protección de Datos es clave. Su actividad es importante en las organizaciones y ayuda a gestionar actividades como: análisis de riesgos, registro de actividades de tratamiento, protección de datos desde el diseño y por defecto, medidas de seguridad, notificación de “violaciones de seguridad de los datos”, evaluación de impacto sobre la protección de datos.
“De alguna forma el DPO es el garante del cumplimiento de la normativa de la protección de datos en las organizaciones y el contacto que tenemos con los reguladores y terceros en relación a esos datos personales. Sus funciones vienen reguladas en el artículo 39 del RGPD europeo”.
La propia AEPD señala que El RGPD no exige que el DPO deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado; al mismo tiempo este profesional podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.
“El problema es en empresas pequeñas, cuando se hacen turnos y que en ocasiones no se contempla quién gestiona la privacidad si nuestro DPO descansa estos días. En ese momento se pueden generar riesgos. Lo peor que se puede hacer es utilizar su contraseña y contestar en su nombre, son cuestiones a evitar a toda costa”.
Esta jurista recuerda que “hay que habilitar procedimientos en las empresas que se adapten a este tipo de situaciones y que nos digan cómo debemos actuar en el caso de que nuestro DPO esté ausente”.
A este respecto “en muchos casos las organizaciones establecen algún control remoto y muchos profesionales siguen conectados, pero eso no quita para que suframos una brecha de seguridad o una notificación de la AEPD . No olvidemos que los plazos para notificar una brecha de seguridad son solo de 72 horas. Hay que tener prevista esta situación”.
En cuanto a las peticiones de gestión de derechos de interesados relacionados con nuestra empresa “ahí la ley nos da algo más de margen y nos dice que hay un mes para contestar ese tipo de requerimientos. Lo importante es que se contesten debidamente y no haya pérdidas de información de ningún tipo”.
Junto con las brechas de seguridad, hay otros incidentes que pueden surgir en estos días ante el relajamiento general “lo importante es contar con un protocolo de respuesta a nivel de privacidad si nuestro DPO se encuentra fuera para evitar que este tipo de incidencias dañe nuestra reputación. Es fundamental contar con un plan B”.
A este respecto recuerda que “es habitual que nuestro despacho de abogados que nos da cobertura legal, contemple esta situación en este momento puntual del año o establezca un procedimiento para que sigamos cubiertos”.
También recuerda que en estos días “se puede trabajar en una actualización de nuestra política de privacidad o en la revisión de los datos que conservamos guardados. La destrucción de esos datos que no nos valgan debe ser controlada. Echarla a un contenedor supondría una sanción muy grave”.
Esta experta recuerda que el propio RGPD señala que “los datos no se guardan para siempre. Al final si los acumulamos genera un volumen importante pero nadie se atreve a destruirlos”.
«Hay que recordar que la normativa fiscal establece cuatro años y en algunos casos diez, el Código de comercio habla de seis años y la legislación laboral cinco, en cuanto a historiales médicos y sanitarios cinco años. Eso hace que no sea fácil establecer normas de conservación. Si se acaban esos plazos esa información con datos personales debería destruirse”.
Sobre el acceso a los datos personales “es bueno establecer permisos en función de la actividad de cada profesional de la empresa. La restricción del acceso es lógica, limita los posibles riesgos que puedan surgir de un acceso masivo a esos datos personales”.
Como usuario, sé prudente
“A nivel de usuario particular, es fundamental reducir el consumo de tus datos, así se reducirán los riesgos. De alguna forma se trata de hacer descansar a tu teléfono móvil y otros dispositivos. Creo que es un error compartir todo lo que haces en redes sociales. Eso genera muchos riesgos”.
A su juicio. Si puedes, desconecta, mira a tu alrededor, comparte tiempo con tus seres queridos y disfruta de las vacaciones.
“Es evidente que en estos días estivales, la actividad de la cámara de nuestro teléfono móvil se incrementa. Queremos reproducir todo lo que nos rodea pero compartir algunas de esas fotografías puede generar ciertos riesgos”, comenta nuestra interlocutora.
Según datos del Centro de Investigaciones Sociológicas (CIS), una de cada cuatro personas (24.5%) se ha arrepentido alguna vez de haber colgado algo en una red social.
Hay que pensar en quién podrá ver tus fotos antes de pulsar el botón de compartir en tus redes sociales. Si tu perfil es accesible para los buscadores, ten en cuenta que cualquiera podrá ver, por ejemplo, las fotos, vídeos o comentarios que publicas.
“La Agencia dispone de una serie de vídeo tutoriales explicativos elaborados junto a INCIBE en los que explica cómo acceder a la configuración de privacidad y seguridad de algunos de los servicios más populares en Internet para que tu perfil no se muestre cuando, por ejemplo, introduzcan tu nombre en un buscador”, comenta esta experta.
Siguiendo con los datos del CIS, un 12.2% de los encuestados afirma haber tenido problemas por contenidos que otros han colgado en una red social.
“Debemos recordar que necesitamos consentimiento de las personas que aparecen en las fotos que tomamos antes de compartirlas en Internet o de sus padres o tutores en el caso en que aparezcan menores”, comenta.
Evita decir dónde estás
Paz Martin recuerda que compartir en Internet fotografías de tus viajes o tu geolocalización a través de una aplicación puede dar información a los delincuentes para saber cuándo no estás en casa.
“Ten cuidado también con compartir imágenes de tus billetes o tarjetas de embarque, ya que sus códigos pueden ser utilizados para acceder a tus datos personales y conocer el destino y fechas de tu viaje”.
En su opinión, si tenemos un problema “hay tres vías para resolverlo. Si hay un contenido de tipo sexual por la subida de un video hay que utilizar el Canal Prioritario de la AEPD que lo gestiona rápido su bloqueo. Al mismo tiempo se puede ir a la policía para que nos ayuden. Si está implicada una red social también debemos ponerlo en su conocimiento”.
Otra cuestión que ve con preocupación es el uso de las WIFS abiertas y ordenadores compartidos. “En verano pasamos mucho tiempo lejos de la WiFi de nuestra casa o del trabajo. Esto hace que consumamos los datos contratados rápidamente y andemos a la caza de WiFi gratuito”.
Hay que darse cuenta que “las redes abiertas en ocasiones pueden ser utilizadas por ciberdelincuentes para robarte tus datos personales y contraseñas. Si las utilizas, no introduzcas tus contraseñas, no intercambies información sensible, no te conectes a tu servicio de banca, y no compres por Internet con ellas”.
Si por algún motivo “surgen situaciones en las que nos vemos obligados a hacer un trámite y conectarnos desde un ordenador público de un hotel o un locutorio. En estos casos te recomendamos utilizar la opción de navegación privada del navegador, no guardar tus contraseñas en el dispositivo compartido y, después de utilizarlo, cerrar todas las sesiones que hayas abierto (correo electrónico, webs, chats, etcétera)».
En este contexto también hay que ser diligente e intentar evitar el robo de tus dispositivos móviles “Cuando viajas o realizas actividades veraniegas como ir a la piscina, la playa o visitar lugares turísticos, aumentan los riesgos de perder o que nos roben nuestro móvil o tableta.”
No solemos ser conscientes de la cantidad de datos e información personal que contienen. “Es importante hacer una copia de seguridad de la información que almacenas y no olvides añadir un sistema de clave o patrón para bloquear los dispositivos”.
La propia AEPD en su canal de YouTube dispone de distintos videotutoriales donde se habla de la gestión de la privacidad y de cómo configurar nuestras cuentas en redes sociales.
Por @LuisjaSanchez, Periodista Jurídico y Paz Martin, Abogada Experta en Privacidad.