Consejos básicos para realizar reuniones online con privacidad y seguridad

En esta sección del boletín haremos referencia a las consultas que la AEPD ha ido resolviendo a través de la publicación de sus guías, así como otros artículos de interés editados por la AEPD en su página web.

Las  reuniones virtuales online se han convertido en  una constante habitual en las empresas. Estas pueden suponer un grave riesgo para la confidencialidad de los asistentes si no se tienen en cuenta precauciones básicas para su preparación. Estas reuniones pueden ser saboteadas, por antiguos compañeros de trabajo, o ciberdelincuentes.

  • Seguir las políticas establecidas por la empresa utilizando solamente el proveedor tecnológico aprobado.
  • Limitar la reutilización de los códigos/enlaces de acceso.
  • Utilizar una “sala de espera” para ir admitiendo a los participantes y habilitar una notificación para cuando se unan a la reunión.
  • Bloquear el acceso una vez que están todos los asistentes.
  • No grabar la reunión, en tal caso informar a los asistentes de la finalidad.

IMPORTANTE

Durante la reunión desactive el micrófono y la cámara cuando no sea necesaria, en particular, si se realiza alguna acción fuera del foco de la cámara.

No disponer de DPO. Sanciones

El RGPD entró en vigor el 24 de mayo de 2016 pero no fue de aplicación obligatoria en todos los Estados miembros de la Unión Europea hasta el 25 de mayo de 2018. Se ha dado un plazo suficientemente largo a las empresas para adaptarse a la nueva normativa, pero parece que se ha acabado. Por ejemplo, la AEPD ha impuesto multas cuantiosas por no disponer de DPO que analizaremos en este artículo.

Figura del DPO

Ya conocemos bastante la figura clave de esta normativa que es Delegado de Protección de Datos.

Las funciones de esta figura son entre otras:

  • Informar y asesorar a los empleados que deban realizar un tratamiento de datos de clientes.
  • Deberán supervisar el cumplimiento de lo dispuesto en el reglamento.
  • Cooperar con la autoridad de control (la AEPD).
  • etc.

Básicamente, es un vínculo entre las autoridades competentes y la empresa para que el tratamiento correcto de los datos sea correcto y adecuado a la normativa

¿Cómo puede una empresa cumplir esta obligación?

Desde Nos Adaptamos SLU, empresa dedicada a la implantación y gestión de la normativa, explicamos que «la norma concede un abanico de posibilidades en cuanto a la figura que puede ejercer las funciones de DPO. El nombramiento puede ser interno, pero también puede externalizarse en una persona o entidad tercera mediante un contrato de servicios. Sin embargo, cada vez es más habitual que las empresas opten por la externalización de esta figura del DPO en un tercero.

En todo caso, las empresas tendrán que asegurarse que la persona que vayan a designar como DPO reúne una serie de requisitos establecidos en la norma. Entre ellos, estaría un conocimiento especializado en la legislación y la práctica de protección de datos.

No disponer de un DPO

Últimamente, las pymes no se libran de las multas por no disponer de Delegado de Protección de Datos.

La Agencia Española de Protección de Datos (AEPD) ha multado con 50.000 euros a la pyme Conseguridad, una empresa dedicada a ofrecer servicios de seguridad privada. El motivo de la sanción es no tener designada la figura del Delegado de Protección de Datos.

Por otro lado, ha multado a otra compañía GlovoApp, dedicada a los envíos a domicilio a través de riders, de 25.000 euros ratificada por el organismo encargado del buen tratamiento de los datos de los españoles.

¿Cómo puedo dejar de recibir llamadas comerciales? Lista Robinson

A la pregunta de dónde han obtenido nuestro número de teléfono, es muy probable que, de nosotros mismos, de alguna empresa a la que hayamos facilitado esa información y aceptado que esos datos sean cedidos para un uso comercial. ¿Leemos las políticas de privacidad que aceptamos? La respuesta en general es, NO. Podríamos estar autorizando a que esa empresa pueda ceder nuestros datos a un Call Center, las empresas que generalmente ejercen las acciones comerciales, qué, a su vez, son contratadas por grandes empresas para promocionar sus campañas de marketing.

¿Es lícito ese tratamiento de datos personales?

Entendemos que cuando un Call Center compra una base de datos, los datos les han sido cedidos con el consentimiento de los usuarios.

El problema surge cuando nos llaman insistentemente, aun cuando le hemos reiterado en varias ocasiones nuestra desconformidad a recibir ofertas o llamadas de esa empresa o servicio en particular.

Creo que todos sabemos de qué estoy hablando y tenemos experiencias similares, nos enfadamos con él que llama, le decimos que no nos llamen más y pasadas unas horas o unos días, nos vuelve a sonar el teléfono.

Debemos saber que por mucho que nos enfademos con la persona que nos llama, no puede controlar a quién llama, pues es una computadora la que realiza las llamadas de forma aleatoria.

¿Cómo solucionar esta situación tan molesta?

La forma de solucionar esta situación es inscribiéndonos en las Lista Robinson, el procedimiento es muy sencillo. El servicio gratuito de Lista Robinson, genera una base de datos de usuarios que no quieren recibir mensajes de publicidad por teléfono, correo postal, correo electrónico y SMS/MMS. Permite incluso restringir a una compañía o sector en concreto.

¿Es esta acción 100% efectiva?

Está claro que nada es instantáneo o tiene el 100% de efectividad, tendremos que darles el tiempo suficiente a estas empresas, para que a medida que vayan actualizando sus bases de datos, las vayan contrastando con las Listas Robinson.

Luego de apuntarnos a la Listas Robinson, si nos vuelvan a llamar, deberemos informar a quién nos llama de que nos dimos de alta en las Listas Robinson y, pedirle que por favor informe a su coordinador de esa situación para que nos elimine de su base de datos.

Éste es el link para que te puedas apuntar: https://www.listarobinson.es

Red Privacy Consulting

BUSCAMOS ASOCIADOS Y COLABORADORES PARA NUESTRA RED JMSM PRIVACY CONSULTING A NIVEL NACIONAL

En JMSM PRIVACY CONSULTING nos mueve la pasión por todo aquello que hacemos, por eso continuamos creciendo. Si quieres crecer con nosotros y desarrollar tu carrera en un entorno profesional, donde las personas y el servicio al cliente son el centro de nuestra actividad, JMSM PRIVACY CONSULTING es tu lugar.

Confianza, Honestidad, Compromiso e Innovación

Descripción de la oferta de empleo

Consultor comercial en Protección de Datos.

Visitas comerciales a empresas

Consecución y desarrollo de convenios de colaboración para su explotación

Contratación nuevos clientes y consecución de objetivos.

Reporte a Dirección Comercial.

Formación de producto por cuenta de la empresa.

Retribución integrada de fijo e incentivos.

Requisitos del puesto

Habilidades sociales y de comunicación

Simpatía

Capacidad de persuación y convicción

Autogestión, agilidad y seriedad.

Se valora experiencia previa en ventas, especialmente sector legal y similares (Prevención de Riesgos Laborales, Comercio Electrónico, etc), telecomunicaciones, seguros, etc.

Preferible vehículo propio.

Asesoramiento Profesional Integral en Materia de Protección de Datos a Hermandades, Cofradías y Asociaciones Músico Culturales

Información actualizada conforme al Decreto del Arzobispo de 28.12.2018 y al Decreto General de la Conferencia Episcopal Española de abril de 2018

La Protección de Datos en las Hermandades y Cofradías es una tarea pendiente en muchos casos, JMSM PRIVACY CONSULTING te decimos cómo empezar y qué debes hacer para cumplir con los requisitos legales más básicos.

Sin duda, los datos personales tratados en el seno de hermandades y cofradías deben gozar de una protección especial, en atención al artículo 9 del RGPD, ya que los datos revelan la convicción religiosa de los hermanos afectados.

Consecuentemente, el tratamiento debe pasar, necesariamente, por el consentimiento expreso del hermano o de sus representantes legales, cuando éstos últimos sean personas con diversidad funcional o menores de edad.

Además de la normativa europea y nacional específica, la Conferencia Episcopal Española ha dictado un Decreto en la materia, con algunas cuestiones que afectan directamente a las Hermandades y Cofradías.

Nuestra experiencia nos dice a modo general, las obligaciones comunes de las Hermandades y Cofradías son, entre otras:

I.- Registro de actividades. Este documento es la base de toda adecuación, y como mínimo, debe contener:

• Nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.

• Fines del tratamiento.

• Descripción de las categorías de interesados.

• Descripción de las categorías de datos personales.

• Categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.

• Transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, la documentación de garantías adecuadas.

• Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.

• Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

II.- Analizar y documentar el cumplimiento de los siguientes principios:

• Licitud. Basada en el consentimiento de los afectados.

• Finalidad. Los datos recogidos con fines determinados, explícitos y legítimos, no deben ser tratados para finalidades incompatibles.

• Calidad de los datos. Los datos recogidos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, no se permite recoger datos innecesarios o excesivos.

• Exactitud. Los datos deben ser exactos y, si fuera necesario, actualizados,  adoptándose medidas razonables para que se supriman o rectifiquen sin dilación los  datos personales que sean inexactos.

• Plazo de conservación. Los datos sólo serán mantenidos durante el tiempo estrictamente necesario para los fines del tratamiento, debiendo adoptarse mecanismos para bloquear los datos de personas que fallecen o ya no se encuentran en la organización.

• Transparencia. La información a los afectados es fundamental para garantizar los derechos de los usuarios, por ello se debe poder identificar a los responsables del tratamiento y, especialmente, al Delegado de Protección de Datos con facilidad, así como poner a disposición de los hermanos los medios oportunos para que puedan resolver sus dudas y ejercer sus derechos.

III.- Evaluación de Impacto. Es obligatorio analizar el origen, la naturaleza, la particularidad y la gravedad del riesgo.

IV.- Nombramiento de un Delegado de Protección de Datos. En atención, al Decreto de la Conferencia Episcopal Española, el Delegado de Protección de Datos debe comunicarse a la autoridad de control, a través del Delegado de Protección de Datos de la CEE.

                El Delegado de Protección de Datos, debe acreditar competencia técnica suficiente, para ello la CEE exige como requisitos, para las entidades de carácter público canónico:

                a) Tener la debida cualificación jurídica y conocimientos en la práctica de protección de datos.

                b) Desempeñar su cargo en exclusiva. No pudiendo realizar funciones encomendadas a los responsables o encargados del tratamiento.

                 En este apartado, la Archidiócesis de Sevilla vino a decir, mediante Decreto, que el cargo más idóneo en las Hermandades y Cofradías para tal función era la de Fiscal o análogo, por su función principal de velar por el cumplimiento de las reglas, también se ocupó de decir que cuando careciera de los requisitos recogidos anteriormente, deberá contar con asesoramiento  especializado. Sin embargo, no se ha tenido en cuenta que el cargo de Delegado de Protección de datos tiene naturaleza independiente y autónoma, por lo que, al igual que ocurre en el resto de organizaciones la responsabilidad debe recaer en alguien con la suficiente preparación y estructura, como reconoce la propia Conferencia Episcopal Española.

                Si bien, la Archidiócesis de Sevilla ha puesto en el punto de mira al Fiscal, y creemos que podría ser el cargo idóneo para nombrarse como responsable del Tratamiento de la Hermandad (puesto incompatible con el Delegado de Protección de Datos), sin perjuicio de que bien podría serlo el Secretario Primero o análogo de cada Hermandad.

V.- Implantar un Protocolo para comunicar violaciones y brechas de seguridad. Existe la obligación de notificarlas en un plazo máximo de 72 horas a la Agencia Española de Protección de Datos.

VI.- Implantar un Protocolo de Atención al Hermano. Debe darse respuesta en plazo y forma a los derechos de los hermanos, ante la posibilidad de que algún interesado ejerza alguno de los derechos que establece el RGPD o la LOPDGDD.

VII.- Responsabilidad Proactiva. En consonancia con las normas europeas, el objeto de sanción es la falta de interés en cumplir la norma, por lo que no solo hay que cumplir las obligaciones, sino demostrar su cumplimiento, a la vez que se actualizan y mantienen vivos los protocolos implantados.

                De manera especial, las Hermandades, Cofradías y Asociaciones músico Culturales deben contar con el consentimiento expreso de sus hermanos para la toma y publicación de imágenes en redes sociales o publicaciones o para la remisión de emails u otras comunicaciones. De la misma forma, hay que prestar especial cuidado a la exposición pública de los datos, por ejemplo, en la lista de la cofradía o mediante el censo electoral, debiendo adoptarse las medidas oportunas para garantizar los derechos de los hermanos.

                En conclusión, dada la importancia de las comunicaciones de las Hermandades y Cofradías con sus hermanos y de las Asociaciones músico Culturales por la especial relevancia de los archivos documentales de las Hermandades y por las obligaciones que conllevan el tratamiento de datos de carácter especial, es fundamental que estos colectivos inicien su andadura de la mano de profesionales que asesoren una buena implantación desde el principio, tal y como pronuncia la Conferencia Episcopal Española.

Formación en Protección de Datos

Los empleados juegan un papel fundamental en el correcto cumplimiento de la normativa de protección de datos. La formación en protección de datos es una garantía de cumplimiento y la mejor herramienta para blindar la información empresarial y no exponerla a riesgos.

Según el artículo 32 del Reglamento General de Protección de Datos de la Unión Europea las empresas están obligadas a establecer controles y medidas técnicas y organizativas con el fin de mitigar riesgos en el tratamiento de datos. La formación de los empleados que tienen acceso o disponibilidad a datos personales es un control esencial que toda empresa u organización diligente debe poder acreditar.

Crea una cultura de privacidad en tu empresa

JMSM PRIVACY CONSULTING junto con GRUPO GESFORTEC, S.L. ofrece servicios de formación en protección de datos personalizada para todo tipo de organizaciones.

  • Introducimos a tus trabajadores en el derecho fundamental a la protección de datos.
  • Formamos a tus empleados sobre las implicaciones prácticas de las normativas y los procedimientos necesarios para asegurar la seguridad de la información.
  • Concienciamos y educamos al personal de tu empresa sobre sus obligaciones de confidencialidad y las consecuencias del incumplimiento.
  • Preparamos a tus empleados para reaccionar ante posibles incidentes de seguridad de los datos.

Formación en protección de datos a medida

Ofrecemos diferentes tipologías de formación con duración y contenido ajustados a las características y necesidades de cada organización:

  • Charlas informativas
  • Formación online
  • Sesiones formativas especializadas
  • Cursos sectoriales