Cómo cumplir la LOPD – Protección de datos en Málaga

NOTA IMPORTANTE
Yo era una abogada feliz que de vez en cuando hacía adaptaciones a la LOPD. Hasta que llegó el Reglamento General de Protección de Datos Europeo… Si tú también eres uno de esos rezagadillos que ha decidido dejar la adaptación para la última semana, por favor, no me llames. Ya no atiendo más asuntos hasta el mes de julio. Dirás que no soy muy simpática y que no tengo el menor espíritu empresarial (y estás en lo cierto), pero al menos soy sincera y así te evito una llamada y que pierdas el tiempo. ¡Vuelva usted mañana! (si quieres, ojo, que hay muchos consultores que te estarán esperando y acosando con los brazos abiertos: llámalos a ellos).

¿QUIÉN SOY?

Soy VANESA, abogada especializada en LOPD, LSSI, seguridad de la información, derecho de las nuevas tecnologías en general y prevención del blanqueo de capitales

Mi número de Colegiada es el 4882 de Málaga.

Mi equipo de trabajo lo compongo YO. Cuando me llames, te atenderé YO. Cuando te dé cita, te recibiré YO. Cuando tengas una duda y consultes conmigo, te la resolveré YO. La documentación de la adaptación te la hago íntegramente YO. Cuando te vuelva a dar cita para entregarte y explicarte la documentación, otra vez te atenderé YO. Cuando tenga que facturarte, te facturaré YO. Es mucho más operativo, y aunque tal vez acabes cansándote de mi egocentrismo, al menos tendrás la impresión de haber encargado un simple y eficaz servicio profesional y no de haber pedido una cita con el Papa. Voy a adaptarte a la LOPD, no a salvar tu alma de las llamas del infierno.

Para adaptarte a la LOPD (salvo raras excepciones) no necesitas un equipo multidisciplinar compuesto por abogados, informáticos, técnicos ni otras rarezas.

Conmigo tienes de sobra. Y si te surgen dudas técnicas, puedes acudir al informático con quien habitualmente trabajes.

No obstante, hay cientos de despachos multidisciplinares que le prestan un servicio integral al cliente.

Siempre puedes llamarlos: suelen tener unas secretarias muy simpáticas, que luego te pasan con el departamento, que a su vez te pasa con el subdepartamento, que a su vez te pone en contacto con el responsable de.

¿CUÁL ES MI TITULACIÓN?

Soy Licenciada en Derecho por la Universidad de Málaga.

De otra forma, y sin dicha licenciatura, no podría ser la colegiada nº 4882 del Ilustre Colegio de Abogados de Málaga, al que siempre puedes llamar si tienes alguna duda sobre la autenticidad de mi colegiación y mi profesión (cosa que además le recomiendo a todos aquellos que quieran contratar a un letrado: no es el primero que se hace pasar por abogado, te pide una jugosa provisión de fondos y se larga con tu dinero…).

Cada vez son más las empresas y profesionales dedicados a estas materias que se muestran como Consultores homologados o exhiben titulos adicionales, como el máster, que intentan vender como garantía de profesionalidad. En la mayoría de los casos te estarán tomando el pelo ya que hoy día no se exige ningún tipo de titulación para hacer adaptaciones a la LOPD. Es más: te la puedes hacer tú mismo, informándote en la página de la Agencia Española de Protección de Datos.

Por eso, el mono de mi título homologado de máster del universo en LOPD, se va de vez en cuando de chupitos con el mono del título de profesor de salsa, homologado por su prima, de mi amigo Antonio el de la salsa, al que puedes conocer aquí (y a su mono, que por razones obvias, es primo hermano en 2º grado del mío):

Antonio el de la salsa y su mono

¿QUÉ SERVICIOS PUEDO PRESTARTE?

– Adaptación a la normativa de protección de datos de carácter personal.

– Auditorías LOPD.

– Adaptación de páginas web a la LSSICE.

– Asesoramiento jurídico sobre nuevas tecnologías en general.

– Formación para ti y tus trabajadores.

RGPD, GDPR Y EL APOCALIPSIS DATA

 

Se acabaron los datos (y los patos).

Como podéis ver por la cuenta atrás que tengo en el margen superior izquierdo de mi blog, queda nada y menos para el final.

Ya casi llega el día 25 de mayo, y aquí me tenéis, escribiendo artículos humorísticos en lugar de salvar a mis responsables de fichero de una muerte segura…

Pero es que hoy me he despertado y he pensado: total, para dos telediarios que nos quedan, ¿para qué vamos a andar haciendo adaptaciones al RGPD?

Sabéis de sobra que a las 00:00:01 del día 25 de mayo se acaba todo.

Ya huele a apocalipsis data. La energía básica RGPDera fluye a nuestro alrededor con tintes de muerte y destrucción. Se percibe el chisporroteo en los átomos del aire, como cuando viene una tormenta.

Y tú sigues sin estar adaptado… Porque claro, desde el año 2000 hasta hoy no has tenido tiempo. Qué me vas a contar.

(Si me llamas el día 24 mayo de mayo a las 23:59 para que te adapte el RGPD, te lo hago gratis y además te regalo un pato, como el de la foto de arriba).

La prueba evidente de que ya no tiene sentido que os adaptéis a nada, es que el propio Registro de la Agencia Española de Protección de Datos, cerró sus puertas hace 3 días. No os engaño. Esta es la noticia oficial en su web oficial con su correspondiente tono oficial:

https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/index-ides-idphp.php

Breve pero intensa.

Amiguitos, esto se termina.

¡Si hasta la Agencia ha cerrado su registro! ¿Es que no lo entendéis? ¡Es el fin! ¡Ya ni siquiera puedes inscribir tus ficheros, tras un ligero retraso de 18 años! ¡Por los clavos del RGPD!

¿Qué vais a hacer ahora?

Os lo advertí. Os lo dije, pero no quisisteis escucharme.

Nubes negras y tormentas apocalípticas asoman amenazantes en el horizonte.

Esta vez no se salva ni Noé…

Los funcionarios del hoy silencioso y desierto Registro de la Agencia Española de Protección de Datos, vagan por un Madrid oscuro y desdatado, como almas sin cifrar en pena, como zombis proactivos de instestino hiperactivo,  buscando trabajo. Dicen las malas lenguas que algunos han encontrado empleo como Delegados de Protección de Datos de grandes empresas o como consultores de Certificadoras de Delegados y LOPD…

Ya vivimos, ya reímos, ya lloramos,  ya pecamos, ya temimos, ya luchamos, ya gozamos… pero nos llegó la hora. Ahora toca dormir para siempre.

No creo que se esté tan mal al otro lado, en un mundo sin datos que proteger, sin autoridades de control, sin delegados de protección de datos, sin análisis de riesgos, sin evaluaciones de impacto, sin registro de actividades…

Sólo la paz de la nada, la insoportable levedad del no ser.

“Vi que el Cordero rompió el sexto sello, y se produjo un gran terremoto. El sol se oscureció como si se hubiera vestido de luto, la luna entera se tornó roja como la sangre, y las estrellas del firmamento cayeron sobre la tierra, como caen los higos verdes de la higuera sacudida por el vendaval.”

Apocalipsis 6:12-13

Señores, prepárenseme: se nos va a caer el pelo.

La gran mentira del RGPD

Nos mienten

Pensaréis que  soy muy pesada y muy cansina, pero es que no paro de escuchar tonterías y más tonterías sobre el Reglamento General de Protección de Datos europeo (RGPD o GDPR).

No son pocos los clientes que me cuentan que están siendo sometidos a auténticos acosos por parte de comerciales que casi amenazan con los riesgos de no adaptarse al RGPD.

De hecho, los padres, ya no asustan a sus hijos pequeños con aquello de “que viene el coco”. Ahora les dicen “nene, duérmete ya, que si no vendrá el inspector de la Agencia Española de Protección de Datos con su RGPD bajo el brazo y te multará”.

Malos tiempos para la protección de datos (aunque muchos crean que son excelentes y pretendan hacer su agosto). Corren días de bulos, desinformación, tomaduras de pelos y despropósitos, que me hacen plantearme seriamente dedicarme a otra cosa.

No hace mucho, un cliente me mostraba pasmado un presupuesto que le habían hecho llegar para cubrir el servicio de Delegado de Protección de Datos: mil quinientos euros al mes. Puede parecer poco según qué organización, pero te aseguro, lector, que en esta entidad no tenía lógica ni justificación.

Es abusar por abusar.

Y es que a medida que avanzo en el estudio y la aplicación del RGPD, me convenzo más de que es una gran tomadura de pelo, y una indiscutible estafa.

La gran mentira del RGPD. Sí, señor.

Se está haciendo una magnífica campaña de difusión de la norma (cuando hasta ahora casi no se hablaba de ella, empezando por la propia Agencia Española de Protección de Datos), propiciada –entiendo- por certificadoras y consultoras de LOPD, porque ahora interesa vender sellitos y delegados de protección de datos.

Todo es nuevo. Todo es terriblemente sancionable. Todo es un universo inexplorado donde, si no entras, mueres.

Adaptarse o morir.

Pues no, señores: El RGPD es una gran mentira.

¿Quiere decir eso que no tenemos que adaptarnos al RGPD? Por supuesto que no quiere decir eso. Sí que hay que adaptarse. Es más: tenías que estar adaptado desde hace varias décadas.

Es como conducir a la velocidad reglamentaria. No puedes superar los 120 km/h en autovía y lo sabes.

Partiendo de que ya debías estar adaptado antes a la LOPD (sí, esa a la que te has pasado toda la vida sin hacerle el menor caso), adaptarse al RGPD es bastante simple.

Me atrevo a decir que en un 95% el RGPD es lo mismo de antes pero poniéndole otro nombre a las mismas cosas que ya había, para que un montón de ingenuos como tú, crean que todo ha cambiado,  y para que los consultores puedan llamarte y decirte “uuuuhhh, que el día 25 de mayo viene el RGPD…”.

Algunos ejemplos demostrables de que el RGPD es un timo:

1º. La responsabilidad proactiva: esto es igual que los actimel, como diría mi amigo Antonio el SEO. ¿Qué pasa? ¿Que con la LOPD los responsables de tratamiento tenían que ser PROPASIVOS? Siempre han debido ser activos en la aplicación de la norma y estar en condiciones de demostrar que la cumplen. ¿Dónde está la novedad?

2º. La obligación de contratar a encargados de tratamiento que estén adaptados al RGPD (artículo 28.1 RGPD ). ¿Alguien se ha leído el artículo 20.2 de nuestro RD 1720/2007, de 21 de diciembre, por curiosidad? Pues dice exactamente lo mismo.  Y desde hace once añitos, ojo. Pues bien, ahora esto lo pintan como el fin del mundo.

3º. El Delegado de Protección de Datos. No es tan distinto de lo que debía haber sido un Responsable de Seguridad, definido desde hace once años en el artículo 95 del citado Reglamento Español. Una persona encargada de coordinar y controlar las medidas de seguridad. Igual que el “nuevo” DPD. El RGPD lo que ha hecho es especificar en qué casos se nombra ahora, detallar más sus funciones, ponerlas acorde con la nueva norma, y definir su calidad y su naturaleza. Y hacerlo certificable o susceptible de ser certificado, ojo.

4º. El análisis de riesgos con su cuestionario de cumplimiento normativo: las auditorías de toda la vida, vamos. Antes se hacían cada dos años y sólo en ciertos casos. Y ahora son extensibles a todos los responsables de tratamiento. Pero mantienen la misma estructura del sistema de auditorías que la propia AEPD proponía en su Guía de seguridad de 2010 (http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_SEGURIDAD_2010.pdf ). Riesgos-Deficiencias-Controles.

5º. El Registro de Actividades de Tratamiento: es lo mismo que hacíamos cuando notificábamos los ficheros a la AEPD. Le cambian el nombre y lo exigen a nivel interno y no mediante inscripción en el Registro. Hace mil años que debías tener hecho tu registro…

Y puedo seguir, pero es hasta aburrido.

Cuidado, en definitiva, con lo que te cuentan y con lo que te crees. Internet es muy mentiroso. Los comerciales de LOPD, también.

Se nota que hoy estoy un poco mosqueada, ¿verdad?, jeje.

 

 

Asesorías y RGPD

Asesorías

Cuando cualquier empresa o profesional acude a una asesoría fiscal y/o laboral para que le preste –por ejemplo-servicios de presentación de impuestos y/o confección de nóminas, entra directamente en juego el artículo 28.1 del Reglamento General de Protección de Datos Europeo de 2016 (RGPD), en el que regula la figura del encargado de tratamiento.

Según dicho precepto:

Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Siguiendo con el caso que exponíamos al principio, y para que el lector lo entienda, la empresa o profesional sería el responsable de tratamiento y la ASESORÍA, el encargado de tratamiento.

La Asesoría trata datos por cuenta de la empresa. Datos que pueden ser los nombres, apellidos, DNI, nº de seguridad social, etc… de sus trabajadores, y a los que es necesario acceder para poder prestar el servicio de confección de nóminas laborales.

Pues bien, el artículo 28.1 del RGPD significa que la empresa que quiera contratar a un asesor fiscal y/o laboral tendrá que elegir obligatoriamente a uno que esté adaptado al RGPD.

De ahí la importancia de que asesorías y profesionales que prestan este tipo de servicios se adapten al RGPD, que se aplicará plenamente a partir del 25 de mayo de 2018.

Por tanto, si eres una asesoría debes preocuparte por llevar a cabo esta adaptación.

Estar ya adaptado a la LOPD supone tener recorrido parte del camino de adecuación normativa. No obstante, no es suficiente, ya que el RGPD ha introducido una serie de cambios y novedades que te afectan.

De forma resumida, estas son las modificaciones:

1º. Has de llevar a cabo un análisis de riesgos, donde reflexiones sobre las amenazas que puede haber en tu organización para la protección de datos de carácter personal. Este análisis se recogerá por escrito.

2º. En ciertos casos, hay que nombrar un Delegado de Protección de Datos. Probablemente no sea tu caso, ya que existen no pocas excepciones, pero es algo que –en todo caso- debes aclarar.

3º. Tienes que confeccionar un registro de actividades de tratamiento, donde determines qué datos tratas y para qué finalidades, así como el resto de parámetros que exige el RGPD.

4º. Debes establecer una política de protección de datos y unas medidas de seguridad eficaces que hagan real y efectivo del derecho fundamental de protección de datos.

5º. También has de utilizar una serie de cláusulas para facilitar el derecho de información de los interesados, a través de la firma de impresos y /o textos legales en la web, entre otras vías.

6º. Tienes que revisar los contratos de acceso a datos que puedas tener firmados con entidades que te prestan servicios.

No cumplir las novedades de la norma puede implicar, por tanto, no sólo el riesgo de ser sancionado por la autoridad competente, sino también el de perder clientela que no podrá elegir a un prestador de servicio con acceso a datos que no esté adaptado al RGPD.