¿Qué comunicar a la AEPD?

Registro Agencia Española Proteccion Datos

A lo largo de las entradas de este blog, he ido hablando de este tema, pero dado que es una de las preguntas que más me hacen a lo largo del día, le quiero dedicar hoy un artículo especial.

Se trata de una cuestión que preocupa mucho a empresarios, profesionales y responsables de otras entidades, a la hora de adaptarse a la normativa sobre protección de datos de carácter personal.

Es la siguiente:

– Pero Vanesa, ¿qué datos le tengo que comunicar yo a la Agencia Española de Protección de Datos?

A esa pregunta, muchos clientes inquietos añaden otra –sin darme tiempo para contestar la primera-, que es ésta:

– ¡¿No tendré que decirle a la Agencia los nombres y datos de todos mis clientes, verdad, Vanesa?!

Tranquilidad.

No, señor.

No tienes que decirle a la Agencia los datos de tus clientes, ni mucho menos.

Realmente los datos que la Ley te obliga a comunicarle a la Agencia son muy pocos:

1º. Tienes que comunicarle a la AEPD qué ficheros de datos de carácter personal vas a almacenar y tratar. Esto se hace mediante un formulario que se notifica al referido organismo, donde tienes que especificar tus datos profesionales de contacto (nombre, domicilio social, CIF, actividad y poco más) y el tipo de datos que manejarás. En ningún momento tienes que trasladar a la Administración información sobre tus clientes, trabajadores, proveedores, contactos…

2º. Brechas o incidentes de seguridad que afecten a datos personales: pero ojo, que esta obligación sólo te afecta si eres un proveedor de servicios de comunicaciones electrónicas. No se te aplica en el resto de los casos.

Y para de contar.

Por supuesto, que en términos más amplios, estás sujeto a lo que se conoce como deber de colaboración con la administración, de tal modo que si te abren un expediente en la Agencia y te requieren para que aportes algún datos, en principio, tendrás que hacerlo.

¡Ah, Vanesa, espera –me añaden los clientes más avispados-, te olvidas de las auditorías bienales!

Pues no, te equivocas. No me he olvidado.

Sencillamente, ni la LOPD ni su Reglamento de desarrollo exigen que envíes a la Agencia el resultado de la auditoría. Sólo se especifica que deberá estar a disposición de una posible inspección.

Cierro esta entrada comentando el tema de los Códigos Tipo, por si has oído hablar de ellos y te han dicho que se tienen que registrar en la AEPD.

Eso sí es correcto.

No obstante, los Códigos Tipo no son obligatorios y sólo los elaboras si así lo quieres. Tienen el carácter de códigos deontológicos o de buena práctica profesional.

Espero haber aclarado estas cuestiones de una vez.

Incidentes de seguridad LOPD

Imagina que tienes una actividad profesional en marcha.

Has invertido una buena cantidad de dinero y tiempo, le has puesto toda tu ilusión, has cumplido toda esa infinidad de requisitos y normativas que te afectan, e incluso te has adaptado a la LOPD.

Tienes tu documento de seguridad, tu alta en el registro de la Agencia Española de Protección de Datos, has adaptado tu web a las exigencias de la LSSICE, has implantado hasta la última de las medidas de seguridad establecidas en el Reglamento de desarrollo de la LOPD y lo haces todo a la perfección.

Pero un buen día (o mal día, mejor dicho) te levantas como habitualmente, desayunas, tratas con tus clientes, tus proveedores, realizas las llamadas habituales, comes en casa de tu suegra… ¡y de repente: un incidente de seguridad!

Saltan las alarmas, te llevas las manos a la cabeza, cierras los ojos, respiras hondo, cuentas hasta diez y esperas que haya sido una pesadilla, pero no: la realidad te golpea como un mazo y al final te das cuenta de que ha ocurrido y ya no tiene solución.

Un incidente de seguridad –en muchos casos- está tan solo a un click de ratón de cualquiera de nosotros.

A mí me ha pasado. A grandes empresas le ha pasado. A más de una administración pública le ha pasado. A tu amigo Pepe le ha pasado.

No hay ninguna razón para que mañana no te pueda pasar a ti.

Somos personas y nos equivocamos.

Otras veces, fallan las máquinas, los programas, los sistemas automatizados…

Sea lo que sea, en un segundo, te ves como un claro infractor de la LOPD, que – ya lo sabemos- es una norma que impone multas la mar de sustanciosas.

Mi primer consejo, a título personal, es que no te desesperes. Ya ha ocurrido y no tiene remedio. Torturarse sirve de poco.

Eso sí: aprende del incidente, minimiza los daños y haz todo lo posible porque no vuelva a sucederte nunca más.

Uno de los errores que me encuentro con más frecuencia –ya os he hablado en otras entradas de multas de la AEPD por esta cuestión- es el de los envíos masivos de e-mails que por equivocación, se hacen usando la opción CC del correo electrónico, en lugar de la opción BCC o CCO.

Una vez que hiciste click en el botón enviar, ya sabes que no hay marcha atrás…

El resultado –contrario a la LOPD- es que un montón de clientes o destinatarios de e-mail, pueden ver la dirección de correo electrónico de todos los demás.

Sé lo mal que te sientes (a mí me pasó hace muchos años), pero el mundo no se acaba aquí.
Esto es lo que yo –de forma resumida- recomiendo hacer en estas situaciones:

1º. Envía un nuevo e-mail –esta vez usando la opción BCC o CCO, eso sí- explicando lo ocurrido y que se ha debido a un error técnico, humano o del tipo que sea. Haz saber a los destinatarios, en el mismo mensaje, que deben eliminar el e-mail anterior.

2º. ¿Y a la AEPD? ¿Se lo decimos? Sólo los proveedores de servicios de comunicaciones electrónicas están legalmente obligados a comunicar el incidente de seguridad a la AEPD. Hay quien, en estos casos, decide autodenunciarse a la AEPD. Francamente, yo no lo recomiendo ni le veo sentido a hacerlo.

3º. Minimiza los daños en la medida de lo posible. Si tenías programada una segunda tanda de envíos, por supuesto, detén el proceso.

4º. Haz lo que esté en tu mano para evitar que vuelva a ocurrir.

Nuestros amigos de PC-CITOS nos dan una solución muy interesante para evitar en el futuro el problema del envío de e-mails sin usar la función de copia oculta.

Es tan sencillo como instalar una aplicación que –en cierto modo- suprime la maldita opción CC.

Así me lo explica Miguel, de PC-CITOS:

Es tan sencillo como instalar un módulo: se llama «Use Bcc Instead»

Se puede descargar aquí: https://addons.mozilla.org/en-US/thunderbird/addon/use-bcc-instead/

Aunque se puede buscar también en la sección «Complementos» del cliente de correos Thunderbird.

Ahora, configurado correctamente, no permite el envío sin BCC si el correo va dirigido a más de una persona, además comienza las nuevas redacciones con BCC activado por defecto.

Aquí podemos ver cómo configurar el complemento:

 

Y aquí cómo se vería en la lista de complementos o módulos al buscarlo o instalarlo:

Notificacion quiebras seguridad

Si eres un proveedor de servicios de comunicaciones electrónicas, lo más probable es que hayas oído hablar del tema de las notificaciones de quiebras de seguridad que estás obligado a hacerle a la Agencia Española de Protección de Datos.

Y si el tema no te suena, más te vale que empiece a sonarte y prestes atención.

Esta obligación la introdujo el Real Decreto-Ley 13/2012, de 30 de marzo (que tiene un título larguísimo), que modificó el artículo 34 de la Ley 32/2013, de  3 de noviembre, General de Telecomunicaciones. A su vez, la reforma trae causa del mandato establecido por la Directiva 2002/58/CE, que exigía la notificación de los incidentes de seguridad que pudieran afectar a datos de carácter personal, y no sólo a los usuarios del servicio, sino también a las autoridades nacionales competentes.

Así queda redactado finalmente el artículo 34.4 de la LGT, que es lo que aquí nos interesa:

4. En caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebidas dicha violación a la Agencia Española de Protección de Datos. Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas.

La notificación de una violación de los datos personales a un abonado o particular afectado no será necesaria si el proveedor ha probado a satisfacción de la autoridad competente que ha aplicado las medidas de protección tecnológica convenientes y que estas medidas se han aplicado a los datos afectados por la violación de seguridad. Unas medidas de protección de estas características convierten los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos.

Sin perjuicio de la obligación del proveedor de informar a los abonados o particulares afectados, si el proveedor no ha notificado ya al abonado o al particular la violación de los datos personales, la Agencia Española de Protección de Datos podrá exigirle que lo haga, una vez evaluados los efectos adversos posibles de la violación.

En la notificación al abonado o al particular se describirá al menos la naturaleza de la violación de los datos personales y los puntos de contacto donde puede obtenerse más información y se recomendarán medidas para atenuar los posibles efectos adversos de dicha violación. En la notificación a la Agencia Española de Protección de Datos se describirán además las consecuencias de la violación y las medidas propuestas o adoptadas por el proveedor respecto a la violación de los datos personales.

Los operadores deberán llevar un inventario de las violaciones de los datos personales, incluidos los hechos relacionados con tales infracciones, sus efectos y las medidas adoptadas al respecto, que resulte suficiente para permitir a la Agencia Española de Protección de Datos verificar el cumplimiento de las obligaciones de notificación reguladas en este apartado. Mediante real decreto podrá establecerse el formato y contenido del inventario.

A los efectos establecidos en este artículo, se entenderá como violación de los datos personales la violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público.

¿Y cómo se lleva a cabo esta notificación a la AEPD, en la práctica? Pues muy fácil: accediendo a la sede electrónica de la Agencia en:

https://sedeagpd.gob.es/sede-electronica-web/

Tendrás que seleccionar la opción NOTIFICACIÓN PRECEPTIVA DE QUIEBRAS DE SEGURIDAD y cumplimentar el formulario.

Y ojo, porque el plazo que tienes para notificar es muy breve: 24 horas.