¿Cuál es la importancia de la Protección de Datos en las empresas?

La 4ª revolución industrial
Vivimos lo que algunos llaman la 4ª revolución industrial, basada según dicen en 4 pilares o leyes, entre las que se encuentran:

1. La Ley de Moore: El poder de procesamiento se duplica cada 18 meses.
2. La Ley de Butter: La velocidad de comunicación se duplica cada 9 meses.
3. La Ley de Kryder: La capacidad de almacenamiento se duplica cada 13 meses, lo que conlleva además un gran decremento del coste de almacenamiento por unidad de información.
4. La Ley de Kurzweil: El ser humano tiene una visión lineal del progreso, mientras la tecnología avanza de forma doblemente exponencial. Es decir, está cerca el momento en que un ordenador alcance la potencia del cerebro humano, e incluso se puede predecir cuándo un conjunto de ordenadores podría superar la capacidad de todos los cerebros humanos.

Vivimos en un entorno cada vez más data-driven, debido, al menos en parte, a que capturar y almacenar información tiene un coste muy inferior al de hace apenas un par de décadas y a que podemos almacenar mayor variedad y profundidad de información en menos tiempo.

Antecedentes (Ley Protección de Datos de Carácter Personal)

En España la primera ley que regulaba la protección de información fue la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de carácter personal (L.O.R.T.A.D.). Sin embargo, en apenas unos años su contenido resultó “obsoleto” por lo que se actualizó con la conocida Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, desarrollada inicialmente en el Real Decreto 994/1999 (Reglamento de Medidas de Seguridad) y, posteriormente y debido no solo a la evolución tecnológica sino a “lagunas operativas” del anterior, en el Real Decreto 1720/2007 – Reglamento de desarrollo de la Ley Orgánica 15/1999.

Este desarrollo se ha seguido de una u otra manera en todos los países industrializados, de manera que en cada uno se ha legislado durante los 30 o 40 últimos años generando leyes y reglamentos de aplicación nacional.

No obstante, en un mundo cada vez más globalizado, con el crecimiento de los grupos empresariales internacionales, surgen nuevas carencias debidas principalmente a:

• Grupos empresariales con presencia en países en los que los niveles de legislación en materia de protección de datos son desiguales o muy desequilibrados.
• Grupos empresariales que han posicionado en geografías con legislación menos desarrollada centros operativos en los que se procesan datos de las matrices.
• Datos tratados en diversas geografías, lo que implica también los trasvases de información y sus posibles intercepciones.

Así que en los últimos años se ha trabajado en la construcción de legislación supranacional o internacional, principalmente desde los EE.UU. y desde la Unión Europea.

En cualquier caso los equipos de trabajo de ambas iniciativas han estado en estrecha colaboración. Por tanto, puede decirse que el resultado obtenido en ambos casos es coincidente en un alto porcentaje de su contenido, garantizando así que nuestros datos tengan el mismo nivel de protección legal tanto en el ámbito USA como en el ámbito europeo.

Adicionalmente estas nuevas legislaciones contemplan no sólo reglamentación para el trasvase internacional de datos, sino que legislan las medidas y tratamientos que deben asegurarse para que los datos propios de una geografía luego puedan ser procesados en otra.

Es decir, un dato de origen francés, tiene garantizado un tratamiento homogéneo en toda la Unión Europea. Pero además si este dato se procesara, por ejemplo en Marruecos, la entidad procesadora deberá asegurar en este tercer territorio las mismas medidas de protección y seguridad que si el dato se encontrara en su país de origen.

En Europa la legislación resultante es el GDPR (General Data Protection Regulation; Reglamento UE 2016-679) o RGPD en español. Con nuestro informe GDPR a la española tendrás claro qué es. Si quieres más información sobre esta legislación tienes el trailhead European Union Privacy Law Basics, el cual además puedes completar con el Learn Privacy and Data Protection Law.

Aportaciones históricas en protección de datos

Como hemos mencionado anteriormente, la legislación actual no es sino una evolución de la elaborada a lo largo de las últimas décadas. Nos centraremos no obstante, para llevar a cabo algunas reflexiones, en algunas definiciones, principios y derechos ya enunciados en el año 1999.

Definiciones

Desde la ley 15/1999 de Protección de Datos de Carácter Personal se plantean las siguientes definiciones “básicas”:

• Dato de Carácter Personal: Cualquier información concerniente a personas físicas identificadas o identificables.
• Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de creación, almacenamiento, organización y acceso.
• Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
• Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a una persona identificada o identificable.
• Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Estas definiciones, con algunos matices, siguen siendo válidas en fecha actual, y de hecho, se encuentran recogidas, ya con mayor precisión y enriquecimiento en el RGPD.

Principios y Derechos

También desde 1999 se establecen un conjunto de principios relativos a la información de carácter personal, destacando los principios de calidad de datos, que se resumen en los siguientes axiomas:

• Los datos serán exactos y puestos al día de forma que respondan con veracidad a la situación del afectado.
• Los datos de carácter personal registrados inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados.
• Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

En el apartado de los derechos, y para las reflexiones que planteamos más adelante, destaca de forma inequívoca el Derecho a la información en la recogida de datos por el cual, los interesados deberán ser previamente informados:

• De la existencia de un fichero o tratamiento de datos de carácter personal, finalidad y destinatarios.
• Del carácter obligatorio o facultativo de su respuesta.
• De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
• De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición
• De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante

Reflexiones

Hasta este punto hemos hablado de legislación, de conceptos, de principios, de derechos… Resta hablar de su puesta en práctica; porque la legislación proporciona un marco de actuación a partir del cual operativizar y poner en práctica, en el día a día, cada uno en su rol, aquello que le sea de aplicación.

Como dijimos al principio vivimos en un mundo en el que queremos registrar, y de facto registramos, todo lo posible. Datos personales, datos de transacciones, datos de nuestra actividad diaria gracias al IoT… pero … ¿los sistemas (y sus responsables) aplican la legislación correctamente?

¿Tenemos procedimientos para verificar que la información sea correcta, exacta y puesta al día? ¿Eliminamos aquella información que deja de ser necesaria para el fin para el que se recogió (o cuando desaparece ese fin)? ¿Borramos información personal de candidatos a un puesto de trabajo cuando este se cubre, si estos fueron recogidos para cubrir la vacante concreta?

¿Nos aseguramos de que nuestros empleados y/o colaboradores o incluso nosotros mismos no compartamos passwords? Cuando provocamos los cambios de contraseñas o nos obligan a cambiarlo… ¿vamos más allá del mero incremento en una unidad del último dígito de nuestra contraseña? ¿Somos conscientes de que estos hábitos pueden favorecer que seamos suplantados en los sistemas?

RGPD

Como hemos mencionado antes, RGPD es el marco legislativo europeo común en materia de protección de datos de carácter personal. Como podréis ver en los siguientes Principios de Tratamiento, los pilares sobre los que está construido son los ya mencionados, desarrollados con mayor rigor y concreción:

• Licitud: Lealtad y transparencia con el interesado.
• Limitación de los fines: Recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
• Minimización de los datos: Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
• Exactitud: Actualizados sin demora con respecto a los fines para los que se tratan.
• Limitación plazo de conservación: Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines por los que se tratan.
• Integridad y confidencialidad: Implementar medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y su pérdida, destrucción o daño accidentales.
• Responsabilidad proactiva: Siendo responsable y capaz de demostrar el cumplimiento de todos los principios del tratamiento.

Violaciones frecuentes de la seguridad de información

Como gran novedad, RGPD incorpora la obligación, por parte de cualquier entidad física o jurídica que sufra una violación de datos de notificar ésta no sólo a la autoridad de control sino a todos y cada uno de los interesados afectados en un máximo de 72 horas.

Las violaciones más frecuentes se resumen en el siguiente listado:

• Acceso a datos no autorizados:
• Encargado del tratamiento sin el contrato correspondiente
• Acceso indiscriminado a impresoras, fotocopiadoras, etc.
• Acceso a información confidencial no autorizada: nóminas, currículums, etc.
• Acceso no autorizado a los sistemas informáticos
• Comunicación de datos no autorizada:
• Transmisión ilícita de datos a uno o varios destinatarios.
• Vulneración del secreto profesional.
• Publicación de imágenes sin autorización del interesado.
• Envío de correos electrónicos masivos sin ocultar destinatarios (copia oculta).
• Alteración de datos:
• Modificación malintencionada de datos.
• Falsificación de datos.
• Recuperación ineficaz de copias de respaldo.
• Pérdida de información:
• Extravío u olvido de soportes.
• Robo o sustracción de información.
• Desinstalación de aplicaciones.
• Por causas del transporte.
• Destrucción de datos:
• No usar destructores de papel o de soportes digitales.
• Incendio, inundación u otras causas ajenas a la empresa.

Conclusión

Y hasta aquí llega el marco legislativo y de aplicación en materia de protección de datos de carácter personal. Como hemos remarcado, el marco debe operativizarse en los sistemas, en nuestro día a día y en cada rol que desempeñemos.

Como ciudadanos usuarios intensivos de tarjetas affinity o de puntos debemos ser conscientes de que cada vez que pasamos la tarjeta estamos registrando una operación con detalle de importes, momentos, etc.

Y cuando operamos con sistemas de información, ¿aplicamos los mecanismos para borrar los datos que no podamos garantizar sean correctos y/o estén al día? Si tenemos una base de datos de clientes, ¿borramos los datos de aquellos que dejan de serlo? Caso de no hacerlo, ¿tenemos argumentos para, caso de inspección, poder justificarlo?

Y así un sinfín de situaciones en las que, como recomendación final, especialmente a los que diseñamos y operamos sistemas de almacenamiento de información, debemos tomarnos nuestro tiempo para decidir cómo operativizar y cumplir la legislación teniendo, en cada caso, el respaldo jurídico para nuestra forma de actuar.