Tras el post express del otro día me he dado cuenta de que quizás sería de interés para los que os pasáis por aquí tener una visión de campo de lo que, en mi humilde opinión, son las carencias generales que veo en la temática de protección de datos. Llevo un tiempo trabajando en este campo y me queda muchísimo por aprender, sobre todo porque el Derecho TIC no es precisamente una rama estática; los avances técnicos suelen ir a años luz de distancia de los reguladores y a veces hay que hacer un trabajo de investigación tremendo para dar una solución que no será más que un parche hasta tener "el arreglo definitivo", pero quizás pueda ayudar a que los ajenos a este mundillo puedan prestar más atención a estas lagunillas. Insisto: es mi opinión personal basada en mi experiencia como toguita TIC; seguramente otros compis puedan dar luces más experimentadas. ;-). Vamos a ello!
1) El problema de las nubes y los nubarrones.
A estas alturas de la película, casi todo el mundo tiene su pequeña parcelita en las nubes: desde las que "vienen de serie" en los smartphones hasta las que nos creamos nosotros mismos para almacenar fotos, apuntes.. Que levante la mano el que se haya leído las condiciones de su nube personal, que sepa a dónde van sus documentos una vez que los suben o qué pasa cuando se borra algún archivo. Pues bien: muchas empresas aplican la misma política de no (querer) saber nada. Suben los archivos con datos de clientes a nubes o nubarrones sin saber si la nube es nube blanca de algodón o nubarrón de tormenta de verano. No debemos olvidarnos que, como Responsables de los ficheros, debemos tener 1000 ojos y cuidados para combinar seguridad con operatividad interna.
2) Las webs, las malditas webs.
Internet ha supuesto un tremendo cambio en la forma y hábitos de consumo; ahora todas las empresas quieren estar en internet y quieren tener una web chuli para que el consumidor potencial acabe dando al "acepto". Se prioriza la estética sobre la seguridad, pasando un poco lo mismo que comentaba arriba con los nubarrones: tengo una web preciosa pero no sé si lleva cookies, a dónde van los datos de mis clientes o de los que me rellenan el típico formulario de contacto. A esto se suma el uso de imágenes que tienen derechos de autor que deben ser respetados o el copypaste de cláusulas y avisos legales. Un lío total!
3) Falta de interés.
Cuando te lanzas a montar un negocio, sueles mirar con lupa todo lo que tenga que ver con fiscalidad, licencias y demás (cosa que me parece estupenda, vaya por delante), pero prácticamente nadie se preocupa de pararse a pensar en los datos personales. Todo lo que tiene que ver con LOPD, si es que llega, es siempre a posteriori (sobre todo tras algún sustillo) y prácticamente nadie se sienta a establecer unas mínimas bases sobre lo que va a hacer con los datos que recoja y cómo lo va a gestionar. Tremendo error que se acaba pagando. En serio.
4) Falta de formación.
Consecuencia del punto anterior clarísimamente. Los temas relacionados con LOPD siempre ocupan el último puesto y eso se refleja en el modo de gestionarlo. Se le suele "encargar el marrón" a un pobre diablo que irá improvisando sobre la marcha y que entrará en panic attack si ve una carta de la Agencia de Protección de Datos o alguna solicitud de un derecho ARCO de un cliente jodón. La formación interna es importantísima, no sólo para atender este tipo de solicitudes, sino para gestionar el día a día de los datos. Un trabajador formado medianamente sabrá qué hacer con los datos: dónde guardarlos, cómo desechar soportes y dar respuesta rápida a una incidencia, sabrá que el último hit en virus es el del paquete de Correos no entregado y por eso no picará. Mentalicémonos: la protección de datos es un activo más de la empresa y cada vez más consumidores reclaman a las compañías grandes y pymes unos stándares para confiarles sus datos. Esto no para, señores!
5) Videovigilancia, GPS..Sé lo que hicísteis el último verano.
Instalación de cámaras sin cumplir los requisitos legales, dispositivos GPS que aparecen de la nada cuando hay alguna incidencia.. No lo digo yo, lo dice la AEPD sancionando cada vez a más entidades por este tipo de cosas. Antes de instalar nada, por mucho que la empresa sea suya, hay que analizar los requisitos legales y establecer respuestas a ellos; si usted sabe que por su actividad debe facturar un x% no se le va a ocurrir facturar por un y% porque sabe que se expone a multaza; pues con esto de la protección de datos debe ser igual! Y aviso: las implicaciones no son sólo a nivel LOPD; que se lo pregunten a mis queridos laboralistas!
6) Llama a Iker Jiménez a ver si nos dice el origen de esta base de datos.
A la luz de las últimas informaciones (cosa que no veo yo en mi propio correo, por cierto), cada vez vamos sufriendo menos SPAM. Es verdad que ahora parece que las RRSS son un mejor canal de comunicación y para que el potencial cliente nos visite en nuestra chuliweb y, si tenemos suerte, acabe comprando; pero a día de hoy muchas empresas siguen usando el antiguo método de comprar bases de datos sin saber ni su origen ni su estado. Craso error que nos costará algún sustillo, creedme.
7)Las copias de INseguridad.
Íntimamente relacionado este punto con el 1) y con el 4). ¿Por qué nos cuesta tanto hacer una copia de seguridad semanal en un pendrive? Confiamos en que nuestra nube o nubarrón siempre estará disponible y bajamos la guardia creyendo que el gestor del nubarrón es nuestro angelito de la guardia. Aparte del problemón interno que puede suponer perder los datos de nuestros clientes (por ejemplo si nuestro empleado o nosotros, como jefazos que somos, abrimos un correo más raro que un perro verde), esto es una cagada monumental a nivel LOPD. Y no me quiero meter en las copias de seguridad de los datos de Nivel Alto porque me pondría a llorar fuerte.
8) No declararé (mis ficheros) sin la presencia de mi abogado.
Reconozco es una verdad a medias, y lo explico ahora mismo. Cada vez se declaran más ficheros en la AEPD (y eso es bieeeen) pero esto no sirve de nada si no se continua la senda. Es como lo de aprender inglés: si te aprendes el "Hello" y el "What is your name" has dado un paso para aprender inglés pero NI DE LEJOS debes poner en el CV que tienes nivel medio. Pues con los ficheros igual: o no se declaran o se declaran sin más, dejando el camino abandonado. EEEERROOOOOR!!!!
9) El "Si está en internet es público".
A ver si nos pispamos: que yo ponga mi mail en un foro en el que se habla de viajes a Cuenca no implica que tú puedas coger ese email y ofrecerme tus servicios de cuidador de lombrices. A día de hoy, Internet no es un campo de libre caza de datos te pongas como te pongas; vete a la Ley y al Reglamento y compruébalo tú mismo. Juega en mi contra que el Censo Promocional ni está ni se le espera pero las de perder las tienes tú si no te grabas la palabra CONSENTIMIENTO. :-P
10) Lo quiero todo de ti.
Datos, datos y más datos: los datos son mi tesooooro. ¿En serio necesitas saber el color de ojos de tu cliente si lo que vendes son zapatos?. Tenemos una falsa idea de la operatividad: no es mejor tener TODOS los datos, el truco es tener los necesarios según a lo que nos dediquemos y así correremos menos peligro de que doña AEPD llame a nuestra puerta con una cartita de "amor" y de que la liemos parda a la hora de concretar las medidas de seguridad necesarias. Muchos expertos en moda dicen aquello de "menos es más" y en LOPD es un graaan consejo a aplicar.
Y hasta aquí mi post de hoy; espero que os haya resultado interesante y que sirva para cubrir lagunitas sobre LOPD y demás.
Hasta la próxima!
Si me quieres conocer un poco más, puedes seguirme en Twitter.
No hay comentarios :
Publicar un comentario
Muchas gracias por visitar mi blog y dejarme un comentario.No olvides que también me puedes contactar vÍa twitter en @iurisfriki .