Con la campaña de Semana Santa en marcha en muchos hoteles y alojamientos ha surgido en las últimas semanas una polémica por la fórmula elegida por un hotel, que escaneaba el pasaporte de los huéspedes. Se le impuso una multa de 30.000 euros por utilizar sus datos personales sin su permiso. Por eso vamos a intentar aclarar cómo se recoger y tratar la información de un cliente que se aloja en un hotel o casa de alquiler y cumplir con la LOPDGDD.

La polémica suscitada ha obligado incluso a la AEPD a sacar una nota aclaratoria, dado que estos establecimientos están obligados a recoger una serie de datos de los huéspedes que se alojan en dicho establecimiento. ¿Entonces si se puede recoger los datos del pasaporte, por qué la multa?

En Pymes y Autonomos

Estas son las 11 sanciones más altas establecidas por protección de datos en un año de récord

Según el artículo 24 de la Ley Orgánica 4/2015 dispone en su apartado primero lo siguiente:

Las personas físicas o jurídicas que ejerzan actividades relevantes para la seguridad ciudadana, como las de hospedaje… quedarán sujetas a las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables

Esta norma legitima la recogida de los datos personales relativos a número de documento de identidad, tipo de documento y fecha de expedición, nombre y apellidos, sexo, fecha de nacimiento y país de nacionalidad, fecha de entrada y firma del viajero; los cuales deben incorporarse a la información que la entidad responsable del hotel debe trasladar a las Fuerzas y Cuerpos de Seguridad del Estado.

El tratamiento informado y legítimo de los datos

La cuestión es que este hotel escaneaba el pasaporte, como una fórmula rápida para recoger todos los datos que le exige la ley, registraba al huésped y le entregaba una tarjeta magnética con la que podría acceder a la habitación pero también pagar los consumos que realizara en los locales de restauración del establecimiento.

El problema es que al realizar el pago, el cliente entregaba la tarjeta magnética, se validaba en el punto de venta y el empleado tenía acceso a la fotografía del cliente. Y este es el punto clave. La recogida de la imagen, no está amparada por la ley ni debe realizarse para registrar el alojamiento de cualquier persona.

¿Significa esto que no podemos escanear la imagen del pasaporte? No necesariamente, la multa de impone por dos motivos. El primero es que la recogida de este dato, la fotografía, es innecesario para cumplir con los requisitos legales del registro de alojamiento. Y por otro, no se informa a los clientes adecuadamente del tratamiento que se va a realizar de dichos datos.

Existe un interés legítimo en el tratamiento, que tiene que ver con la verificación de que quien aporta la tarjeta magnética es realmente el huésped alojado, pero no se informa de ello al cliente, y además se pueden establecer otras fórmulas que verifiquen su identidad sin necesidad de utilizar dicha imagen el pasaporte.

En Pymes y Autonomos

Voy a llevar los datos de mi empresa a la nube, ¿qué debo tener en cuenta para cumplir con el RGPD?

Además dichos datos solo deben ser accesibles por el personal que necesita acceso a ellos, es decir, el camarero que va a cobrar la consumición o el contable que tiene que realizar la factura por la estancia. No así por otro tipo de personal del hotel. Es una cuestión delicada donde hay que ser escrupulosos con la ley y ceñirnos a lo que nos indiquen nuestros consultores expertos en protección de datos.

Cuando se produce un problema de seguridad en la empresa lo primero que se piensa es en volver a trabajar lo antes posible. Recuperar los sistemas y los datos, evaluar por dónde se ha producido el problema y poner las medidas para que no se repita. Pero luego toca pensar también en las consecuencias legales de dicho problema. Y en el caso de tratar con datos personales es más delicado. Muchos responsables de datos no saben si están o no obligados a informar de dicho problema. Para orientarles en este momento llega Comunica–Brecha RGPD, la herramienta de la AEPD para saber como actuar ante un problema de seguridad.

Se trata de clarificar en qué casos es obligatorio notificar una brecha de seguridad que afecte a datos personales. Hay que recordar que tras la entrada en vigor del RGPD y de la LOPDGDD, una brecha de seguridad que ponga en riesgo la integridad de los datos almacenados por la empresa, puede suponer la imposición de sanciones económicas por parte de la Agencia Española de Protección de Datos (AEPD).

En Pymes y Autonomos

El RGPD no se cumple en casi la mitad de las empresas españolas

La herramienta tiene un formato de autotest y está destinada al responsable de protección de datos para que sepa si tiene que notificar o no la brecha en función de la importancia, el tipo de datos afectados y la gravedad del incidente.

Con toda la información proporcionada se emite un dictamen no vinculante sobre las posibles acciones a realizar, teniendo en cuenta la información solicitada. Este dictamen se hace en base a lo establecido en el artículo 34 del Reglamento General de Protección de Datos:

• Informar de la brecha de seguridad a las personas afectadas.
• No informar de la brecha de seguridad, ya que la información expuesta no es importante.
• Con la información proporcionada no es posible determinar el riesgo.

Esto por lo que afecta a los propietarios de los datos, ya sean clientes o empleados, por ejemplo. Igualmente si la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas se debe notificar ante la AEPD en un plazo máximo de 72 horas desde que se tenga constancia. Dicha notificación se puede realizar a través de la Sede Electrónica de la propia Agencia para lo que debemos disponer de un certificado digital.

Si la AEPD considera que no hemos tomado las medidas de seguridad suficientes para la categoría de datos personales que estamos tratando, nos podría imponer una sanción, que pueden llegar hasta el 4% de la facturación anual o 20 millones de euros... Las más habituales en España impuestas hasta el momento van de los 120.000 a los 30.000 euros para los casos más graves.

Imagen | Kevin Ku en Pexels

Si hemos sufrido un incidente de seguridad en nuestra empresa, un ataque de virus que ha podido afectar o comprometer los archivos y datos que tenemos almacenados muchos no saben cómo actuar o si tienen que informar del problema de seguridad en la empresa a la AEPD. Para ello la Agencia Española de Protección de Datos ha publicado una herramienta que ayude a los responsables a discriminar si es necesario informar o no a los afectados.

Lo cierto es que el responsable de protección de datos tendría que poner en conocimiento de la AEPD el incidente si se han visto afectados y comprometidos datos personales. Pero también tenemos la obligación de informar a las personas afectadas por una brecha de seguridad de los datos personales, tal y como establece el artículo 34 del Reglamento General de Protección de Datos.

En Pymes y Autonomos

Gestión y notificación de brechas de seguridad, así debemos actuar con el RGPD

Y esta cuestión es algo comprometido para muchas empresas, puesto que implica en muchos casos un problema de reputación y puede derivar en la pérdida de confianza de sus propios clientes. En muchos casos hay datos personales, financieros, médicos, etc. de especial sensibilidad por lo que es muy delicado y las empresas tratan de evitarlo a toda costa.

Se trata de un cuestionario sencillo que en función del tipo de incidente, cómo se han visto afectados los datos, qué datos personales tenemos recogidos y se han visto comprometidos, si los hemos podido recuperar o no... nos va a indicar si estamos obligados a comunicar a nuestros clientes el incidente o no.

Independientemente del uso de esta herramienta tenemos que actuar para solucionar el problema en dos vías. Por un lado determinar por dónde se ha producido la brecha de seguridad y tratar de solucionarlo. Por otro recuperar los datos afectados lo antes posible. La comunicación a la AEPD es obligatoria en las siguientes 72 horas a la detección del incidente.

Si la AEPD considera que no hemos tomado las medidas de seguridad necesarias para el tipo de datos personales que estamos tratando nos podría imponer una sanción, que pueden llegar hasta el 4% de la facturación anual o 20 millones de euros... Las más habituales en España impuestas hasta el momento van de los 120.000 a los 30.000 euros para los casos más graves.

El RGPD ha introducido muchos cambios que afectan a las empresas en lo que a protección de datos se refiere. Pero quizás el más importante de todas sea de concepto, la obligación de proteger los datos desde el diseño, desde antes incluso de su recogida. Para ayudar a las empresas a entender este concepto y que cumplan con el RGPD la Agencia Española de Protección de Datos, AEPD, ha publicado una nueva guía de "Privacidad desde el diseño".

El objetivo es que la protección de datos forme parte del sistema, ya sea hardware o software, del servicio o proceso que las empresas ofrecen y no sea algo añadido posteriormente. Esto implica que antes de recoger los datos se ha realizado un análisis de riesgos a los que se pueden ver expuestos y que la empresa tiene una responsabilidad proactiva para que cada parte cumpla con su cometido.

En Pymes y Autonomos

Un año de la entrada en vigor del RGPD, pocas cosas han cambiado en las empresas

En la Guía de Privacidad desde el Diseño se introduce también el concepto de ingeniería de privacidad, que ayuda a las empresas a pasar de la teoría a la práctica, con medidas concretas, tanto en la fase de concepción del propio diseño como en la de sus desarrollo. Y esto es de gran ayuda para las empresas que muchas veces se encuentran perdidas entre tanta retórica.

También se comentan diferentes estrategias de diseño de la privacidad, orientadas al tratamiento de datos que ayudan a minimizar, ocultar, separar o abstraer los datos, y otras dirigidas a definir procesos responsables con el tratamiento, como informar, controlar, cumplir y demostrar que las medidas adoptadas van en el sentido correcto.

Por último la guía incluye un anexo con una selección de patrones de diseño de la privacidad, un glosario en el que se explica el patrón y para qué sirve en cada caso. Conocer estos patrones y definir cuál es el más adecuado para cada empresa según el tipo de tratamiento y datos que realiza dará muchas pistas sobre las medidas a adoptar en cada caso.

La cuestión de la privacidad desde el diseño muchas empresas lo asumieron como algo poco importante, ya que al fin y al cabo ya estaban en marcha y tenían diseñado su propio sistema de recogida y tratamiento de datos. Los cambios a realizar para adaptarnos muchas veces son algo más que cosméticos y por ello es importante entender este concepto para cumplir con el RGPD.

Imagen | TheDigitalArtist

La Agencia Española de Protección de Datos ha presentado Gestiona EIPD, una herramienta para analizar riesgos y evaluar el impacto en el tratamiento de datos personales y dirigida a las empresas que lleven a cabo tratamientos de alto riesgo, como pueden ser aquellos que traten datos de salud o realicen tratamientos masivos. Pero también pymes que traten datos biométricos, como puede ser la huella digital para el registro horario, por ejemplo.

Esta herramienta se une a otras que ya tiene la AEPD como Facilita o Análisis de riesgos, que están enfocados a empresas que hacen un tratamiento de datos con un menor grado de protección o tratamientos sencillos de datos personales. Gestiona_EIPD va un paso más allá y que deberán cumplir empresas que por ejemplo elaboren perfiles.

En Pymes y Autonomos

¿Perdido con el nuevo Reglamento de Protección de datos? La AEDP acude al rescate con estas guías

La herramienta funciona en modo cuestionario, como otras semejantes de la AEPD. Los datos se almacenan de forma local en nuestro navegador. Será más o menos fiable en función de si el encargado de protección de datos quiere o no hacerse trampas al solitario, obviando algunas respuestas. La AEPD ni recopila ni monitoriza el uso que se hace de esta herramienta.

La herramienta es gratuita y guía a los responsables o encargados del tratamiento de datos en los aspectos que se deben tener en cuenta, proporcionando una base inicial para llevar a cabo una adecuada gestión de los mismos, incluyendo los requisitos de cumplimiento normativo aplicables y posibles medidas encaminadas a reducir o mitigar los riesgos. En todo caso la realización del test no supone el cumplimiento automático del RGPD.

Creo que es una herramienta que puede ayudar a mejorar la sensibilidad de las empresas para cumplir con el RGPD y la LOPDPGDD. Se puso en su momento el acento de forma notable en volver a pedir los consentimientos, pero no han cambiado la esencia de la ley, la protección de datos desde el mismo momento de su recogida, desde la base y poner las medidas oportunas para su protección de forma fehaciente.

Imagen | BiljaST

Son las pequeñas empresas las que muchas veces tienen más problemas a la hora de asumir los cambios. Con la protección de datos también pasa. Muchas de ellas no se preocupan del RGPD. Han cumplido formalmente, aunque no han tomado las medidas adicionales para protegerse como exige el reglamento. En muchos casos porque no son conscientes de la importancia que tiene. Pero esto puede que cambie con las primeras sanciones del RGPD con las que las empresas empezarán a tomar medidas serias.

No se trata solo de solicitar los consentimientos, que en muchos casos tampoco se ha hecho con los antiguos clientes, o de cambiar las condiciones de la página web o a la hora de recoger los datos desde un formulario. Es que no existen medidas de protección para los datos de dichos clientes que luego se almacenan.

En Pymes y Autonomos

Por qué tu empresa tiene muchas posibilidades de ser sancionada por incumplir el RGPD

Y esto supone claramente un problema si existe una brecha de seguridad, donde además de informar a la AEPD en los dos días siguientes al incidente, además vamos a tener que probar que habíamos tomado todas las medidas necesarias para evitar una sanción. Y hablamos de una cantidad de dinero que puede acabar con el cierre del negocio.

En muchos casos no existe ninguna barrera entre el cliente y el área de gestión, entre los datos personales y cualquiera al que le ofrecemos la clave de WiFi para que se conecte a Internet en nuestra empresa. Un riesgo para la continuidad de negocio, pero también para los datos almacenados.

En muchos casos por desconocimiento, porque ni siquiera han realizado un análisis de riesgos a los que están expuestos. Y cuando ocurra tendrán un grave problema. Por mucho que ahora se trate de explicar, hasta que no vean como una sanción ha acabado con el cierre del bar de la esquina, de empresas con las que se tiene relación, no se empezarán a tomar en serio cumplir con el RGPD.

Más valdría a muchas empresas al menos reservar una parte del presupuesto que tienen para 2019 para mejorar su seguridad y poner a salvo los datos de sus clientes. A veces el problema es sencillo de resolver si se coge a tiempo, es como invertir en un seguro, algo para minimizar daños en caso de un siniestro de seguridad.

Imagen | TheDigitalArtist

Para muchas pymes el nuevo Reglamento de General de Protección de Datos, RGDP, es un problema. Se encuentran perdidas y en estos meses previos a su entrada en vigor el 25 de Mayo tratan de adaptarse para evitar posibles sanciones. Para ayudarlas la Agencia Española de Proteción de Datos, AEPD, ha publicado dos guías para facilitar el cumplimiento del RGDP.

Se trata de una Guía de Análisis de Riesgo y otra para la Evaluación de Impacto en la Protección de Datos. Son un complemento para aquellas organizaciones que realizan un tratamiento de datos más sencillo, para las cuales ya estaba disponible la herramienta Facilita RGDP desde hace algún tiempo. Se trata de un sencillo cuestionario que ayuda a comprender y entender las acciones a tomar para cumplir con el RGPD.

La Guía de Análisis de Riesgos proporciona una metodología adecuada para evaluar el nivel de riesgo en función del tratamiento de datos personales que efectúa. Además, en su anexo contiene plantillas que serán muy útiles para empresas y profesionales. Con ellas podrán decidir si es necesario o no realizar una evaluación de impacto en Protección de datos.

Respecto a la Guía de Evaluación de Impacto en la Protección de Datos, está pensada para ayudar a identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas . Una vez analizado, ayuda a gestionar dichos peligros antes de que se materialicen. Será un apoyo para que las compañías identifiquen las actividades que conllevan un alto riesgo.

Como en el caso anterior existen diferentes plantillas para documentar el tratamiento de datos que se realiza. Es una ayuda, pero será insuficiente para la mayoría de las empresas, que en muchos casos ni siquiera entienden la terminología utilizada o no son conscientes de si están cediendo datos o no.

En estos casos lo ideal es buscar una consultora que os ayude, primero a entender los riesgos a los que estamos expuestos, nos indique qué medidas de seguridad tomar y por último nos realice las adaptaciones necesarias. Pero hay que recordar que finalmente la responsabilidad será nuestra. Y las sanciones previstas en la nueva ley harán temblar la cuenta de resultados de cualquier organización.

En Pymes y Autónomos | Día Europeo de la Protección de Datos, con la llegada del RGPD asomando por la puerta

Imagen | geralt

¿Quién se acuerda de los derechos de los consumidores o de la protección de datos cuando se inicia una tienda online? En el mejor de los casos se hace un cortar y pegar de una tienda más o menos parecida a la nuestra y se personaliza, pero muchas veces ni siquiera se han parado a leer o mucho menos comprender lo que significa. De esta manera los aspectos legales de la venta online se convierten en los grandes olvidados en la pyme.

Está claro que el primer paso es conseguir los clientes, con un buen diseño, unas fotos bonitas, una buena campaña de anuncios en Adwords o logrando la mayor difusión posible en las redes sociales. Sin embargo, los cimientos sobre los que se levanta un negocio deben ser sólidos, a menos que queramos que una vez que hemos conseguido lo más difícil, una base de clientes estable, todo empiece a venirse abajo por una denuncia de alguien que considera que no se han respetado sus derechos.

Y esto sirve para todo. No podemos coger cualquier foto que encontremos en las búsquedas de Google para colocar en nuestra web. Tienen es que estar libres de derechos o tener licencia para su uso comercial y/o con reutilización, ya que pocas veces acabamos usando la foto original sin ningún retoque o adaptación.

Otras cuestiones tienen que ver con la recogida de datos al darse de alta en nuestra página, el uso que se hace de dichos datos o la posibilidad de ejercer los derechos ARCO del cliente. También con el uso de cookies cuando se accede a la página. Con respecto a esta cuestión tenemos que tener claro dónde se aloja nuestra página web, servidores que se encuentren en la UE y respeten la legislación de protección de datos. A veces las mejores ofertas suponen que el servidor se aloja en un país con legislaciones que no protegen adecuadamente dichos datos.

Luego a la hora de vender hay que respetar los plazos de venta y devolución de los clientes, remitirle los documentos de factura en papel salvo que haya expresado su deseo de tener la factura en formato electrónico. En definitiva, hay cuestiones que se pueden solventar con un cambio de texto, con una pequeña mejora en el diseño y otras suponen migrar todo nuestro e-commerce a otros servidores y otra plataforma.

La cuestión es que muchas veces la multa que tenemos que asumir supone de hecho el cierre de nuestra tienda online y nuestra empresa. Aquí no basta como defensa el desconocimiento de la ley o la buena fé o incluso rectificar. La sanción tendremos que asumirla.

En Pymes y Autónomos | Siete aspectos a tener en cuenta en las rebajas de nuestra tienda online

Imagen | Geralt

Muchas pymes guardan datos personales de clientes en la nube. El problema es que muchas veces la nube parece algo ubicuo, que no se sabe muy bien donde está. Los servidores de datos pueden estar lo mismo en Irlanda, Alemania o Estados Unidos. Y esto supone un problema a la hora de cumplir con la LOPD, donde la AEPD ya ha advertido a las empresas del uso inadecuado de estas aplicaciones en la nube para la albergar datos personales.

Recientemente el Tribunal de Justicia Europeo (TJUE) invalidó el conocido como 'Safe Harbour', un acuerdo que autorizaba a compañías estadounidenses a transferir a sus servidores en EEUU datos personales de sus usuarios y clientes ubicados en Europa. Esto ha provocado que las empresas que utilizan Dropbox, Google Apps u otros servicios en la nube que tenían este acuerdo tengan un problema a la hora de cumplir con sus obligaciones legales, y la AEPD ya ha advertido del asunto.

Algunas de los servicios que utilizan las empresas y cuya información se guarda en servidores de Estados Unidos, que no garantiza el grado de protección requerido por la LOPD son Dropbox, Google Drive, Google Apps, Google Analytics, Google Adsense, MailChimp, Facebook, Flickr, Instagram o Twitter. Si en la página web de la empresa aparecen personas o datos personales de las mismas porque hemos puesto un Widget o un enlace se estarían traspasando datos personales fuera de Europa, por lo que la AEPD ya está advirtiendo a las empresas de esta circunstancia.

El límite que tienen las empresas para suspender esta transferencia de datos es hasta el próximo 29 de Enero, momento en el que la Agencia podría iniciar un procedimiento contra aquellas compañías que no se hayan adaptado a la nueva normativa. Las multas pueden ir desde los 300.001 euros a 600.000 euros por comisión de una infracción muy grave.

Lo cierto es que muchas veces se contratan servicios en la nube, pero no se tiene muy claro donde se ubican los servidores que no necesariamente están en nuestro país. Esto a veces también tiene importancia a efectos fiscales, porque tenemos que pagar un servicio que se encuentra ubicado en otro país y con un IVA diferente.

Vía | El Confidencial

En Pymes y Autónomos | Videovigilancia y el cumplimiento de la LOPD, ¿qué necesitas saber?

Imagen | LoboStudioHamburg

Con el abaratamiento de las cámaras IP y la mejora de las comunicaciones son muchos los negocios que tienen la tentación de colocar estas cámaras para ver que está ocurriendo cuando ellos no están presentes. Pero a la vez implica una serie de obligaciones legales que no siempre se cumplen como deberían. Vamos a ver qué necesitas saber si quieres poner videovigilancia en tu empresa o negocio.

La AEPD sacó una guía (PDF) al respecto de esta cuestión que sería el principal punto de partida para saber aspectos básicos. La videovigilancia permite la captación, y también la grabación, de información personal en forma de imágenes. Cuando su uso afecta a personas identificadas o identificables estás afectados por la LOPD.

Entre otras cuestiones debemos tener en cuenta que:

• Debe existir una relación de proporcionalidad entre la finalidad perseguida y el modo en el que se traten los datos.

• Debe informarse sobre la captación y/o grabación de las imágenes.

• Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos.

Siempre que exista cualquier tipo de grabación se genera un fichero, que deberá ser comunicado a la AEPD e inscribirlo en el registro general de la misma. Pero también cumplir con los derechos ARCO, acceso, rectificación, cancelación y oposición. Tenemos que tener a disposición de los clientes hojas para que puedan ejercer dicho derecho impresas o que podamos imprimir en el momento.

La instalación de las cámaras de videovigilancia debe realizarse por una empresa debidamente autorizada por el Ministerio del Interior si tienen acceso o manipulan las imágenes que se recogen. Si sólo se ocupan de la instalación, esta circunstancia no es necesaria desde la entrada en vigor de la ley Omnibus.

Las imágenes sólo pueden almacenarse por un tiempo máximo de un mes, pasados el cual deberán eliminarse del fichero. Por lo general lo que ocurre es que se va grabando encima de las imágenes más antiguas. Todo esto es interesante tenerlo en cuenta si tenemos la tentación de comprar una cámara IP e instalarla en nuestro negocio sin más.

En Pymes y Autónomos | Nueva guía sobre videovigilancia y datos personales de INTECO