Ecommerce,
Marketing,
34 MINS

Episodio 36: RGPD con Pablo F. Burgueño

marzo 04, 2018
Suscríbete a En.Digital en iTunes Suscríbete a En.Digital en iVoox Suscríbete a En.Digital en Spotify Suscríbete a En.Digital en YouTube Suscríbete a En.Digital en Deezer

El 25 de mayo de 2016 entró en vigor el RGPD (Reglamento General de Protección de Datos), una normativa europea que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Aunque llevamos dos años de aplicación de este reglamento, en la mayoría de las empresas las “alarmas” no han sonado hasta ahora por haber exprimido al máximo el periodo “ventana” que se ha ofrecido para realizar la adaptación a la nueva legislación.

En este episodio hablamos con Pablo F. Burgueño (LinkedIn), uno de los abogados con mayor conocimiento de tecnología que tenemos en nuestro país. No en vano, el despacho de Pablo F. Burgueño ha sido capaz de ganar a Google en los tribunales.

Pablo es fundador de 3 empresas que aúnan el derecho con la tecnología, como son: Escila (adecuación a la GDPR, seguridad informática y legal), NevTrace (laboratorio BlockChain) y Abanlex (despacho de abogados especializados en nuevas tecnologías).

Índice del episodio
  • 00:30

    Bienvenida y presentación del episodio 36 por parte de José Carlos Cortizo

  • 01:00

    Presentación de Pablo Fernández Burgueño y explicación de sus 3 proyectos en el mundo legal + tecnológico: Escila, NevTrace y Abanlex

  • 05:30

    Algunas de las ramas de investigación en derecho que está siguiendo Pablo F. Burgueño como el derecho extra-terrestre.

  • 07:00

    Introducción al RGPD (Reglamento General de Protección de Datos). ¿Qué es y cuáles son las principales claves que tenemos que tener en cuenta para poder aplicar correctamente el RGPD en tu empresa?.

  • 9:00

    ¿Mi empresa está obligada a cumplir la normativa impuesta por el RGPD? Si, todas las empresas deben aplicar esta normativa.

  • 10:30

    Debemos evaluar los riesgos que pueden ocurrir en nuestra empresa en cuanto a ataques de ciberseguridad y posibles problemas relacionados con la seguridad y el acceso a la información de datos personales.

  • 14:00

    ¿Cómo pueden abordar esto las micro PYMES? En la AGPD se ofrece una herramienta gratuita que permite cumplir más fácilmente este reglamento: Facilita RGPD

  • 15:00

    ¿Cómo pueden abordar el RGPD las PYMES que tienen un mayor volumen de datos personales? Aquí tratamos empresas de servicios, consultoras, empresas con un CRM, etc. pero que no manejen grandes volúmenes de información.

  • 19:00

    Aplicación del RGPD para empresas que manejan grandes volúmenes de datos como puedan ser proveedores de personalización, de email marketing, etc.

  • 24:00

    La importancia de la formación interna y de la documentación de procesos para poder cumplir la RGPD

  • 25:30

    Repercusión mediática de los posibles fallos de seguridad que sufra nuestra empresa

  • 30:30

    Acerca de las sanciones y las consecuencias de no cumplir la RGPD

  • 33:30

    Conclusiones y despedida del capítulo 36.

 

 

Transcripción del Episodio

[00:00:00] Porque trabajamos, pensamos, aprendemos, compartimos, vivimos y soñamos en Digital, el programa por y para los profesionales del mundo digital. Empezamos.

[00:00:32] Hola a todos y bienvenidos una semana más a: En Digital, el podcast por y para los profesionales del mundo digital. Esta semana tenemos un invitado muy especial, al menos para mí, le conozco desde hace diez años y es el… Bueno, al menos es el abogado que yo conozco, que más conoce, temas de nuevas tecnologías, de hecho yo lo llamo mi abogado freaky porque sabe más de… De tecnología muchas veces que yo, Pablo Fernández Burgueño, muchas gracias por estar con nosotros.

[00:01:00] Gra-… Gracias a ti, muchas gracias a todos los que nos estáis escuchando, espero que… Esta conversación que vamos a tener José Carlos y yo para vosotros, sea de vuestro máximo interés.

[00:01:09] Gracias Pablo, hoy os adelanto, que vamos a hablar de RGPD y otros temas relacionados con… Como… Con temas… De seguridad, protección de datos y… Y demás, que es un tema muy candente y además, muy interesante, que está un poco… Poco más gestionado, a… A día de hoy y tenemos con nosotros, pues como decía Pablo, que entre muchas otras cosas, porque Pablo es un… Un docente en… En mu-… Multitud de sitios, pero luego es fundador de tres proyectos, como son: ESCILA, NEVTRACE y ABANLEX, tres proyectos distintos, relacionados con el mundo de la abogacía y las nuevas tecnologías. Pablo, nos puedes contar un poquito de… De estos proyectos.

[00:01:45] Claro, claro que sí. Lo primero, ¿por qué tengo tres proyecto? Fíjate cuándo… Terminé de estudiar derecho, me planté la siguiente pregunta: ¿Qué me gusta que no sea derecho? Y me di cuenta de que me… Me encanta la tecnología, la creatividad, el audiovisual, los vídeo juegos, incluso, así que lo que hice, fue montar un despacho de abogados para poder prestar servicios jurídicos a esas ramas, ramas de diferentes profesiones que me apasionan y con las que estoy más o menos habituado. Puedo mantener una conversación al casi mismo nivel que la persona que tengo delante. Empecé con Abanlex, que en resumen, fue el despacho de abogados que ganó a Google el caso del derecho al olvido gracias a la dirección… Del equipo por parte de mi ex socio Joaquín Muñoz. Él… En Abanlex hicimos otras cosas, como por ejemplo ayudar a la introducción del Bitcoin y Blockchain dentro de Europa; y conseguimos las primeras resoluciones también en relación con la ley de cookies. En relación con Bitcoin, que lo acabamos de mencionar, acabo de indicar que dentro de las tres empresas hay una que se llama NevTrace. Bueno, pues, NevTrace es una empresa que creé con dos compañeros que son Alberto Gómez Toribio, actualmente CTO en Bankia, y Jorge Ordovás, que es responsable en medios de pago en Telefónica. Lo que hacemos a través de NevTrace… Deletreado N E V TRACE punto com, esa es la web. Lo que hacemos a través de NevTrace es: Investigar el mundo de Blockchain y dar formación sobre él. Una de las cosas que hemos hecho, quizá la principal, es saber quién está cobrando los pagos que se hacen por infectados de Ransomware tipo Crypto Logger. Es decir, te entra un Malware en el ordenador, bueno, es una especie como de virus, cifra todos los archivos y el delincuente te pide un rescate de los archivos que tienes que pagar en bitcoins. La… Los delincuentes utilizan bitcoin porque se creen que gracias a esta tecnología son anónimos y van a seguir así. Lo que hemos hecho Jorge, Alberto y yo a través de NevTrace es identificar a las personas físicas y jurídicas que están recibiendo los pagos, ¿sí? Que sabemos a dónde va el pago que hace el infectado. Y la ultima de las empresas es: Escila deletreado E S C I L A, Escila, es un ser mitológico de la antigua Grecia, bueno pues, a través de Estila, lo que he hecho es cambiar un poco la metodología de trabajo, en vez de tener solamente abogados, lo que tengo, en el equipo, son abogados e ingenieros informáticos, ¿y por qué? Y está relacionado con lo que José Carlos, lo que… Lo que me preguntabas hace un momento RGPD o el Reglamento General de Protección de Datos. La nueva normativa de protección de datos, lo que dice es: “Señores abogados, señores y señoras… Abogados no… No podéis vosotros ya prestar el servicio de protección de datos, a partir de ahora tienen… Tenéis que hacerlo de forma conjunta con un ingeniero informático”, y… ¿Supongo que te imaginarás por qué? Al fin y al cabo todos estamos permanentemente siendo atacados por medio de Malware u otros sistemas de ciberataques o ciberdelincuencia incluso, lo que desde Europa se ha determinado es que las empresas ya no pueden simplemente poner un candado para que la gente no entre… En sus… En sus CDs y para que no se puedan robar esos datos, lo que se quiere desde Europa es que todas las empresas, establezcan las mejores medidas de ciberseguridad según el estado de la técnica, para proteger el mayor activo que tiene la empresa, que además de la marca, son los datos personales.

[00:05:11] La verdad que estás súper metido, ¿No? Eso… Unas de las cosas que siempre le ha caracterizado a Pablo es… Para mí y de… Y los que lo conocemos, es que siempre ha estado como investigando, ¿No? Él es… Se le puede llamar casi un investigador, en todo lo que es ese nexo de conexión entre tecnología y… Y el mundo del… Del Derecho, que no es fácil.

[00:05:27] Eso es. De hecho, algunas de las ramas de investigación que… Que sigo son, por ejemplo, todas las relacionadas con el marketing a través de Internet, el mundo de las cookies. Y una rama que es bastante peculiar, que no la tengo explotada todavía, porque quizá no es el momento, que es el Derecho del espacio ultra terrestre, ¿Sabes? Supongo, José Carlos, porque de hecho, ya lo he-… Lo he hablado contigo, que hay… Hay dos leyes, que ya están aprobadas para hacer minería espacial. Es decir, irse al espacio y recoger minerales, como el tantalio, el europio, que tienen los teléfonos móviles, que en el mundo se está acabando. Por lo menos China, que es el país donde están prácticamente todos estos minerales, se ha dicho que deja de exportarlos, bueno pues ¿Dónde están estos minerales? Además de en el fondo marino, pues están en el espacio, en… Pues, por ejemplo, en la luna o en otros cuerpos celestes. Hay ya dos leyes, que lo que hacen es impulsar a las empresas a ir para allá y recoger estos minerales. Eso es un marco de investigación, que ya digo que simplemente lo hago porque me gusta, pero no está explotado, donde sí que hay negocio es en las otras áreas que he mencionado, sobre todo, en ciberseguridad y el RGPD, el reglamento general de proteccionismo de datos.

[00:06:31] Pues nos… Nos dejaos apuntes para futuros programas… Hablar con Pablo, porque bueno me… Como cuenta, está muy metido en mundo blockchain bitcoin, que es algo también hemos comentado ya en varios… Varios programas y esto del espacio, ya se lo dije en su día a mí me parece maravilloso, esto deja… [RISA 00:06:45] Da para mucho, tenemos que hacer un programa especial de esto, por narices, pero hoy nos vamos a centrar en… En lo que más nos va a afectar en el corto plazo, ¿no? Que esto es el… Es por lo que estamos acojonados muchos… Acojonados yo creo, porque no sabemos muy bien hasta… Hasta… Hasta dónde implica todo esto y qué es la… La RGPDA, ¿no? Nuevo Reglamento General de Protección de Datos, que… Es que se empieza a aplicar ya en breve, ¿nos puede contar un poco cuáles son las claves?

[00:07:10] Claro, por supuesto. El Reglamento General de Protección de Datos, es una norma que surge de Europa y que se aplica de forma directa. Entró en vigor el veinticinco de mayo de dos mil dieciséis, y se ha dado un plazo de dos años a todas las empresas autónomos, comunidades de vecinos y asociaciones de España, de Europa y del resto del mundo que dirijan sus servicios hacía Europa o extraigan datos desde Europa, para cumplir. Entonces, ese plazo de dos años termina, el veinticuatro de mayo de este año dos mil dieciocho y el veinticinco ya es obligatorio el cumplimiento.

[00:07:41] Es por eso no funcionamos en España, para nosotros mentalmente el límite ha estado siempre este año, no está hace dos años [RISA 00:07:47] y tenemos una prorroga.

[00:06:59] Es… Es lógico. Fíjate cuándo se aprobó la Ley de Cookies en España… Se publicó en el boletín oficial del estado el sa… Un sábado de abril, del año dos mil doce, y… Se obligaba a todas las empresas a cumplir la ley de cookies, con bloqueo de cookies y demás, el lunes. Es decir, se dio un plazo de un domingo para que todos cumpliesen ese plazo de un sólo día, en domingo. Que con el Reglamento General de Protección de Datos ha cambiado y se nos ha dado un plazo de dos años, pero ¿cuándo surgen las necesidades? Pues, cuándo quedan menos de… O sea, poco… Poco más de cien días para que sea obligatorio [RISA 00:08:22].

[00:08:23] ¿Y qué?

[00:08:23] Bueno.

[00:08:23] ¿Y qué cosas tenemos que tener en cuenta? ¿No? Porqué el… Al… Al final cuándo… Yo he leído mucho sobre esto y… Es algo que… Que me interesa y desde el punto de vista… Bueno, es decir, pues no… Nos toca directamente, pero cuanto más lees casi… Más desinformado estás, porque se mezclan muchas cosas. Tú seguro que eres capaz de darnos las claves en general de… De qué cosa cómo empresa tenemos que tener cuidado. Luego lo que te decía… Lo que decíamos antes, luego profundizaremos en dos tipos de empresa, ¿no? Una empresa que tiene una gestión de datos más o menos estándar, normal, lo típico en una empresa de servicios y luego hablaremos también de alguna empresa, pues más… ¿cómo puede ser Sun Breezes?, ¿cómo puede ser un procesador de Ipimes, una plataforma ya más tecnológica que gestione grandes volúmenes de información, pero para el gran público?, ¿cuáles serían esos High Lights que… Que vienen con los RGPD?

[00:09:13] El… El primer Hight Light, el primer la… El primer foco de atención, qué tenemos que sentarlo en… En sí estamos o no, obligados, a pesar de que luego vayamos a esos dos tipos de empresas, la… La pregunta es: “¿Mi empresa que tiene actividad comercial está obligada a cumplir la normativa de las que estamos hablando?” La respuesta es Sí, ¿Y el por qué? Es, porque está tratando datos personales. Fíjate, te estaba mirando ahora las zapatillas que llevas, qué son muy chulas Jose, y estoy viendo que tienen como unas… Una especie como de tiras de color verde, bueno pues, si el resto de la gente, que hay aquí en la oficina, también te las ha visto, así que sí ahora nos desperdigamos y salimos por el edificio, algunos de mis compañeros, Miguel, Rosa, cualquiera, me puede preguntar: “¿Oye, dónde está el tipo éste de las zapatillas con las tiras verdes?”. Eso a mí, me ayuda a identificarte, es una información concerniente a ti, a una persona física que te identifica o te hace fácilmente identificable, ese es un dato personal, así que sí en… Sí, en tu empresa, sí en la empresa de un… De un… De cualquier persona, se guardan bases de datos con por ejemplo: Nombres de clientes, nombres de usuarios, nombres de trabajadores, sí que tiene que cumplir esta norma porque tiene la obligación de velar y custodiar por el… La protección de los datos. Lo que indica la norma RGPD es que todas las empresas tienen que hacer lo siguiente: Lo primero, tienen que analizar el riesgo que corren esos datos a la hora de… De protegerlos frente a ataques, tanto físicos como lógicos, lógicos son informáticos, entonces, ¿qué tipo de ataques se van a poder producir? Pues, por ejemplo, que pueda entrar un Ransomware, que básicamente es un programa de ordenador que entra por correo electrónico, que se hace pasar por PDF, que cuando lo abrimos cifra todos los datos que hay en el ordenador. Vale. Existe ese ataque, entonces, o ese vector de ataque, lo que necesitamos es instalar un sistema antivirus que ahora se llama solución en point para protegernos frente a ese tipo de ataques. Esa evaluación ya no la puede hacer un abogado, ahora tiene que hacerla un ingeniero informático especializado en ciberseguridad. Así que tenemos que contar, no con un abogado, sino con alguien especialista en esas soluciones de ciberseguridad, ¿cuál? Todo tipo de empresas, desde las pequeñas hasta las grandes. Lo segundo: Existe un… Una obligación de volver a rehacer toda la documentación legal, en relación con la protección de datos, básicamente son tres cosas: La primera, el aviso que se otorga, que se entrega a las personas que nos van a escribir, por ejemplo, en el formulario de contacto hay que explicar a esas personas durante cuánto tiempo vamos a tener sus datos, entre otras cosas. La segunda: Los contratos de encargado del tratamiento, que básicamente son: Los documentos que obligan a las empresas terceras que van a acceder a nuestros datos a custodiarlos, a no venderlos, a… A no… A no perderlos, a permitir que nadie más pueda acceder salvo ellos mismos. Así que ese es el contrato de encargado de tratamiento, hay que rehacer… Hay que rehacerlo antes del veinticinco de mayo de este año. Y la tercera, es el documento de medidas de seguridad que dentro de la empresa se tienen que implementar y que por supuesto, debe ir acompañada co-… De dos cosas, este documento deber ir… Debe ir acompañado. Y… Con esto ya termino y te… Te devuelvo la palabra [RISA 00:12:24], perdona que me estoy extendiendo un poco [RISA 00:12:23]. Debe ser acompañado el documento con: La primera, mantenimiento, es decir, que tiene que haber una persona, un responsable de seguridad que todos los días o todas las semanas del año, es decir, de… De forma periódica, vaya revisando que se cumplen las medidas y lo tiene que documentar. Esto para que quede documental-mente, es decir, en papel o en… O en… En un… En un soporte digital, pues que ha hecho esta revisión y la segunda, que decía que hay dos cosas que van unidas al documento, es la formación, formación para todas aquellas personas que vayan a tener algún tipo de acceso a los datos, para que no se descarguen estos programas maliciosos a través del correo electrónico, o para que no introduzcan pendrives que se encuentran dentro de los ordenadores, porque pueden estar infectados o pueden infectar al ordenador, o pueden ser killers, que lo que hagan es destruir el microprocesador del ordenador. Formación es lo más importante para mí.

[00:13:17] Toma ya. Al final nos has dado un repaso genial [RISA 00:13:20] y nos queda… A mí ya me queda claro al final. Todos… Todos… Todas las empresas, porque con la definición que has dado, la panaderí… Panadería de aquí al lado, tendrá como poco una libretita con la información de sus proveedores, de que cuándo total… Eso ya es información, ya está dentro de la empresa, por lo tanto ya hay que meter algún tipo de medida… A día de hoy, además, en casi todas las organizaciones hay… Cacharros electrónicos, aunque sea el móvil de empresa o lo que sea, con información de esos datos, en todos los que tenemos ordenadores… Tenemos información de contacto de nuestros proveedores, de nuestros clientes. Conclusión al final: Todas las empresas tenemos que tener un ojo…

[00:13:57] Eso es.

[00:13:58] Bien puesto en esto, que… Que no es poco… [RISA 00:14:00].

[00:14:00] Sí, si me permites, por concluir, para las Pymes, ¿cómo pueden abordar esto? La página Web de la Agencia Española de Protección de Datos, tres W A G P D punto es, tiene una sección que se llama reglamento general de protección de datos donde hay guías, hay instrucciones y hay una pequeña… Un pequeño programita para que ellas mismas, estas mini empresas o micro empresas, puedan hacerse su propio análisis de riesgo, así que para ellas puede ser incluso gratuito.

[00:14:26] Toma ya. Pues muy bien apúntalo, ponemos en la información del Podcast, el… Rl enlace, porque eso para esta micro Pymes, tipo para panadería o un taller, cualquier cosa, les puede servir y ahora nos vamos a centrar en otros dos tipos de empresas que cada uno de ellos van a tener unas necesidades un poquito mayores, y al… Al final vamos a poner… Un ejemplo: Una empresa tipo de ser-… De servicios creada con un cierto volumen, que haya manejado sus RM, que… Que ya, bueno, pues tiene su página web, recibe los contactos, es decir… Y voy a poner como… Punto como ejemplo Fotografía Ecommerce, por ejemplo porque la conoce Pablo… Punto como saben nuestros oyentes, es uno de los colaboradores del programa porque lo lleva mi chica, entonces me aguanta y… Pero es una empresa que a diferencia, por ejemplo, de Brenser gestiona un volumen mucho menor de datos, pero aún así es un volumen muchísimo mayor con la panadería de la esquina. Y este tipo de empresas, ya tienen que empezar hacer alguna cosa más, ¿no? Ya no va a valer solo con que se vayan a ver esta… Esta guía de… De la agencia y la sigan, sino que van a tener que hacer, por lo bien o se los he dicho yo un trabajo importante.

[00:15:24] Eso es. Sí. Lo que tiene que hacer es tener en cuenta ese riesgo en relación con lo que van a sufrir los datos personales en caso de que haya algún tipo de intrusión o brecha de seguridad. Este… Esta mayor atención al riesgo, se debe plasmar en el análisis de riesgo inicial, así que probablemente tu chica lo que tenga que hacer, es contratar una solución de ciberseguridad adecuada a ese riesgo, como puede ser pues, por ejemplo, un sistema de Firewall, un sistema Endpoint con un antivirus, ¿cuál? Pues cualquiera que se… Que sea adecuado como el de Softbox, el… El de Panda o el de Eser un… Son empresas… De reconocido prestigio, que sí que te aseguran estar al… En el estado de la técnica de los ciberataques, no en el estado de la técnica de… De… De las… De las diferentes profesiones, ¿Verdad? Entonces, tienen que hacer esto y luego, como van a hacer un desarrollo en relación con la modificación de los datos, una fotografía es un dato personal y es posible a lo mejor que tu chica haga determinados retoques dentro de las fotografías, para que sean un poquito más visuales o más atractivas las… Las fotos en sí mismas, no las personas que todo el mundo es atractivo por sí mismo. Entonces… Esa modificación de datos exige también… Dar un reconocimiento especial a las personas, cuya cara va a ser captada, indicándolas que en caso de que bueno, quieran rectificar, modificar, limitar, el uso de los datos, tienen un… Una especial… Una especial entrada, en la empresa de… De tu chica. En relación con los contratos de encargado del tratamiento, también, dado que probablemente utilice un hosting, utilice un sistema de terceros, a través del cual, un tercero, puede ser Amazon Web Services o puede ser el sistema de almaciento… Almacenamiento de Google…

[00:17:02] Google Analytics, por ejemplo…

[00:17:00] [… 00:17:00].

[00:16:59] Servicies o puede ser el sistema del almacena… De almacenamiento de Google.

[00:17:02] Google Analytics, por ejemplo, os serviría.

[00:17:04] Eso es, Google Analytics, ellos van a tener un acceso, quieras que no, a datos personales… En concreto de los usuarios, que transitan o navegan a través de la Web, así que ahí tiene que prestar especial atención, cosas que no tienen que hacer, pues por ejemplo: Las panaderías, que no tienen acceso a esa cantidad de datos.

[00:17:20] Perfecto, en este tipo de empresas ya es importante… Por lo que está diciendo, contar con un apoyo ya de profesional, es decir… No, nos vale… Yo creo… Yo creo que hay una diferencia, la has explicado tú muy bien, es antes nos servía lo que nos decía un… Un abogado, por lo tanto, mucha gente se podía, bueno, pues se hacía con una serie de documentación, que… Plantillas y demás y unas guías, se podía seguir, pero al día de hoy hace falta un análisis de riesgo, por lo tanto ya tienes que contar con ayuda externa, porque va a ser algo que no, nos va a servir un formulario, una plantilla o algo, ¿no?

[00:17:51] Eso es. El model… Los modelos, los formularios, a ver, siguen sirviendo porque son la base, pero lo que funciona ahora, no es el modelo en sí mismo, que es lo que se vendía antes, como la adecuación de protección de datos, adecuación LOPD, entonces te vendían por una cantidad de cientos de euros, un modelo. Ahora no, ahora los modelos se dan gratis. De hecho, la Agencia Española de Protección de Datos los da para… Para el modelo de información… Que hay que poner en la página web, el modelo de contrato encargado de tratamiento. Ahora lo que vale es el conocimiento, sobre qué hay que poner en ese modelo. Es decir, dentro de las diferentes opciones, dentro del modelo, te encuentras: Opción A, permitir que el… El usuario haga no se qué o no se qué otra cosa o… U opción B. Bueno, pues esa… Punto ese conocimiento es el que ahora… Punto es el que se cobra por parte de los profesionales y lo que se paga por parte de… De las personas físicas. Dice la Agencia que ese conocimiento es gratis, porque está a disposición de todo el mundo, pero claro, ¿cuántas personas disponen del tiempo o… O tienen el… El ánimo de disponer de él para hacer este tipo de estudios?

[00:18:50] Y… Y el conocimiento, ¿no? Porque ya estamos mezclando… Punto es complicado, es decir, para los que somos más técnicos hay cosas ya de… De estas, que se nos escapan porque tienen una vertiente relativamente legal para la gente más del mundo legal, salvo tú… Tienes ese perfil mixto, pero lo normal, es que se les escapen cosas técnicas, entonces para una persona… Entiendo, una perso-… Un gestor de una empresa suele ser algo muy complicado de… Entender.

[00:19:12] Sí, lo es. Y luego me preguntabas también hace un momento por otro tipo de empresas que hacen… Un tratamiento…

[00:19:18] Va-… Veamos ya pues, por los que hacemos un… Un tratamiento mucho más potente la información y vo-… Y voy a poner ejemplos de empresas que han pasado por ejemplo: Por el programa, nosotros desde Brencis [sic 00:19:26] que al final recopilamos… Por cookies el comportamiento de los usuarios y también los emails, procesamos esa información para recome-… Hacer recomendaciones y demás… Y otros… Por ejemplo: Akumamel que estuvo por aquí, que es un sistema de Newsletter español, los chicos de DoFinder que es un buscador para E-commerce. Todo este tipo de empresas que… Que bueno, los cuento porque han pasado por el programa y la… La gente seguramente en nuestra audiencia ya los conozca. En todos lo casos hay un, como un nexo común, recopilamos un montón de comportamiento del usuario, de información de datos que no dejan de ser de datos personales y los procesamos para general un… Un fin. Aquí nuestras necesidades evidentemente ya cambian radicalmente.

[00:20:04] Cambiar un poco, sí. Me parece muy interesante esa… Bifurcación qué haces a la hora de explicar las cosas, poniendo por un lado a las empresas chiquitinas o que tratan no… No, necesariamente porque sean pequeñas, sino que tratan poco… Poca cantidad de datos que no son relativamente importantes y luego las otras… Empresas, como por ejemplo, BrainSINS. Efectivamente, BrainSINS… Hace un tratamiento exhaustivo de grandes cantidades de datos y tratan datos, no solamente de… De… Del comportamiento básico del usuario, sino de un… De un comportamiento un poco más avanzado para poder dar información. Extrae información de datos… De… De datos… De ingentes cantidades de datos, vale. Pues ese tipo de empresas… Necesitan dos cosas, que no, necesitan las panaderías o las pequeñas empresas. La primera: Necesita hacer una eva-… Evaluación de impacto. Una evaluación de impacto, básicamente se… Se trata de analizar cómo van a sufrir los derechos de las personas físicas o de los usuarios, en relación con ese tratamiento que a través de las tecnologías se va a hacer con sus datos… Por ponerte un ejemplo muy sencillo: En… En un aeropuerto hay cámaras que no solamente captan el movimiento de las personas sino también su calor corporal, para en el aeropuerto saber si una determinada persona, pues viene con… Una enfermedad de un país de riesgo. Vale ¿y si ponemos esas cámaras de calor corporal en nuestra empresa? Bueno, pues, ahí habrá que hacer una estimación de cómo van a sufrir los derechos de las personas afectadas, porque nos vamos a meter en una parte que es muy íntima, que es, si una persona está caliente o no [RISA 00:21:35] entonces, bueno pues lo que [RISA 00:21:36] lo que hacemos en ese… En ese caso es una evaluación de impacto, y es lo que tiene que hacer BrainSINS en relación con ese tratamiento exhaustivo y… Y… Y bueno, constante de una gran cantidad o ingente cantidad de datos. Y lo segundo… Todas las empresas tienen que contar con un responsable de seguridad, pero si se lleva a cabo un tratamiento como el de BrainSINS o un tratamiento que podría ser también otro de datos especiales, como la huella dactilar, la orientación sexual, la identidad política o las veces que una persona ha ido a la cárcel, si es que ha ido. Ese tipo de datos son especiales, porque… Bueno, pues te metes en las vidas de las personas más allá de, verle la cara. Bueno, pues para esas empresas y también para las administraciones públicas, se requiere que ese responsable de seguridad sea denominado: Delegado de Protección de Datos, también llamado “DPO” y supone meter dentro de la empresa a una persona cuyas decisiones tiene que ser… Tienen que ser cumplidas incluso por el SEO. Y el DPO no puede ser despedido por sus decisiones, el DPO, el Delegado de Protección de Datos, es una persona que va a estar permanentemente velando por la seguridad del dato, hasta el punto de tener que tomar decisiones sobre si se puede o no seguir realizando una acción o una actividad comercial y cuáles son las si… Los siguientes pasos en… En concepto de… Implantación de soluciones de cyberseguridad. Probablemente… Bueno, habrá que hacer un estudio de Brencys pero con una probabilidad más o menos del ochenta y cinco, noventa por ciento es muy probable que si que necesi-… Necesitéis un DPO.

[00:23:04] Seguro… Seguro, ¿eh? Porque es una cosa que hemos estado viendo. Ya… Ya estamos viendo como… Como abordarlo. Pero es verdad por… Por lo que dices tú porque al final tiene qué haber alguien, esta pers… Esta figura, este DPO, es el responsable de asegurar que todos esos datos que nosotros gestionamos tienen él máximo nivel de… De seguridad.

[00:23:20] Eso es.

[00:23:21] Y de tomar esas decisiones hoy, pues nosotros ya hay cosas que hemos hecho hace tiempo, encriptar todos los datos a distintos niveles, da ta, ta, ta, tal, pero claro lo qué nos falta muchas veces también es documentar las cosas mejor, estructurarlos. Porque al día de hoy, por lo que veo, ya no es solo que lo tienes que hacer, sino que lo tienes que documentar y luego tienes que ir como demostrando el cumplimiento a lo largo del tiempo.

[00:23:41] Totalmente de… Ese… Esa obligación de demostrar el cumplimiento va unida también a la obligación de formar a las personas que van a tener acceso a los datos, que pueden ser empleados, o trabajadores externos, o personas que puntualmente van a hacer, pues un análisis de bases de datos. Esa formación el empresario tiene que probar que la ha hecho, ¿cómo? Pues a través, por ejemplo, de certificados formativos o certificados de Workhubs, así que la normativa anterior que obligaba a hacer formación legal, ahora se amplía y se… Se indica en ella, en el Reglamento General de Protección de Datos, que tiene que ser una formación adecuada al riesgo, y el riesgo no es físico, el riesgo también es, además de físico, es organizativo y… Lógico o informático, y si no se hace cualquiera de estas cosas que hemos dicho, hay repercusiones.

[00:24:29] Lue-… Luego pasan las cosas que pasan. Y esto de la formación por ejemplo nos reza con algo ca-… Que hemos vivido no hace… No ha-… No hace mucho en forma muy pública, ¿No? Este típico… Lo acaba-… Lo comentabas antes, los ataques de Ransomware, que fue muy sonado cuan-… Cómo afectó a Telefónica… Y yo… Y yo me acuerdo que… Que se decía desde la gente de seguridad de Telefónica, y yo creo… Con… Con… Con mucha lógica que es la seguridad formamos todos parte, es decir, es algo que ya… Nos empezamos a dar cuenta como sociedad, no basta con que la empresa tome las medidas pertinentes sino que si-… Tienes que formar a todo el mundo, cuáles son los riesgos y cuando no se forma, pasa por lo que tú… Los ejemplos que tú has dicho. Oye cojo un pendrive que he encontrado por la calle, digo: “Lo meto al ordenador porque así me lo quedo”… Me vienen un PPT de alguien que desconozco, lo abro y a ver qué pasa… Todos esos son riesgos que se pueden evitar totalmente y que tienen implicaciones, pues como las que hemos vivido, de dejar un… Casi un país en estado de jaque, durante horas… Por… Por… Por este tipo de cosas.

[00:25:25] Claro y… Ya te digo que si no se cumplen estas normas, después hay unas repercusiones de tipo económico, con sanciones, con indemnizaciones o con una repercusión mediática importante… Te… ¿Te parece si entramos en la materia? Fíjate lo que sucede, si… Si nos entra un ataque de Ransomware, todos sabemos ya, que un Ransomware, básicamente lo que hace es entrar en el ordenador, es un tipo de malware, que busca archivos útiles como fotos, vídeos, hojas de excel, y los cifra, haciendo que el usuario del ordenador vea los archivos, pero no pueda ver el contenido. El delincuente lo que hace es mostrar una pantalla explicativa diciendo: “Hola soy el delincuente, te he cifrado todos tus archivos, y si quieres recuperar acceso al contenido, tienes que pagarme trescientos euros, durante las siguientes veinticuatro horas, en Bitcoins”. Entonces como la gente no suele saber como utilizar los Bitcoins, el delincuente suele ofrecer un vídeo explicativo, un correo electrónico o un teléfono de atención al infectado, tú llamas al teléfono este, que va por voz IP y el delincuente te explica cómo hacer ese pago en veinticuatro horas, porque si no lo haces, en veinticuatros horas, el precio se duplica y ya pasas a tener que pagar seiscientos euros y si no pagas en cuarenta y ocho horas desaparece la clave privada, que permite la… El descifrado de los… De los archivos, es que pierdes todos los archivos ¿Qué hacemos en ese tipo de casos? Dice el reglamento general de protección de datos, obligatoria a partir del veinticinco de mayo de este año dos mil dieciocho, dice que: “Desde el momento en que nos enteremos de que hemos sufrido una brecha de seguridad.” Como puede ser esta o habernos olvidado el portátil en un taxi, también es una brecha de seguridad, tenemos setenta y dos hora para notificar el hecho a la Agencia Española de Protección de Datos… Ahí es. Tenemos que obtener información sobre qué brecha ha sucedido, a través de qué canales, se ha… Se ha cometido la intrusión o… O esa, pérdida del… Del objeto, donde están los datos de carácter personal, cuáles son las medidas que vamos a implantar o que ya estamos implantando dentro de la empresa, para que no vuel-… Vuelva a suceder y quienes son las personas afectadas, y hasta que punto han sido afectados estos, para poderlo… Para poder avisar a estas… A estas personas a los afectados sobre, que tienen que hacer a continuación, esa es la primera de las obligaciones, notificar a la agencia brechas de seguridad, segunda… Segunda obligación es: “Comunicar a los afectados la brecha de seguridad sufrida.” Comunicar a los afectados es fácil si tenemos su correo electrónico o su teléfono pero ¿Y si nos han filtrado la base de datos, qué hacemos? dice el reglamento general de protección de datos, que tenemos que buscarnos la vida, buscarnos la vida es acudir a… A un medio de comunicación social como puede ser El Mundo, La Gaceta o Expansión y publicar la noticia sobre el ataque de seguridad sufrido, para que las personas físicas cuyos datos han sido afectados, puedan actuar sobre ese… Sobre ese ataque. Es decir, sí por ejemplo se han sustraído los un-… Los usuarios… Las contraseñas y las… Los números de las tarjetas de crédito de un determinado número de usuarios, se les comunica a través de un medio de comunicación social para avisarles de que tienen que… Cancelar esas tarjetas y cambiar sus contraseñas.

[00:28:33] Entonces, lo que nos están obligando realmente es asegurarnos de una forma u otra, de que nuestros usuarios reciban la notificación de… De que nuestra información ha sido accedida o de alguna forma maliciosa o bien de forma directa porque tenemos sus e-mails o si… O si no haciendo la campaña de comunicación o lo que tengamos que hacer para llegar a nuestros usuarios.

[00:28:53] Efectivamente la… La nueva norma lo que hace es obligar al… Al empresario a poder certificar dos cosas: La primera es que si utiliza datos personales de otras personas, tiene que poder demostrar que obtuvo el consentimiento informado de estas, por ejemplo: Para Email Marketing, o para… Para el uso de teléfonos móviles para enviar SMS, tienes que poder certificar que tenías ese consentimiento y cuando haces la comunicación de brechas de seguridad también tienes que certificar que cuentas con un sistema para que tu comunicado llegue a esas personas, al máximo número, ¿a través de…? ¿De qué medio? Pues que… Ya es responsabilidad del… Del empresario. Que puede ser a través de correo electrónico, con un certificado de envíos, por ejemplo, o a través de puro fax, en caso de que se… De que se pueda y sea eficiente económicamente también o a través de medios de comunicación. Sí… La mayor parte de nuestros usuarios son jóvenes que suelen estar dedicados o… O están metidos en el mundo del… De la informática o de los vídeojuegos, pues los medios de Xataka, por ejemplo, pueden ser la vía. Pero si nuestros usuarios afectados son mayores de edad, gente pensionista… Xataca no es probablemente la vía, así que sería: El País, El Mundo, La Gaceta en papel, porqué es lo que… Es el medio a través del cuál estas personas llegan a esa vía. Y la forma de certificar el… El que se ha llegado a esa gente, no es por medio de un gif de seguimiento o de… O de un… O de un rastreo de apertura de correos electrónicos, sino con la voluntad… Realizada de tratar de comunicarse de forma lo más efectiva po-… Lo mas efectiva posible, como ya hemos dicho: Correos electrónicos o comunicaciones en medios de comunicación.

[00:30:30] Perfecto. Ya, ya para acabar, que vamos un buen rato, sí no hacemos estas cosas las sanciones que se recogen aquí son, son importantes, o sea que hay que tenerlas en cuenta.

[00:30:38] Efectivamente, las san-… A ver hay tres tipos de repercusiones: Mediática, que es la que ya hemos comentado, publicitando, haciendo público que ya hemos tenido una brecha de seguridad. La segunda, las personas afectadas pueden pedirnos dinero y nosotros tenemos que pagar esa indemnización, que cubra el daño objetivo que esas personas puedan probar, y la tercera, que es probablemente la que más llama la atención, la antigua LOPD establecía multas de hasta seiscientos mil euros. La actual RGPD del Reglamento General de Protección de Datos establece multas de hasta veinte millones de euros y veinte millones que no se cita rápido, pero en caso de que sea una empresa, dice la norma que: “Se establecerá también la multa del cuatro por ciento de todo el negocio anual global del año financiero anterior, y se indica como término que se establecerá la multa más elevada de las dos” ¿Qué es más elevado? ¿Veinte millones? ¿O el cuatro por ciento del negocio global anual del año financiero anterior de una empresa? Pues, lo que sea más elevado se impone como multa.

[00:31:38] Vamos, que pa´ acojonar [RISA 00:31:40].

[00:31:41] Sí, sí, acojonar. No espero que la Agencia Española de Protección de Datos ponga sanciones de veinte millones de euros a… A empresas probablemente se quede en seiscientos mil euros.

[00:31:48] Sí. Pa-… Pero al final es… Yo creo que es un reflejo claro de que se lo van a tomar en serio.

[00:31:52] [SUPERPUESTO 00:31:52].

[00:31:52] Sin duda.

[00:31:53] No la cantidad, a veces es lo de menos, pero es una multa suficientemente importante como para que… Una empresa se vaya al garete, por culpa de… De no hacer caso a todas estas cosas.

[00:32:02] Justo, como consejo final, me gustaría aportar… Que la Agencia Española de Protección de Datos, valora mucho que las empresas puedan probar que han sido responsables a la hora de intentar cumplir, así que intentar cumplir no es un eximente, es decir, no te exime de que te vayan a multar, pero sí es capaz… Ese documento que demuestra que haz intentado cumplir, de rebajar la multa o incluso que la agencia pase de multa a apercibimiento, que básicamente es te regaña y te dice: “No lo vuelvas a hacer mal”, ¿Vale? Así que intenten cumplir al menos, un poquito.

[00:32:35] [… 00:32:35] Que estamos en ello.

[00:32:37] Eso es, eso es.

[00:32:36] [RISA 00:32:36]. A ver si yo… Yo creo que también es… Es muy lógico y se… Se agradece que esto es algo muy nuevo en el fondo, en definitiva, para casi todas las empresas, pero que nos viene a decir es: “Oye… Os damos aquí un reglamento, ponemos unas exigencias, currarlo, si la cagáis, pero habéis demostrado el currao, pues… Hay otras formas y…” Eso sí, lo que aprendamos, tiramos para adelante.

[00:32:56] Exacto, así es.

[00:32:58] Pues muchísimas gracias, Pablo. La verdad que nos has dado una… Un buen… Baño, sobre todo este nuevo reglamento y nada, espero que poder acogerte otro… Otros días en el Podcast para poder hablar de estas otras cosas que haces que son tan chulas, como el Blockchain del lecho espacial y todo este tipo de cosas.

[00:33:13] Pues muchas gra-… Gracias a ti, la verdad es, que como siempre, es un placer charlar contigo y en esta… En esta ocasión, también ser escuchado por personas que están interesadas por la innovación tecnológica y la innovación jurídica. Espero que me vuelvas a llamar y por supuesto cuenta conmigo para futuras ocasiones.

[00:33:28] Seguro que sí. A toda nuestra audiencia, esperamos que halláis aprendido de todo esto, recordad que Pablo es un experto en estos temas y que bueno, si necesitáis temas de RGPD, pues ahí de esta ESCILA, eso el proyecto de los SIOS, ESCILA punto.

[00:33:41] ESCILA punto EU, de Europa y sino en mi blog Pablo FB, de Fernández Burgueño, Pablo FB punto com, también me tienen con un formulario de contacto y siempre a disposición de aquel que lo necesite.

[00:33:55] No dudéis en contactarle, porque bueno lo sé de… De primera mano y por gente cercana que le ha tenido que contratar a veces, es que Pablo siempre está ahí para… Para echar un cable y es un tío de puta madre, lo veras.

[00:34:03] Muchas gracias, igualmente.

[00:34:05] Y como siempre decimos, esperamos que lo halláis disfrutado y a toda nuestra audiencia, la próxima semana, más y mejor y un fuerte abrazo…

Comentarios
Suscríbete a En.Digital en iTunes Suscríbete a En.Digital en iVoox Suscríbete a En.Digital en Spotify Suscríbete a En.Digital en YouTube Suscríbete a En.Digital en Deezer
Últimos Podcasts
Scroll to top