Artículos jurídicos > El Chief Privacy Officer.
0B8A0707

 

El Chief Privacy Officer.

Barack Obama ha creado un nuevo cargo para la Casa Blanca, del que oiremos hablar mucho a partir de ahora: el Chief Privacy Oficcer.

El presidente de los EEUU ha elegido para esa responsabilidad a la abogada Nicole Wong, licenciada en derecho por la Universidad de Berkeley (California) y responsable de privacidad de Twitter desde el mes noviembre de 2012.

Nicole Wong había trabajado antes de hacerlo brevemente en Twitter, para la compañía Google durante 8 años, empresa en la que se había ganado el apodo de “la que decide”.

Para hacernos una idea aproximada del trabajo de Wong en esta materia, es preciso indicar que hace unos meses la EFF (Electronic Frontier Foundation) publicó un informe donde analizaba los esfuerzos de algunas compañías para proteger la privacidad de sus usuarios, cuando quien solicitaba el acceso a la información personal era el propio Gobierno de los EEUU.

Con un sistema de puntuación de 0 (mínimo) a 6 (máximo), Verizon se quedó sin un solo punto, a Apple la EFF le concedió uno, a Facebook y Microsoft tres y a Twitter le reconocieron seis, por la protección que esta red social otorga a la información de los usuarios cuando los requerimientos provienen del mismo Gobierno.

Por tanto, pese a que Wong conoce bien como las grandes compañías de Internet deben tratan los datos personales de sus usuarios para que estos mantengan y afiancen su confianza en ellas, lo cierto es que a partir de ahora la relación de Wong con el mundo de la privacidad variará ostensiblemente al haberse situado al otro lado de la mesa, con lo que será interesante ver como se resuelven y a favor de quien, los indudables conflictos que se producirán entre el Gobierno y las grandes compañías de Internet, cuando se las requiera para que identifiquen a usuarios poco cómodos para el poder sin mediar, claro está, la pertinente autorización judicial.

¿Y por aquí, que tal?, nos podríamos preguntar.

Aunque estamos lejos aún de la sensibilidad política y de la madurez estratégica necesaria para crear un cargo así -no me imagino a corto plazo que veamos un CPO nombrado por el Gobierno del Estado o por una Comunidad Autónoma-, lo cierto es que la ya añeja normativa comunitaria en protección de datos personales (la directiva 95/46, por ejemplo) y la más reciente a nivel interno (la ley orgánica 15/1999) han ido creando una importante y sostenida conciencia entre los empresarios -a veces a base de multas de importes claramente excesivos, como en el ejemplo que veremos del envío del curriculum vitae- que hace que las empresas en general se muestren bastante sensibles con el tratamiento de los datos personales de los afectados, al percibir la importancia que a ello le damos los consumidores.

Ello ocurre por el hecho que muchos de nosotros, cuando actuamos como consumidores y usuarios, valoramos como factor adicional a la hora de decidirnos a comprar por Internet a través de un portal determinado, si la empresa que tratará esa información, es conocida por ser respetuosa con aquella información personal que le cedemos a veces, algo alegremente.

Además debemos tener presente como empresarios, los cambios que se avecinan en este campo cuando la propuesta del nuevo reglamento general de protección de datos que se está discutiendo en Europa entre en vigor, y debamos aplicar las muchas novedades que incorporará a nuestro ordenamiento jurídico de un día para otro, si la vía elegida es la del Reglamento como así parece.

Para hablar solo de alguno de los cambios, destaca por ejemplo la eliminación de la obligación de notificar los ficheros a la autoridad o agencia de protección de datos competente, el nuevo sistema de notificación de las incidencias de seguridad (a la autoridad y al propio afectado), la puesta en práctica del derecho al olvido o finalmente, la creación de otra figura nueva por estas latitudes (el DPO, el Data Protection Oficcer) que dará que hablar tanto como el CPO (el Chief Privacy Officer) objeto específico de estas notas.

Los clientes, en el centro.

En este entorno digital en el que todos nos movemos, algunas empresas han empezado a percibir que los datos personales que han ido acumulando a lo largo del tiempo son otro activo más a proteger, para poder explotarlos ya, pero sin perder de vista que para que ello sea posible, es preciso crear previamente un entorno de confianza suficiente para que los clientes no tengan la sensación de pérdida de control sobre sus datos personales, cuando autoricen a tratarlos a la organizaciones haciendo un simple click en nuestra página web.

Claro que si lo hacemos rematadamente mal, podemos crear un ambiente de irritación tal que puede llevar a la compañía a una pérdida significativa de usuarios y a que las cuentas de la empresa se vean ciertamente afectadas, como ha sucedido hace poco con el intento de cambio unilateral de la política de privacidad de Instagram (red social adquirida por Facebook), que llevó a una inmediata reacción de sus usuarios y de los medios de comunicación con titulares del tipo “instagram pone tu vida a la venta”.

Instagram se defendió diciendo que “ … el lenguaje jurídico es difícil de entender …” algo así como tratar sutilmente de idiotas a los consumidores indignados, vaga excusa que no ha evitado que Instagram haya tenido que rectificar su propuesta, para de inmediato explicar que ellos no son los propietarios de las fotografías de los usuarios.

Por cierto dicen los expertos que el simple cambio frustrado de política legal de instagram, ha supuesto que las acciones de Facebook cayeran un 2.5 %.

El CPO.

La pregunta que seguramente muchos nos haremos es ¿pero mi compañía necesita, ahora por ahora, un CPO?.

Para percibir si debemos empezar pronto un proceso de selección externo, o quizás crear esa figura internamente, bastará con que respondamos a unas cuantas de las preguntas que os proponemos a continuación, y así en función del grado de inquietud o tranquilidad con que afrontemos las respuestas, tendremos los elementos necesarios para tomar una decisión en un sentido u otro.

1.- La primera es que el responsable que lleva estos asuntos en la empresa, nos describa como tratamos los currículums vitae que llegan a la compañía, esto es si tenemos centralizada la recepción por un solo medio (a través de un formulario en la web, con el aviso legal correspondiente, conectado con el responsable de recursos humanos, etc) o por el contrario, los recolectamos a mano, pero también por correo postal, como no por fax y además por correo electrónico.

Si además el afectado -el titular del curriculum- no ha firmado cláusula alguna de protección de datos y encima, comunicamos ese curriculum a otras empresas sin el consentimiento del usuario, tenemos el camino servido para engrosar la lista de empresas sancionadas por la Agencia de Protección de Datos por tratar currículums de manera inadecuada.

Una de las multas más altas hasta ahora fue impuesta por la AGPD por un importe de 60.101,21 euros al hotel Papagayo Arena, como puede leerse en la STS, sala de lo contencioso de fecha 7-07-2010, recurso 2961/2007 y ponente D. Ramon Trillo Torres.

¿El motivo?. Recoger un curriculum, no hacerle firmar la cláusula correspondiente al afectado y enviarlo por fax a otro hotel sin contar con el consentimiento de aquella persona que quería trabajar.

La multa de 60.1.1,21 por cierto, no la cobra el afectado en ningún caso, sino que es ingresada en el Tesoro Público, apunte que hacemos por si alguno de los lectores pensaba en buscar vías adicionales de ingresos en estos momentos de tanta constricción del crédito.

2.- Otra pregunta interesante a respondernos es que preguntemos a alguien del departamento jurídico durante cuanto tiempo la empresa que nos presta los servicios informáticos (el ejemplo más claro es el alojamiento de la página web de la empresa), puede tener a nuestra compañía sin servicio -esto es con la página web desconectada, sin presencia alguna en la red- sin que claro está, la empresa informática en cuestión esté obligada legalmente, no ya a restablecer el servicio de manera inmediata sino además, a indemnizar a nuestra empresa por todos los daños y perjuicios causados.

Imaginemos el caso de un portal de viajes que deja de vender paquetes de esquí en plenas fechas navideñas a causa de la desconexión de su web o el ejemplo del supermercado que vende la mayor parte de sus productos a través de ese medio, pero que no puede despachar nada a causa -o por culpa- de un problema informático de la empresa que le presta el servicio.

La respuesta jurídica al asunto pasaría necesariamente por echarle un vistazo al acuerdo de nivel de servicio (SLA, service level agreement), tirar de calculadora y ver lo cerca que estamos de 100 por 100 del servicio (99,999 %, por ejemplo es un buen ratio) o lo lejos de ese nivel (98, 97 o aún peor el 95%).

Será entonces cuando nos daremos cuenta -tarde, eso si- que en su momento firmamos con otra empresa un acuerdo (pacta sunt servanda) que le autorizaba legalmente a desconectarnos sin derecho alguno a indemnización, al menos hasta que se haya sobrepasado el porcentaje de garantía fijado en el SLA.

Como empresarios seguro que nos habíamos fijado mucho en el momento de contratar en el precio del servicio y en poca cosa mas (y menos en el SLA).

3.- Otro ejemplo más, para ir avanzando ¿quien hace las copias de seguridad en mi empresa y donde las guarda?.

Aquí los perfiles que se observan son variopintos, desde quien es consciente y lo hace bien, pasando por el contable que incluye entre sus funciones el de apretar el botón correspondiente para iniciar una vez al mes la copia de seguridad que se guardará en un disco extraible, situado estratégicamente encima del ordenador del que obtiene la propia copia, con efectos funestos si, en caso de incendio, se quema el ordenador y lo que hay encima (la copia de seguridad), hasta aquellos casos que hacen las copias de seguridad a través de un portal de Internet muy económico eso si, pero que tiene los servidores situados en un país que difícilmente podríamos situar en un mapa del mundo, o finalmente los más prácticos, los que sencillamente no hacen copias de seguridad (más habitual de lo que parece).

El incendio del edificio Windsor de Madrid del mes de febrero de 2005 puso de relieve las diversas formas de afrontar este tipo de riesgos entre empresas del sector de la consultoría jurídica, algunas de las cuales tenían un plan de continuidad de su negocio que les permitió ser operativas de manera muy rápida.

4.- Ahora una pregunta sensible ¿puedo leer como empresario el correo electrónico de mis trabajadores, se entiende aquel que envían y reciben desde el ordenador de la compañía durante el horario de trabajo y  desde por tanto la cuenta de correo electrónico que les ha asignado la empresa, sin el riesgo de cometer un delito de descubrimiento y revelación de secretos tipificado por el artículo 197 y ss del Código Penal?.

La respuesta positiva pasaría por fijar preventivamente unas normas muy claras de uso de las tecnologías de la información en la organización, en la linea marcada por la importante STS, sala de lo social de 26-09-2007, ponente D. Aurelio Desdentado Bonete.

5.- Y la ultima para terminar. Tenemos muy claro donde está situada la información de mi empresa en soporte papel, pero ¿donde están físicamente los datos digitales de mi compañía, los apuntes contables, las nóminas, los correos electrónicos?¿en manos de quien?.

La empresa informática que me presta y cobra este servicio ¿donde guarda esa información … en la nube -el cloud- o quizás detrás de una espesa niebla?.

Esa es quizás la pregunta más importante en el tema del cloud … ¿donde están mis datos?.

Las funciones del CPO.

Las empresas candidatas a contratar a un CPO son sobretodo aquellas que tratan volúmenes relevantes de datos personales (informática, videovigilancia, distribución y venta, publicidad), la que manejan datos especialmente sensibles como la salud o la ideología y las creencias (médicos, recursos humanos, sindicatos, etc) o las que tienen una presencia activa en internet (comercio electrónico).

Ya para ir terminando, pienso que como empresarios debemos plantearnos seriamente a quien asignamos las responsabilidades de proteger y administrar los datos personales de los trabajadores y clientes entre otros, tarea a veces distribuida entre departamentos como el contable, el legal y el informático, pero sin asignar estas tareas a un auténtico líder.

Razonablemente, la situación ideal seria empezar creando un comité interno que asuma junto a sus funciones habituales, todas aquellas que veremos a continuación, para a medio término designar a uno de ellos como el CPO  de la organización que tenga fijados entre otros, los siguientes cometidos.

Lo primero, asegurarse que las prácticas de la empresa al recoger, tratar y comunicar datos personales cumplen con la normativa vigente.

Por ello la primera función de un CPO es asegurarse que todos los tratamientos de datos están identificados, que los ficheros están declarados, los documentos de seguridad redactados y ejecutándose -esto es que se aplican en la practica las medidas de seguridad-.

También que las cláusulas con los trabajadores y los clientes están debidamente firmadas, los contratos con los encargados de tratamiento suscritos, que se llevan actividades de formación para el personal, que las auditorias se ejecutan, etc.

No puede obviarse tampoco la necesidad del CPO de identificar los riesgos jurídicos, para así evaluar el posible impacto de los mismos sobre el negocio y poder tomar las acciones necesarias (por ejemplo, gestionar rápidamente el proceso de respuesta ante incidencias de la compañía o resolver situaciones de emergencia por perdida de datos).

El CPO debe responder a las solicitudes de los clientes cuando solicitan el acceso, la rectificación, la cancelación o la oposición al tratamiento de sus datos (conocidos como derechos ARCO) y debe ser también el portavoz externo de la compañía en la relación con las autoridades competentes en esta materia (agencias y autoridad de protección de datos, Jueces, policía, etc).

Es el coordinador de todas las áreas de la compañía que habitualmente tratan datos personales (recursos humanos, ventas, asesoría jurídica, marketing, informática, seguridad, video vigilancia, etc) y el enlace entre tales departamentos y la dirección.

Y finalmente tiene la tarea de aconsejar al personal de la organización preventivamente, sobre aquellas actuaciones que puedan poner en riesgo a la misma, así como la impartición de la formación sobre protección de datos dentro de la compañía.

Con la presencia de una figura como el CPO o similar, crearemos la necesaria cultura de protección de los datos de carácter personal de una manera proactiva, sin esperar a tener que ponernos las pilas rápidamente ante sobresaltos inesperados que nos lleven a actuar de manera reactiva, precipitada, sin la necesaria reflexión.

 

© Ramon Arnó Torrades, Lleida, 2013.