THINKING POINT 34: “La protección de datos personales y to su…”

Tiempo estimado de lectura: 9 minutos 45 segundos.

Estoy con los radicalismos en torno a la protección de datos personales (en adelante, PDP) como el del chiste del golf. He escrito hasta un libro: “La PDP y to su…”. Al final del artículo te cuento el chiste.

Una de las causas del por qué THINKING POINT lleva unos meses sin dar señales de vida es porque los artículos los solía visibilizar también a través de una aplicación gratuita para el envío de mails masivos.

Llegó el día (25/05/2018) de la entrada en vigor del cacareado Reglamento Europeo de Protección de Datos Personales (comúnmente denominado RGPD) y se me jodió el invento. La aplicación de correo masivo me pidió tener el consentimiento sí o sí de todas las personas de las que yo había incluido su dirección de correo electrónico en dicha aplicación.

La mayoría de esos correos los he recopilado durante mi trayectoria profesional: son clientes, potenciales clientes, amistades, conocidos, etcétera, con los que he tropezado en algún momento de mi vida profesional; incluso muchísimos de esos contactos me conocen personalmente.

Tuve que parar el envío de los artículos vía correo electrónico porque la aplicación ideó un procedimiento muy enrevesado para solicitar el consentimiento; su ejecución necesitaba un tiempo, del que no disponía.

Hete aquí que surge en diciembre de ese mismo año la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales (más conocida por “la nueva lopd”; yo prefiero denominarla LOPDGDD). Y hete aquí que en su articulado recoge algo muy lógico como que así más o menos: si tienes datos de contacto (de los de siempre) y los utilizas en el ámbito profesional, no necesitas pedir consentimiento, porque se supone que ya te lo dieron y porque los estás utilizando en el ámbito profesional, no en el personal.

Contacté con la aplicación de correo masivo para que al menos en Eggspaña permitiera el tratamiento de enviar correos a direcciones profesionales de relaciones mantenidas y consentidas. Al fin y al cabo, quien haría el tratamiento sería yo; la aplicación sería un medio. Pues me dijeron que me comiera…

Mojón

…uno así pero de elefante o de vaca suiza

He decidido seguir dando visibilidad a los THINKING POINT por otros medios. Y aquí estoy de nuevo.

Si os parece, vamos ya con el al famoso libro de la PDP y to su…, a ver si dejamos claras algunas cuestiones (a mi entender).

Para empezar, creo que el advenedizo y primerañero RGPD ha levantado una polvareda tremenda debido en parte al desconocimiento anterior y actual que había y hay sobre todo el tema de PDP.

A lo largo de mi experiencia profesional el posicionamiento que más me he encontrado enfrente ha sido que “esto de la LOPD es un rollo”, “esto de la LOPD no sirve pa na” o “yo no tengo datos personales de nadie”, por no decir “en esa estantería está el tema de PDP; no lo hemos ni abierto”.

No pensemos que hablo de Organizaciones pequeñitas; me lo he encontrado hasta en empresas que facturan ocho cifras mínimo.

Para paliar algo ese desconocimiento voy a tratar de proporcionar unas gotitas de conocimiento sobre PDP. A saber:

Pregunta 1: ¿Por qué tenemos que proteger los datos personales de los demás?

Respuesta: ¡porque no son nuestros!

Tienen personas propietarias que nos los prestan con determinadas condiciones y esperan que no se hagan cosas raras con ellos.

Mío-mi tesoro-Golum

¡Mis daaaatooooooos!

Primer THINKING POINT del artículo, así que…

…paramos…

…reflexionamos…

…continuamos.

También hay otra poderosa razón para protegerlos si la anterior nos la queremos pasar por el forro: ¡poderoso caballero es Don Dinero!: las sanciones económicas por no cumplir con el RGPD y la LOPDGDD han crecido (¡hay que hacer caja!) pudiendo llegar hasta el 4% de la facturación (que no del beneficio).

Curiosamente, el término “protección” no se define ni en la RGPD ni en la LOPDGDD. Hay quien dice que está en el artículo 18.4 de la Congstitución Eggspañola, pero debe ser que la presbicia no me deja verlo (veo algo sobre intimidad pero esta no lo es todo en la PDP).

Imaginemos que queremos celebrar el cumpleaños de uno de nuestros hijos haciendo una visita al Caminito del Rey junto con quince compañeros y amigos del cumpleañero. ¿Qué vamos a hacer, proteger a nuestro hijo y a los que nos han dejao en prenda que les den? El resto de padres nos dejan a sus hijos pero con la premisa de que los devolvamos sanos y a salvo. ¡Po igual con los datos personales de los demás!

Además, hay datos y hay datos. Parece de catón que datos personales como los relativos a la salud, la orientación sexual, los pensamientos ideológicos, la evaluación de la personalidad, los temas penales, los menores, la solvencia,…se deban proteger especialmente.

¡Ah!, y proteger no es sobreproteger. Esta modita ahora de llegar a un hospital y preguntar por la habitación de algún conocido o familiar y que te digan que por PDP no pueden darte el número debe ser de algún gurú iluminado que ha sentado cátedra. ¿Qué pasa, que el RGPD o la LOPDGDD dicen que no se puede dar el dato? ¡Enga ya!

¿Qué pasa, que cuando al paciente se le realice el proceso de ingreso no se le puede cuestionar si consiente que se le proporcione el número de habitación a quien pregunte? Es que les gusta hacerlo complicaíllo. ¡Enga ya!

Sobreprotección

Lo dicho: proteger no es sobreproteger.

Segundo THINKING POINT.

Paramos…

…reflexionamos…

…continuamos.

 

Pregunta 2: ¿qué es un dato personal?

Respuesta: información de una persona. ¡Vale, sí!: que la identifica o la hace identificable, pero para lo que pretendo, prefiero que se centre el tiro fácilmente.

Parece nítido, ¿verdad? Pues hay quien no se entera, empezando por muchos gurús de la consultoría. El CIF, el nombre, la dirección, los números económicos y el sursuncorda de una Organización ¡no son datos personales!

Tercer THINKING POINT. Así que toca…

…parar…

…reflexionar…

…continuar.

 

Pregunta 3: ¿vale “cumplir” como antes se hacía con la extinta LOPD, es decir, con tener los ficheros de datos personales inscritos en la Agencia Eggspañola de Protección de Datos y con tener un documento de seguridad cogiendo polvo en una estantería?

Respuesta: ¡te quié i ya!

Ahora hay que demostrar que no se incumple la legislación en ningún momento. Y para eso, todo lo que nos requiere el RGPD y la LOPDGDD debe tener respuesta en la Organización y, lo que es más importante, debe haber evidencias de esas respuesta, de ese cumplimiento. El verbo fundamental aquí es “demostrar”.

Cuarto THINKING POINT.

Paramos…

…reflexionamos…

…continuamos.

Evidencias verbales-viento wind

Evidencias verbales se las lleva el viento.

 

¡Qué me gusta el término evidencia! Llevo tratando con ellas toda mi vida profesional, como auditor que es uno. Parece que ahora sí tendría más sentido realizar auditorías del sistema que una Organización monte para disponer de esas evidencias, ¿verdad? Pues la LOPDGDD va y se carga las auditorías que anteriormente exigía la fenecida LOPD.

¿Eso quiere decir que ya no hay que hacer auditorías sí o sí para determinados tipos de datos que se maneje? “Xacto, Rozarito! Las auditorías pasan a ser una herramienta más para garantizar que los procedimientos establecidos para proteger los datos personales están funcionando correctamente.

De todas formas, ¿se conoce a alguna Organización que las haya hecho?

Esperar sentado no proactividad

Podemos esperar sentados a que alguien diga sí.

 

Pues esa es la importancia que se le da al tema de la PDP, en Eggspaña al menos.

Quinto THINKING POINT.

Paramos…

…reflexionamos…

…continuamos.

 

Pregunta 4: ¿qué ha pasado con los famosos ficheros que citaba la LOPD y en torno a los cuales la gente tenía montado el tema de PDP?

Respuesta: que en los textos legales ya no aparecen (¡mentira!: los cita el artículo 2 del RGPD, el que habla del ámbito de aplicación; y ya no aparece más en el resto del RGDP. Y en la LOPDGDD ni se nombran).

¿Por? Por lógica: ¿por qué antes se tenían que proteger solamente los datos que hubiera en ficheros? (no sé si te acuerdas de eso de “automatizados o en papel”).

La mayoría de las Organizaciones aplicó lo de los ficheros literalmente, y descuidó los datos personales que no estaban en ningún fichero, sino deambulando por la Organización. Y por eso nos podíamos encontrar:

  • que llegábamos a un mostrador de una clínica y quedaban a la vista cercana datos de pacientes, cuando no te decían (bueno, lo siguen haciendo) tu nombre en voz alta para que pasaras a consulta;
  • o nos encontrábamos la información de clientes en situación de embargo en lo alto de la mesa donde tú estabas recibiendo información para hacer una hipoteca con un banco mientras la persona que te atendía se levantaba por alguna documentación a la impresora;
  • o nos encontrábamos una tarjeta con datos de salud de tu padre tirada en la papelera de la habitación del hospital cuando ya no era necesaria para tenerla pegada en el cabezal de la cama para información de los profesionales de la medicina (¡pa esto no tienen tanto cuidado como para no darte el número de habitación donde está tu padre! ¡enga ya!).

Protección datos basura

La tarjeta de mi padre en la papelera, y yo no la tiré.

 

Simplemente, hay que proteger los datos personales que tengas, estén donde estén, sean en ficheros o en el Limbo.

Sexto THINKING POINT. Nos estamos pasando pero es que son todos puntos para…

…parar…

…reflexionar…

…continuar.

 

Pregunta 6: ¿es necesario pedir el consentimiento para tratar con datos personales?

Respuesta a lo Rajoy: pues depende.

¿Y de qué depende?

De que no tengamos forma de demostrar que hay algo que nos ampara el poder tratar los datos personales de los demás. Ese algo está definido entre los artículos 6 y 7 del RGPD y el 19 de la LOPDGDD. Así que ya podemos ir a leérnoslos y asegurarnos de que tenemos la licitud de nuestros tratamientos de datos personales atada y bien atada.

Para los demás casos que no estén bajo los supuestos de esos artículos, hay que pedir la venia, el consentimiento. ¡Por favor, solo para los demás casos! Repito: ¡por favor, solo para los demás casos! Repito otra vez: ¡por favor, solo para los demás casos!

Dos cositas al respecto del consentimiento muy muy muy importantes:

  • Hay que procurar también tener evidencias de todos los consentimientos que nos den, qué incluya para qué casos de tratamientos nos hayan dado ese consentimiento. Yo, por ejemplo, en muchos casos no quiero que me bombarden con publicidad o promociones pero sí quiero que me manden recordatorios de algo o información técnica);
  • y recordemos el siguiente lema que en PDP aplica igual que en determinado ámbito en el que tristemente se está utilizando últimamente porque hay gente que todavía no lo entiende:

Si no es sí, es no (duración: 20 seg.).

 

Séptimo THINKING POINT.

Paramos…

…reflexionamos…

…continuamos.

 

Y como el artículo no puede ser más largo que una meá cuestabajo, lo vamos a dejar aquí, con la promesa de una siguiente entrega para seguir vertiendo gotitas de conocimiento, porque el tema parece que no pero da pa mucho (el RGPD tiene 88 páginas y la LOPDGDD 70).

Pero me vais a permitir una sucinta última reflexión, relativa a las famosas cookies. Creo que en este caso todos vamos a escribir también un libro sobre ellas.

Aceptamos las cookies

Acertadísimo chiste viral.

 

Después de este año en vigor del RGPD he llegado a una conclusión con las cookies: procura aceptarlas.

Me baso en las siguientes evidencias:

  • Si no aceptas, la siguiente vez que entres en el mismo sitio web te volverán a preguntar. Es como un martirio chino. Hasta que aceptes.
  • Si te da por elegir la opción “más información” te metes en un laberinto: textos que no acaban nunca, textos que te mandan a otros textos que te mandan a otros textos que te mandan a otros textos; opciones que no sabes si están activadas o no porque el mensaje no es claro; encuentras rápidamente un “aceptar todo” pero no tienes cojones de encontrar un “rechazar todo”; textos que entras en bucle hasta que no le das a aceptar todo; etcétera, etcétera, etcétera. Lo que se llama buenas prácticas o dejar activadas las opciones más favorables para el interesado.
  • Nadie controla en este país que se cumpla lo que tú aceptes o no. Es igual que el tema de PDP: se controla por denuncias de los interesados solamente; no existe una inspección como la laboral o sanitaria. Esta es la importancia también que desde la Administración se le da a estos temas.

¿Por qué están dando ahora tanto porsaco con las cookies? Porque no dejan de ser datos personales. Dan información de cómo te paseas por la webs, qué miras más, qué opciones cliqueas más, cuántas veces y a qué horas acudes a Internet, etcétera. Y la información en el Siglo XXI es la nueva revolución. Si no, que se lo digan a Trump y a Huawei.

Trump-Huawei

La pelea por la información y muy probablemente también por los negocios.

 

Venga, el chiste del golf: un nota que “jugaba” al golf en pareja con otro nota. Primer golpe…a los árboles. Segundo golpe…al lago…Tercer golpe…al bunker…Cuarto golpe…al tejado de una casa. Viendo el tema le dice el otro: – ¿quillo tú ha jugao al golf alguna vez? Y le contesta el colega: – ¡claro! ¡Yo he escrito hasta un libro! Le pregunta el primero: – ¡Ah!, ¿sí? ¿Y cómo se titula? Y le contestan: – ¡El golf y to su…!

—————————————————————————————————————————————–

FRASESARIO

La verdadera medida de la justicia de un sistema es la cantidad de protección que garantiza a los más débiles” (AUNG SAN SUU KYI).

El trabajo más sexy de los próximos años será el de los estadísticos” (HAL VARIAN).

Sin análisis de big data, las empresas están ciegas y sordas” (GEOFFREY MOORE).

Acerca de Alfonso Domínguez

Ingeniero de educación, de profesión y de culto, en la especialidad de Organización. Mi día a día se dedica a las personas (responsabilidad), la creatividad (hacia la innovación) y el cliente que somos (calidad). Pienso que a esto se reduce muy buena parte de ese día a día: a nuestras relaciones y a resolver problemas, ofreciendo lo mejor de nosotros.

Un comentario »

  1. Anónimo dice:

    Celebro el regreso de Thinking Point, pues lo echábamos en falta. Gracias por el esfuerzo.

Échate un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s