El rápido desarrollo de las nuevas tecnologías y formas de comunicación, que ha dado lugar al fenómeno de la globalización, también ha traído consigo tantos beneficios como cambios drásticos. Modificaciones para los que el conjunto de la sociedad aún no tiene respuesta. Es el ejemplo de la inmensa cantidad de datos que generan los dispositivos inteligentes -ya sean coches, tabletas, ordenadores, aplicaciones-, en cuyo tratamiento son más que frecuentes las intromisiones ilegítimas.
Precisamente la importancia de la privacidad de los datos es algo que comienza a adquirir importancia para las empresas, muy preocupadas en cuidar este aspecto. En este contexto, surge la figura del Delegado de Protección de Datos -DPO-, un puesto de creación reciente y sugerido por la UE para supervisar, controlar y coordinar el cumplimiento del Régimen General de Protección de Datos -GDPR-.
El surgimiento de esta figura fue uno de los temas tratados en el XIII Fórum del ISMS, una reunión anual que aborda asuntos relacionados con el sector de la privacidad y protección de datos. Uno de los participantes fue Óscar López, DPO de DKV, con quien este medio de comunicación tuvo la oportunidad de hablar.
EN MATERIA DE PROTECCIÓN DE DATOS, ¿CUÁL ES LA INQUIETUD CANDENTE DE LOS CLIENTES? ¿EXISTE ALGUNA PREOCUPACIÓN A RAÍZ DE LA CRISIS DEL CORONAVIRUS?
La inquietud principal, que se adivina conforme se realizan y atienden sus derechos de información a lo largo de estos últimos casi 3 años -acceso a sus datos, rectificación, oposiciones a publicidad, limitación, portabilidad o supresión definitiva- es conocer qué datos tratan las compañías, de dónde los han obtenido y desde luego el derecho de oposición a recibir comunicaciones es el que más se ha incrementado.
Podemos decir que estos dos ocupan el 90% de los derechos que están ejerciendo los clientes hoy día. El de oposición creció hasta un 60% en este último ejercicio 2020, también motivado por el incremento de comunicaciones de las compañías con sus clientes ante la imposibilidad de atender físicamente con toda la crisis de la pandemia.
La inquietud principal es conocer qué datos tratan las compañías, de dónde los han obtenido y el derecho a la oposición a recibir comunicaciones
En cuanto a preocupación por la crisis del coronavirus sin duda la he visto más reflejada en los ámbitos de la relación laboral y también social en la relación con los demás. En cuanto al ámbito laboral, la legitimidad para tomar la temperatura por ejemplo es evidente en las empresas para cumplir con regulación de prevención de riesgos laborales, pero no tanto en los comercios. Ahí no queda tan claro y sobre todo aquí son muy importantes los protocolos de “discreción” que se siguen cuando se detecta un caso positivo de alta temperatura -no podemos expulsar a alguien públicamente-.
También fue muy discutido la vertiente de empresas que en entrevistas de trabajo te preguntaban si habías pasado la enfermedad y habías desarrollado inmunidad. Eso no está permitido, como tampoco lo está el tener que informar si te has vacunado ya o no para optar a un puesto de trabajo. Primero, porque la legislación en prevención de riesgos laborales te aplica -y legitima- si ya eres empleado y no por tanto antes de serlo.
No está permitido el tener que informar si te has vacunado ya o no para optar a un puesto de trabajo
Pero además del ámbito laboral, a nivel social hay ahora mismo preocupación con el tema de las vacunas. En teoría nadie te puede obligar a que te la pongas, pero al tratarse de un tema de “seguridad nacional socio-sanitaria” se puede publicar un real decreto que obligase a ello.
En el ámbito social también veo cierto malestar por algunos colectivos de personas que no se quieren vacunar porque no es conveniente -gestantes o personas sometidas a procesos de fecundación in vitro, pacientes inmunodeprimidos…- donde parece que se estigmatizan por no hacerlo. Debemos ser muy moderados y cautos a la hora de hablar de los demás, cada cual tiene sus circunstancias y yo creo que el respeto a la privacidad y decisiones de cada uno son fundamentales para una correcta convivencia.
El respeto a la privacidad y decisiones de cada uno son fundamentales para una correcta convivencia.
Lo que es importante es que informemos hasta la médula de los pros y contras y también que se cumpla el deber de informar sobre protección de datos antes de tomar la temperatura, antes de vacunar a alguien, etc..,
¿EXISTE ALGÚN SEGURO RELATIVO A CIBERATAQUES?
Sí, hay muchas aseguradoras que ya comercializan seguros de ciber-riesgo que cubren situaciones como el cifrado de información por ataques de malware; la ciber-extorsión a cambio de descifrarlos o incluso algunos te cubren los gastos de la notificación que ahora habría que hacer a los clientes o de las sanciones administrativas que puedas recibir, hasta determinados importes y franquicias.
Hay muchas aseguradoras que ya comercializan seguros de ciber-riesgo, que cubren situaciones como el cifrado de información por ataques de malware
Es una tendencia generalizada en las grandes compañías, y que sin embargo, apenas estamos viendo grado de adopción en las pequeñas y medianas empresas. He visto también algunas que creen que sus pólizas de Responsabilidad Civil les cubriría este tipo de contingencias, y no es así. Hay por tanto que revisar los seguros que tenemos y las coberturas adquiridas para evitar sorpresas. Ni las microempresas están exentas de riesgos de extorsión o pérdida de datos, los hackers no diferencian en este sentido, si bien observamos que las sanciones por el Regulador a estos pequeños negocios -e incluso particulares- están siendo muy leves, en general por debajo de los 3.000€.
¿QUÉ GARANTÍAS/SOLUCIONES LE OFRECE UNA ASEGURADORA A UN CLIENTE CUANDO SUS DATOS SON VULNERADOS?
Hoy por hoy, cualquier compañía que sufre una brecha de privacidad en sus sistemas de información, donde pudiera haber datos personales de los afectados, tiene la obligación de notificarlo a la Autoridad de control. Si, además, se observa que son datos sensibles -de salud- o que pueden afectar seriamente a los derechos y libertades de esa persona -haber perdido el control total sobre los datos, su publicación en internet, etc…- las compañías ahora están obligadas a avisar a los afectados de lo sucedido, de si sus datos están o no afectados, qué datos son y qué medidas de mitigación se han tomado al respecto.
¿CUÁL ES LA PRINCIPAL PREOCUPACIÓN DE LOS CLIENTES DE UNA ASEGURADORA CON RESPECTO A LOS DATOS DE SUS TELÉFONOS MÓVILES? ¿QUÉ MEDIDAS SE TOMAN PARA REPARAR LOS DAÑOS?
Observamos que la principal preocupación está en el comportamiento de las apps que las compañías ponen a su disposición de los clientes. En este sentido, la preocupación de los clientes –y de las áreas de protección de datos, en mi caso- es que una compañía debe facilitar y propiciar la transición hacia lo digital, pero no podemos obligar a que ésa sea la única vía de proporcionar un servicio. De lo contrario, ese consentimiento a esas políticas de privacidad que se muestran antes de la descarga de la app no sería válido conforme a lo que nos indica el RGPD.
Cuando hay un ciberincidente lo primero que hacen las compañías es contenerlo para que no se extienda
Afortunadamente no hemos tenido todavía robos de datos asociados a teléfonos móviles, pero cuando hay un ciberincidente lo primero que hacen las compañías en contenerlo para que no se extienda y automáticamente a continuación activar mecanismos de resiliencia/contingencia para volver a la situación de normalidad lo antes posible.
LOS VEHÍCULOS CONECTADOS FORMAN PARTE DEL CONGLOMERADO DE LAS TECNOLOGÍAS DEL IOT; COMO TAL, GENERAN UNA INGENTE CANTIDAD DE DATOS, ¿BARAJAN YA LAS ASEGURADORAS PROTEGER AL CLIENTE ANTE INTROMISIONES DE ESTE TIPO?
Hay tres grandes retos: cómo protegerlos, cómo utilizarlos y qué autorizamos como usuarios. Digo esto porque las aseguradoras pueden ampararse en que hemos autorizado determinados usos para dejarnos fuera de las coberturas principales. Cuanto más volumen de datos, más realidad líquida, más casuísticas y riesgos que pueden presentarse, más situaciones reales pueden quedar sujetas a interpretación de las partes. Entramos por tanto en una línea de indefinición de las actuaciones y las coberturas.
