Agencias de marketing digital notificarán violaciones de seguridad

Los próximos cambios legales en el tratamiento de datos son un desafío para cualquier agencia de marketing online. En Esténtor nos tomamos muy en serio la protección de datos, por ello nos esforzamos en devolver a nuestros clientes la confianza que han depositado en nosotros ofreciéndoles a nuestros clientes el más alto nivel de seguridad.

Internet ha cambiado nuestras vidas. Con la llegada del comercio electrónico, las redes sociales y los buscadores de Internet hemos aprendido a obtener información y a relacionarnos con las marcas y con otras personas de una manera radicalmente distinta a la que estábamos acostumbrados hasta hace bien poco.

Pero de igual manera que hemos cambiado nuestra forma de interactuar con el mundo, también han variado los riesgos que amenazan nuestros datos.

Como sabreis, los ladrones ya no visten de negro, sino que se esconden tras una pantalla y se hacen llamar hackers. Desgraciadamente, la ciberdelincuencia está al orden del día y hay que protegerse de ello. Por suerte para ti en ciberseguridad.blog podrás estar al tanto de todas las novedades.

Y como creemos que es importante que los usuarios puedan dormir tranquilos sabiendo en todo momento el estado en el que se encuentran sus datos, hoy hemos venido a hablar de uno de los grandes cambios que introducirá el nuevo Reglamento europeo en materia de protección de datos, que comenzará a aplicarse el día 25 de mayo de 2018, y que afectará directamente a todas las agencias de marketing online: la obligación de notificar a la Agencia Española de Protección de Datos y a los usuarios sobre las posibles violaciones de seguridad que sufran sus datos personales.

El reglamento general de protección de datos

Antes de nada conviene explicar que un reglamento europeo es una norma jurídica de alcance general que resulta aplicable a todos los países de la Unión Europea, entre los que se encuentra, obviamente, España. Esto quiere decir que, sin necesidad de que exista una ley nacional que lo trasponga, debe ser cumplido y los derechos y obligaciones que otorga pueden ser invocados ante los tribunales nacionales y comunitarios por los particulares.

El Reglamento General de Protección de Datos de la Unión Europea (RGPD), entró en vigor el pasado 25 de mayo de 2016, si bien no comenzará a aplicarse hasta el 25 de mayo de 2018.Hasta ese momento, seguiremos sujetos a la Ley Orgánica de Protección de Datos (LOPD), la cual será sustituida por una nueva ley que viene de camino.

Pues bien, una de las grandes novedades que trae este reglamento es la obligación de notificar por parte del encargado de custodiar los datos personales de cualquier posible violación de seguridad que pueda afectarles.

¿Qué son las violaciones de seguridad?

El RGPD establece que las violaciones de seguridad de los datos abarcan todos los incidentes que puedan originar la destrucción, pérdida, modificación accidental o ilícita de aquellos datos personales que han sido cedidos para ser tratados y conservados, así como el acceso no autorizado a los mismos.

Es decir, según esta ley, el borrado accidental o no de los registros, el acceso no autorizado a las bases de datos que contengan la información personal o el extravío de un teléfono móvil, ordenador o cualquier otro soporte físico dentro de la compañía serían consideradas violaciones de seguridad y serán tratadas conforme al Reglamento.

El responsable de la protección de datos (DPO)

El encargado de velar por la seguridad de los registros será el responsable de la protección de datos o Data Protection Officer (DPO). En principio, esta posición solo sería obligatoria para los organismos públicos y para las empresas que gestionen gran volumen de datos personales.

No se especifica que magnitud deberán de tener las bases de datos de las empresas para que haya necesidad de nombrar un DPO, pero se sobreentiende que un gran número de agencias de marketing digital tendrán que nombrar a un responsable para la protección de datos, ya que este tipo de compañías utiliza el almacenaje de datos para segmentar y realizar campañas personalizadas que mejoren la experiencia del usuario, así como para facilitar la resolución de sus problemas mediante técnicas como el Inbound Marketing.

Obligación de notificar

Dice el RGPD en su artículo 33 que el responsable del tratamiento de los datos deberá notificar a la autoridad competente, en el caso de España a la Agencia Española de Protección de Datos (AEPD), de la violación de la seguridad de los datos personales.

Esto resulta ser un cambio sustancial porque hasta ahora la LOPD solo obligaba a la notificación a las empresas de telecomunicaciones y proveedores de acceso a internet (ISP).

• ¿Cuál es el plazo de la notificación?:

  *El plazo máximo es de 72 horas después de que haya tenido constancia de ella. En el caso de que dicha notificación no fuera posible en el plazo de 72 horas se deberá justificar los motivos de la dilación en el momento de realizar la notificación.

• ¿A quién notificar?:

  • El responsable del tratamiento de datos deberá notificar siempre a la AEPD.
  • En el caso de que pueda existir algún riesgo para sus derechos y libertades deberá notificar además al interesado para que así pueda tomar las medidas necesarias. De este modo, por ejemplo, si la violación de seguridad resulta ser un movimiento inusual de usuario y contraseña, esta persona podrá cambiar su password en todas las plataformas en las que la utilice.

• Contenido de la notificación:

  • Descripción de la violación de la seguridad de los datos personales, así como, siempre que sea posible, las categorías y el número aproximado de interesados afectados.
  • Comunicar el nombre y los datos de contacto del responsable de la protección de datos u cualquier otra persona que pueda arrojar luz de lo sucedido.
  • Informar de los posibles riesgos de la violación de seguridad.
  • Descripción de las medidas que el responsable del tratamiento haya adoptado o propuesto para resolver el problema.

Valoración de los riesgos la seguridad

Si el responsable del tratamiento de datos no realiza un idóneo análisis de los riesgos podría ser sancionado.

A la hora de valorarlos se deberá intentar determinar los datos que pudieran ser afectados, de esta manera será más fácil establecer las posibles consecuencias de los daños.

La simple sospecha de que haya podido producirse una violación de seguridad, sin que aún se conozcan sus circunstancias, no obligará todavía a la notificación, ya que la falta de información impedirá, normalmente, la evaluación del riesgo que pudieran sufrir los derechos y libertades de los interesados.

No obstante, entendemos que, para garantizar la seguridad de los datos de nuestros clientes y usuarios, resultaría aconsejable pecar por exceso y comunicarse con la autoridad competente tan pronto se crea que ha podido producirse alguna situación de peligro para los datos personales. Más adelante podrá completarse la notificación formal.

De esta manera, actuando con rapidez, podremos minimizar los efectos negativos de cualquier violación de seguridad.

Excepciones a la obligación de notificar las violaciones de seguridad.

El RGPD exime de la obligación de notificar las violaciones de seguridad cuando el riesgo para los derechos y libertades fundamentales de los interesados sea improbable.

Un riesgo será improbable cuando el responsable de custodiar los datos hubiera
adoptado medidas técnicas u organizativas apropiadas antes de que se produzca la violación de seguridad, convirtiendo los datos en ininteligibles para terceros. Esto sería por ejemplo un cifrado.

A posteriori, se entenderá que el riesgo es improbable cuando el responsable de los datos, tras la quiebra de seguridad, implante las medidas técnicas necesarias para asegurar que el riesgo no llegue a materializarse.

Por último, tampoco existirá obligación de notificar cuando la propia notificación implique un esfuerzo desproporcionado, en tal caso se podrá sustituir por alguna medida alternativa como una comunicación pública.

Conclusiones

Las agencias de marketing digital somos garantes de una gran cantidad de datos que nuestros clientes nos confían para que custodiemos y utilicemos con los fines estipulados en condiciones de seguridad.

El conocimiento de la ley y su cumplimiento, así como la implantación de todos los medios técnicos y personales destinados para la prevención de cualquier violación de seguridad, son una parte muy importante de nuestro trabajo.

Por ello, para nosotros resulta primordial mantener la confianza de nuestros usuarios y clientes proporcionándoles todas las herramientas necesarias para asegurar la protección de sus preciados datos.

Este es el motivo por el que aplaudimos cualquier reforma legislativa que tenga como fin la protección de los derechos de los usuarios y la consecución de un Internet más seguro.

Gracias a la obligación de notificar por parte del responsable, los usuarios podrán conocer el estado de sus datos y junto a la AEPD, y también la propia empresa receptora, trabajar para evitar cualquier posible perjuicio