Soy consultor LOPD desde hace 17 años. ¿Tienes alguna duda?

Enviado por jmsanzprieto el 11 de abril de 2017

Llevo trabajando como consultor en materia desde el año 2000. Si tienes alguna duda respecto al cumplimiento de la norma, no dudes en preguntarme. Responderé todas las consultas.



#1 angelitoMagno

Hola, tengo la sensación de que el 95% de las webs que ahí en España no cumplen con la LOPD. Y que aún así, no se multa a nadie, ni se da un toque de atención. ¿Es así?

Buenas tardes. No se si el procentaje del 95% es correcto o no, solo se que se acerca bastante a la realidad. Lo que sucede realmente es que la mayoría de infracciones por las que se sancionan a las web, están mas relacionadas con la falta de información en la recogida de información a traves de cookies que en otro sentido. Casi todas las web, cuentan con alguna versión del famoso "he leído y acepto..", por lo que en primera instancia cumplen con el requisito legal de informar. Aunque si rascamos un poco, veremos que o bien no se ajustan a lo que la norma requiere o simplemente son corta-pega de alguna otra web, con lo que la validez de esos clausulados, en realidad es bien poca.


#9 llamamepanete

¿Qué opinas de todos los "chanchullos" que se hacen en torno a la LOPD: documentos de seguridad corta/pega unos de otros, auditorias sin pisar las oficinas del cliente, nulo cumplimiento y conocimiento sobre las medidas técnicas de protección en materia de seguridad de la información sobre ficheros de tratamiento automatizado, uso de fundación tripartita para pasar procesos de consultoría/auditoría por formación, ...? ¿Has participado o participas de algunas de las estrategias para vender "LOPD" como el que vende "churros"?

Por otra parte, ¿cuál es tu formación y perfil? ¿Haces auditoría técnica o únicamente de cumplimiento legal en el marco organizativo/procedimental?

Si te parece, empezaré por el final. Soy ingeniero informático por formación, aunque mi carrera profesional se ha dedicado a la gestión y la consultoría. Mi labor como consultor la he desarrollado siempre en el marco de procedimientos y adecuación LOPD. El tema de auditoría técnica pura y dura, la dejo a quién sabe mucho más de esto que yo. Bastante trabajo me da ya la parte de procedimientos, je.

Sobre el tema de los "chanchullos", como bien los llamas, ¿pues que decir?. Somos muchos los profesionales que llevamos muchos años peleando contra estos temas, que lo único que hacen es minusvalorar la profesión y al profesional. Constantemente me encuentro con clientes o potenciales clientes que les han vendido proyectos pasando por la bonificación a través de la Fundación Tripartita de los costes de la consultoría, cosa que desde hace casi 6 años, es sabido que es ilegal y está denunciado. Es un lacra, pero también es cierto que las empresas que entran en ese juego, no tienen más interés por los temas de privacidad que el de cumplir con un trámite burocrático, sin preocuparse por las autenticas implicaciones de la norma. Una pena, pero los que nos gusta el tema, seguimos creyendo en que esta norma es una ventaja para las empresas, que les permite diferenciarse ofreciendo confianza y seguridad a los clientes.


#5 sacreewisback

Desde un punto de vista legal atendiendo a la LOPD ¿La tortilla española con cebolla o sin cebolla?

Eso dependería si la cebolla se considera o no dato personal. Quizás por si sola no lo es, pero puesta en relación con otros datos si que pueda identificar claramente a una persona en concreto; por el olor de su aliento, quizás.


#11 joseenriquetk

¿Es absurda la LOPD?

No es que sea absurda. Lo que pasa es que los profesionales que nos dedicamos a ello no hemos sabido explicarla bien ni mostrar realmente a las empresas, las ventajas de su cumplimiento. Hemos puesto el foco en el mensaje del miedo a la sanción, pero nos ha faltado pedagogía para hacer ver a las empresas que el cumplimiento de la norma, es mucho más que un acto administrativo. Pero creo, salvo excepciones, que vamos mejorando en el tema.


#26 joseenriquetk

La defensa de una ley, porque ES LA LEY, es algo cuanto menos peligroso. Usted debe saber y tener en cuenta que...

El mundo funcionaria mejor si empezaramos a diferenciar entre, la leyes, y para que son las leyes... Quien hace las leyes y cuál es su cometido final.

Si empezamos a obedecerlas sin cuestionarlas la razón de las mismas pierde su raíz y comenzamos a decir barbaridades.

Barbaridades como obligar a hacer cosas que no sirven a todo el mundo, Barbaridades Como acatar las decisiones de un juez corrupto por que es un juez, barbaridades como no dar trabajo a alguien por que aunque sabe más no tiene un título... Y asi un sin fin de despropósitos de gente que sin pensar defiende un texto sin pararse pensar en la razón final del mismo.

A mi me gusta mucho la ley de inmigración Noruega, pues aunque existen las leyes, toman tal cantidad de variables que al final te dicen que cada caso es diferente... Lo mismo debería pasar con la LOPD.

La leyes son importantes, los títulos también pero nunca serán tan importantes como el fin para el que fueron creados....

Espero recapacite un poco, ya que parece usted ser una persona con poder, todo poder conlleva una gran responsabilidad.

Gracias por asumir que soy una persona con poder. De lo diré a mi mujer para ver si me hace más caso. Respecto al comentario sobre las leyes, siento disentir, pero en el caso que nos ocupa la norma lo que prevé es la garantía y salvaguarda de nuestra información más intima y creo que esto es importante que lo asumamos. No es perfecta claro está, de hecho ya una modificación substancial de la norma en marcha, a la que se han podido presentar alegaciones y correcciones a nivel particular hace hace pocas semanas. Tenemos en marcha un nuevo reglamento adecuado a la realidad actual y no a lo que existía hace 10 años y cada vez más sensibilidad. Creo que vamos por buen camino.


#20 aauivozcrx

¿Cuánto es la multa por esto? ¿Quién lo fiscaliza? ¿actúan de oficio o en base a denuncias de terceros? ¿Están todas las páginas registradas por un español obligadas a tenerlas o solo las .es?

El importe de la sanción depende del grado de incumplimiento, a valoración del inspector y de la directora de la Agencia de Protección de Datos. Cualquier web que recoja información personal (en la práctica todas desde el momento en que hay un form de contacto o una inscripción en un boletín de noticias), debería cumplir tanto la LOPD en lo que se refiere a tratamiento de datos, como la LSSICE en cuanto a identificación del propietario y otros datos, como las cookies. Gracias.


#38 strider

, algún día el tema de la Fundación Tripartita va a salir en todos los telediarios y todos correremos en círculos con los brazos en alto. Hay mucha gente ahí viviendo del cuento.

Cierto. Esperemos que se ponga un poco de control a todo esto. He visto incluso proyectos de desarrollo de app android pagados con los fondos de formación. Terrible.


#42 Stivi

Hola #0 ¿para alguien de tu sector la GDPR de entrada en vigor en Mayo 2018 significa más negocio?

He oído que en España no va a cambiar mucho aparte del importe de las multas y también lo contrario. En especial en cuanto a cifrado de datos de carácter personal, derecho al olvido, etc

Es cierto que el cambio va a ser significativo, sobre todo en lo que respecta a la profesionalización del sector. La aparición de una figura como la del Delegado de Protección de Datos, abre una puerta a estandarizar la profesión. Aunque, obviamente, seguirá habiendo quien minusvalore esta figura. Esta por ver todavía que perfil ha de tener y la formación. En cuanto al reglamento en si, habrá cambios importantes en cuanto al enfoque: se pretende que la seguridad se implante desde el principio de los proyectos, el famoso Privacy by Default. Los requerimientos técnicos tendrán unos requisitos algo más concretos, pero (y es mi opinión), los procedimientos de gestión se vuelven un poco más laxos, aunque hay más obligación de control. Veremos que tal.


#23 joseenriquetk

¿no ves absurdo poner un aviso en todas las webs que usan cookies, pues son todas, aviso que además nadie lee?

Absurdo o no, a día de hoy es una obligación legal. Pero con la nueva modificación del Reglamento Europeo de Privacidad Electrónica, se está trabajando en sistemas que permitan una gestión más transparente de los permisos otorgados a las cookies por parte de los navegadores. Lo que, de facto, significaria que se eliminaría la obligación de informar. Pero a día de hoy, la obligación existe. De todas formas, no está de más leer la info de las cookies y/o la información de privacidad de las webs.. nos evitariamos más de una sorpresa. Yo lo recomiendo siempre. Gracias por tu pregunta.


#17 TocTocToc

Me refiero a una denuncia genérica respecto a una web que no cumple la ley, sin llegar a ser perjudicado.

Estamos en el mismo caso. Se tiene que acreditar interés. Otra cosa sería si el usuario se da de alta y no recibe la información necesaria para dar su consentimiento, por ejemplo. En ese caso, si se podría aducir que no se ha cumplido la norma y por tanto podría ser parte. Gracias.


#13 TocTocToc

¿En las denuncias ante la LOPD los datos del denunciante son anónimos? ¿El denunciado tiene derecho o puede conocer quién le denuncia?

Las denuncias ante la AEPD no pueden ser anónimas, porqué el denunciante tiene que ser interesado. Ten en cuenta que estamos hablando de derechos fundamentales y por tanto se tiene que acreditar la relación. Gracias.


#41 mcfgdbbn3

: El problema es que la normativa es compleja de entender. Cuando la gente viaja en ascensor normalmente se encuentra una botonera con los pisos bien marcados y hasta en relieve para ciegos, no unos cables pelados en su extremo para juntar entre si para subir o bajar. ¿Por qué la ley no sigue ese mismo criterio de dar facilidad de uso a todo el mundo por igual?

Por eso muchos optan por el copia-pega.

No estoy del todo de acuerdo. Cuando la norma dice que hay que proteger la información y los datos, se refiere a todo tipo de estructuras. El problema viene cuando se quiere hacer creer que un procedimiento determinado, sirve para cualquier empresa o entidad. Por fuerza ha de ser un traje a medida y requiere de estudio y conocimiento de los procesos dentro de cada entidad o empresa. Cuando la norma dice que se haga un backup cada semana, lo hace para todos, pero no será el mismo procedimiento en una carpintería metálica que en un laboratorio farmacéutico. El autentico problema ha sido dar a entender que esto es sota, caballo y rey, y ahí la culpa la tenemos los consultores. Gracias por la consulta.


#32 tshade128

Tengo una micropyme de informática con una página web de venta de productos hecha con PrestaShop. Tengo muchas dudas, pero principalmente, una. Si hago lo humanamente posible por asegurar la información y me hackean la web y sacan los datos, ¿me pueden sancionar?

Nadie está a salvo de una intrusión, eso de entrada. Lo que se tiene que evitar es que el daño que esta pueda producir, afecte a terceros. Si uno ha puesto todas las medidas posibles, los procedimientos están bien dimensionados, hay buenas herramientas para respuesta ante la incidencia, etc., pues evidentemente la sanción no será la misma que si hemos descuidado todo lo relacionado con la norma. Según apreciación del inspector, del daño causado, etc., la Agencia de Protección de Datos aplicará la sanción en función a la gravedad de la infracción. En muchos caso, cuando se demuestra que se ha cumplido todo lo previsto, pero ha sido un accidente, se salda con el apercibimiento. Gracias por la consulta.


#30 rharo1970

¿Cuanto tiempo debe guardar los logs del servidor de correo una administración? Gracias por su atención.

La caducidad de la información que se gestiona, tiene que determinarla la entidad. En el caso de los registros de acceso a datos de nivel alto y registros de backup, la norma si que regula que se han de guardar dos años. Se puede tomar como referencia para otros tipos de registros. Gracias por la pregunta.


#33 totojefa

Gracias por prestarte a Menéame.
Trabajo en una Mutua de Accidentes de Trabajo y Enfermedades Profesionales y el diagnóstico médico de todas las bajas laborales es visible para todos los trabajadores.
En muchas ocasiones me he enterado de gente que mira los diagnósticos por chafardear. Al preguntar a la empresa, ésta se escuda en que la responsabilidad recae sobre la propia persona que está consultando esos datos.
Tengo entendido que estoy en mi derecho de solicitar a la empresa la trazabilidad del acceso a mi historia clínica.
¿Qué métodos existen para registrar los accesos a los datos?

Muchas gracias

Lo que está comentando es muy grave.
La empresa tiene la obligación de determinar los niveles de acceso en función a los puestos de trabajo y evitar que nadie puede acceder a información de la que no es interesada. La empresa tiene la obligación de establecer las medidas de seguridad y evitar esos accesos. Y además formar al personal para que se conciencie de la importancia de la información que tratan. Tratándose de datos de salud, estamos hablando de infracciones muy graves que se pueden saldar con sanciones muy importantes.

Las aplicaciones que gestionen datos de nivel alto (como es el caso), tienen que mantener un registro de los accesos y actividades de los usuarios a los mismos. El derecho de acceso, que es el que comenta, puede ejercerlo para saber donde y como está almacenada la información que la empresa tiene de Ud. Faltaría ver si el detalle de esa información, incluye quién ha tenido acceso.

En todo caso, lo que está comentado es un caso de libro de infracción muy grave de la norma.

Gracias por su pregunta.


#49 aauivozcrx

disculpa, se me olvidó comentar que me refería al disclaimer de las cookies

Buenas de nuevo. Es obligatoriedad forma parte de la normativa europea. Todas las webs del ámbito de la UE que recogen información mediante cookies, están obligadas a informar de una forma u otra.


#47 aauivozcrx

gracias por responder!

Puedes responder a las otras dos preguntas?

¿actúan de oficio o en base a denuncias de terceros? ¿Están todas las páginas registradas por un español obligadas a tenerlas o solo las .es?

Gracias!

Pensaba que había respondido. Sobre el tiempo de actuación, pues generalmente de parte, pero también hay inspecciones de oficio por parte de la AEPD. Lo que no entiendo es la otra pregunta: ¿Están todas las páginas registradas por un español obligadas a tenerlas o solo las .es? : Tenerlas ¿qué?. Saludos.


#37 strider

¿puedes hacer un breve resumen, o poner algún ejemplo, de cuáles son esas ventajas de su cumplimiento?

Principalmente, el beneficio del cumplimiento es el inventariado de la información. Para un buen cumplimiento LOPD, es preciso conocer en detalle que información se gestiona y como y quien accede a ella. De esta forma se pueden procedimentar los accesos y establecer controles, responsabilidades, etc. Parece increíble, pero la mayoría de entidades no conocen realmente que información manejan. También se genera un clima de confianza hacía el usuario, que tiene constancia de que su información está en buenas manos. Cada vez más, los usuarios estamos sensibilizados con el tema de la privacidad y cada vez más se buscan proveedores que nos aporten, además del servicio que buscamos, esa confianza en el tratamiento de nuestros datos. Gracias por su consulta.