Hemos cerrado el año 2018 con importantes novedades legislativas que han afectado significativamente a las políticas de privacidad y seguridad implantadas por las compañías.
Por su parte, estamos asistiendo a una transformación digital de las organizaciones y sus procesos de gestión o productivos, mediante el uso de tecnologías tales como big data, blockchain, inteligencia artificial, realidad virtual o cloud computing. Asimismo, se están creando nuevos modelos de negocio basados en estas tecnologías.
En definitiva, ante el nuevo contexto digital al que nos enfrentamos, las empresas deberán asumir grandes retos, como los que exponemos a continuación.
Índice de temas
Nuevas herramientas basadas en la nube
Gracias a las ventajas que ofrecen estas herramientas, en 2019 se espera un aumento de la inversión en soluciones, aplicaciones o servicios basados en cloud computing.
A la hora de seleccionar proveedores, es necesario llevar a cabo un proceso de evaluación a fin de valorar cuál de ellos aporta más valor añadido a la organización, en atención de una serie de factores previamente definidos, y, desde el punto de vista de la ciberseguridad, considerar los riesgos y desafíos de seguridad y privacidad que conlleva esta tecnología.
Las compañías deberán contar con expertos que les ayuden a revisar los contratos de prestación de servicio del proveedor escogido a fin de fijar algunas cuestiones clave, como lo son el grado de cumplimiento de calidad y nivel de servicio, el cumplimiento legal, los certificados en materia de seguridad con los que cuenta o las garantías y responsabilidades que ofrece, incluida la cobertura por un seguro de ciberseguridad.
Brexit y transferencias internacionales de datos a Reino Unido
Hasta la fecha, las empresas españolas (y europeas) pueden transferir datos personales a un importador de datos situado en el Reino Unido.
A partir del 30 de marzo de 2019, fecha en la que está prevista la retirada del Reino Unido de la Unión Europea, el Brexit puede tener una amplia repercusión en aquellas empresas que, por pertenecer a un grupo empresarial internacional o por tener externalizados determinados servicios en proveedores sitos en Reino Unido, deban realizar transferencias de datos a este tercer país.
La menor o mayor repercusión dependerá de si hay acuerdo o no. Si finalmente se consigue un Brexit con acuerdo, se abrirá un periodo transitorio de 21 meses, durante el cual se seguirá aplicando la normativa europea; si no se consigue un acuerdo, Reino Unido será a todos los efectos un tercer país y obligaría a las organizaciones afectadas a la aplicación de las garantías adecuadas para las transferencias internacionales de datos que regula el Reglamento Europeo de Protección de Datos.
Por ello, las organizaciones deben prepararse, revisando si llevan a cabo transferencias internacionales de datos entre la Unión Europea y Reino Unido, y, en su caso, considerar qué medidas adoptar para garantizar el cumplimiento si el Reino Unido se convierte en un tercer país.
Entre estas medidas, podemos encontrar la legitimación de las transferencias de datos a través de mecanismos adicionales, tales como las cláusulas contractuales tipo o la adopción de Reglas Corporativas Vinculantes o ‘Binding Corporate Rules’ (BCR) por un grupo multinacional de empresas, las cuales garantizan el nivel adecuado de protección de los derechos de los interesados.
Las empresas deben prepararse y revisar las transferencias de datos entre la UE y Reino Unido
Nuevo Reglamento Europeo e-Privacy
La Propuesta de Reglamento europeo sobre privacidad y comunicaciones electrónicas (más conocido como Reglamento e-Privacy) está aún en fase de debate entre las diferentes instituciones legislativas de la Unión Europea.
Una vez se apruebe y entre en vigor, derogará la vigente Directiva e-Privacy, incorporada al ordenamiento jurídico español mediante la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de la Información y de Comercio Electrónico (más conocida como LSSI).
Introduce importantes novedades que obligarán a las empresas a adaptarse a esta nueva normativa europea, bajo pena de multas administrativas similares a las que recoge el Reglamento Europeo de Protección de Datos.
Las compañías afectadas serán aquellas que presten servicios de telecomunicaciones, incluidos los proveedores de servicios basados en Internet, así como, en general, aquellas empresas que utilicen los servicios de telecomunicaciones para la venta a distancia de sus productos y/o servicios, compañías que recopilen información a través de las cookies y otras tecnologías similares en sus sitios web, empresas que prestan servicios de publicidad comportamental y basada en el perfil del usuario, así como aquellas que envíen comunicaciones comerciales por vía electrónica.
Se reconoce y garantiza el novedoso derecho a la desconexión digital fuera del horario laboral
Implantación de sistemas de firma electrónica
Cada vez más, las compañías están eliminando el papel, sustituyendo la firma manuscrita y recurriendo a sistemas de firma electrónica, por ejemplo, para la contratación con sus clientes o proveedores a través de tabletas o de forma remota.
La Ley 59/2003, de 19 de diciembre, de firma electrónica, así como el Reglamento Europeo eIDAS, establece diferentes tipos de firma electrónica otorgándoles distinta eficacia o validez jurídica:
- Firma electrónica simple: Son datos en formato electrónico, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
- Firma electrónica avanzada: Permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede utilizar, con un alto nivel de confianza, bajo su exclusivo control.
- Firma electrónica reconocida (o cualificada): Está basada en un certificado reconocido, es decir, emitida por una entidad prestadora de servicios de certificación como la Fábrica Nacional de Moneda y Timbre, y generada mediante un dispositivo seguro de creación de firma.
Por tanto, cuando se recurra a un sistema de firma electrónica que no tenga la consideración de avanzada o reconocida, por ejemplo, de firma biométrica, se deberán tener en cuenta una serie de medidas necesarias para que el contrato sea jurídicamente válido y, en particular, para defender su existencia y autenticidad en caso de que se impugne o se cuestione su autenticidad en sede judicial.
Garantía de los derechos digitales
La recientemente aprobada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, además de implementar algunos aspectos del Reglamento Europeo de Protección de Datos, reconoce y garantiza una serie de nuevos derechos digitales a los ciudadanos.
Entre estos derechos destacamos los derechos de rectificación en Internet y al olvido digital, que conllevará que los responsables de ciertos sitios web adopten protocolos adecuados para posibilitar el ejercicio de estos derechos.
Los derechos en el ámbito laboral a la intimidad en el uso de dispositivos digitales, frente a la utilización de dispositivos de videovigilancia y de grabación de sonidos y ante la utilización de sistemas de geolocalización, garantizan que los empleadores únicamente puedan acceder al contenido derivado del uso de dichos dispositivos o sistemas para controlar el cumplimiento de las obligaciones laborales de sus empleados, con ciertas garantías para preservar la intimidad de los trabajadores, tales como cumplir con el deber de información previa y por escrito a los trabajadores y, en su caso, a sus representantes.
Y, por último, el novedoso derecho a la desconexión digital fuera del horario laboral, que supondrá que las empresas, junto con los representantes de los trabajadores, elaboren una política interna que especifique las modalidades de ejercicio de este derecho y las acciones de concienciación sobre el uso de herramientas informáticas.