Publicación: 03.06.2021
Última actualización: 12.04.2022
Administración Legal Seguridad

Hablamos con Luis García, Director en Several Advice, sobre las normativas de protección de datos en las comunicaciones

LUIS GARCIA SEVERAL ADVICE
Hablamos con Luis García, Director en Several Advice, sobre las normativas de protección de datos en las comunicaciones
5 (100%) 10 votes

Cumplir con  la protección de datos personales es uno de los temas que más dudas genera cuando se pone en marcha una campaña de envío masivo SMS. Por eso, hoy queremos hablar con un experto en el tema, Luis García, director de Several Advice (empresa especializada en consultoría sobre LOPDGDD y LSSICE) para que nos ayude a despejar dudas para conseguir que las campañas de mensajes de texto cumplan con la normativa, sean seguras y fiables. 

 

“A parte de enviar bien un SMS, hay que dar cumplimiento a la normativa de protección de datos”

Luis García

Luis García, Director en Several Advice

¿Qué es Several Advice?

Luis García: Several Advice es una empresa que se dedica a la seguridad de la información. El nombre viene de dos palabras en inglés: varios asesoramientos, en base a que nos dedicamos a asesorar sobre la LOPD (Ley Orgánica de Protección de Datos) y a la LSSICE (Ley Sobre Servicios de Información y Comercio Electrónico). De aquí nace Several Advice en base a una experiencia de más de 12 años en el sector.

¿Cuáles son los puntos básicos que debe seguir una empresa que quiera cumplir con la ley en sus envíos masivos de SMS?

Luis García: Pues, a parte de enviar bien el SMS hay que dar cumplimiento a la normativa. Anteriormente, tienes que cumplir con la ley como marca el reglamento. Primero tenemos que identificar la tipología de datos que tenemos, tenemos que hacer un registro del tratamiento, una evaluación de riesgos, tenemos que hacer una trazabilidad de quien recoge los datos y el porqué, por donde pasan, quien los trata (trabajadores, empresas externas…) y formalizarlo todo como marca la normativa. Después tenemos el deber de informar al usuario que nos facilita los datos… y aquí es donde le daríamos el cumplimiento al envío de SMS. Si yo recojo un consentimiento para el envío del SMS o no (porque es cliente) dependiendo de la finalidad y de porque lo recojo. Deberíamos incluso consultar la Lista Robinson para saber si este cliente o este usuario está incluido en ella y no le podemos enviar publicidad. Depende mucho de la finalidad con la que las recogemos, qué tipo de datos recogemos y la actividad que tiene la empresa.

¿Es necesario consultar la Lista Robinson antes de realizar un envío masivo de SMS?

Luis García: Sí, es necesario. Si no es cliente y no tenemos su consentimiento  es necesario consultar la lista Robinson. No sería necesario si tengo su consentimiento o es cliente.

Si un contacto no aparece en ella, ¿se le pueden enviar SMS publicitarios aunque no hayamos recibido un consentimiento expreso por su parte?

Luis García: Imaginate que es un cliente que hace un tiempo atrás fue cliente pero ya no lo es y no tengo su consentimiento expreso, pero tengo su contacto, pues yo antes tengo que mirar la Lista Robinson, verificar que no está incluido en la Lista Robinson y aquí yo podría enviarle un SMS. Después, evidentemente, tengo que facilitarle en el cuerpo del mensaje la posibilidad de baja de recibir publicidad, incluso también tengo la obligación de poner un enlace con la política de privacidad de la empresa. Siempre tenemos que identificar al responsable. Si no está incluido en la Lista Robinson, yo le puedo enviar SMS.

Aunque es obligatorio incluir un método de baja para dejar de recibir SMS, ¿es necesario que figure explícitamente en el cuerpo del mensaje?

Luis García: Sí, es obligatorio. Incluso como decía en la pregunta anterior, tiene que aparecer  la política de privacidad de quién es el responsable del envío de ese SMS.

Como experto en el sector ¿ha detectado en los últimos años un mayor interés por parte de las empresas para cumplir con la legislación en materia de protección de datos?

Luis García: Bien, aquí nosotros lo categorizamos en dos sectores: tenemos la PYME, que por su relación laboral y su actividad trabaja con empresas de un nivel medio-alto,  y después tenemos la MicroPyme o autónomo,  que tiene un nivel de datos más pequeño. La MicroPyme o autónomo cuesta más el cumplimiento. Más bien es una obligación. Sí que pagan el servicio, te facilitan la información, pero después el darle cumplimiento día a día es más complicado. Por falta de recursos económicos o humanos, pero es más complicado.

Después tenemos la PYME, que tiene un nivel más medio alto, que por su actividad laboral, trabajan con empresas de un nivel medio-alto, y aquí por imagen, por seguridad, porque realmente están más concienciados con la protección de datos, pues le dan más cumplimiento. Hay que matizar o decir que nos hemos encontrado con micropymes o autónomos que están concienciadas en ellas porque han tenido la mala suerte de tener un requerimiento, una denuncia de un tercero: un cliente, un proveedor, un trabajador o incluso la administración (un Mosso d’Esquadra te levanta una acta, la envía a la agencia y tienes un lío montado) y a causa de estas circunstancias sí que están más concienciados, aunque haya sido a la fuerza.

Y por parte de los usuarios ¿existe una mayor concienciación sobre la protección de su privacidad?

Luis García: Pues aquí te tengo que decir que no. No existe una gran concienciación. Hay una parte, sobretodo los usuarios que, por su actividad laboral, tienen una mayor concienciación, porque se les ha hecho una formación, porque su empresa cumple muy bien con la protección de datos, porque se les ha hecho firmar un compromiso de confidencialidad… tienen un mayor conocimiento de la normativa y esto, de alguna manera, lo extrapolan a su vida privada. Pero no están bien concienciados, porque al final a las redes sociales hoy en día subimos todo: subimos fotos, subimos vídeos, subimos las vacaciones que hacemos, si hacemos visitas culturales,  visitas políticas y, de alguna manera, estamos dando información de todo tipo de nuestra vida  a alguien que, estoy segurísimo, para ellos es muy valiosa esta información.  La respuesta es no. No tenemos una gran concienciación sobre la privacidad.

¿Qué aconsejaría a cualquiera que quiera gestionar datos personales de forma segura y cumpliendo con la normativa?

Luis García: Que contacten con un profesional. Es muy complejo cumplir con la protección de datos. Es una de las leyes europeas más complejas de cumplir. Ten en cuenta que no sólo afecta a la protección de datos. Depende del sector de actividad hay otro tipo de leyes que afectan, como pueden ser sanidad, laboral, fiscal…afectan a muchas leyes y vivimos en un país que es uno de los que más leyes tiene en Europa. Por lo tanto, no sólo hay que valorar la protección datos, sino que hay que valorar las leyes que le afecten a su actividad. Mi consejo es que se asesoren con un profesional, porque si la tienen que implantar ellos solos es complejo, la verdad.

¿Cómo valoraría el cumplimiento de las leyes de protección de datos (LOPD y LSSICE) en España?

Luis García: Pues la veo justilla. Tengo que decirte que la veo justilla. Porque hace falta un poco más de control. Es la única manera que nosotros podríamos ver un poco más de sentido a nuestro trabajo. Falta control. Pero, bueno, no sería un punto que tendríamos que valorar ahora. No toca.

¿Cuáles son las sanciones a las que se expone una empresa que no cumpla la ley en este campo?

Luis García: Esto está categorizado en tres tramos: infracción leve, infracción grave y infracción muy grave. Las leves son sanciones de hasta 40.000 euros, las graves irían de 40.001 a 300.000 y las muy graves irían de 300.001 hasta 20 millones de euros o un 4% de la facturación anual. Evidentemente, no tiene ningún sentido que una empresa que factura medio millón ponerle una sanción de 20 millones, no se podría pagar. Va en función de la infracción que han cometido, la cantidad de afectados que hay… se valora todo en conjunto para imponer la sanción.

Las leyes de protección de datos y de sociedad de la información son relativamente recientes ¿Qué le llevó a especializarse en este campo?

Luis García: Bueno, recientes, recientes no son. La protección de datos viene de 1999, ya teníamos una ley que regulaba la protección de datos. Después entró un decreto en el 2007 que era el que aplicaba, el que imponía un procedimiento sancionador sobre la normativa de protección de datos. ¿Qué pasa? Que en el 2016 salió el nuevo reglamento con dos años de carencia y de obligado cumplimiento a partir de 2018, y aquí es donde sonó más… y entonces parece que sea nueva, pero la ley no es nueva, viene de 1999.  La LSSICE igual, hace casi 20 años que la tenemos y también es de obligado cumplimiento. Después. sí que es verdad que ha habido algunas infracciones que han sonado más, como el tema de las Cookies, banners de las cookies… eso hace sonar más porque afecta a más empresas  y parece que sean nuevas, y de obligado cumplimiento de ahora, pero no son nuevas, son de oglidabo cumplimiento y viene de muchos años atrás. Nosotros vimos la oportunidad de negocio cuando en 2007 salió el decreto que aplicaba esta  y vimos la oportunidad de negocio y nos especializamos en la materia.

¿Se considera el teléfono móvil un dato personal sujeto a la LOPD?

Luis García: Sí, la ley establece que cualquier dato identificable es un dato personal. No solo los que te identifican directamente, sino un dato que te puede identificar como puede ser un teléfono, una matrícula, un email… Estos también son datos personales.

¿Qué se debe tener en cuenta al contratar una plataforma de SMS? ¿En qué nos debemos fijar o qué debemos pedir?

Luis García: En el mundo online lo primero en lo que nos tenemos que fijar es que la página web tenga un certificado (certificado es el candadito verde que vemos arriba).  Esto es básico, esencial. Una página que no tenga un certificado, ya totalmente aconsejo que, si es posible, ni se entre.  Y segundo, nos tenemos que fijar que esta web tenga publicado un aviso legal (bien publicado), su política de privacidad bien detallada, sus condiciones generales de contratación bien publicadas y detalladas…Y a partir de aquí, bueno, que te inspire confianza la web.  No obstante, si cumple con la ley,  la empresa que quiere contratar esta plataforma tiene detrás un profesional que (ya sea una empresa de protección de datos o un delegado de protección de datos) el cual puede supervisar esta contratación previa. Las actividades obligadas a tener un delegado de protección de datos… no es que sea aconsejable, es que es obligatorio. Un delegado de protección de datos tiene que evaluar la nueva incorporación o contratación de nuevas herramientas que traten sobre datos de carácter personal.

¿Es posible, legal o recomendable contratar a un proveedor SMS de fuera de la zona Euro?

Luis García: Pues, legal es. Recomendable, pues bueno, depende. Ten en cuenta que la cesión de datos internacional es delicada. Hay que hacer un estudio. Por ejemplo, si yo quiero contratar a Microsoft es legal, es recomendable y es posible… Pero , ahora, si yo quiero contratar la nube de Juan López, que la tiene en Serbia, pues poder se puede. Legal? A priori no lo es y tampoco recomendable. Habría que hacer un estudio de dónde está esta nube, qué tipo de gestión tiene, qué seguridad le da, cómo ha legitimado esta nube para los residentes europeos, etc.… Hay que hacer un estudio que no es fácil, la verdad. El tema de la cesión de datos internacional es complejo y hay que valorarlo muy bien.

Al incluir un teléfono o usuario en nuestra base de datos ¿qué hay que tener en cuenta y qué se debe notificar al usuario?

Luis García: De cara a la empresa que recoge la información (ya sea un trabajador o un cliente) tiene las obligaciones que hemos comentado antes. Las obligaciones de cumplimiento de la normativa en protección de datos y el deber de informar, que es cómo lo tiene que recoger. Yo recojo un dato e informo de por qué,  de cómo lo recojo, que seguridad le doy o qué derechos tienes… Y es la obligación que recoge el dato.  La empresa propietaria de la plataforma no tiene ninguna obligación de cara al usuario. Tiene la obligación de formalizar la relación contractual con la empresa que la contrata. Yo, en el momento, que a mi me proporcionas datos de terceros me convierto en un encargado de tratamiento, como tal tengo que formalizar un contrato que está establecido en la ley y tengo que firmar contigo donde nos comprometemos al cumplimeinto de la ley, a  aplicar la seguridad que sea necesaria, etc, etc, etc,

¿En el caso de SMS transaccionales es necesario o notificación previa especial?

Luis García: Esta pregunta depende. Depende de la actividad de la empresa que recoge el teléfono o incluso de la finalidad con la que recoge el teléfono. Si una entidad bancaria me recoge el teléfono para la actividad bancaria, la finalidad para enviarme confimaciones de pago de doble factor (que ahora recientemente tenemos la obligación de hacerlo así), pues me tendrá que recoger un consentimiento. Si me recoge el teléfono una empresa de transporte para decirme que mi paquete llega mañana, pues me tiene que informar como cualquier otra empresa que recoge otro tipo de dato. Tiene el deber de informar, de decirme quién es el responsable, para qué me recoge este dato y la finalidad y los demás derechos que tienes que poner en las cláusulas informativas.

Según su experiencia, ¿Cuáles son los incidentes o incumplimientos de la LOPD más habituales?

Luis García: Mira, nosotros por la experiencia que tenemos, me atrevería a decirte que lo más habitual es los conflictos con la videovigilancia. Hay un gran incumplimiento con el tema de la videovigilancia. Después, evidentemente, en el mundo online Fishing, Criptos, ataques a bases de datos… estos están a la orden del día. Yo, si me tengo que quedar con alguna, la que más problemas nos ha dado ha sido la videovigilancia.

¿Son frecuentes las filtraciones o robos de bases de datos personales? ¿Cómo se debe actuar si se ha producido para cumplir con la LOPD?

Luis García: Pues sí, sí que son frecuentes. Más de lo que nosotros nos podemos imaginar. Son muy frecuentes. Hay robos de bases de datos y filtraciones cada día. ¿Cómo se debe actuar? Pues, hay un procedimiento establecido en la ley ,que es obligatorio y tenemos que actuar como dice la ley. Tenemos 72 horas de plazo para notificar una brecha de seguridad a la autoridad de control. En esta notificación hay una serie de preguntas que tienes que responder: qué tipo de información se han llevado, qué alcance tiene, a cuántas personas afecta, a qué país de la Unión Euroepa afecta, si hemos solucionado el problema o la brecha o no … una serie de preguntas a las que tenemos que dar respuesta en la notificación que tienes que hacer a la autoridad de control. Y sí, estamos obligados a hacerlo.