Cumplir con la protección de datos personales es uno de los temas que más dudas genera cuando se pone en marcha una campaña de envío masivo SMS. Por eso, hoy queremos hablar con un experto en el tema, Luis García, director de Several Advice (empresa especializada en consultoría sobre LOPDGDD y LSSICE) para que nos ayude a despejar dudas para conseguir que las campañas de mensajes de texto cumplan con la normativa, sean seguras y fiables.
“A parte de enviar bien un SMS, hay que dar cumplimiento a la normativa de protección de datos”
Luis García
Luis García: Several Advice es una empresa que se dedica a la seguridad de la información. El nombre viene de dos palabras en inglés: varios asesoramientos, en base a que nos dedicamos a asesorar sobre la LOPD (Ley Orgánica de Protección de Datos) y a la LSSICE (Ley Sobre Servicios de Información y Comercio Electrónico). De aquí nace Several Advice en base a una experiencia de más de 12 años en el sector.
Luis García: Pues, a parte de enviar bien el SMS hay que dar cumplimiento a la normativa. Anteriormente, tienes que cumplir con la ley como marca el reglamento. Primero tenemos que identificar la tipología de datos que tenemos, tenemos que hacer un registro del tratamiento, una evaluación de riesgos, tenemos que hacer una trazabilidad de quien recoge los datos y el porqué, por donde pasan, quien los trata (trabajadores, empresas externas…) y formalizarlo todo como marca la normativa. Después tenemos el deber de informar al usuario que nos facilita los datos… y aquí es donde le daríamos el cumplimiento al envío de SMS. Si yo recojo un consentimiento para el envío del SMS o no (porque es cliente) dependiendo de la finalidad y de porque lo recojo. Deberíamos incluso consultar la Lista Robinson para saber si este cliente o este usuario está incluido en ella y no le podemos enviar publicidad. Depende mucho de la finalidad con la que las recogemos, qué tipo de datos recogemos y la actividad que tiene la empresa.
Luis García: Sí, es necesario. Si no es cliente y no tenemos su consentimiento es necesario consultar la lista Robinson. No sería necesario si tengo su consentimiento o es cliente.
Luis García: Imaginate que es un cliente que hace un tiempo atrás fue cliente pero ya no lo es y no tengo su consentimiento expreso, pero tengo su contacto, pues yo antes tengo que mirar la Lista Robinson, verificar que no está incluido en la Lista Robinson y aquí yo podría enviarle un SMS. Después, evidentemente, tengo que facilitarle en el cuerpo del mensaje la posibilidad de baja de recibir publicidad, incluso también tengo la obligación de poner un enlace con la política de privacidad de la empresa. Siempre tenemos que identificar al responsable. Si no está incluido en la Lista Robinson, yo le puedo enviar SMS.
Luis García: Sí, es obligatorio. Incluso como decía en la pregunta anterior, tiene que aparecer la política de privacidad de quién es el responsable del envío de ese SMS.
Luis García: Bien, aquí nosotros lo categorizamos en dos sectores: tenemos la PYME, que por su relación laboral y su actividad trabaja con empresas de un nivel medio-alto, y después tenemos la MicroPyme o autónomo, que tiene un nivel de datos más pequeño. La MicroPyme o autónomo cuesta más el cumplimiento. Más bien es una obligación. Sí que pagan el servicio, te facilitan la información, pero después el darle cumplimiento día a día es más complicado. Por falta de recursos económicos o humanos, pero es más complicado.
Después tenemos la PYME, que tiene un nivel más medio alto, que por su actividad laboral, trabajan con empresas de un nivel medio-alto, y aquí por imagen, por seguridad, porque realmente están más concienciados con la protección de datos, pues le dan más cumplimiento. Hay que matizar o decir que nos hemos encontrado con micropymes o autónomos que están concienciadas en ellas porque han tenido la mala suerte de tener un requerimiento, una denuncia de un tercero: un cliente, un proveedor, un trabajador o incluso la administración (un Mosso d’Esquadra te levanta una acta, la envía a la agencia y tienes un lío montado) y a causa de estas circunstancias sí que están más concienciados, aunque haya sido a la fuerza.
Luis García: Pues aquí te tengo que decir que no. No existe una gran concienciación. Hay una parte, sobretodo los usuarios que, por su actividad laboral, tienen una mayor concienciación, porque se les ha hecho una formación, porque su empresa cumple muy bien con la protección de datos, porque se les ha hecho firmar un compromiso de confidencialidad… tienen un mayor conocimiento de la normativa y esto, de alguna manera, lo extrapolan a su vida privada. Pero no están bien concienciados, porque al final a las redes sociales hoy en día subimos todo: subimos fotos, subimos vídeos, subimos las vacaciones que hacemos, si hacemos visitas culturales, visitas políticas y, de alguna manera, estamos dando información de todo tipo de nuestra vida a alguien que, estoy segurísimo, para ellos es muy valiosa esta información. La respuesta es no. No tenemos una gran concienciación sobre la privacidad.
Luis García: Que contacten con un profesional. Es muy complejo cumplir con la protección de datos. Es una de las leyes europeas más complejas de cumplir. Ten en cuenta que no sólo afecta a la protección de datos. Depende del sector de actividad hay otro tipo de leyes que afectan, como pueden ser sanidad, laboral, fiscal…afectan a muchas leyes y vivimos en un país que es uno de los que más leyes tiene en Europa. Por lo tanto, no sólo hay que valorar la protección datos, sino que hay que valorar las leyes que le afecten a su actividad. Mi consejo es que se asesoren con un profesional, porque si la tienen que implantar ellos solos es complejo, la verdad.
Luis García: Pues la veo justilla. Tengo que decirte que la veo justilla. Porque hace falta un poco más de control. Es la única manera que nosotros podríamos ver un poco más de sentido a nuestro trabajo. Falta control. Pero, bueno, no sería un punto que tendríamos que valorar ahora. No toca.
Luis García: Esto está categorizado en tres tramos: infracción leve, infracción grave y infracción muy grave. Las leves son sanciones de hasta 40.000 euros, las graves irían de 40.001 a 300.000 y las muy graves irían de 300.001 hasta 20 millones de euros o un 4% de la facturación anual. Evidentemente, no tiene ningún sentido que una empresa que factura medio millón ponerle una sanción de 20 millones, no se podría pagar. Va en función de la infracción que han cometido, la cantidad de afectados que hay… se valora todo en conjunto para imponer la sanción.
Luis García: Bueno, recientes, recientes no son. La protección de datos viene de 1999, ya teníamos una ley que regulaba la protección de datos. Después entró un decreto en el 2007 que era el que aplicaba, el que imponía un procedimiento sancionador sobre la normativa de protección de datos. ¿Qué pasa? Que en el 2016 salió el nuevo reglamento con dos años de carencia y de obligado cumplimiento a partir de 2018, y aquí es donde sonó más… y entonces parece que sea nueva, pero la ley no es nueva, viene de 1999. La LSSICE igual, hace casi 20 años que la tenemos y también es de obligado cumplimiento. Después. sí que es verdad que ha habido algunas infracciones que han sonado más, como el tema de las Cookies, banners de las cookies… eso hace sonar más porque afecta a más empresas y parece que sean nuevas, y de obligado cumplimiento de ahora, pero no son nuevas, son de oglidabo cumplimiento y viene de muchos años atrás. Nosotros vimos la oportunidad de negocio cuando en 2007 salió el decreto que aplicaba esta y vimos la oportunidad de negocio y nos especializamos en la materia.
Luis García: Sí, la ley establece que cualquier dato identificable es un dato personal. No solo los que te identifican directamente, sino un dato que te puede identificar como puede ser un teléfono, una matrícula, un email… Estos también son datos personales.
Luis García: En el mundo online lo primero en lo que nos tenemos que fijar es que la página web tenga un certificado (certificado es el candadito verde que vemos arriba). Esto es básico, esencial. Una página que no tenga un certificado, ya totalmente aconsejo que, si es posible, ni se entre. Y segundo, nos tenemos que fijar que esta web tenga publicado un aviso legal (bien publicado), su política de privacidad bien detallada, sus condiciones generales de contratación bien publicadas y detalladas…Y a partir de aquí, bueno, que te inspire confianza la web. No obstante, si cumple con la ley, la empresa que quiere contratar esta plataforma tiene detrás un profesional que (ya sea una empresa de protección de datos o un delegado de protección de datos) el cual puede supervisar esta contratación previa. Las actividades obligadas a tener un delegado de protección de datos… no es que sea aconsejable, es que es obligatorio. Un delegado de protección de datos tiene que evaluar la nueva incorporación o contratación de nuevas herramientas que traten sobre datos de carácter personal.
Luis García: Pues, legal es. Recomendable, pues bueno, depende. Ten en cuenta que la cesión de datos internacional es delicada. Hay que hacer un estudio. Por ejemplo, si yo quiero contratar a Microsoft es legal, es recomendable y es posible… Pero , ahora, si yo quiero contratar la nube de Juan López, que la tiene en Serbia, pues poder se puede. Legal? A priori no lo es y tampoco recomendable. Habría que hacer un estudio de dónde está esta nube, qué tipo de gestión tiene, qué seguridad le da, cómo ha legitimado esta nube para los residentes europeos, etc.… Hay que hacer un estudio que no es fácil, la verdad. El tema de la cesión de datos internacional es complejo y hay que valorarlo muy bien.
Luis García: De cara a la empresa que recoge la información (ya sea un trabajador o un cliente) tiene las obligaciones que hemos comentado antes. Las obligaciones de cumplimiento de la normativa en protección de datos y el deber de informar, que es cómo lo tiene que recoger. Yo recojo un dato e informo de por qué, de cómo lo recojo, que seguridad le doy o qué derechos tienes… Y es la obligación que recoge el dato. La empresa propietaria de la plataforma no tiene ninguna obligación de cara al usuario. Tiene la obligación de formalizar la relación contractual con la empresa que la contrata. Yo, en el momento, que a mi me proporcionas datos de terceros me convierto en un encargado de tratamiento, como tal tengo que formalizar un contrato que está establecido en la ley y tengo que firmar contigo donde nos comprometemos al cumplimeinto de la ley, a aplicar la seguridad que sea necesaria, etc, etc, etc,
Luis García: Esta pregunta depende. Depende de la actividad de la empresa que recoge el teléfono o incluso de la finalidad con la que recoge el teléfono. Si una entidad bancaria me recoge el teléfono para la actividad bancaria, la finalidad para enviarme confimaciones de pago de doble factor (que ahora recientemente tenemos la obligación de hacerlo así), pues me tendrá que recoger un consentimiento. Si me recoge el teléfono una empresa de transporte para decirme que mi paquete llega mañana, pues me tiene que informar como cualquier otra empresa que recoge otro tipo de dato. Tiene el deber de informar, de decirme quién es el responsable, para qué me recoge este dato y la finalidad y los demás derechos que tienes que poner en las cláusulas informativas.
Luis García: Mira, nosotros por la experiencia que tenemos, me atrevería a decirte que lo más habitual es los conflictos con la videovigilancia. Hay un gran incumplimiento con el tema de la videovigilancia. Después, evidentemente, en el mundo online Fishing, Criptos, ataques a bases de datos… estos están a la orden del día. Yo, si me tengo que quedar con alguna, la que más problemas nos ha dado ha sido la videovigilancia.
Luis García: Pues sí, sí que son frecuentes. Más de lo que nosotros nos podemos imaginar. Son muy frecuentes. Hay robos de bases de datos y filtraciones cada día. ¿Cómo se debe actuar? Pues, hay un procedimiento establecido en la ley ,que es obligatorio y tenemos que actuar como dice la ley. Tenemos 72 horas de plazo para notificar una brecha de seguridad a la autoridad de control. En esta notificación hay una serie de preguntas que tienes que responder: qué tipo de información se han llevado, qué alcance tiene, a cuántas personas afecta, a qué país de la Unión Euroepa afecta, si hemos solucionado el problema o la brecha o no … una serie de preguntas a las que tenemos que dar respuesta en la notificación que tienes que hacer a la autoridad de control. Y sí, estamos obligados a hacerlo.
Esta publicación fue modificada el 12/04/2022 08:08
El SMS es un canal de comunicación eficaz para gestionar carteras de impagados y gestionar reclamaciones de pago que cuenta… Leer más
La plataforma LabsMobile ofrece sus servicios para que tu software de gestión amplíe sus funcionalidades y seguridad enviando comunicaciones SMS… Leer más
Las empresas utilizan cada vez más el envío de mensajes SMS para comunicarse con sus clientes. Ya sea a través… Leer más
Descubre las tendencias del SMS en 2023. El SMS sigue siendo un canal en auge. Cada vez más empresas lo… Leer más
LabsMobile crece un 40%. Así la empresa se afianza como una de las plataformas SMS líderes en España y América… Leer más
Envía mensajes SMS a través del nodo de LabsMobile para la plataforma Make.com (Integromat). Utiliza la plataforma de Make para… Leer más