Protección de datos, cookies y teletrabajo en el entorno digital de las pymes con Audidat

Hace un mes os hablamos sobre las directrices que aprobó el Comité Europeo de Protección de Datos (CEPD) para regular el consentimiento y aceptación de las cookies por parte de los usuarios de páginas web.

El CEPD aclaró que ya no son válidas dos prácticas muy recurrentes en materia de aceptación de cookies (“seguir navegando” y “muro de cookies”). Además, la Agencia Española de Protección de Datos anunció que los cambios de la ley de cookies se debían implementar, como muy tarde, hasta el pasado 31 de octubre de 2020.

En Agencia ékiba hemos hablado con Isidro Gómez-Juárez Sidera, Delegado de Protección de Datos y responsable del departamento jurídico de Audidat, que nos explicará cómo está afectando el consentimiento de la nueva ley de cookies y cómo proteger los datos de las pymes tras la implementación del teletrabajo.

“Un incumplimiento de la normativa de protección de datos personales hace más vulnerables a las organizaciones”

P. Ante el cambio en las directrices del uso de las cookies, ¿cómo afectará al usuario que visite nuestra web?

I.G. Se incorporan mayores garantías para el usuario, de manera que la fórmula «seguir navegando» ya no es válida: no es suficiente con hacer «scroll» (desplazar verticalmente) o navegar por una página web para que las cookies que no sean de carácter puramente técnico se instalen en su dispositivo. En este sentido, el usuario deberá hacer «clic» en un botón o marcar una casilla específica para la instalación de dichas cookies.

Así mismo, tampoco es válido que la ventana de cookies bloquee el contenido de la página web y no desaparezca hasta que el usuario haga «clic» en el botón «aceptar», lo que se conoce como «muro de cookies».

P. ¿Se ha sancionado ya a alguna empresa por no implementar este cambio en la política de cookies? A parte de la sanción económica, ¿ha tenido alguna consecuencia más grave? Por ejemplo, reputación de la marca.

I.G. Más allá de las nuevas directrices emitidas por la Agencia Española de Protección de Datos, nuestra autoridad de control siempre ha estado muy atenta en relación con un correcto cumplimiento de la normativa reguladora de las cookies. En este sentido, cabe citar las sanciones a las páginas web de Ikea, Vueling o Iberia, entre otras tantas impuestas a pymes y que, por razones obvias, han tenido una menor trascendencia pública.

Así mismo, debemos recordar que, según la «Encuesta Global de Gestión de Riesgos 2017», realizado por la consultora Aon Risk Solutions, el daño a la reputación y a la marca es el riesgo más importante para las organizaciones. A este respecto, interesa subrayar que la repercusión social de un incumplimiento de la normativa de protección de datos personales hace más vulnerables a las organizaciones.

P. Con la crisis sanitaria provocada por el coronavirus y la implantación de prácticas como el teletrabajo, ¿cómo ha afectado la protección de datos en el entorno tecnológico de las pymes?

I.G. Con la situación actual, la transformación digital ha provocado que las pymes tengan que adaptarse a las nuevas tecnologías para evitar ponerle fin a su actividad. Uno de los cambios que más se está implantando en los negocios está relacionado con el teletrabajo.

Sin embargo, en el proceso de digitalización no pueden faltar las decisiones adoptadas por una pyme en materia de protección de datos y de la seguridad de la información, y es que, el teletrabajo plantea una serie de riesgos que las empresas deben atender adecuadamente.

Con la descentralización de los sistemas de información, las pymes se han convertido en un objetivo fácil para los ciberdelincuentes que aprovechan sus vulnerabilidades para el robo de los datos. Esta situación exige una dedicación y un cuidado especial para adoptar las medidas de seguridad adecuadas y así teletrabajar de forma segura.

“El 60% de las pymes europeas que son víctimas de ciberataques desaparece en los seis meses siguientes al incidente”

P. El 43% de los ciberataques afectan a las pymes, ¿por qué cree que las pymes son las menos concienciadas en cuanto a la protección de sus infraestructuras?

I.G. Por desgracia, existe la concepción errónea y generalizada de que la información de una pyme no tiene interés para los ciberdelincuentes, y que a su vez sirve de «mantra» tranquilizador para el autoconvencimiento del empresario poco diligente en el cumplimiento de sus obligaciones.

Las estadísticas son muy tozudas: una pyme está expuesta a estos riesgos como cualquier otra organización y esta es una cuestión que quizá no deba preocupar, pero sí ocupar –y mucho– al empresario. No olvidemos que, según los estudios más prestigiosos, el 60% de las pymes europeas que son víctimas de ciberataques desaparece en los seis meses siguientes al incidente, muchas veces lastradas por el coste medio del ataque, que suele rondar los 35.000 euros.

P. Los empleados son el eslabón más vulnerable en el entorno tecnológico de una empresa, ¿qué deberían de hacer las organizaciones y empresas para que manejen los datos de forma segura?

I.G. La Agencia Española de Protección de Datos es consciente de esta situación y nos recomienda especificar una política de movilidad y teletrabajo, en ella se deberá incluir las necesidades concretas de cada empresa y los riesgos concretos que han sido incorporados por el acceso a los datos de la empresa desde un lugar ajeno a esta.

P. En marzo, en Audidat, ya empezasteis a implementar un protocolo de datos personales en materia de teletrabajo. ¿En qué consiste dicho protocolo?

I.G. Es un protocolo específicamente diseñado para la protección de la información de la empresa en situaciones de movilidad y teletrabajo, que sigue las referidas directrices de la Agencia Española de Protección de Datos, así como las recomendaciones emitidas por el Instituto Nacional de Ciberseguridad de España (INCIBE). Como siempre, con la exquisitez jurídica que caracteriza a nuestra organización y en pos del cumplimiento de los compromisos ético-profesionales con nuestros clientes: «Cero sanciones», «Cumplir mejor» y «+ Seguridad».  

¿Qué te ha parecido la entrevista? Seguro que ha resuelto muchas de tus dudas.

Si necesitas más información o ayuda con este asunto, nuestro equipo de Agencia ékiba estará encantado de ayudarte. No lo dudes y ponte en contacto con nosotros. ¡Te esperamos!

Isidro Gómez-Juárez Sidera

Isidro es jurista y consultor en protección de datos personales y privacidad en AUDIDAT con más de diecisiete años de experiencia profesional. Ha colaborado con varias autoridades de control, realizando una estancia de investigación en la Agencia Española de Protección de Datos. También es autor de numerosas publicaciones en editoriales de reconocido prestigio y ha impartido múltiples cursos, seminarios y ponencias en el ámbito de su especialidad.