miércoles, 10 de junio de 2020

El mutante que contrató a expertos en protección de datos a pesar de la herramienta Facilita EMPRENDE

Estaba comentando con Spike que jugué un rato esta mañana con la herramienta Facilita EMPRENDE que ha publicado la Agencia de Protección de Datos. Y que opino que está muy interesante siempre que tengas conocimientos de protección de datos. Y el muy vampiro, me ha puesto esa cara de la foto y me ha dicho:
– “Mira, tía, que llevo aquí más de tres meses encerrado contigo y sin ver a Buffy. No me cuentes tu vida”
Le he ignorado y he seguido contando pero se me ha puesto a cantar en su línea chunga y por María Jiménez. En plan, “acaba de una vez de un solo golpe y clávame la estaca, ¿por qué quieres matarme poco a poco?”. Así, sin rimar ni nada. 
Así que le he puesto lejos la estaca, que tiene un día muy gris y no quiero tener que barrer luego, y he decidido contarlo mejor en el blog. 

Voy a poner un ejemplo para explicar mi reflexión sobre la herramienta y que Spike no ha querido escuchar.
Vamos a imaginar que el profesor Charles Xavier, líder de los mutantes y de quien ya comenté el otro día que ha desarrollado la versión 3 de  “Cerebro”, ahora ha pensado en un modelo de negocio viable y económicamente explotable basado en una pequeña funcionalidad de “Cerebro” que me invento completamente.
Constituye una S.L a la que llama “Copia tu poder S.L. y en un portal web que apunta a un nombre de dominio similar y a través de una aplicación móvil, comienza el despliegue de su servicio.
El modelo de negocio consiste básicamente en poner a disposición de los mutantes un servicio que les permite hacer un backup o copia de seguridad de sus poderes. La sincronización con la aplicación se realiza vía móvil, a través de la huella digital del mutante o, en su defecto, es adaptable para otros tipos de sincronización con otras partes del cuerpo, mediante un dispositivo adicional que no viene al caso. 
Luego, a través de la aplicación web y también en la aplicación móvil, el cliente puede configurar prelación de poderes, tipos de copias, etc. 
Hay tres paquetes de servicio:
  • Basic – cuota mensual que permite almacenar un único poder durante el tiempo de pago de las mensualidades.
  • Silver – cuota mensual que permite almacenar hasta 3 poderes durante el tiempo de pago de las mensualidades.
  • Gold – cuota mensual que permite almacenar número ilimitado de poderes durante el tiempo de pago de las mensualidades.
Ya tiene todo montado y listo para lanzar y aquí es cuando viene Forja y le dice:
– Pero Charles, ¿tú todo esto los ha adaptado al RGPD? Que mira que aquí estás tratando datos de carácter personal y puede que el dato de poderes sea incluso una categoría especial de datos (nota mental, a valorar en otro post). 
Y Charles le dice:
– Tengo un amigo ingeniero que se lo sabe hacer todo él solo, que me ha recomendado la herramienta “Facilita EMPRENDE” de la Agencia de Protección de Datos y que te adaptas la empresa en tres patadas. 
Y Forja:
– Ah, siendo así, me quedo mucho más tranquilo. 

La herramienta de la Agencia que va a utilizar Charles se divide en tres apartados. Y, una vez completados los tres apartados, permite descargar una serie de documentos compilados en un archivo .docx sobre los que la propia Agencia de Protección de Datos aclara que:
“sirven de guía y apoyo para cumplir con las obligaciones impuestas por la normativa en materia de protección de datos”
(1) Sección 1 de la herramienta:
Datos de actividad de la empresa y canales de divulgación
En el primer apartado se confirman las actividades que desarrolla la empresa.
Ahí Charles confirma que:
  1. La empresa está constituida hace menos de 10 años. 
  2. Presta atención máxima a desarrollos tecnológico y modelos de negocio innovadores, en concreto, vía SaaS y desarrollo de APPs. 
  3. Y también pone que cuenta con perspectiva de crecimiento significativo, para encajar como startup en la herramienta (aunque aún no lo tiene claro, que esto es un experimento con “Cerebro”). 
Facilita los datos societarios de la empresa, confirma que tiene web y cookies de todo tipo, así como redes sociales y canales de Internet. 
(2) Sección 2 de la herramienta:
Responsable o encargado del tratamiento o desarrollador
Lo siguiente que se pregunta en la herramienta es si la empresa es “responsable”  “encargada del tratamiento” o “desarrollador”
He impartido formaciones en las que hemos podido estar más de una hora sólo para que se entienda correctamente la diferencia entre el concepto de “responsable” y “encargado”. Pero Charles es un tipo listo, lee un par de veces en la herramienta la explicación de lo que significa cada cosa, y concluye que su empresa es responsable del tratamiento. 
Colectivos de personas
La siguiente información que se va pidiendo es si la empresa trata datos de distintos colectivos, qué tipo de datos, con qué finalidades, si hay comunicaciones a terceros y si hay alguna gestoría que preste servicios. 
En concreto pregunta por colectivos de:
  • Clientes.
  • Clientes potenciales.
  • Empleados.
  • Candidatos.
  • Proveedores.
Videovigilancia
Si se utilizan cámaras en el ámbito de la actividad con fines de seguridad. 
Proveedores
Si la empresa cuenta con servicios del tipo hosting, desarrollo de software, servicios de correo, limpieza, etc. 
(3) Sección 3 de la herramienta:
Voy a copiar literalmente un párrafo de la herramienta que explica lo que se va a hacer en esta sección:
“caracterizar las actividades de tratamiento basadas en desarrollos tecnológicos e innovadores que ha identificado en la pantalla de inicio y los riesgos que pudieran suponer para los derechos y libertades de las personas. Para cada solución tecnológica identificada se procederá a caracterizar el tratamiento y su nivel de riesgo mediante una serie de preguntas planteadas a lo largo de cinco pantallas. La duración de esta sección dependerá del número de desarrollos o soluciones tecnológicas que necesite caracterizar.

Venga pues vamos a ello, Charles:
¿Es un desarrollo SaaS?
Si es que sí, toca identificar el tratamiento del desarrollo SaaS y marcar el tipo de datos que va a tratar la empresa. 
Entender la diferencia sobre los distintos tipo de datos puede llevar su buen rato de formación pero, una vez más, Charles sabe mucho. 
Se queda dudando un rato si almacenar poderes puede encajar en tipo de datos sobre comportamiento, incluso si podría ser genético pero bueno, tira millas y marca lo que considera. 
Duda un poco también sobre las finalidades de tratamiento de la siguiente pantalla porque, en principio, es un mero backup pero oye, igual luego ésto evoluciona como modelo de negocio que, al fin y al cabo,  “Cerebro” es muy potente y se pueden explotar nuevos modelos de negocio. Pero bueno eso ya una vez tenga los datos, irá pensando si los trata con otra finalidad (¡¡¡No Charles, eso no!!!!).
¿Va a hacer publicidad? 
– “Forja, tú qué opinas, ¿haremos publicidad?” 
– “Pon que sí por si acaso, Charles”. 
En la siguiente pantalla vienen los factores de riesgo sobre los tratamientos. Son 12 preguntas pero lleva ya 10 minutos dando vueltas a la primera que dice: 
“¿Se recaban datos o información de personas en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), relativos a varios aspectos de su personalidad o sus hábitos?
Y se queda pensando “¿un poder mutante me puede dar información de eso? ¿Qué me están preguntando aquí?” 
Ante la duda marca que sí y cuando pasa a la siguiente pantalla la herramienta no le deja continuar porque, por el tipo de categoría de datos, no encaja en la herramienta y tiene que irse a “GESTIONA – EIPD”. 
– “¿Cómo?. Forja, que aquí me manda a otra herramienta”. 
– “No fastidies Charles. Vuelve para atrás y desmarca esa opción, que no tratamos datos de comportamiento. Dile que “Ninguno de los anteriores”. 
– “Bueno, vale” 
Luego Charles pasa por el mismo proceso para servicios de usuarios a través de aplicaciones móviles. Vuelve a inventarse un poco las respuestas porque no acaba de tener muy claro qué le preguntan y listo. 
Factores de riesgo en los tratamientos
Aquí hay una nueva pantalla con doce preguntas sobre tipos de tratamientos y almacenamientos de los datos. 
Charles empieza a estar un poco mareado y eso que es telépata e implica tener una mente que lo aguanta todo. Pero el caso es hace una lectura diagonal y marca “ninguna de las anteriores” y tira millas. 

Así que, gracias a su sabiduría, consigue llegar a la pantalla final donde le dicen que por la información que ha facilitado ”no se pone de manifiesto que realice operaciones sobre los datos personales que pudieran considerarse un alto riesgo para los derechos y libertades de las personas” y que, además, si realiza desarrollos tecnológicos hay un apartado (muy chulo por cierto) en la web de la Agencia donde puede consultar información de interés. 

Y así nuestro profesor llega a la última pantalla en la que puede descargarse un archivo en formato .docx en el que va a tener: cláusulas de información para los tratamientos que ha ido indicando; políticas de privacidad; políticas de cookies; contratos para los proveedores; registro de las actividades de tratamiento que ha indicado; directrices para atender el ejercicio de los derechos de sus clientes mutantes; recomendaciones sobre videovigilancia; estrategias de privacidad y medidas de seguridad tanto técnicas como organizativas; directrices para la gestión de brechas de seguridad y modelo de registro de incidentes; indicaciones y directrices sobre las actividades que desarrolla tanto para SaaS como aplicaciones móviles y recomendaciones de prevención del acoso digital. 

Satisfecho adjunta el archivo descargado a un correo para enviárselo a Forja. El único de sus 10 trabajadores que tiene un perfil más técnico. 
En el asunto del email le pone:
“A implementar” 
Y en el cuerpo del correo le aclara:
“Forja, por aquí te adjunto el archivo para cumplir con lo del RGPD para que lo implementes y poder lanzar. Saludos mutantes.
PD: Acuérdate de mirarme luego el lavabo que creo que no traga bien”
Lo último que se sabe de Forja es que cambió de empresa. Ahora es CTO de Hydra donde cuentan con un responsable de seguridad y tienen una empresa que les asesora en materia de protección de datos. 

No hay comentarios:

Publicar un comentario