UNA APROXIMACIÓN SOBRE CÓMO PUEDEN LOS DESPACHOS Y EMPRESAS ABORDAR LA PROTECCIÓN DE DATOS

25 de noviembre de 2018

El pasado 25 de mayo de 2018 entró en vigor la nueva normativa de Protección de Datos, a través de un Reglamento de la Unión Europea, que es de obligado cumplimiento por todos los países. En estos momentos, se está tramitando una Ley en el Parlamento español que sustituya a la normativa actual, adecuándose al reglamento europeo.

El RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas, teniendo en cuenta las circunstancias propias de cada empresa. Es de aplicación obligatoria para los datos de carácter personal (que estén en una nube, en un ordenador o en papel, etc.), tanto si es por recogida, conservación, consulta, utilización u otro tratamiento de esos datos.

regulation-3246979_640

Seguro que la mayoría de las empresas son conocedoras del cambio del pasado 25 de mayo de 2018, pero una vez pasados los primeros días y perdido el “miedo a la nueva situación”, habremos ido perdiendo fuerza en la adaptación y el control.

Por tanto, es el momento de hacer una reflexión sobre si hemos hecho todos los cambios necesarios. En concreto, tendremos que revisar:

  1. Si todos los datos personales que tenemos (y de los que hacemos uso) se sustentan en un interés legítimo y/o tenemos el consentimiento expreso del interesado.

Por ejemplo: hay que ver todas las direcciones de correos electrónicos a los que enviamos masivamente con contenidos informativos y al mismo tiempo publicitario, newsletter y, en general, cualquiera que se aparte del ámbito estricto del suministro de servicios a cada cliente.

  1. Si las cláusulas informativas en los documentos de recogida de datos, pies de correos electrónicos, formularios de la página web y sus políticas de privacidad y aviso legal, avisos de cámaras de videovigilancia, etc., se ajustan a los derechos de los interesados previstos en el RGPD.
  2. Si los tratamientos de los datos que estén externalizados se sustentan en un contrato de tratamiento de datos que vincule al encargado respecto del responsable.
  3. Si en el proceso de evaluación y mitigación de riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable de tratamiento ha previsto las medidas técnicas y organizativas apropiadas a fin de garantizar un nivel de seguridad adecuado al riesgo y poder demostrar que el tratamiento es conforme al RGPD.
  4. Si se ha documentado mediante un registro de actividades para cada uno de los tratamientos identificados, que habrá de contener el análisis de los riesgos, las cláusulas informativas a incluir en los formularios de solicitud de información, el documento a anexar en cada uno de los contratos de prestación de servicios y un anexo con recomendaciones sobre medidas de seguridad aplicables a los tratamientos de datos personales, permite al responsable de tratamiento establecer un enfoque proactivo en el tratamiento de datos personales y abordar con garantías la adecuación del despacho al RGPD.
  5. Si estamos obligados a nombrar a un Delegado de Protección de Datos (DPD o DPO) y, en caso afirmativo, si se comunicó este nombramiento a la Agencia Española de Protección de Datos (AEPD)

matrix-2883622_640Como resumen, la relación con el cliente o proveedor está sustentada en un contrato, por lo que se pueden seguir enviando facturas, albaranes, notificaciones, correos, etc, basados en ese contrato.

Para enviarles algo fuera de la relación contractual que mantengamos (publicidad de otros productos no contratados, etc), lo mejor es recabarles el consentimiento y, sobre todo, en caso de duda, abstenernos de enviar nada. Si la información que se tiene es de una empresa, no sería información personal en relación con el Reglamento de Protección de Datos.

Importante, no hay que olvidarse de los archivos en papel. Esta normativa no se dirige exclusivamente a archivos informáticos, lo que ocurre es que hoy día este tipo de archivos (informáticos) son mayoría en las empresa, y esto hace que se nos olvide establecer protocolos de actuación en relación con la conservación, acceso, destrucción, etc, de la documentación en papel que contiene datos personales.

 

Fotos: TheDigitalArtist y geralt

Los economistas frente a la ciberseguridad

7 de febrero de 2017

Por Francisco Pérez Bes

Secretario General del Instituto Nacional de Ciberseguridad de España (INCIBE)

En el año 2016, el Instituto Nacional de Ciberseguridad de España (INCIBE), organismo dependiente del Ministerio de Agenda Digital a través de su Secretaría de Estado, detectó más de 115.000 incidentes de ciberseguridad que afectaron a ciudadanos, empresas, universidades e infraestructuras críticas. Eso supone más del doble de los ciberincidentes que se detectaron en 2015, lo que demuestra un claro aumento de este tipo de riesgos, pero también revela una mayor capacidad de detección por parte de este organismo.

Es innegable que la ciberseguridad es una materia que ha pasado a formar parte de nuestra vida personal y profesional en todos sus ámbitos. La digitalización de la sociedad, y la transformación digital de las empresas hacen imprescindible que el uso de la tecnología se haga de forma segura, evitando daños, robos, fugas de información y muchos otros riesgos que ponen en peligro la integridad de la información e, incluso, la continuidad del propio negocio.

security-265130_1920

En efecto, en el mundo en el que nos toca vivir, la ciberseguridad no es una opción. Eso obliga a las empresas y profesionales a implementar en todas sus actividades, medidas de protección dirigidas a evitar accesos no consentidos a sus sistemas informáticos. Este deber cobra una especial relevancia en aquellos servicios que implican uso y conservación de información sensible y confidencial de terceros, obtenida al amparo de la confianza que estos depositan en el asesor al cual acuden. Este es el caso de los asesores fiscales, auditores, consultores y demás profesionales de nuestro colectivo, etc., a los que los clientes entregan, sin reservas y con una expectativa de garantía de protección, información personal y de negocio de gran valor. Esto, además, abre otro debate acerca de la responsabilidad legal y deontológica del profesional, pero también de administradores y directivos, todo ello sin perjuicio de sufrir crisis reputacionales de difícil reparación.

Los casos en los que la inexistencia o insuficiencia de medidas de seguridad han tenido consecuencias nefastas son cada vez mayores y más graves. Hemos sido testigos de cómo negligencias de empleados han permitido que un malware del tipo ransomware cifrara todos los ficheros de la empresa, impidiendo la utilización de toda esa información e, incluso, siendo chantajeados al pago de un rescate a cambio de su recuperación. O, como la infección de los sistemas de la empresa (y su incorporación a una botnet o red de ordenadores zombis) ha facilitado que desde la misma se lleven a cabo ataques informáticos contra sus propios clientes. O como el acceso de delincuentes a la información del despacho les ha permitido tener información privilegiada y conocer operaciones financieras con antelación.

Estos, y muchos otros ejemplos de casos reales deben hacernos recapacitar acerca de la responsabilidad que se asume por profesionales como nosotros. Responsabilidad que no se limita únicamente a la correcta y diligente prestación de nuestros servicios, sino que lleva implícita la obligación de velar por la protección integral de la información que se maneja.

Lograr un adecuado nivel de ciberseguridad en nuestras organizaciones pasa por implementar medidas técnicas y organizativas, que reduzcan el riesgo de sufrir un incidente de esta naturaleza. Por implantar medidas tecnológicas nos referimos a la necesidad de invertir en herramientas que protejan nuestros sistemas de información, garantizando un adecuado nivel de seguridad. Dentro de este campo se incluyen la instalación de firewalls y antivirus, el mantenimiento actualizado de los sistemas utilizados, y actuaciones similares. Mientras que dentro de las medidas organizativas destacan la capacitación de los empleados, el diseño e implantación de protocolos de actuación, la formación continua y muchas otras iniciativas de concienciación que, además de servir al fin de la ciberseguridad, caben perfectamente dentro de estrategias de responsabilidad social empresarial. Es lo que denominamos “cultura de ciberseguridad” en las organizaciones.

Y si, a pesar de todo, sufrimos cualquier tipo de incidente de seguridad, conozcamos las vías que tenemos a nuestro alcance para poder resolver el incidente desde una óptica técnica (gracias al CERT de Seguridad e Industria que gestiona el INCIBE), y de denuncia a las autoridades competentes en el caso de que dicho incidente pueda tener naturaleza delictiva. Y reflexionemos sobre cómo reaccionaríamos nosotros, y nuestro despacho, en el caso de encontrarnos ante un ciberataque. ¿Nos coordinaríamos bien? ¿Conocemos nuestras obligaciones legales? ¿Sabríamos cómo comunicarlo a nuestros empleados y clientes? ¿Disponemos de cobertura legal a través de nuestra póliza de seguro? Tengamos respuesta a todas estas preguntas antes de que debamos enfrentarnos a un incidente de ciberseguridad, y que tendremos con toda certeza (si es que no lo hemos tenido ya, pero no lo hemos detectado todavía).

Es cierto que la ciberseguridad es cada vez más importante, pero el temor a lo desconocido no puede detenernos a usar nuevos recursos para mejorar el servicio que, como profesionales, prestamos en el mercado. Abracemos la tecnología y utilicémosla estratégicamente para mejorar la calidad de nuestros servicios y para reforzar la seguridad de la información y de las comunicaciones con nuestros clientes. Utilicemos las herramientas que tenemos a nuestro alcance y convirtámonos en economistas del siglo XXI. Es lo que esperan nuestros clientes del siglo XXI.

Foto: pixelcreatures

8 REGISTROS QUE DEBERÍAS CONOCER COMO ECONOMISTA

Auditores, asesores fiscales, contables, asesores financieros, economistas docentes… Cada especialización dentro del sector de la economía se encuentra amparada por su correspondiente Registro, un órgano especializado que vela por el prestigio, crecimiento profesional, calidad, formación, asesoramiento y comunicación de los economistas a los que representa.

resultado-contable-y-fiscal

¿Te estás planteando ser economista pero no sabes en qué especializarte? ¿Te gustaría tener más información de cada profesión? Aquí tienes todos los Registros del Consejo General de Economistas que deberías conocer:

  • REA+REGA: Es el Registro de Economistas Auditores, un órgano especializado del Consejo General de Colegios de Economistas, creado en 1982 para impulsar la renovación de la auditoría de cuentas en España. En el REA existen 4 comisiones: de Normas y Procedimientos, de Contabilidad, de Relaciones con los Colegios y de Relaciones Institucionales, que son responsables de las distintas áreas de trabajo de la corporación.
  • REAF-REGAF: Es un Registro especializado del Consejo General de Economistas, creado para coordinar la actividad de Economistas en los temas relacionados directamente con el ejercicio profesional de la Asesoría Fiscal. El Registro está constituido actualmente por más de 6000 Economistas Asesores Fiscales pertenecientes a los 70 Colegios de Economistas y Titulares Mercantiles de España.
  • REC: Es el Registro responsable de la comisión y organización de los Economistas Contables. Nace con el propósito de servir de cauce y punto de unión entre las diversas actividades del Economista y su relación con la información financiera en general y la contabilidad en particular. Desde su inicio esta comisión se dedica al tratamiento, estudio, análisis, informes técnicos, formación, emisión de opiniones y estructura de todos los aspectos relacionados con la contabilidad e información financiera que afecten o sean prioritario en cada momento para nuestra profesión, en todos sus ámbitos de actividad.
  • REFOR: Es el Registro de expertos en Economía Forense cuyos fines son prestigiar la imagen pública del economista forense, mejorar la calificación profesional de sus miembros, favorecer el intercambio de conocimientos y experiencias entre estos y prestar cuantos servicios de carácter general se estime que puedan contribuir al desarrollo de su actividad profesional.
  • RASI: Es el Registro de Asesores de Gobierno y Sistemas de la Información. Como órgano técnico especializado del Consejo General de Economistas, desempeña una importante labor de fomento de la Sociedad de la Información entre nuestros profesionales, mediante la promoción del uso de las Tecnologías de la Información y la Comunicación (TIC), especialmente en las Pymes.
  • EAF: Es el Registro de Asesores Financieros. Tiene como finalidad ser unvehículo de comunicación dentro del ámbito del asesoramiento financiero y de los servicios relacionados con este, estar al servicio de los economistas que desarrollan la actividad del asesoramiento financiero y velar por su prestigio dentro de la sociedad actuando como garantía de calidad en el ejercicio de la misma.
  • REDI: Es el Registro de Economistas Docentes e Investigadores, un órgano perteneciente a la estructura del Consejo General de Economistas a través del cual ejerce sus competencias de carácter técnico y organiza la prestación de servicios a sus miembros de número y asociados, constituyendo un instrumento de apoyo a los Colegios en la materia especializada objeto del mismo.
  • EAL: Es el Registro de Economistas Asesores Laborales. Nace con el objetivo de atender los problemas a que se enfrentan todos aquellos compañeros que se dedican en sus despachos profesionales a la contratación laboral de trabajadores, liquidación de seguros sociales, confección de nóminas, y en general a todo lo relacionado con el asesoramiento laboral para Empresas y Profesionales.

¿Lo tienes un poco más claro o todavía te surgen dudas? Recuerda que si necesitas asesoramiento profesional, estamos aquí para ayudarte. ¡Suerte y a por tu futuro!