Actualidad

“Los eCommerce están más concienciados en el cumplimiento normativo y en asegurar la protección de los datos”

La protección de los datos es un must para cualquier empresa. Si nos centramos en el sector eCommerce, los datos de los clientes se convierte en un activo principal importante de proteger.

Para abordar el cumplimiento normativo en el sector del eCommerce y la realidad española tras la entrada en vigor de la GDPR hace ya más de un año y medio, hablamos con Susana González, reconocida Experta en Derecho Tecnológico y Ciberseguridad en nuestro país quien nos descubre el trasfondo normativo en el que se mueven los eCommerce y marketplaces.

CyberSecurity News (CsN): Me gustaría Susana comenzar la entrevista con una pregunta general para que nos puedas dar tu percepción personal y profesional sobre la concienciación en materia de protección de datos que ha habido en las empresas de nuestro país tras la entrada en vigor de la GDPR. ¿Están por otro lado mucho más preparadas hoy día o aún queda mucho que hacer en este sentido?

Susana Gonzáles (SG): Me temo que aún queda camino por andar. Excepto las empresas que verdaderamente saben que su foco de negocio son los datos personales y que están en el punto de mira de reclamaciones e inspecciones (actividad sanitaria, tecnológicas y comunicaciones, registros de morosidad, etc), el resto – generalizando – mantiene cultura de hand made o de carpeta en papel cogiendo polvo en un cajón, desoyendo las directrices de implantación eficaz y responsabilidad proactiva que impulsa la nueva normativa.

Ha habido mucho curso, mucha jornada pero también mucha confusión. A menudo clientes pymes o autónomos con actividad poco relacionada con el tratamiento de datos personales más allá de los trabajadores, clientes y proveedores con legitimación contractual o legal, nos dicen que reciben llamadas comerciales asustándoles porque les dicen que les van a sancionar por no tener DPO, e incluso por no registrar sus ficheros o hacer una auditoría anual, cuando estas dos últimas cuestiones han desaparecido del escenario actual.

En definitiva, mucho oportunismo, confusión y desinformación en el sector todavía, lo que no ayuda a que la empresa vea claramente qué responsabilidades tiene, en qué riesgos incurre y cómo poder minimizarlos y controlarlos con su planificación y recursos.

CsN: Centrándonos en el mundo del retail o del comercio electrónico, ¿dirías que existe alguna diferencia en concienciación con respecto a otros sectores?

SG: Las empresas que gestionan ecommerce, al igual que la mayor parte de las start ups independientemente de su actividad y número de trabajadores, están más concienciadas en el cumplimiento normativo en general y en asegurar la protección de datos en particular. Su foco de negocio es generalmente una web y/o app o plataforma online que son escaparates también para visualizar que no cumplen y, por tanto, se juegan la confianza del usuario y las ventas.

Suelen tener el inconveniente de que muchas startups nacen creyendo que montar un negocio online requiere poco recurso, olvidando que es un negocio al fin y debe cumplir la normativa relativa al sector de que se trate y esto les impide en muchos casos pasar rondas de financiación e incluso tirar la toalla con el proyecto. No obstante, cada vez más el planteamiento del cumplimiento es desde el diseño (uno de los principios del GDPR y de prácticamente toda la normativa y estándares de prevención de riesgos de cumplimiento y seguridad de la información) y, ni que decir tiene cuando el ecommerce es la vertiente online de una empresa ya existente offline. Ahí lo tienen clarísimo.

CsN: Imagino que como experta en derecho tecnológico, una de las más reconocidas expertas en nuestro país, habrás ayudado a muchas empresas y entre ellas a varios eCommerce o tiendas online. ¿Qué es lo que más les preocupa a este tipo de empresas en materia de derecho tecnológico? ¿Hay más preocupaciones a parte de los avisos legales de las tiendas?

SG: La primera preocupación es efectivamente poner en órbita sus textos legales (aviso legal y condiciones de uso, política de privacidad y de cookies, términos y condiciones de contratación y todas las primeras capas informativas de formularios y registros), de hecho, suelen venir a buscar asesoramiento solo para esto.

Es tras iniciar el asesoramiento personalizado cuando descubren que precisan una regulación de la propiedad intelectual del software mediante contrato de desarrollo con el informático freelance amigo que les está haciendo la app; cuando descubren que quizás precisen un pacto de socios en el que se regulen acuerdos parasociales que les permitan mantenerse estables frente a determinadas acciones de inversores; cuando descubren que el chiste de una buena gestión de los datos es disponer de un registro de tratamiento de datos que siga de forma actualizada el ciclo de vida de los datos y de su legitimación (consentimiento, contrato, cumplimiento legal, interés legítimo) y poder probarlo; o que deben articular pruebas electrónicas e incluso contratación electrónica mediante prestador de servicios de confianza cualificado; cuando visualizan cómo nutrirse de contenidos e imágenes sin incurrir en riesgos de propiedad intelectual en su portal web, aplicación y redes sociales; y sin duda, cuando se detienen a pensar en las medidas técnicas de seguridad de la información para minimizar el riesgo de fuga de secretos empresariales y datos personales, así como las organizativas necesarias (normativa interna, políticas y formación, entre otras).

CsN: Grandes marketplaces como Amazon, tienen una gran cantidad de información sobre nosotros, nuestros gustos, preferencias, ubicación…en caso de que un consumidor un usuario, quisiera desempeñar su “derecho al olvido”, ¿cómo lo podría realizar?

SG: Muchos marketplaces tienen demasiados datos personales sobre nosotros y sobre nuestras preferencias porque los titulares de las aplicaciones recogen muchos más datos de los que necesitan para operar o dar el servicio, no cumpliendo el principio de minimización del tratamiento de datos GDPR, cediéndoselos además al marketplace. Son los casos de permisos de acceso a los contactos o a la geolocalización que en aplicaciones que no precisan para la prestación del servicio.

Los datos personales son una “pata” de la información que toda empresa debe asegurar técnica y organizativamente. Con la normativa en la mano, debe minimizarse y limitarse el tratamiento de datos personales a los estrictamente necesarios para el servicio que se realiza; aunque por otra parte, si se informa correctamente al usuario y éste consiente (aunque no se suela leer), la empresa que gestiona esos datos (responsable del tratamiento) puede estar cumpliendo, ya que la normativa traspasa la decisión y control al usuario. Insisto, siempre que la información sobre el tratamiento de datos sea transparente.

Es decir, si el usuario quiere utilizar la app de Amazon, como cualquier otra, dispone no solo de una información previa a prestar su consentimiento, sino la novedosa posibilidad de configurar esos permisos en función de lo que requiramos. Lo que ocurre es que el usuario es el menos concienciado al respecto todavía, como para quitar el permiso al micrófono a la app de Amazon para que no le “escuche”.

El derecho de supresión o derecho al olvido no es lo mismo que el derecho de oposición al tratamiento de datos personales exactamente. Uno puede ejercer el derecho de darse de baja en una aplicación y solicitar que cese el tratamiento de esos datos a partir de ese momento; sin embargo, solicitar la supresión de los datos o el derecho al olvido requiere cumplir determinados requisitos tasados previstos en la normativa de protección de datos para conseguir que los enlaces a nuestros datos en Internet sean eliminados de forma permanente de las búsquedas en Internet (cuando la información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima).

Este derecho se puede ejercer directamente ante los motores de búsqueda y los editores originales y, si estos no dan la debida respuesta, el usuario puede dirigir su reclamación a la Agencia de Protección de Datos.

Lo que debemos tener muy claro es que el ejercicio de este derecho y su resolución favorable implica la desaparición de la información en el enlace; sin embargo, no garantiza la desaparición de la información en otras fuentes de Internet.

CsN: Como decía, vivimos en el mundo online y en él, realizamos muchas acciones y cada vez compramos más aquí. Pero nunca está de más poder tener unos consejos para proteger en cierta medida nuestra privacidad. ¿Qué consejos nos darías Susana?

SG: Os listo algunos de los más eficaces para proteger nuestra privacidad e identidad digital, a la par que refuerzan la seguridad de nuestras cuentas e información:

Practicar a menudo googlesurfing para conocer qué información tiene la red sobre nosotros y poder minimizar nuestra sobreexposición, lo que minimizará el riesgo incluso de ataques basados en técnicas de ingeniería social.
Configurar adecuadamente las opciones de privacidad en redes, navegadores, dispositivos móviles, aplicaciones, etc
Proteger nuestro ordenador, smartphone, tablets… con patrones de seguridad que limiten el acceso no autorizado de terceros.
Disponer de antivirus en todos los dispositivos
Actualizar siempre actualizados el software, el sistema operativo, las aplicaciones, los navegadores y el antivirus.
Conectarse solo a páginas seguras (https) y mediante red de acceso a Internet segura, evitando la conexión en wifi pública para realizar transacciones, o para acceder o enviar información sensible y datos personales.
Tener y mantener copia de seguridad de la información contenida en todos los equipos y dispositivos evitando el uso de discos duros y pendrives, siendo más aconsejable informarse bien de la seguridad de determinados servicios en la nube o backups remoto.
Desconfiar de correos electrónicos no habituales que contengan enlaces o adjuntos.
Prevenirnos frente a las fake news, desconfiando de información escandalosa, titulares excesivamente llamativos o morbosos.

CsN: ¿Qué nos puedes contar sobre CONPilar 2020?

SG: Poco de momento. Ahora en diciembre cerraremos fecha con la sede en la que la celebraremos y comenzaremos a poner en marcha toda la maquinaria para su organización, esperando cumplir las expectativas cada vez más altas del listón puesto en el año anterior, tanto en cuanto a ponentes, temáticas, retos y, desde luego el apoyo de patrocinios sin lo que no sería posible.

Si tenéis alguna buena idea o sugerencia es el momento (sonrisa).

Vicente Ramírez

Graduado en Administración y Dirección de empresas, especializado en Marketing, Comunicación, Ciberderecho y Gestión de Riesgos para Ciberseguros. Director de Marketing en CyberSecurity News, Organizador de CISO Day 2019 y Administrador del grupo de LinkedIn "Eventos de Ciberseguridad España"

Deja un comentario Cancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

Cyber Insurance Day 22: El evento del ciberseguro ya está aquí

Eventos

Cyber Insurance Day 22: Objetivo concienciar/informar sobre ciberseguros

Actualidad, Ciberseguros, Eventos

La necesidad de contar con un Ciberseguro

Actualidad, Ciberseguros

Resumen de la Jornada de Puertas Abiertas en CyberSecurity News

#CyberWebinar, Actualidad

Os invitamos a la Jornada de Puertas Abiertas de CyberSecurity News

Actualidad, Eventos

Códigos QR o SMS: riesgos de la vieja tecnología que la pandemia ha puesto de moda

Actualidad, Cyber Expertos

#CyberCoffee 23 con Raquel Ballesteros, Responsable de Desarrollo de Mercado en Basque Cybersecurity Centre

Entrevistas

#CyberWebinar El EPM: Antídoto contra sus infecciones del malware

#CyberWebinar

CISO Day 2024: Mesa redonda, «El reto de la IA y los ataques automatizados»

Actualidad, AI, Ciberseguridad, Eventos

Check Point Research alerta de una nueva estafa para robar monederos de criptomonedas

Sin categoría

Bitdefender denuncia una campaña de malware que utiliza el videojuego Grand Theft Auto como gancho

Sin categoría

RECIBE LA NEWSLETTER

ARTÍCULOS MÁS RECIENTES

CISO Day 2024: Mesa redonda, «El reto de la IA y los ataques automatizados»

Actualidad, AI, Ciberseguridad, Eventos

Check Point Research alerta de una nueva estafa para robar monederos de criptomonedas

Sin categoría

Bitdefender denuncia una campaña de malware que utiliza el videojuego Grand Theft Auto como gancho

Sin categoría

Cómo mejorar la seguridad de la identidad en el sector financiero

Actualidad, Security Breaches

La Dark Web muestra que los ciberdelincuentes ya están preparados para los Juegos Olímpicos

#CyberConsejos

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

SÍGUENOS EN FACEBOOK

SÍGUENOS EN TWITTER

SÍGUENOS EN LINKEDIN

SÍGUENOS EN INSTAGRAM

SÍGUENOS EN YOUTUBE

MÁS COMENTADOS

¿Qué hacer si eres víctima de phishing?

Email, Network Security

Un ciberataque sacude la sanidad en Baleares

Actualidad, CyberAttacks, Security Breaches

Los clientes de CaixaBank sufren un ataque de suplantación de identidad

Actualidad, CyberAttacks

España, entre las grandes potencias mundiales en ciberseguridad

Actualidad, Ciberseguridad

Ucrania anuncia un gran ciberataque y Rusia alega no estar involucrada

Actualidad, CyberAttacks