“Los eCommerce están más concienciados en el cumplimiento normativo y en asegurar la protección de los datos”

23 enero, 2020
6 Compartido 2,202 Visualizaciones

La protección de los datos es un must para cualquier empresa. Si nos centramos en el sector eCommerce, los datos de los clientes se convierte en un activo principal importante de proteger. 

Para abordar el cumplimiento normativo en el sector del eCommerce y la realidad española tras la entrada en vigor de la GDPR hace ya más de un año y medio, hablamos con Susana González, reconocida Experta en Derecho Tecnológico y Ciberseguridad en nuestro país quien nos descubre el trasfondo normativo en el que se mueven los eCommerce y marketplaces

CyberSecurity News (CsN): Me gustaría Susana comenzar la entrevista con una pregunta general para que nos puedas dar tu percepción personal y profesional sobre la concienciación en materia de protección de datos que ha habido en las empresas de nuestro país tras la entrada en vigor de la GDPR. ¿Están por otro lado mucho más preparadas hoy día o aún queda mucho que hacer en este sentido?

Susana Gonzáles (SG): Me temo que aún queda camino por andar. Excepto las empresas que verdaderamente saben que su foco de negocio son los datos personales y que están en el punto de mira de reclamaciones e inspecciones (actividad sanitaria, tecnológicas y comunicaciones, registros de morosidad, etc), el resto – generalizando – mantiene cultura de hand made o de carpeta en papel cogiendo polvo en un cajón, desoyendo las directrices de implantación eficaz y responsabilidad proactiva que impulsa la nueva normativa.

Ha habido mucho curso, mucha jornada pero también mucha confusión. A menudo clientes pymes o autónomos con actividad poco relacionada con el tratamiento de datos personales más allá de los trabajadores, clientes y proveedores con legitimación contractual o legal, nos dicen que reciben llamadas comerciales asustándoles porque les dicen que les van a sancionar por no tener DPO, e incluso por no registrar sus ficheros o hacer una auditoría anual, cuando estas dos últimas cuestiones han desaparecido del escenario actual.

En definitiva, mucho oportunismo, confusión y desinformación en el sector todavía, lo que no ayuda a que la empresa vea claramente qué responsabilidades tiene, en qué riesgos incurre y cómo poder minimizarlos y controlarlos con su planificación y recursos.

CsN: Centrándonos en el mundo del retail o del comercio electrónico, ¿dirías que existe alguna diferencia en concienciación con respecto a otros sectores? 

SG: Las empresas que gestionan ecommerce, al igual que la mayor parte de las start ups independientemente de su actividad y número de trabajadores, están más concienciadas en el cumplimiento normativo en general y en asegurar la protección de datos en particular. Su foco de negocio es generalmente una web y/o app o plataforma online que son escaparates también para visualizar que no cumplen y, por tanto, se juegan la confianza del usuario y las ventas.

Suelen tener el inconveniente de que muchas startups nacen creyendo que montar un negocio online requiere poco recurso, olvidando que es un negocio al fin y debe cumplir la normativa relativa al sector de que se trate y esto les impide en muchos casos pasar rondas de financiación e incluso tirar la toalla con el proyecto. No obstante, cada vez más el planteamiento del cumplimiento es desde el diseño (uno de los principios del GDPR y de prácticamente toda la normativa y estándares de prevención de riesgos de cumplimiento y seguridad de la información) y, ni que decir tiene cuando el ecommerce es la vertiente online de una empresa ya existente offline. Ahí lo tienen clarísimo.

CsN: Imagino que como experta en derecho tecnológico, una de las más reconocidas expertas en nuestro país, habrás ayudado a muchas empresas y entre ellas a varios eCommerce o tiendas online. ¿Qué es lo que más les preocupa a este tipo de empresas en materia de derecho tecnológico? ¿Hay más preocupaciones a parte de los avisos legales de las tiendas?

SG: La primera preocupación es efectivamente poner en órbita sus textos legales (aviso legal y condiciones de uso, política de privacidad y de cookies, términos y condiciones de contratación y todas las primeras capas informativas de formularios y registros), de hecho, suelen venir a buscar asesoramiento solo para esto.

Es tras iniciar el asesoramiento personalizado cuando descubren que precisan una regulación de la propiedad intelectual del software mediante contrato de desarrollo con el informático freelance amigo que les está haciendo la app; cuando descubren que quizás precisen un pacto de socios en el que se regulen acuerdos parasociales que les permitan mantenerse estables frente a determinadas acciones de inversores; cuando descubren que el chiste de una buena gestión de los datos es disponer de un registro de tratamiento de datos que siga de forma actualizada el ciclo de vida de los datos y de su legitimación (consentimiento, contrato, cumplimiento legal, interés legítimo) y poder probarlo; o que deben articular pruebas electrónicas e incluso contratación electrónica mediante prestador de servicios de confianza cualificado; cuando visualizan cómo nutrirse de contenidos e imágenes sin incurrir en riesgos de propiedad intelectual en su portal web, aplicación y redes sociales; y sin duda, cuando se detienen a pensar en las medidas técnicas de seguridad de la información para minimizar el riesgo de fuga de secretos empresariales y datos personales, así como las organizativas necesarias (normativa interna, políticas y formación, entre otras).

CsN: Grandes marketplaces como Amazon, tienen una gran cantidad de información sobre nosotros, nuestros gustos, preferencias, ubicación…en caso de que un consumidor un usuario, quisiera desempeñar su “derecho al olvido”, ¿cómo lo podría realizar? 

SG: Muchos marketplaces tienen demasiados datos personales sobre nosotros y sobre nuestras preferencias porque los titulares de las aplicaciones recogen muchos más datos de los que necesitan para operar o dar el servicio, no cumpliendo el principio de minimización del tratamiento de datos GDPR, cediéndoselos además al marketplace. Son los casos de permisos de acceso a los contactos o a la geolocalización que en aplicaciones que no precisan para la prestación del servicio.

Los datos personales son una “pata” de la información que toda empresa debe asegurar técnica y organizativamente. Con la normativa en la mano, debe minimizarse y limitarse el tratamiento de datos personales a los estrictamente necesarios para el servicio que se realiza; aunque por otra parte, si se informa correctamente al usuario y éste consiente (aunque no se suela leer), la empresa que gestiona esos datos (responsable del tratamiento) puede estar cumpliendo, ya que la normativa traspasa la decisión y control al usuario. Insisto, siempre que la información sobre el tratamiento de datos sea transparente.

Es decir, si el usuario quiere utilizar la app de Amazon, como cualquier otra, dispone no solo de una información previa a prestar su consentimiento, sino la novedosa posibilidad de configurar esos permisos en función de lo que requiramos. Lo que ocurre es que el usuario es el menos concienciado al respecto todavía, como para quitar el permiso al micrófono a la app de Amazon para que no le “escuche”.

El derecho de supresión o derecho al olvido no es lo mismo que el derecho de oposición al tratamiento de datos personales exactamente. Uno puede ejercer el derecho de darse de baja en una aplicación y solicitar que cese el tratamiento de esos datos a partir de ese momento; sin embargo, solicitar la supresión de los datos o el derecho al olvido requiere cumplir determinados requisitos tasados previstos en la normativa de protección de datos para conseguir que los enlaces a nuestros datos en Internet sean eliminados de forma permanente de las búsquedas en Internet (cuando la información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima).

Este derecho se puede ejercer directamente ante los motores de búsqueda y los editores originales y, si estos no dan la debida respuesta, el usuario puede dirigir su reclamación a la Agencia de Protección de Datos.

Lo que debemos tener muy claro es que el ejercicio de este derecho y su resolución favorable implica la desaparición de la información en el enlace; sin embargo, no garantiza la desaparición de la información en otras fuentes de Internet.

CsN: Como decía, vivimos en el mundo online y en él, realizamos muchas acciones y cada vez compramos más aquí. Pero nunca está de más poder tener unos consejos para proteger en cierta medida nuestra privacidad. ¿Qué consejos nos darías Susana? 

SG: Os listo algunos de los más eficaces para proteger nuestra privacidad e identidad digital, a la par que refuerzan la seguridad de nuestras cuentas e información:

  • Practicar a menudo googlesurfing para conocer qué información tiene la red sobre nosotros y poder minimizar nuestra sobreexposición, lo que minimizará el riesgo incluso de ataques basados en técnicas de ingeniería social.
  • Configurar adecuadamente las opciones de privacidad en redes, navegadores, dispositivos móviles, aplicaciones, etc
  • Proteger nuestro ordenador, smartphone, tablets… con patrones de seguridad que limiten el acceso no autorizado de terceros.
  • Disponer de antivirus en todos los dispositivos 
  • Actualizar siempre actualizados el software, el sistema operativo, las aplicaciones, los navegadores y el antivirus.
  • Conectarse solo a páginas seguras (https) y mediante red de acceso a Internet segura, evitando la conexión en wifi pública para realizar transacciones, o para acceder o enviar información sensible y datos personales.
  • Tener y mantener copia de seguridad de la información contenida en todos los equipos y dispositivos evitando el uso de discos duros y pendrives, siendo más aconsejable informarse bien de la seguridad de determinados servicios en la nube o backups remoto.
  • Desconfiar de correos electrónicos no habituales que contengan enlaces o adjuntos.
  • Prevenirnos frente a las fake news, desconfiando de información escandalosa, titulares excesivamente llamativos o morbosos.

CsN: ¿Qué nos puedes contar sobre CONPilar 2020? 

SG: Poco de momento. Ahora en diciembre cerraremos fecha con la sede en la que la celebraremos y comenzaremos a poner en marcha toda la maquinaria para su organización, esperando cumplir las expectativas cada vez más altas del listón puesto en el año anterior, tanto en cuanto a ponentes, temáticas, retos y, desde luego el apoyo de patrocinios sin lo que no sería posible.

Si tenéis alguna buena idea o sugerencia es el momento (sonrisa).

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

El Malware-as-a-Service aumenta y en tan sólo 2 meses recauda hasta 600.000 dólares
Actualidad
15 compartido2,766 visualizaciones
Actualidad
15 compartido2,766 visualizaciones

El Malware-as-a-Service aumenta y en tan sólo 2 meses recauda hasta 600.000 dólares

Vicente Ramírez - 12 febrero, 2019

La segunda entrega del Security Report pone de manifiesto la democratización de la ciberdelincuencia a través de MaaS (Malware-as-a-Service), así…

La OCA desvela el primer lenguaje de código abierto para conectar herramientas de seguridad
Actualidad
5 compartido1,362 visualizaciones
Actualidad
5 compartido1,362 visualizaciones

La OCA desvela el primer lenguaje de código abierto para conectar herramientas de seguridad

Aina Pou Rodríguez - 27 febrero, 2020

OpenDXL Ontology permite la integración automática y la comunicación entre tecnologías de seguridad dispares a través de un estándar de…

Los errores de programación en los contratos inteligentes, principal vía de acceso para los ciberdelincuentes
Actualidad
12 compartido2,052 visualizaciones1
Actualidad
12 compartido2,052 visualizaciones1

Los errores de programación en los contratos inteligentes, principal vía de acceso para los ciberdelincuentes

Vicente Ramírez - 15 junio, 2018

Expertos de la empresa española S2 Grupo han señalado que las consecuencias de estos errores pueden ser millonarias para las compañías.…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.