Redes Sociales II; Riesgos y aspectos a tener en cuenta por las empresas

Hace poco más de un mes, os prometimos un segundo post en el que hablásemos de cómo Internet genera por sí misma, situaciones de riesgo, desde el punto de vista de la seguridad y privacidad, que provocan un impacto reputacional y económico para la organización y de cómo los llamados community manager, nos pueden ayudar o no.

Pensemos que la “finalidad”, el sentido o lo que perseguimos estando en una Red Social y lo que pensamos hacer en la misma, serán cuestiones que marcarán nuestra exposición al riesgo y un posible impacto reputacional.

Podemos definir la identidad online de la empresa como el conjunto de información que aparece en Internet sobre la misma: datos, imágenes, registros, comentarios, etc. Información que engloba los comentarios y opiniones que los demás vierten en la red, vengan o no, a partir de aquellos contenidos que activamente genera la organización.

Pero antes, analicemos algunos estudios como el documento publicado por Panda Security: “Índice Anual de riesgo de las Redes Sociales para PYMES (acceso al artículo completo) cuyo objetivo de la encuesta es descubrir las preocupaciones que tienen las PYMEs sobre el uso de las redes sociales y presentar la relación entre la incidencia actual del malware (software malicioso, hostil, intrusivo o molesto) y las pérdidas económicas. El estudio se realizó en base a una encuesta realizada a 315 empresas americanas, de entre 15 y 1.000 empleados y las conclusiones principales fueron:

  1. Casi un tercio de las PYMEs se han infectado con malware a través de redes sociales
  2. El 35% de las empresas infectadas han sufrido pérdidas económicas, y de éstas, más de un tercio reporta unos 5.000$ de pérdidas
  3. Facebook es la fuente principal de infecciones así como de violaciones de privacidad de los empleados
  4. Más de la mitad de las PYMES han adoptado una política de uso de las redes sociales

Otro ejemplo, nos llega desde la Fundación Banesto que en octubre de 2011 publicó el “Observatorio sobre el uso de las redes sociales en las PYMEs españolas(acceso al artículo completo), que a modo de resumen enumera 15 puntos clave, de los que destacamos aspectos como:

  1. El 50% de las PYMEs en España usan redes sociales para desarrollarse profesionalmente.
  2. Del 50,2% de las PYMEs españolas que aún no utilizan plataformas sociales, el 60% tiene intención de hacerlo en el futuro.
  3. La mayoría de estas empresas se concentran en el sector servicios.
  4. Facebook es la red más utilizada, con un 38,7%.
  5. Los 3 objetivos principales por los que las PYMEs entran en redes sociales son: promocionar el producto; mejorar las vías de difusión y comunicación con clientes; y, en menor medida, ganar conocimiento de mercado.
  6. Un 82% de compañías piensan que es un canal en ascenso claro, solo un 2% auguran un descenso.
  7. El 90% de las empresas que piensan entrar en redes empezará por Facebook

Por tanto, si las pymes españolas están interesadas en las redes sociales y, ese interés va en aumento, y como hemos visto, las redes sociales tienen una incidencia directa en la infección por malware y en las pérdidas económicas que produce, será cuestión de preocuparnos por nuestra identidad digital y nuestra reputación online, y por establecer estrategias que permitan a las organizaciones alcanzar una determinada posición en los medios sociales y comunicarse mejor con sus clientes, proveedores, seguidores y público en general, minimizando los riesgos y los costes derivados de los mismos.

Estas estrategias hoy en día están en manos o son dirigidas por los Community Manager que no sólo deben aportar sus conocimientos técnicos y de marketing, sino que también conviene que tengan en cuenta los aspectos legales (LOPD-LSSI) que afectan a su actividad en relación con el medio en el que se desenvuelven, ya que hablamos de obtener la información que la audiencia social transmite y aplicarla en nuestra marca, servicios, productos, clientes y seguidores.

Cuando menos, la empresa deberá estar alerta para que su labor de comunicación no tenga efectos dañinos desde el punto de vista de reputación social para la empresa que le paga, pero también de los aspectos legales en los que pueda incurrir.

Pensemos a quién le damos el poder de expresarse de la manera que quiera, en nuestro nombre, o de cómo actuará cuando surja algún conflicto, ya que sabemos que hay meteduras de pata tontas que cuestan más que dinero.

El CM tiene que saber estar, mantenerse en el papel de la empresa, no será una simple persona que “chatea”, será la imagen y voz de la empresa, con comunicación bilateral y por tanto deberá escuchar, recabar y obtener la información que la audiencia social le transmite y aplicarla en nuestro beneficio.

Redes Sociales I; Aspectos Normativos

Redes-LOPDSabiendo que nos adentramos en temas de profundo calado o amplio espectro, o más bien de constante evolución, hemos considerado que vamos a abordar este tema por capítulos, aunque de momento no tengamos claro cuántos vamos a necesitar para comentarlo.

Podríamos enfocar el tema desde el punto de vista de las Redes Sociales más reconocidas, pero lo cierto es que el medio no tiene por qué ser determinante (o no es determinante).

Lo importante y que realmente tiene implicación para escribir este post, es la “finalidad”, el sentido o lo que perseguimos estando en una Red Social y qué pensamos hacer en la misma. Cuestiones que marcan aspectos en los que las LEYES, como la LOPD y/o la LSSI, van a estar presentes.

En este primer post, hablaremos del uso de los datos que hacen las empresas, de la finalidad (comercial o doméstica) para la que crean sus perfiles en redes sociales, para valorar sí estarán sometidas a la Normativa vigente y cómo.

Partiremos de la máxima de que todo Usuario personal o individual que se registra en una Red Social recibe y recopila información personal de los contactos que establece, pero lo hace en un entorno “doméstico”, que la LOPD establece como excepción, por tanto no sujeta a la LOPD. Pero cuando una empresa crea sus perfiles en redes sociales sí está sometida a su regulación, ya que su entorno no lo podemos calificar como “doméstico”, en su actividad interactúan personas jurídicas y/o físicas y a estas últimas le es de aplicación la LOPD.

Además hay que considerar el medio, es decir, que una Red Social se desarrolla en un medio que es un Servicio de la Sociedad  de la Información. Por ello a las empresas que tienen presencia en una Red Social les será de aplicación la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico o LSSICE. No obstante, en función de las acciones que emprenda esta afección será mayor o menor, entrando en juego un nuevo factor que llamaremos “riesgo”.

Este factor está marcado por la visibilidad que la empresa desea alcanzar y que irá acompañada de un riesgo mayor, a medida que su visibilidad y acciones, normalmente comerciales, le hagan estar cada vez más presente en la Red con el objetivo de garantizar la presencia de sus productos o servicios en Internet.

En el camino nos creamos lo que se conoce como identidad digital, que indefectiblemente viene acompañada de su reputación online, es decir, la valoración que el público hace de la Empresa en la Red, que puede provocar y provoca un impacto reputacional. Que sea negativo o no, dependerá de factores internos y externos . Estos últimos la propia Empresa no puede, y en ocasiones no sabe, controlar.

[pullquote]Pero cuando una empresa crea sus perfiles en redes sociales sí está sometida a su regulación, ya que su entorno no lo podemos calificar como “doméstico”, en su actividad interactúan personas jurídicas y/o físicas y a estas últimas le es de aplicación la LOPD.[/pullquote]

Las organizaciones difunden su imagen en Internet mediante su web corporativa, blogs empresariales, perfiles o en redes sociales y son los usuarios y clientes los que generan opinión sobre ellas, aunque  ni siquiera es necesario que la organización esté en Internet para que existan y se generen todo tipo de opiniones sobre ella.

Por tanto lo primero de lo que ha de ocuparse la Organización es de garantizar y hacer ver a sus potenciales clientes que cumple con las garantías legales establecidas, de tal manera que clientes, usuarios o seguidores, perciban las mismas garantías que si entrasen en contacto de manera presencial con nuestros productos o servicios.

En un próximo post hablaremos de cómo Internet genera por sí misma, situaciones de riesgo desde el punto de vista de la seguridad y privacidad que provocan un impacto reputacional y económico para la organización o de cómo las figuras emergentes, los llamados community manager, nos pueden ayudar o no.

Recortes en la LOPD: Madrid elimina su Agencia

Aunque ya de vuelta a la completa realidad hace ya tiempo, teníamos pendiente asomarnos nuevamente al BLOG para compartir nuestras inquietudes, las noticias y los comentarios que en el mundo de la Privacidad y la protección de datos se vienen produciendo y que no son pocas.

Hoy nos hemos despertado con la noticia que indica que la Comunidad de Madrid eliminará (veremos hasta que punto) la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM), entre otros organismos, en su afán por eliminar-recortar gastos.

Desde EUROVIMA, no entraremos a valorar, la necesidad de contar con un Organismo que siendo autoridad independiente de control tiene como objeto garantizar y proteger el derecho fundamental a la protección de datos personales, es decir, un objeto muy loable.

Sus competencias versan sobre los ficheros de titularidad pública creados o gestionados por la Comunidad Autónoma de Madrid y entre sus compromisos creo que se podría destacar su contribución en la difusión de los derechos y deberes que la legislación reconoce a los ciudadanos, en lo que respecta al tratamiento de datos de carácter personal y desarrollar una labor divulgativa a través de Sesiones Informativas, Jornadas, Convenios con Universidades y acciones formativas con el fin de difundir la normativa vigente sobre protección de datos.

EUROVIMA ha asistido a algunos de estos actos y ciertamente, aunque en ocasiones sean algo repetitivos, siempre deparan algún elemento a destacar e incorporar a los que tenemos el gusto de dedicarnos a esta profesión. De igual manera también hemos tenido ocasión de rescatar de la Agencia Vasca y Catalana, artículos, informes, y recomendaciones que merecen la pena.

Larga vida a la protección de datos, a la LOPD, venga “asistida” desde donde venga.

Bienvenidos. No olviden su ración vitamínica LOPD…

bkg_fondowebmeeting_1024x768En estos tiempos presentes, en los que parece que todo está un tanto oscuro, nos gustaría poner un poco de luz, cuando menos en lo que podamos y nos corresponde; La Privacidad y la Protección de Datos de carácter personal.

Hemos actualizado nuestra web, la hemos puesto más o menos al día en cuanto a su contenido “2.0” (que no sé muy bien que significa, pero todo el mundo habla de ello) ya que deseábamos ofrecer a nuestros Clientes y Visitantes un lugar en el que poder encontrar información, contenido y actualidad en lo referente a la LOPD, LSSI y en general al mundo de las nuevas tecnologías desde una perspectiva jurídica y de aplicación en nuestra Organizaciones.

Aunque hemos tardado, esperamos que os guste el resultado, que iremos completando y mejorando en la medida que el trabajo lo permita. Si encontráis algo que os llame la atención esperamos vuestros comentarios, si tenéis alguna duda o sugerencia también.

La dirección y el equipo colaborador de EUROVIMA CONSULTING, os dan las gracias por vuestra fidelidad y desea agradecer de manera especial a nuestro equipo webmaster que ha diseñado la presente web y con su experiencia nos ha ayudado a ponerla en marcha, al igual que a nuestro proveedor INFORMATICOS.CO que ha sido paciente, nos aloja y cuida. Por último y no menos importante, agradecer a Pablo Valenzuela que desde MYEGOO también ha participado en la primera puesta en escena de EUROVIMA en la red y a la Dirección y Personal de BITAM por sus múltiples aportaciones.

“Nube” o Cloud Computing. Seamos diligentes…

cloudParece que los servicios de Cloud Computing se van imponiendo en nuestra sociedad, que ya nadie puede vivir sin sus ventajas, que es el futuro en el presente, que gracias al desarrollo de las telecomunicaciones, a la mayor velocidad en la transmisión de información, a la posibilidad de aplicar costes reducidos en nuestro negocio, pero sobre todo que los servicios de Cloud Computing los puedo utilizar desde donde, cómo y cuando lo necesite, ya que está disponible “en la nube de Internet” sin conocimientos (o al menos sin ser expertos) y pagando únicamente por el consumo efectuado o pactado.

En definitiva un servicio económico, flexible, 100% disponible y 100% seguro; ¿SEGURO?…

Hagamos una primera aproximación al Cloud Computing, pues creo que nos conviene conocer las implicaciones que desde el punto de vista LOPD suponen estos servicios. 

A lo largo del último año ha acaparado jornadas, talleres y conferencias, como la Sesión Anual de la Agencia Española de Protección de Datos que le dedicó parte de su tiempo, la reciente organizada por la Asociación Profesional Española de Privacidad, a la que como Asociado de APEP asistí y que contó con la participación especial de la AEPD o en la recientemente celebrada por la Agencia de Protección de Datos de la Comunidad de Madrid, en la que se abordó cuestiones muy cercanas como las Transferencias internacionales de datos y ámbito territorial de aplicación.

Primero vamos a “definir” el servicio de Cloud Computing o computación en la nube, como el suministro de servicios facilitados por un tercero (prestador del servicio), para el alojamiento de información de datos, aplicaciones, infraestructura y demás recursos para poder acceder, tratar y operar con la información y datos almacenados.

Los servicios de Cloud Computing, vienen suscitando discusiones sobre tres cuestiones, entre otras, que afectan al servicio frente a la Ley de Protección de Datos:

  1. La poca claridad respecto al lugar de almacenamiento de los datos en servicios de hosting.
  2. Las dudas en las garantías de seguridad de los mismos (cifrado, disociación y fragmentación)
  3. La subcontratación de los servicios (identificar y autorizar).

Para la LOPD, es determinante establecer en qué ubicación física concreta (no digamos ya si la ubicación cambia) se van a alojar los datos personales alojados en “la nube”, pues dependiendo de se encuentren en España o en otro país, habrá que establecer si la cesión de los mismos constituye una “transferencia internacional de datos” (TID) o no, y por tanto de sus consecuencias legales. Caramba¡¡¡¡¡ y eso como lo voy a saber?.

Tranquilos, la TID jurídicamente es de las situaciones más complejas de regular, ello suscita que el Cloud sea considerado en materia LOPD un modelo a regular de manera especialmente cuidadosa, sobre todo si como se vislumbra será la forma predominante que adoptarán las empresas para organizar sus sistemas de información almacenados directamente en los servidores del prestador del servicio.

Esperaremos a que las Autoridades Europeas de Protección de Datos (G. Trabajo del Artículo 29) se pronucie o a que caigan las primeras sanciones de la AEPD y con ello se nos irán disipando las dudas (aunque parece que por la AEPD existe voluntad en buscar soluciones que garanticen los derechos, con medidas alternativas y equivalentes a las que exige la Ley).

Recordemos que este servicio supone que dicho prestador se convierta en Encargado del Tratamiento del cliente, debiendo suscribirse el contrato conforme el artículo 12 de la LOPD. Contrato recogerá que el Encargado deberá adoptar las medidas de seguridad que exige la normativa con motivo del procesamiento de los datos responsabilidad del cliente (medidas establecidas en el artículo 82 Reglamento de Desarrollo de la LOPD). Caramba¡¡¡¡¡ y eso me lo firmarán a mí, a medida?.

Si esto les parece poco, señores, recuerden que la normativa establece que hemos de ser “diligentes” a la hora de elegir nuestro proveedor de servicios y por tanto es nuestra responsabilidad elegir al prestador adecuado, si bien será difícil demostrar/argumentar dicha diligencia, es decir, aunque exista incumplimiento de contrato, tendré que demostrar que he sido diligente al elegir al prestador. Caramba¡¡¡¡¡ y eso como lo sé o demuestro.

Por no hablar del consejo de incluir en el contrato la posibilidad de solicitar la realización de auditorías al Encargado (cuestión muy debatida sobre su posibilidad de aplicación “real”) o sobre el lugar de almacenamiento físico de los datos y su presunta opacidad, siendo importantísimo que, de manera previa al inicio del servicio de Cloud Computing el proveedor ponga en conocimiento del cliente la ubicación física del mismo (que puede no ser única), o sobre que a menos que el Responsable lo autorice, el Encargado del Tratamiento no podrá comunicar los datos a un tercero ni subcontratar los servicios…

En definitiva, para qué me pregunto esto, si todo el mundo está en la nube y la usa, SI ES EL FUTURO¡¡¡¡¡…

A medida que haya pronunciamientos por parte del Grupo de Autoridades Europeas de Protección de Datos o vea la luz el futuro Reglamento de la UE, iremos saliendo de dudas y valorando los mismos. Mientras recuerden ser “diligentes”.

Jornada: Proyecto del Reglamento “LOPD” de UE

jornadasDesde Eurovima hemos asistido a la jornada recientemente celebrada por la Agencia de Protección de Datos de la Comunidad de Madrid, en la que se ha debatido sobre el Proyecto de Reglamento general de protección de datos de la Unión Europea.

Con el aforo  completo y con un alto interés por escuchar que aportaciones se podían presentar, interés que se plasma en que el primer día de solicitud se cerraron ya las inscripciones, a mí entender, la jornada cubrió parte de esas expectativas aunque como suele ser habitual muchas cuestiones quedan en el “limbo interpretativo” pero quizás esta vez la excusa perfecta es que hablamos de un proyecto en discusión y análisis, del que se espera que sobreviva un 80% del mismo.

Quiero destacar la intervención del Presidente de la Asociación Profesional Española de Privacidad, no solo como asociado de APEP, ya que en mi opinión, D. Ricard Martínez entró a analizar las cuestiones no únicamente desde un punto de vista jurídico-normativo, que también, sobre todo de aplicación, de cómo afectarán o se prevé implementar dicho reglamento en nuestro país, en nuestra organizaciones, cuestiones que aportan algo de “realidad” a tanta normativa, Directiva, Autoridad de Control, etc.

De modo esquemático, lo más destacable ha sido:

  • La pretensión real de homologar la protección de datos en toda la Comunidad Europea, aunque parece que podrán coexistir normativas puntuales, cuestión que contradice a la pretensión principal.
  • Se prevé un tránsito largo hasta su aprobación y por supuesto su posterior exigencia, que en nuestra opinión puede hacer que el reglamento nazca en parte “obsoleto”, eso sí, parece que los Españoles hemos hecho los deberes ya que somos una referencia en la materia, o eso es lo que el Secretario General Supervisor Europeo de Protección de Datos vino a decir.
  • Exigir un consentimiento explícito (el silencio ya no vale). Veremos hasta qué punto el consentimiento tácito sobrevive o no y que modalidades emplearán aquellos que nos envían sus cartas diciéndonos que cederán nuestros datos a una nueva empresa del grupo y que si en 30 días no contestamos (moléstense) entonces entenderemos otorgado su consentimiento.
  • Sobre los derechos ARCO y los buscadores, en lo referente al derecho al olvido, parece que la cancelación será exigible pero será una cuestión de trasladar la petición y que cada cual cancele. Por tanto el buscador hará de “correveidile”
  • Parece que el consentimiento tácito se “muere”, veremos. Y es que la exigencia de un consentimiento explícito para el que tenga que recabar datos personales, basado en una “clara acción afirmativa” veremos hasta donde se aplica, ya que el término “clara” valga la redundancia no está nada claro.
  • La jornada contó con una amena y locuaz presentación sobre la Seguridad y los Sistemas de Información pero que desde el punto de vista del reglamento no aportó nada concreto.

Veremos cómo se desarrollan los acontecimientos y plazos, mientras continuaremos con nuestra LOPD y su querido reglamento.

E-mail del empleado, uso y control empresarial

email-marketing-campaignEl uso de las nuevas tecnologías en nuestra vida laboral y personal diaria, hace que sea comúnmente “aceptado” que los trabajadores de la empresa usen el correo electrónico como medio de comunicación.

Si bien ese medio difiere si se emplea de forma profesional o personal, pues hablamos de una herramienta de trabajo que el empleado utiliza por ser considerada eficaz para el desarrollo de sus competencias, con intención de obtener un mayor rendimiento, pero se espera que lo emplee de manera racional y de manera “profesional”.

Hoy casi se considera como un hábito social generalizado y tolerado  el cierto uso personal moderado de los medios informáticos y de comunicación habilitados por la empresa a sus trabajadores. Que sucede si se excede en el uso “tolerable” a nivel personal como medio de comunicación, hasta qué punto es admisible, es más, hasta qué punto el empresario puede controlar el uso real del correo electrónico sin vulnerar su intimidad y su derecho a la protección de datos (un e-mail puede contener información de la esfera íntima del trabajador).

Si bien el trabajador tiene derecho al respeto a su intimidad,  si  utiliza un medio proporcionado por la empresa y lo hace en contra de las instrucciones establecidas, que es lo que puede suceder……

Si repasamos el Estatuto de los Trabajadores (ET),  encontramos que una de las manifestaciones del principio de dignidad del trabajador, recogida en el artículo 18, que garantiza la inviolabilidad de la persona del trabajador, al disponer que los registros sobre su persona, en taquillas o efectos personales, sólo son admisibles si: son necesarios para la protección de las empresas y/o del resto de los trabajadores, se realizan dentro del centro de trabajo y en horas de trabajo y en el transcurso del registro se respeta la dignidad y la intimidad del registrado. También ha de contarse con la asistencia de un representante legal de los trabajadores (delegado de personal, miembro del comité de empresa o delegado sindical) o en su ausencia, de otro trabajador, siempre que ello fuera posible.

Aunque las taquillas y ordenadores no sean perfectamente equiparables, si entendemos que deben seguirse las prescripciones del artículo 18 ET en los registros que se realicen en los ordenadores que, como en el caso presente, utilizan los trabajadores aunque no sean de su propiedad.

Por otra parte el artículo 20 del ET señala que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana….”, es decir, atendiendo al mencionado artículo 18 del ET.

Por ello, lo que debemos hacer es establecer las reglas de uso y exponerlas a nuestros trabajadores, al igual que le informamos sobre las “funciones y Obligaciones respecto de la LOPD”, hagamos de esa exposición una oportunidad de incorporar nuestra norma interna de conducta y darle difusión, informando a los trabajadores de que existe control. Si el empleado utiliza el medio para usos distintos y con conocimiento de los controles y medidas aplicables (bajo un criterio de proporcionalidad), nadie podrá decirnos que hemos vulnerado su intimidad.

El trabajador ha de entender que cualquier acción que realice con y mediante los medios tecnológicos de la empresa pueden incidir sobre la seguridad de los sistemas de información en los que se aloja dicha información y es deber de la empresa garantizar su seguridad.