Precauciones al contratar una consultoría de protección de datos personales

Ante la enorme oferta de servicios de consultoría de protección de datos personales y la gran variedad de precios, voy a darles una serie de pautas a tener en cuenta antes la contratación de estos servicios y los peligros a los que se expone. ¡Extreme las precauciones!

Expertos vs Quitamultas

¿Cómo distinguir entre la enorme oferta de consultorías LOPD?

Ante la inminencia de la aplicación del nuevo Reglamento Europeo de Protección de Datos Personales y de la aparición, en breve, de la nueva Ley Orgánica de Protección de Datos Personales, está floreciendo una enorme oferta de trabajos de consultoría en materia de protección de datos personales, con una amplísima gama de precios. ¡Hace poco incluso vi que se ofertaban trabajos de consultoría de protección de datos por 50€!

En principio se podría pensar que esto es algo bueno para quien necesita de estos servicios: tengo mucho donde elegir. Lo que ya resulta bastante raro es que por el mismo trabajo haya diferencias de incluso más de 500€. ¿Me estarán engañando? La respuesta es, sí.

Hay muchos desaprensivos, que sin tener conocimiento alguno sobre protección de datos personales y aprovechándose de ese mismo desconocimiento general por parte de muchas empresas españolas, en especial autónomos y pequeñas empresas, están ofertando servicios no sólo de baja calidad, sino que incumplen manifiestamente lo dispuesto en materia de protección de datos personales.

Este tipo de servicios van mucho más allá de ser un simple "quitamultas" basado en poner cláusulas legales en e-mail, web corporativa y unas cláusulas de consentimiento, así como un documento de seguridad que en muchas empresa se sabe que existe pero que absolutamente nadie conoce.

A continuación voy a indicarles para qué sirve realmente una consultoría de protección de datos personales, precauciones que debería seguir antes de contratar una consultoría LOPD y pautas para que pueda detectar cuando le están prestando este tipo de servicios incorrectamente.

Qué utilidad tiene una consultoría de protección de datos personales

Para qué contratamos realmente una consultoría LOPD

Plantéese qué objetivos se pretenden cubrir al contratar una consultoría de protección de datos personales

Antes de contratar servicios de consultoría de protección de datos personales, plantéese que objetivos quiere conseguir y qué aspectos le interesa cubrir. Quítese de la cabeza contratar este tipo de servicios únicamente para que no le multen, porque se estará equivocando de plano y estará tirando su dinero.

Limitación de responsabilidad

El primer y más importante objetivo a cubrir mediante una consultoría en materia de protección de datos personales es limitar la responsabilidad de todas las personas y entidades jurídicas que intervienen en todo el proceso de tratamiento de la información, pasando por su recogida, almacenamiento, gestión, uso y eliminación. Si ocurre un incidente que implica la pérdida o robo de datos personales, ya sea por un empleado o por la acción de un ciberdelincuente, la empresa y su consejo directivo son penalmente corresponsables si no acreditan haber implementado medidas suficientes para impedir o limitar el daño.

Procedimentación del uso de la información

Este aspecto viene un poco al hilo de lo anterior. Para poder conocer cómo se recogen, almacenan, gestionan, usan y eliminan datos personales en su negocio necesitará elaborar una serie de procedimientos por escrito. Esto es útil en dos aspectos:
  1. En caso de incidente tiene documentos por escrito que pueden analizarse y sobre los que se puede examinar si, efectivamente, en su negocio se cumplían dichos procedimientos y si éstos eran suficientes para limitar los daños y para cumplir la normativa vigente. También podrá delimitar dónde ha estado el origen del incidente y, en su caso, la responsabilidad de empleados o proveedores de servicios.
  2. Como punto de partida para mejorar el funcionamiento interno del negocio. Va a disponer de una base sobre la que estudiar, medir y mejorar sus procesos de gestión interna. Convendrá conmigo en que la dirección de muchos negocios no tiene ni idea de cómo se opera realmente en su empresa.

Garantías para sus clientes y transparencia de gestión

Otro aspecto es poder garantizarle a sus clientes que gestionará sus datos personales de forma adecuada, únicamente para los fines para los que se le han cedido y cómo va a cuidar de esa información. Además de permitirle ejercitar una serie de derechos sobre sus datos personales en cualquier momento y de forma eficaz. No es este un asunto menor ante la creciente preocupación de la opinión pública sobre la seguridad de su información, vista la oleada de ciberdelitos que se están produciendo.

Precauciones a la hora de contratar una consultoría LOPD

Adopte precauciones para evitar gastar su dinero en algo que no vale para nada

Para que no se lleve sorpresas le recomiendo que siga estas pautas a la hora de contratar un trabajo de consultoría de protección de datos personales:

Indicaciones de qué se va a hacer

Reclame que se le indique por escrito, y con carácter previo, las distintas fases de los trabajos que se le van a realizar, indicando las tareas a acometer en cada una. Esto es importante para cualquier posterior reclamación que tenga que hacer por un mal trabajo de consultoría.

Indicaciones de qué se le va a entregar

Reclame que se le indique también por escrito qué elementos se le van a entregar como resultado de los trabajos. Este aspecto es fundamental para una posterior reclamación ante un trabajo incompleto o manifiestamente parcial de acuerdo al fin contratado, que no es otro que adecuar su negocio a la normativa vigente en materia de protección de datos personales.

Garantías legales de servicio

Como sabe, existen fuertes multas por el incumplimiento de la normativa vigente en materia de protección de datos personales. Exija al profesional que le haga la consultoría de protección de datos personales que le garantice, en caso de que sean incorrectas las actuaciones a acometer indicadas por el consultor, sea éste el que se haga responsable de las multas que puedan sobrevenirle. Exija también que se le garantice que el profesional que le prestará el servicio tenga una cualificación suficiente. No olvide que está contratando una consultoría externa para evitarse problemas. Exija garantías.

Desglose de tiempos de ejecución y formas de pago

Pida que se le indique por escrito los tiempos de inicio y conclusión de los trabajos, así como los plazos y formas de pago para no llevarse sorpresas. No hay aplazamientos en el cumplimiento de la normativa de protección de datos personales y, si por una tardanza no justificada, le sobreviniera una multa, le podrá exigir responsabilidades a su consultor LOPD.

Precaución ante consultoría LOPD

Cómo detectar una mala consultoría LOPD

Algunas pinceladas para que detecte si le están entregando una consultoría LOPD defectuosa

A continuación le voy a dar algunas pistas sobre cómo detectar si le están prestando servicios de consultoría de protección de datos personales de forma negligente, lo que le puede ocasionar graves problemas, más si cabe si su consultor no le ha dado garantías legales respecto al mismo, ya que la responsabilidad de sus fallos recaerá sobre usted:

  1. El autor de los trabajos no se responsabiliza legalmente sobre la adecuación de los mismos, o directamente no se identifica al autor por no estar firmados los trabajos.
  2. No le entregan proyecto técnico de ninguna clase.
  3. La documentación entregada está cerrada y no permite su modificación. Esto le puede obligar a contratar al mismo consultor LOPD para efectuar modificaciones, lo quiera o no.
  4. Se le pretende cobrar una cuota de mantenimiento anual. Si no se producen modificaciones en su Organización durante años, ¿por qué tiene que pagar?
  5. Le obligan a realizar un curso de formación ligado a los servicios de consultoría LOPD, con cargo a la fundación tripartita. Mucho cuidado porque puede ser cómplice de un fraude.
  6. No le solicitan autorización para registrar sus ficheros ante la Agencia Española de Protección de Datos.
  7. No le proporcionan ni el recibo de haber registrado sus ficheros ante la Agencia Española de Protección de Datos, ni la resolución de registro con el identificador asignado a cada fichero.
  8. Únicamente le entregan documentos con cláusulas legales.
  9. El documento de seguridad entregado no contiene procedimiento alguno, o no son entendibles ni asumibles por su entidad.
  10. No se establece en ninguna parte las obligaciones del personal respecto del tratamiento de datos, ni la circular con dichas obligaciones a entregar a su personal para informarles de las mismas.
  11. Si usa correo Gmail o Hotmail y no se declara una transferencia internacional de datos a un país tercero (mucho ojo con esto).
  12. No se establecen procedimientos de seguridad para, al menos, la identificación y autenticación de usuarios, el control de acceso a los datos personales, la administración de usuarios y gestión de bajas, control de ficheros temporales y copias de documentos, la gestión de soportes digitales y documentales así como su reutilización o destrucción, los criterios de archivo de los datos personales, las copias de seguridad de la información o el régimen de trabajo fuera de los locales de la organización.
  13. No existen procedimientos sobre cómo un usuario puede ejercitar sus derechos sobre sus datos personales ni sobre cómo y en qué plazos deben ser atendidos por su personal.
  14. No se especifica un proyecto de revisión para que, si lo estima oportuno, usted mismo actualice los procedimientos si se producen cambios en su organización.

Estos son sólo algunos de los síntomas más evidentes para detectar que no le están prestando servicios de consultoría de protección de datos personales como es debido. Tenga mucho cuidado porque puede darse el caso de que se gaste el dinero en algo que realmente no le sirve para nada, en la creencia de que cumple con la normativa y luego no es así.

Por ello le recomiendo que, si no le garantizan legalmente la adecuación de los trabajos que le van a entregar, se abstenga absolutamente de contratarlos. Se ahorrará disgustos y dinero.

 

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

diez + 3 =