Si hay un sector especialmente vigilado y controlado en materia de protección de datos desde que están vigentes la LOPDGDD y el RGPD, son las empresas de telecomunicaciones (no en vano, son también las que más denuncias suelen acumular). En esta entrada vamos a explicar los pasos necesarios para las políticas de una empresa de telecomunicaciones en materia de privacidad y protección de datos, para asegurar que cumple con la normativa vigente.
Regulación sobre Protección de Datos
Cualquier empresa de telecomunicaciones tiene, como en cualquier otro sector, la obligación de proteger los datos personales que maneja, de manera que está sujeta a las leyes y reglamentos que lo regulan y que encontramos en los siguientes textos:
- RGPD (vigente a partir del 25 de mayo de 2018)
- LOPD (España)
- Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos
- Ley General de Telecomunicaciones
¿Y quién regula que las empresas de telecomunicaciones cumplan con estas normativas? En España la principal autoridad es la Agencia Española de Protección de Datos (AEPD).
¿Cómo afecta el RGPD a las operadoras de telecomunicaciones?
Los operadores de telecomunicaciones necesitan el consentimiento expreso de los clientes para poder tratar sus datos personales.
Cualquier empresa de telecomunicaciones tiene una base de datos personales recopilados de sus clientes, por lo que es no solo deben cumplir con la ley de protección de datos a empresas, sino también adaptarse al RGPD, que reconoce los derechos que sobre sus datos personales tienen los usuarios en cuatro aspectos principales:
- las empresas deberán tener consentimiento explícito del cliente para procesar los datos que recojan,
- estarán obligadas a proporcionar a los usuarios una copia de los datos personales recopilados,
- los términos de las condiciones deberán ser sencillos de comprender y
- se incluirá el propósito con el que se tratarán los datos de los usuarios.
Por tanto, los pasos principales que deben seguirse para cumplir la ley de Protección de Datos son:
- Realizar un Registro de actividades de tratamiento
- Realizar un Análisis de riesgos
- Elaborar una Evaluación de impacto
- Solicitar el consentimiento a los clientes
- Firmar los contratos con Encargados del tratamiento
- Incluir los textos legales en la página web
- Firmar los contratos con los empleados
- Notificar las brechas de seguridad
- Nombrar un Delegado de Protección de Datos
- Facilitar copia de los datos personales
- Derechos de los usuarios
Te explico cada paso.
1. Registro de actividades de tratamiento
Las empresas de telecomunicaciones deben tener en cuenta qué tipo de datos manejan y en qué cantidad, para con ello elaborar un documento interno en el que se establezca:
- Tipo de datos que tratan
- Interesados
- Legitimación para el tratamiento
- Finalidad
- Cesión y transferencias internacionales
- Almacenamiento
Este documento es el registro de actividades de tratamiento, que puede recogerse tanto por escrito como por medios electrónicos, y que siempre debe estar actualizado, puesto que en caso de inspección de la AEPD, puede ser solicitado.
2. Análisis de riesgos
Una de las utilidades que tiene el registro de actividades de tratamiento, es que puede dar pistas a las empresas de telecomunicaciones sobre los posibles riesgos que pueden encontrarse a la hora de proteger los datos personales de sus usuarios. Puesto que el siguiente paso es realizar un análisis de esos riesgos, teniendo en cuenta entre otras cuestiones:
- el tipo de tratamiento,
- la naturaleza de los datos,
- el número de interesados afectados,
- la realización de cesiones a terceros o transferencias internacionales, o
- los medios a través de los que se realiza el tratamiento.
En base a los riesgos que se detecten, se deben establecer medidas para evitar a o atenuar dichos riesgos.
3. Evaluación de impacto
A veces el análisis de riesgos es solo un primer paso, puesto que si detectan riesgos potencialmente altos, se debe realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados. Una vez hecho esto, se deben implementar las medidas de seguridad adecuadas para prevenir o reducir el impacto de dichos riesgos.
La evaluación de impacto es un informe en el que se detallarán los riesgos que pueden afectar a los datos personales que manejas y se indicarán los controles y garantías adecuados para proteger dichos datos.
En el caso de las empresas de telecomunicaciones, es obligatoria la realización de esta evaluación de impacto según el RGPD, ya que manejan datos a gran escala. Y también realizan perfiles de usuarios en base a su comportamiento con fines comerciales.
4. Consentimiento de los usuarios
En primer lugar debes decidir si el consentimiento es necesario o ese tratamiento de datos puede tener otra base legitimadora como, por ejemplo, el cumplimiento de una obligación legal. Si después de efectuar este análisis deduces que el consentimiento es necesario, debes solicitarlo a través de un medio claro y sencillo que permita al usuario decir «SÍ» o realizar una acción afirmativa similar.
Y, en todo caso, el consentimiento debe prestarse libremente.
La manera en que las empresas de telecomunicaciones solicitan ese consentimiento es:
- Aviso al entrar en el área del cliente, ya sea a través de la web o desde la app que los operadores hayan habilitado para la autogestión del servicio contratado.
- Teléfono de atención al cliente: al llamar a ese número nos solicitarán de nuevo nuestro consentimiento.
5. Contratos con Encargados de tratamiento
Toda empresa cede datos personales de sus clientes o usuarios en mayor o menor medida. En el caso de una empresa de telecomunicaciones, por ejemplo, cuanto esta tiene contratada la gestión de clientes con empresas de CRM o los servicios de venta o marketing con otra empresa.
Por ello, es necesario tener una lista de esas empresas externas con las que se tiene contacto y asegurar que ellas también cumplen con la normativa de protección de datos. Además, es evidente que se debe asegurar de que el cliente o usuario esté al corriente de qué datos suyos pueden estar circulando entre empresas.
Para esto se debe firmar un contrato de encargo de tratamiento con aquellos terceros, en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.
.
Recuerda firmar el contrato de encargo de tratamiento con los terceros
6. Página web
Si ofreces los servicios de asesoramiento a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:
- Aviso legal
- Política de privacidad
- Política de cookies
Aviso legal
Este es el documento donde se identifica al propietario de la página web. En él debe incluirse:
- Nombre del propietario
- CIF / NIF
- Dirección
- Nº de inscripción en el Registro Mercantil
Debes poner un enlace visible a este texto desde cualquier página de la web.
Política de privacidad
Es importante que revises la política de privacidad de la empresa de telecomunicaciones y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.
Entre las opciones de privacidad que podrás personalizar para ajustarlas a tus preferencias en función de los permisos que desees aceptar, encontraremos las siguientes:
- Permiso para acceder a la localización.
- Autorización para tratar datos de facturación, tráfico y navegación. Estos datos pueden utilizarse por la empresa para conocer mejor nuestros hábitos y recomendar tarifas o servicios.
- Consentimiento para que puedan enviarnos comunicaciones comerciales relevantes procedentes de terceras empresas con las que el operador tenga un acuerdo previo. Así pueden disponer servicios como ventajas por ser cliente con descuentos en otros servicios.
- Permiso para El contrato de tratamiento de datos que sean utilizados por terceras entidades para confeccionar estadísticas de big data, ayudando por ejemplo, a definir dónde hacen falta nuevas carreteras.
- Autorización para que las líneas telefónicas aparezcan en guías de abonados.
Configurar la política de privacidad en Orange
Los pasos para configurar nuestras opciones de privacidad en Orange son:
- Entrar en el menú principal, dentro de «Mi contrato»,
- pulsar en «Revisión de Privacidad» y
- aprobar o rehusar cada opción ofrecida.
Gestionar privacidad en Vodafone
En el caso de Vodafone, los pasos que se establecen son:
- Entrar en el menú principal,
- pulsar en «Datos personales» y
- después en «Permisos y preferencias». Aquí debemos prestar atención a las casillas de aceptación.
Otras operadoras, como Movistar o Yoigo, no tienen de momento la opción de gestionarlo online.
Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.
Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.
La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.
7. Contratos con empleados
Los empleados de una empresa de telecomunicaciones pueden tener acceso a diferentes tipos de datos personales de los clientes, por lo que debe firmarse entre ellos y la empresa un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. Además, también están obligados, como parte de la protección legal de una empresa, a cumplir con las medidas de seguridad que esta haya establecido para garantizar la protección de los datos personales.
Tampoco hay que olvidar el riesgo que existe para las empresas de telecomunicaciones de que sus empleados puedan ser víctimas de un ciberataque, pudiendo quedar los datos de sus clientes expuestos ante terceros con intenciones fraudulentas. Implementar medidas de seguridad para prevenir y evitar estos riesgos también es obligación de la empresa.
8. Notificar brechas de seguridad
¿Qué pasa cuándo hay una brecha de seguridad? El RGPD establece la obligación de informar de ello inmediatamente, tanto a los afectados como a la AEPD, para lo que se tiene un límite de 72 horas.
Para poder actuar rápido y dar una respuesta pronta, lo ideal es contar con un protocolo de actuación en caso de brecha de seguridad; dicho protocolo o plan de actuación debe probarse para comprobar que se toman todas las medidas adecuadas y se informa de ello en el tiempo necesario.
No tener implementadas las medidas adecuadas para evitar o prevenir estos ataques que puedan exponer los datos de los clientes puede considerarse una infracción grave. Aunque si se demuestra que ha hecho todo lo posible para cumplir con la ley, se podrán aplicar atenuantes en caso de sanciones.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
9. Nombrar un Delegado de Protección de datos
La empresa de telecomunicaciones debe designar a un profesional experto en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).
Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.
Las operadoras de telecomunicaciones son unas de las empresas obligadas a nombrar un Delegado de Protección de Datos ya que, su actividad principal consiste en la realización de tratamientos que, por naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
10. Obligación de facilitar copia de los datos personales
Los operadores tendrán que proporcionar a los usuarios una copia gratuita de los datos personales recopilados en formato electrónico si así se solicita. Actualmente los operadores no disponen de una herramienta online que lo permita.
Estas empresas nos remiten a realizar una solicitud mediante correo ordinario con destino a una dirección postal o a través de correo electrónico.
11. Nuevos derechos de los usuarios
Además de los ya existentes derechos ARCO (acceso, rectificación, cancelación y oposición), el RGPD introdujo dos nuevos derechos más
Olvido
Este nuevo derecho podría definirse como el derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir esa información personal que:
- afecte el libre desarrollo de alguno de sus derechos fundamentales, como el derecho a la intimidad, al honor y a la propia imagen, o
- considerada como información obsoleta. No tiene sentido que pueda accederse a ella después de mucho tiempo puesto que ya no sirve para la finalidad para la que fue recabada y publicada.
Portabilidad
Muy importante y que debes tener muy en cuenta.
Este derecho supone para los interesados la posibilidad de transmitir sus datos personales a otra entidad, empresa, organización, proveedor de servicio, directamente desde otra entidad, siempre que técnicamente sea posible.
Permite que los usuarios puedan trasladarse de un proveedor de servicios a otro. Y no necesitan pedir sus datos y después entregarlos al nuevo operador. Con ello se agilizan los trámites ya que son menos, el usuario simplemente debe solicitar la portabilidad.
Las operadoras tienen gran cantidad de datos de sus usuarios:
- datos de nuestras llamadas,
- usos que hacemos del móvil,
- lo que gastamos al mes,
- el consumo de datos habitual,
- información sobre nuestros gastos bancarios,
- el consumo de energía,
- nuestra cesta de la compra,
- nuestra lista de reproducción musical,
- nuestros historial médico,
- nuestros contactos en cuentas de correo electrónico…
Se trata de datos que generamos en nuestra relación o actividad con las compañías y que podría ser susceptibles de traslado a otra empresa. En realidad, ya tenemos acceso a mucha de esta información. Otra cosa es la posibilidad de solicitar a la entidad que tiene la información que la transmita a otra organización. Ello sin implicar necesariamente la supresión de los datos personales conservados en la entidad transmisora.
Preguntas frecuentes
A continuación las preguntas más planteadas por las empresas de telecomunicaciones.
¿Puedo incluir datos de clientes en una lista de morosos?
Únicamente puede realizarse la inscripción en el fichero de impagados cuando se den los siguientes requisitos:
- Se trate de una deuda verdadera, vencida y exigible, que no haya sido cobrada.
- Requerimiento previo de pago.
- No podrán incluirse datos sobre los que exista un principio de prueba documental que contradiga alguno de los requisitos anteriores.
- Debe hacerse un aviso al interesado por cada deuda concreta.
- Los datos que se incluyan deben tener menos de seis años de antigüedad.
El titular de los datos puede ejercitar el derecho a cancelarlos o rectificarlos solicitándolo directamente al operador. En caso de no tener respuesta en el plazo de 10 días o si esa respuesta no es satisfactoria, puede reclamar ante la Agencia Española de Protección de Datos acreditando la presentación de la solicitud.
Existe obligación de rectificar o cancelar, en su caso, los datos personales cuyo tratamiento no sea conforme a lo establecido en la LOPD y, en particular, cuando tales datos sean inexactos o incompletos.
Las infracciones que puedan cometerse en la gestión de esos registros se sancionan por la AEPD.
¿Pueden cederse a otras empresas los datos que aparecen en las guías telefónicas?
En caso de que una persona decida no aparecer en las guías telefónicas, sus datos personales no se facilitarán. Solo si se piden por empresas de servicios de emergencias. Las empresas que vayan a prestar servicio de información telefónica de números de abonado o que elaboren guías telefónicas, tienen derecho a disponer de esa información.
La legislación vigente en materia de protección de datos reconoce una serie de derechos como son el derecho de acceso, rectificación y cancelación de datos personales. En caso de no estar de acuerdo con la cesión de esos datos, puede ejercer cualquiera de estos derechos. Para ello debe dirigirse al propietario del fichero por cualquier método con el que sea posible justificar el envío y la recepción de esa petición. Junto con una copia del DNI e indicando el fichero que se desea consultar. Si en el plazo de un mes el responsable del fichero no ha contestado puede dirigir la solicitud a la AEPD con copia de la petición y la respuesta del responsable, si la hubiera.
¿Es legal recibir publicidad por teléfono, por correo electrónico o en el móvil?
En este caso, debemos distinguir dos supuestos:
- Las llamadas o mensajes automáticos, es decir, en los que no existe la intervención física de una persona, requieren consentimiento previo por parte del abonado para que se realicen.
- Las llamadas realizas por una persona son legales salvo que el abonado haya expresado su deseo de no recibirlas. En caso de que ese abonado haya solicitado no aparecer en la guía telefónica, sí puede dar su consentimiento para recibir este tipo de llamadas.
El interesado puede también ejercer su derecho a cancelar o rectificar sus datos solicitándolo directamente al operador. Si en el plazo de 10 días no recibe contestación o ésta no es satisfactoria, puede reclamar ante la AEPD acreditando la presentación de la solicitud.
En cuanto a los correos electrónicos, existe una práctica muy extendida denominada ‘Spam’ que comprende todo tipo de comunicación no solicitada realizada por vía electrónica. La LSSI solamente autoriza el envío de comunicaciones comerciales con el consentimiento previo del receptor o si ha habido un contrato previo entre la empresa y el abonado.
¿Durante cuánto tiempo puede mi operador mantener los datos de las llamadas y los de facturación?
Esos datos deben cancelarse o hacerse anónimos cuando ya no sean necesarios. Únicamente podrán tratarse durante el plazo en que sea posible reclamar la factura o exigirse el pago. Dicha información deberá constar en el contrato de abono al servicio.
¿Necesitan las operadoras de telecomunicaciones un DPD?
Sí lo necesitan, según el anteproyecto de LOPD. En esta ley se indican los tipos de empresas que deben contratar un DPD obligatoriamente. Y entre ellas están las entidades que exploten redes y presten servicios de comunicaciones electrónicas. Por tanto, las compañías telefónicas y los proveedores de acceso a Internet deben nombrar un Delegado de Protección de Datos.
¿Pueden ceder las compañías teleoperadoras datos de carácter personal de sus clientes a compañías de servicios de información que se encuentren en otros países?
Sí pueden hacerlo. Pero debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de los términos en que lo hace. En este caso, la solicitud de consentimiento debe presentarse de tal forma que se distinga de forma clara de los demás asuntos, inteligible y de fácil acceso siempre utilizando un lenguaje claro y sencillo.
¿Qué permite el ejercicio del derecho a la portabilidad de datos?
En primer lugar, es un derecho a recibir datos personales tratados por un responsable de tratamiento, y para almacenarlos para su uso personal adicional en un dispositivo privado, sin transferirlo a otro responsable.
En segundo lugar, este derecho también ofrece a los interesados la posibilidad de transmitir su información personal de un responsable de tratamiento a otro «sin obstáculos». Facilita su capacidad para mover, copiar o transferir datos personales fácilmente desde un entorno de TI a otro.
¿Cómo informar a los interesados sobre este nuevo derecho de portabilidad?
Debe informarse a los interesados sobre la existencia del derecho a la portabilidad de datos de forma concisa, transparente, inteligible y fácilmente evaluable, usando un lenguaje claro. Les explicarán claramente la diferencia entre los tipos de datos pueden recibir utilizando el derecho de portabilidad o el derecho de acceso así como los datos personales que son relevantes para la prestación de sus servicios.
¿Cómo puedo responder a las solicitudes de portabilidad de datos?
En primer lugar, los responsables del tratamiento deberían ofrecer una oportunidad de descarga directa para el interesado y, en segundo lugar, deberían permitir que los interesados transmitan directamente los datos a otro responsable.
El RGPD prohíbe que el responsable del tratamiento cobre una tarifa por el suministro de los datos, a menos que pueda demostrar que las solicitudes son manifiestamente infundadas o excesivas.
Modelos
A continuación tenéis las plantillas de los documentos necesarios para que cualquier empresa de telecomunicaciones cumpla con la Ley de Protección de Datos.
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
Sanciones
Con el RGPD se disparan los importes de las sanciones para los casos más graves de vulneración de la normativa de tratamiento de datos. En España, por ejemplo, se pasa se pasa de multas máximas de 600.000 euros a 20 millones o al 4% de la facturación global anual de las compañías que resulten sancionadas.
Las sanciones se interpondrán teniendo en cuenta:
- naturaleza, gravedad y duración de la infracción,
- número de interesados afectados,
- nivel de los daños y perjuicios que hayan sufrido,
- intencionalidad o negligencia en la infracción, y
- medidas tomadas por el infractor para paliar los daños y perjuicios ocasionados.
Asimismo, se evaluarán las medidas técnicas y organizativas previamente establecidas y los antecedentes de la empresa que haya incumplido, e incluso se valorará positivamente que el propio infractor ponga los hechos en conocimiento de la Agencia.
Las operadoras de telecomunicaciones son las más sancionadas por temas de Protección de Datos. Aquí tienes algunos ejemplos de sanciones impuestas por la AEPD.
Inclusión en ficheros de morosos
A la hora de incluir a un cliente en un fichero de impagos es necesario cumplir con los requisitos exigidos por la normativa, es decir, que sea una deuda cierta, vencida y exigible, que hayan transcurrido menos de 6 años desde que debió abonarse y que exista un requerimiento previo de pago. Resolución AEPD R/01315/2018
No facilitar a los clientes el ejercicio de sus derechos
Es obligatorio facilitar a los clientes el ejercicio de sus derechos ARCO, limitación y portabilidad. En caso de recibir una solicitud de cancelación de datos debes cancelar esos datos y responder en un plazo de 10 días hábiles. No será posible cancelar esos datos personales cuando deban ser conservados durante los plazos indicados en las normas aplicables o, en su caso, en la relación contractual entre el responsable del tratamiento y el interesado que permiten el tratamiento de los datos. Resolución AEPD R/01097/2018
¿Te ha quedado más claro cómo deben adaptarse las empresas de telecomunicaciones al RGPD? ¿Quieres evitar sanciones por usos indebidos? Espero tus comentarios.
Escribe aquí tu comentario