Las empresas han invertido mucho dinero y esfuerzo en controlar los recursos a los que sus empleados tienen acceso. Y de hecho, en gran número de empresas, se ha conseguido concentrar todos los recursos internos a través de un directorio activo, de forma que el control de estos recursos queda totalmente centralizado.
Sin embargo, cada día, la tecnología brinda a las empresas nuevas oportunidades. Sean páginas web, redes sociales, apps, o servicios en la nube, las empresas llevan años buscando el negocio y explorando las nuevas e incesantes funcionalidades de Internet.
En general, estos recursos online están sometidos al cumplimiento de ciertas normas, como por ejemplo, la LOPD y la LSSI, que exigen un control por parte de la empresa de las operaciones que se realizan a través de este recurso.
Sin embargo, cada vez resulta más preocupante la falta de control e incluso de conocimiento que existe en grandes compañías y empresas (incluso públicas) sobre los recursos online de que dispone.
De hecho, resulta complicado obtener un inventario de recursos online en muchas empresas, lo cual dificulta en gran medida poder verificar el cumplimiento de la normativa vigente en dichos recursos.
Analicemos un par de ejemplos reales:
- Departamentos que abren cuentas en servicios online para uso común (pensemos en servicios de alojamiento en la nube, o herramientas de selección de personal, como los casos más habituales)
Intrínsecamente, este tipo de servicios no suponen un incumplimiento de la normativa española. De hecho, algunas ofrecen garantías de cumplimiento de la normativa europea.
Sin embargo, una falta de control puede hacer que un empleado del departamento sea despedido, pero conserve el acceso a la cuenta departamental de este servicio de alojamiento.
En caso de alojarse datos personales, tendríamos un incumplimiento grave de la normativa de protección de datos.
- Departamentos que crean webs o apps sin contar con el necesario asesoramiento jurídico.
Todas las webs y apps empresariales (sean comerciales, informativas, transaccionales, o de cualquier naturaleza), deben cumplir con ciertas obligaciones de la LSSI; fundamentalmente, identificar debidamente al responsable del recurso.
Pero además, es necesario analizar si hay comercio electrónico, si existen cookies sometidas a las obligaciones de información y consentimiento previo, si existe recogida de datos personales, si se pretenden obtener datos con fines publicitarios, si se trata de un servicio dirigido a menores de edad, si hay concursos o sorteos que deban ser regulados, si se están creando nuevos ficheros etc.
Siempre será recomendable contar con un buen asesoramiento jurídico antes de sacar un nuevo servicio online.
Por cada servicio o recurso online, se nos podrían ocurrir un gran número de riesgos a tener en cuenta, pero el mayor riesgo es no saber lo que tienes.
De hecho, la propia naturaleza de los servicios o recursos online “choca” con la burocracia interna que permite el control necesario para garantizar el cumplimiento de la normativa.
Y, también, la propia naturaleza de estos recursos, exige su constante actualización y renovación, que puede provocar nuevas cargas legales que no existían al inicio del proyecto.
Por todo ello, aunque resulte incómodo, lento, o pesado, es necesario invertir en el control interno de los recursos online, tanto en su creación, como en su mantenimiento. De lo contrario, nunca sabremos lo que tenemos.
José Carlos Moratilla
Responsable del Departamento Legal
Audea Seguridad de la Información, S.L.