Lo que toda startup y/o pyme tiene que saber sobre protección de datos personales

Si estás montando tu propio negocio, esto es lo que tienes que saber sobre protección de los datos personales que manejes. Abstenerse profesionales de la lectura (ya os lo sabéis de sobra)

 

Cuando uno inicia su propia actividad profesional o empresarial, la lista de asuntos a resolver y/o tener en cuenta es larga. Vamos, que casi se te quitan las ganas de seguir.

¿Constituyo una sociedad o mejor opero como autónomo? ¿y si somos varios? ¿cómo gestiono un pacto de socios?

¿Qué régimen adopto con la Seguridad Social? ¿Trabajador por cuenta ajena, Administrador, autónomo?

Leyes fiscales, societarias, administrativas, civiles…. Y un largo etcétera de aspectos legales que toda “start-up” tiene que cumplir.

La protección de datos no se puede quedar atrás. Desde el mismo momento que comenzamos a confeccionar nuestra lista de contactos comerciales la protección de datos importa. Y mucho.

¿Qué es lo mínimo que debe saber alguien que se lanza a esto del emprendimiento?

1.- Toda gestión que conlleve datos personales (clientes, potenciales clientes, proveedores, trabajadores, usuarios, contactos, …) está sometida al cumplimiento del Reglamento UE 2016/679 General de Protección de Datos (el RGPD ¿te suena?) y la Ley Orgánica 3/2018 de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD). Estás obligado a cumplir. Que lo sepas.

2.- Ya que tienes que cumplir lo primero que tienes que saber es que lo que tienes (tengo clientes, contactos y proveedores por ejemplo).

Y lo que tienes o estás a punto de tener lo tienes que reflejar en un registro: es lo que conocemos como el Registro de Actividades de Tratamiento, un documento “vivo” que debe contener el tipo de datos que recoges, para qué son esos datos, con quién los compartes, cuánto tiempo los guardas, si basas el tratamiento en el consentimiento o en otras bases de legitimación (p.e. ejecución de contrato, obligación legal,…) etc, etc. Para confeccionar este registro has tenido que reflexionar sobre estas cosas que a veces no se tienen claras (por ejemplo, en las relaciones laborales el tratamiento de datos no se basa en el consentimiento del trabajador sino en la ejecución de la relación laboral). Todo esto lo dice el artículo 30 del RGPD.

¿Te lo pueden pedir? Sí ¿Quiénes? Pues de entrada la Agencia Española de Protección de Datos si hay una denuncia y también un cliente que quiera saber cómo tienes esto de la protección de datos, sobre todo cuando estás gestionando datos de sus propios clientes, trabajadores, etc.

No cometas ese error de pensar que porque eres pequeño, estás empezando, etc, nadie (ni la Agencia Española de Protección de Datos) se va a fijar en ti. De esto no se libra nadie. Si lo haces mal te pueden denunciar y te sancionan (o al menos te pegan un susto). Pero como quieres hacer las cosas bien, no te pesa la amenaza de multa sino el deber de cumplir y garantizar la privacidad…

3.- Ya sabes los datos que estás manejando o vas a manejar ¿Qué más? Pues tienes que informar siempre que recojas datos: utilizarás propuestas comerciales, presupuestos, formularios, emails, cualquier fórmula para que tu nuevo cliente (tu tesoroooo) te facilite la información mínima para trabajar. Si estás en el mundo online lo pedirás vía formulario, pero cualquier vía será bienvenida.

¿Y de qué hay que informar? Pues de quién es el Responsable del tratamiento (serás tú si eres autónomo o tu sociedad si la has constituido), lo que vas a hacer con los datos, en qué te basas para hacer tratamiento de datos, cuánto tiempo los conservarás, si los vas a compartir con alguien, donde se puede dirigir el titular del dato para pedir sus derechos o dónde puede reclamar. Se trata de ser muy muy transparente.

Ojito con el corta-pega. Además de cometer una ilegalidad -infracción de derechos de propiedad intelectual- puedes estar copiando malamente (tra tra) y por ello no cumplir adecuadamente ese deber de informar.

4.- ¿Derechos de los titulares de los datos (también llamados “interesados”)?

Son la materialización del derecho a la protección de datos y son los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. Si un usuario te los pide tienes que contestar en el plazo de un mes y para ello tendrás que habilitar un medio de contacto fácil. Para tenerlo claro como hacerlo y no meter la pata, lo mejor es tener un procedimiento de gestión de esos derechos para que tengas claro cómo actuar en cada caso y según cada derecho.

 

5.- Medidas de seguridad: si vas a gestionar datos personales, la seguridad es imprescindible. No hace falta que conviertas tu actividad en el Pentágono, pero tienes que dotarte de medidas que protejan la información. Cosas tan sencillas como trabajar con software original y actualizado, protegerse con antivirus, firewalls, utilizar VPNs, hacer copia de seguridad, cambiar las contraseñas (y evitar el 1234567) restringir los accesos, cifrar la información etc. están al alcance de cualquiera. De esto hay mucha información en el INCIBE que hace videos muy chulos y aconseja bien. Puedes empezar con el  Kit de concienciación | INCIBE

 

6.- No tengo presupuesto para ciberseguridad y esas cosas.

Ningún emprendedor es Rockefeller, tranquilo. Según el RGPD la seguridad debe enfocarse siempre “desde el riesgo” lo que significa que debes analizar los riesgos que tiene tu actividad (no es lo mismo montar una web para vender ropa que una clínica estética donde seguramente vas a manejar hasta datos de salud, ni es lo mismo trabajar básicamente con empresas que por ejemplo con datos sensibles de personas “vip”). Por eso hay que hacer un análisis de riesgos. Y a veces incluso una «Evaluación de Impacto» que es algo parecido sobre todo cuando se pone en marcha un nuevo tratamiento de datos que pueda implicar un alto riesgo.

¿Y cómo se hace esto? Aquí te doy algunas indicaciones, pero la Agencia Española de Protección de Datos que ha hecho una labor de divulgación admirable cuenta con herramientas y guías que te pueden ayudar.

Lo importante es que identifiques tus riesgos y los gestiones para que sepas dónde estás y a lo que tienes que dar prioridad. Por ejemplo: si has desarrollado una app, dale prioridad a la ciberseguridad pues tus vulnerabilidades te pueden venir por ejemplo de una mala configuración, del uso de otras herramientas no seguras o por ejemplo del entorno en el que desarrollas la app.

También tendrás que informar y pedir consentimientos ¿Cómo se gestiona el riesgo? Pues puedes afrontarlo y mitigarlo, puedes asumirlo y no hacer nada (y te la juegas) o también puedes derivarlo (a ver a quién le encasquetas el tema porque no hay compañía de seguros que te cubra un entorno inseguro, ojo con este tipo de pólizas que te piden que garantices que tienes un buen nivel de seguridad y cumplimiento).

No pierdas de vista el llamado «Kit Digital» que te permitirá solicitar ayudas para, entre otras cuestiones, la seguridad de tu nuevo negocio. Más info: Kit Digital | Acelera pyme

7.- ¿Y si la seguridad falla?

Puede pasar. Ya sabes que no hay ninguna medida de seguridad infalible pero si tienes un problema de seguridad que afecte a datos personales, tienes la obligación de ponerlo en conocimiento de la Agencia Española de Protección de Datos en un plazo máximo de 72 horas. Aunque hay matices y puede ser que el fallo de seguridad esté limitado, que sepas que esta es una de las obligaciones que te exige la ley. Y por supuesto tendrás que gestionar la incidencia para contener sus efectos y adoptar medidas para que no se vuelva a repetir.

8.- Tus relaciones con terceros sobre todo si acceden a los datos que tú manejas

Es posible que seas “Juan Palomo” y te lo hagas todo tú, pero serías casi una excepción.

Desde una gestoría hasta un software de gestión o un hosting o incluso una plataforma de trabajo, implica que hay terceros que pueden acceder a los datos personales que gestionas y que son de tu responsabilidad. Incluso es posible que quien te haya hecho la web tenga acceso a los datos de tus formularios de contacto. Todos ellos son “encargados de tratamiento”, es decir terceros que te prestan un servicio y para ello tienen que acceder a datos que tu gestionas.

Es imprescindible elegir bien (a veces lo barato sale caro), a ser posible que estén en la Unión Europea o en países con un nivel de seguridad equivalente (y te ahorras los quebraderos de cabeza de las transferencias internacionales). Y esta relación tendrá que estar formalizada en un contrato (el contrato de tratamiento de datos, «Data Processing Agreement», contrato de encargo de tratamiento etc). Imprescindible el contrato: y esto es binario: o lo tienes o no lo tienes. Si tu proveedor mete la pata, el responsable eres tú (o tu empresa) por lo que en el contrato debe constar que tu proveedor también cumple con el RGPD.

9.- Pensar en privacidad

Cuando no se tiene “cultura de la privacidad” todo esto provoca “agujetas”. Con el tiempo es muy gratificante ver como cuando alguien inicia un nuevo proyecto, una nueva web o una actividad que implique recoger y tratar datos se plantea desde el minuto uno, que la privacidad importa (es lo que conocemos como “privacidad desde el diseño y por defecto”) y de esta forma se incorpora el cumplimiento al desarrollo y todo es mucho más sencillo.

Cumplir con los principios establecidos en el RGPD: responsabilidad proactiva, minimización, limitación de la finalidad, limitación de la conservación de los datos, exactitud, etc es una tarea que debe ir calando en tu forma de trabajar. Teniéndolo claro y casi sin darte cuenta, habrás incorporado la privacidad al ADN de tu actividad.

No te olvides de formar a tu equipo: a todo el mundo le suena esto de la protección de datos pero es frecuente que no se conozcan bien las implicaciones que en un día a día de una empresa tiene la privacidad.

 

10.- Déjate asesorar

Y si todo lo anterior te parece un rollo patatero, muy complejo o directamente no tienes tiempo para profundizar en exceso (la página web de la Agencia Española de Protección de Datos te ofrece cantidad de recursos, guías y herramientas), contrata a alguien que te lo cuente y que te asesore.

Al final vas a tener que cambiar algunos hábitos o estar pendiente de algunas cosas pero tener a un asesor que te oriente y a quien puedas preguntar, siempre te dará tranquilidad. Al fin y al cabo para eso estamos ¿no?

Desconfía de los que te ofrecen asesorarte gratuitamente a cambio de formación (es un fraude: una cosa es el asesoramiento y otra la formación), de los que no te dedican “horas” para escucharte, entender tu negocio y darte consejos a medida. Esto no son matemáticas, no lo sabemos todo y a veces nos lo tenemos que estudiar o incluso entre los profesionales tenemos criterios distintos.

Al fin y al cabo se trata de que vayas por el camino del buen cumplimiento y que cualquier cosa que decidas hacer con los datos personales esté fundamentada y sea legal.

Y hasta aquí los “must have” de la privacidad. ¿A que no es para tanto?

Si tienes dudas, consúltanos.

#losdetallesimportan

Paz Martin

 

Día internacional de la mujer: una visión del sector legal

Hoy estamos de celebración: mujeres y hombres que creemos en la igualdad. En la igualdad con mayúsculas. En la igualdad que nos beneficia a todos, que no separa ni divide sino que une y crea sinergias y nos hace a todos mejores.

En un día como hoy echamos la vista atrás y podemos afirmar que hemos avanzado mucho. No hay que retroceder a esa época en la que nuestras madres y abuelas necesitaban autorización paterna o de su marido para abrir una cuenta corriente. Hablo de esas actitudes tradicionalmente discriminatorias, muy arraigadas a la cultura y a la sociedad de las que poco a poco nos hemos ido desprendiendo.

El sector legal es prueba de ello. Las mujeres somos ya mayoría en las facultades de Derecho, en la judicatura y en muchos otros órdenes… pero todavía no ocupamos, de forma proporcional, los puestos de responsabilidad que nos corresponderían. Hay muchos menos socias que socios, las altas esferas de la judicatura están mayoritariamente ocupados por varones así como órganos de gobierno y puestos de responsabilidad. Aquí todavía tenemos trabajo por hacer.

No se trata de cuotas. No se trata de imponer. Se trata de que la mitad de nuestra sociedad y del colectivo jurídico estén representados de forma suficiente en las instituciones, en las empresas, en los despachos.

En el mundo de los emprendedores del sector jurídico una buena parte somos mujeres que hemos decidido volar (y a veces estrellarnos para volver a remontar el vuelo). Y nada de esto extraña ya.

Aunque sigamos siendo mayoritariamente las que nos ocupamos de los cuidados (no sólo de los hijos), en esto también hemos avanzado. A mi alrededor todos los padres han sido responsables del cuidado y educación de sus hijos y el rol de «ayudar» ha quedado desterrado para sustituirlo por el de la corresponsabilidad. Queda camino por recorrer, no nos engañemos, pero ya no hay marcha atrás.

Eran otros tiempos en los que en una reunión en la que una de las partes la formaran dos profesionales (hombre y mujer) los interlocutores se dirigieran casi en exclusiva al hombre por considerar (a veces de forma inconsciente) que la voz cantante la llevaba éste. También nos chocaría que nos preguntaran si estamos casadas o tenemos intención de tener hijos o si para nosotras esto es importante… No hace tanto tiempo de esto… Y por supuesto se han ido superando algunos micromachismos muy arraigados en el mundo empresarial…aunque todavía quedan…

Y en este camino nos encontramos trabajando por demostrar cada día que el mundo es de todos. Que somos diferentes (y bendita diferencia) pero que gozamos de los mismos derechos y oportunidades. Que podemos convivir en el respeto, la tolerancia y en la convivencia.

Tenemos una responsabilidad: la educación de las nuevas generaciones. Ellas lo harán posible. Tenemos que conseguir que las niñas no se pongan límites, que se animen a estudiar carreras mayoritariamente «masculinas» (las carreras STEM todavía son nuestra asignatura pendiente), que aspiren a puestos de responsabilidad sin renunciar a su vida, a su familia o a lo que quieran ser. Me gusta encontrarme chicas en los estudios de informática y ciberseguridad donde imparto clases: ellas son poderosas, son listas y aportan eso que tanto hace falta en algunos sectores.

Miro hacia atrás y me complace ver que estamos mucho mejor que cuando yo empecé a trabajar en un despacho, que se me dieron oportunidades y que jamás se me discriminó pero pululaba en el ambiente el fantasma del embarazo (suena horrible pero así es) y la posibilidad de «desaparecer» durante cuatro meses… En esto, gracias a Dios, las cosas han cambiado bastante. Entre todas (y todos) lo estamos consiguiendo. El sector jurídico es un ejemplo de una evolución lenta pero firme. Quizás días como hoy sirvan para reflexionar sobre la conciliación en este sector (pero no sólo de mujeres sino también de hombres que se ven privados de su vida familiar y su tiempo libre por las a veces draconianas jornadas laborales) pero este es otro tema…

Feliz día a todas y que el objetivo sea una sociedad mejor.

#losdetallesimportan

Madrid, 8 de marzo de 2022

Paz Martin