Lo que toda startup y/o pyme tiene que saber sobre protección de datos personales
Si estás montando tu propio negocio, esto es lo que tienes que saber sobre protección de los datos personales que manejes. Abstenerse profesionales de la lectura (ya os lo sabéis de sobra)
Cuando uno inicia su propia actividad profesional o empresarial, la lista de asuntos a resolver y/o tener en cuenta es larga. Vamos, que casi se te quitan las ganas de seguir.
¿Constituyo una sociedad o mejor opero como autónomo? ¿y si somos varios? ¿cómo gestiono un pacto de socios?
¿Qué régimen adopto con la Seguridad Social? ¿Trabajador por cuenta ajena, Administrador, autónomo?
Leyes fiscales, societarias, administrativas, civiles…. Y un largo etcétera de aspectos legales que toda “start-up” tiene que cumplir.
La protección de datos no se puede quedar atrás. Desde el mismo momento que comenzamos a confeccionar nuestra lista de contactos comerciales la protección de datos importa. Y mucho.
¿Qué es lo mínimo que debe saber alguien que se lanza a esto del emprendimiento?
1.- Toda gestión que conlleve datos personales (clientes, potenciales clientes, proveedores, trabajadores, usuarios, contactos, …) está sometida al cumplimiento del Reglamento UE 2016/679 General de Protección de Datos (el RGPD ¿te suena?) y la Ley Orgánica 3/2018 de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD). Estás obligado a cumplir. Que lo sepas.
2.- Ya que tienes que cumplir lo primero que tienes que saber es que lo que tienes (tengo clientes, contactos y proveedores por ejemplo).
Y lo que tienes o estás a punto de tener lo tienes que reflejar en un registro: es lo que conocemos como el Registro de Actividades de Tratamiento, un documento “vivo” que debe contener el tipo de datos que recoges, para qué son esos datos, con quién los compartes, cuánto tiempo los guardas, si basas el tratamiento en el consentimiento o en otras bases de legitimación (p.e. ejecución de contrato, obligación legal,…) etc, etc. Para confeccionar este registro has tenido que reflexionar sobre estas cosas que a veces no se tienen claras (por ejemplo, en las relaciones laborales el tratamiento de datos no se basa en el consentimiento del trabajador sino en la ejecución de la relación laboral). Todo esto lo dice el artículo 30 del RGPD.
¿Te lo pueden pedir? Sí ¿Quiénes? Pues de entrada la Agencia Española de Protección de Datos si hay una denuncia y también un cliente que quiera saber cómo tienes esto de la protección de datos, sobre todo cuando estás gestionando datos de sus propios clientes, trabajadores, etc.
No cometas ese error de pensar que porque eres pequeño, estás empezando, etc, nadie (ni la Agencia Española de Protección de Datos) se va a fijar en ti. De esto no se libra nadie. Si lo haces mal te pueden denunciar y te sancionan (o al menos te pegan un susto). Pero como quieres hacer las cosas bien, no te pesa la amenaza de multa sino el deber de cumplir y garantizar la privacidad…
3.- Ya sabes los datos que estás manejando o vas a manejar ¿Qué más? Pues tienes que informar siempre que recojas datos: utilizarás propuestas comerciales, presupuestos, formularios, emails, cualquier fórmula para que tu nuevo cliente (tu tesoroooo) te facilite la información mínima para trabajar. Si estás en el mundo online lo pedirás vía formulario, pero cualquier vía será bienvenida.
¿Y de qué hay que informar? Pues de quién es el Responsable del tratamiento (serás tú si eres autónomo o tu sociedad si la has constituido), lo que vas a hacer con los datos, en qué te basas para hacer tratamiento de datos, cuánto tiempo los conservarás, si los vas a compartir con alguien, donde se puede dirigir el titular del dato para pedir sus derechos o dónde puede reclamar. Se trata de ser muy muy transparente.
Ojito con el corta-pega. Además de cometer una ilegalidad -infracción de derechos de propiedad intelectual- puedes estar copiando malamente (tra tra) y por ello no cumplir adecuadamente ese deber de informar.
4.- ¿Derechos de los titulares de los datos (también llamados “interesados”)?
Son la materialización del derecho a la protección de datos y son los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. Si un usuario te los pide tienes que contestar en el plazo de un mes y para ello tendrás que habilitar un medio de contacto fácil. Para tenerlo claro como hacerlo y no meter la pata, lo mejor es tener un procedimiento de gestión de esos derechos para que tengas claro cómo actuar en cada caso y según cada derecho.
5.- Medidas de seguridad: si vas a gestionar datos personales, la seguridad es imprescindible. No hace falta que conviertas tu actividad en el Pentágono, pero tienes que dotarte de medidas que protejan la información. Cosas tan sencillas como trabajar con software original y actualizado, protegerse con antivirus, firewalls, utilizar VPNs, hacer copia de seguridad, cambiar las contraseñas (y evitar el 1234567) restringir los accesos, cifrar la información etc. están al alcance de cualquiera. De esto hay mucha información en el INCIBE que hace videos muy chulos y aconseja bien. Puedes empezar con el Kit de concienciación | INCIBE
6.- No tengo presupuesto para ciberseguridad y esas cosas.
Ningún emprendedor es Rockefeller, tranquilo. Según el RGPD la seguridad debe enfocarse siempre “desde el riesgo” lo que significa que debes analizar los riesgos que tiene tu actividad (no es lo mismo montar una web para vender ropa que una clínica estética donde seguramente vas a manejar hasta datos de salud, ni es lo mismo trabajar básicamente con empresas que por ejemplo con datos sensibles de personas “vip”). Por eso hay que hacer un análisis de riesgos. Y a veces incluso una «Evaluación de Impacto» que es algo parecido sobre todo cuando se pone en marcha un nuevo tratamiento de datos que pueda implicar un alto riesgo.
¿Y cómo se hace esto? Aquí te doy algunas indicaciones, pero la Agencia Española de Protección de Datos que ha hecho una labor de divulgación admirable cuenta con herramientas y guías que te pueden ayudar.
Lo importante es que identifiques tus riesgos y los gestiones para que sepas dónde estás y a lo que tienes que dar prioridad. Por ejemplo: si has desarrollado una app, dale prioridad a la ciberseguridad pues tus vulnerabilidades te pueden venir por ejemplo de una mala configuración, del uso de otras herramientas no seguras o por ejemplo del entorno en el que desarrollas la app.
También tendrás que informar y pedir consentimientos ¿Cómo se gestiona el riesgo? Pues puedes afrontarlo y mitigarlo, puedes asumirlo y no hacer nada (y te la juegas) o también puedes derivarlo (a ver a quién le encasquetas el tema porque no hay compañía de seguros que te cubra un entorno inseguro, ojo con este tipo de pólizas que te piden que garantices que tienes un buen nivel de seguridad y cumplimiento).
No pierdas de vista el llamado «Kit Digital» que te permitirá solicitar ayudas para, entre otras cuestiones, la seguridad de tu nuevo negocio. Más info: Kit Digital | Acelera pyme
7.- ¿Y si la seguridad falla?
Puede pasar. Ya sabes que no hay ninguna medida de seguridad infalible pero si tienes un problema de seguridad que afecte a datos personales, tienes la obligación de ponerlo en conocimiento de la Agencia Española de Protección de Datos en un plazo máximo de 72 horas. Aunque hay matices y puede ser que el fallo de seguridad esté limitado, que sepas que esta es una de las obligaciones que te exige la ley. Y por supuesto tendrás que gestionar la incidencia para contener sus efectos y adoptar medidas para que no se vuelva a repetir.
8.- Tus relaciones con terceros sobre todo si acceden a los datos que tú manejas
Es posible que seas “Juan Palomo” y te lo hagas todo tú, pero serías casi una excepción.
Desde una gestoría hasta un software de gestión o un hosting o incluso una plataforma de trabajo, implica que hay terceros que pueden acceder a los datos personales que gestionas y que son de tu responsabilidad. Incluso es posible que quien te haya hecho la web tenga acceso a los datos de tus formularios de contacto. Todos ellos son “encargados de tratamiento”, es decir terceros que te prestan un servicio y para ello tienen que acceder a datos que tu gestionas.
Es imprescindible elegir bien (a veces lo barato sale caro), a ser posible que estén en la Unión Europea o en países con un nivel de seguridad equivalente (y te ahorras los quebraderos de cabeza de las transferencias internacionales). Y esta relación tendrá que estar formalizada en un contrato (el contrato de tratamiento de datos, «Data Processing Agreement», contrato de encargo de tratamiento etc). Imprescindible el contrato: y esto es binario: o lo tienes o no lo tienes. Si tu proveedor mete la pata, el responsable eres tú (o tu empresa) por lo que en el contrato debe constar que tu proveedor también cumple con el RGPD.
9.- Pensar en privacidad
Cuando no se tiene “cultura de la privacidad” todo esto provoca “agujetas”. Con el tiempo es muy gratificante ver como cuando alguien inicia un nuevo proyecto, una nueva web o una actividad que implique recoger y tratar datos se plantea desde el minuto uno, que la privacidad importa (es lo que conocemos como “privacidad desde el diseño y por defecto”) y de esta forma se incorpora el cumplimiento al desarrollo y todo es mucho más sencillo.
Cumplir con los principios establecidos en el RGPD: responsabilidad proactiva, minimización, limitación de la finalidad, limitación de la conservación de los datos, exactitud, etc es una tarea que debe ir calando en tu forma de trabajar. Teniéndolo claro y casi sin darte cuenta, habrás incorporado la privacidad al ADN de tu actividad.
No te olvides de formar a tu equipo: a todo el mundo le suena esto de la protección de datos pero es frecuente que no se conozcan bien las implicaciones que en un día a día de una empresa tiene la privacidad.
10.- Déjate asesorar
Y si todo lo anterior te parece un rollo patatero, muy complejo o directamente no tienes tiempo para profundizar en exceso (la página web de la Agencia Española de Protección de Datos te ofrece cantidad de recursos, guías y herramientas), contrata a alguien que te lo cuente y que te asesore.
Al final vas a tener que cambiar algunos hábitos o estar pendiente de algunas cosas pero tener a un asesor que te oriente y a quien puedas preguntar, siempre te dará tranquilidad. Al fin y al cabo para eso estamos ¿no?
Desconfía de los que te ofrecen asesorarte gratuitamente a cambio de formación (es un fraude: una cosa es el asesoramiento y otra la formación), de los que no te dedican “horas” para escucharte, entender tu negocio y darte consejos a medida. Esto no son matemáticas, no lo sabemos todo y a veces nos lo tenemos que estudiar o incluso entre los profesionales tenemos criterios distintos.
Al fin y al cabo se trata de que vayas por el camino del buen cumplimiento y que cualquier cosa que decidas hacer con los datos personales esté fundamentada y sea legal.
Y hasta aquí los “must have” de la privacidad. ¿A que no es para tanto?
Si tienes dudas, consúltanos.
#losdetallesimportan
Paz Martin