Entradas

Lo que toda startup y/o pyme tiene que saber sobre protección de datos personales

Si estás montando tu propio negocio, esto es lo que tienes que saber sobre protección de los datos personales que manejes. Abstenerse profesionales de la lectura (ya os lo sabéis de sobra)

 

Cuando uno inicia su propia actividad profesional o empresarial, la lista de asuntos a resolver y/o tener en cuenta es larga. Vamos, que casi se te quitan las ganas de seguir.

¿Constituyo una sociedad o mejor opero como autónomo? ¿y si somos varios? ¿cómo gestiono un pacto de socios?

¿Qué régimen adopto con la Seguridad Social? ¿Trabajador por cuenta ajena, Administrador, autónomo?

Leyes fiscales, societarias, administrativas, civiles…. Y un largo etcétera de aspectos legales que toda “start-up” tiene que cumplir.

La protección de datos no se puede quedar atrás. Desde el mismo momento que comenzamos a confeccionar nuestra lista de contactos comerciales la protección de datos importa. Y mucho.

¿Qué es lo mínimo que debe saber alguien que se lanza a esto del emprendimiento?

1.- Toda gestión que conlleve datos personales (clientes, potenciales clientes, proveedores, trabajadores, usuarios, contactos, …) está sometida al cumplimiento del Reglamento UE 2016/679 General de Protección de Datos (el RGPD ¿te suena?) y la Ley Orgánica 3/2018 de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD). Estás obligado a cumplir. Que lo sepas.

2.- Ya que tienes que cumplir lo primero que tienes que saber es que lo que tienes (tengo clientes, contactos y proveedores por ejemplo).

Y lo que tienes o estás a punto de tener lo tienes que reflejar en un registro: es lo que conocemos como el Registro de Actividades de Tratamiento, un documento “vivo” que debe contener el tipo de datos que recoges, para qué son esos datos, con quién los compartes, cuánto tiempo los guardas, si basas el tratamiento en el consentimiento o en otras bases de legitimación (p.e. ejecución de contrato, obligación legal,…) etc, etc. Para confeccionar este registro has tenido que reflexionar sobre estas cosas que a veces no se tienen claras (por ejemplo, en las relaciones laborales el tratamiento de datos no se basa en el consentimiento del trabajador sino en la ejecución de la relación laboral). Todo esto lo dice el artículo 30 del RGPD.

¿Te lo pueden pedir? Sí ¿Quiénes? Pues de entrada la Agencia Española de Protección de Datos si hay una denuncia y también un cliente que quiera saber cómo tienes esto de la protección de datos, sobre todo cuando estás gestionando datos de sus propios clientes, trabajadores, etc.

No cometas ese error de pensar que porque eres pequeño, estás empezando, etc, nadie (ni la Agencia Española de Protección de Datos) se va a fijar en ti. De esto no se libra nadie. Si lo haces mal te pueden denunciar y te sancionan (o al menos te pegan un susto). Pero como quieres hacer las cosas bien, no te pesa la amenaza de multa sino el deber de cumplir y garantizar la privacidad…

3.- Ya sabes los datos que estás manejando o vas a manejar ¿Qué más? Pues tienes que informar siempre que recojas datos: utilizarás propuestas comerciales, presupuestos, formularios, emails, cualquier fórmula para que tu nuevo cliente (tu tesoroooo) te facilite la información mínima para trabajar. Si estás en el mundo online lo pedirás vía formulario, pero cualquier vía será bienvenida.

¿Y de qué hay que informar? Pues de quién es el Responsable del tratamiento (serás tú si eres autónomo o tu sociedad si la has constituido), lo que vas a hacer con los datos, en qué te basas para hacer tratamiento de datos, cuánto tiempo los conservarás, si los vas a compartir con alguien, donde se puede dirigir el titular del dato para pedir sus derechos o dónde puede reclamar. Se trata de ser muy muy transparente.

Ojito con el corta-pega. Además de cometer una ilegalidad -infracción de derechos de propiedad intelectual- puedes estar copiando malamente (tra tra) y por ello no cumplir adecuadamente ese deber de informar.

4.- ¿Derechos de los titulares de los datos (también llamados “interesados”)?

Son la materialización del derecho a la protección de datos y son los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. Si un usuario te los pide tienes que contestar en el plazo de un mes y para ello tendrás que habilitar un medio de contacto fácil. Para tenerlo claro como hacerlo y no meter la pata, lo mejor es tener un procedimiento de gestión de esos derechos para que tengas claro cómo actuar en cada caso y según cada derecho.

 

5.- Medidas de seguridad: si vas a gestionar datos personales, la seguridad es imprescindible. No hace falta que conviertas tu actividad en el Pentágono, pero tienes que dotarte de medidas que protejan la información. Cosas tan sencillas como trabajar con software original y actualizado, protegerse con antivirus, firewalls, utilizar VPNs, hacer copia de seguridad, cambiar las contraseñas (y evitar el 1234567) restringir los accesos, cifrar la información etc. están al alcance de cualquiera. De esto hay mucha información en el INCIBE que hace videos muy chulos y aconseja bien. Puedes empezar con el  Kit de concienciación | INCIBE

 

6.- No tengo presupuesto para ciberseguridad y esas cosas.

Ningún emprendedor es Rockefeller, tranquilo. Según el RGPD la seguridad debe enfocarse siempre “desde el riesgo” lo que significa que debes analizar los riesgos que tiene tu actividad (no es lo mismo montar una web para vender ropa que una clínica estética donde seguramente vas a manejar hasta datos de salud, ni es lo mismo trabajar básicamente con empresas que por ejemplo con datos sensibles de personas “vip”). Por eso hay que hacer un análisis de riesgos. Y a veces incluso una «Evaluación de Impacto» que es algo parecido sobre todo cuando se pone en marcha un nuevo tratamiento de datos que pueda implicar un alto riesgo.

¿Y cómo se hace esto? Aquí te doy algunas indicaciones, pero la Agencia Española de Protección de Datos que ha hecho una labor de divulgación admirable cuenta con herramientas y guías que te pueden ayudar.

Lo importante es que identifiques tus riesgos y los gestiones para que sepas dónde estás y a lo que tienes que dar prioridad. Por ejemplo: si has desarrollado una app, dale prioridad a la ciberseguridad pues tus vulnerabilidades te pueden venir por ejemplo de una mala configuración, del uso de otras herramientas no seguras o por ejemplo del entorno en el que desarrollas la app.

También tendrás que informar y pedir consentimientos ¿Cómo se gestiona el riesgo? Pues puedes afrontarlo y mitigarlo, puedes asumirlo y no hacer nada (y te la juegas) o también puedes derivarlo (a ver a quién le encasquetas el tema porque no hay compañía de seguros que te cubra un entorno inseguro, ojo con este tipo de pólizas que te piden que garantices que tienes un buen nivel de seguridad y cumplimiento).

No pierdas de vista el llamado «Kit Digital» que te permitirá solicitar ayudas para, entre otras cuestiones, la seguridad de tu nuevo negocio. Más info: Kit Digital | Acelera pyme

7.- ¿Y si la seguridad falla?

Puede pasar. Ya sabes que no hay ninguna medida de seguridad infalible pero si tienes un problema de seguridad que afecte a datos personales, tienes la obligación de ponerlo en conocimiento de la Agencia Española de Protección de Datos en un plazo máximo de 72 horas. Aunque hay matices y puede ser que el fallo de seguridad esté limitado, que sepas que esta es una de las obligaciones que te exige la ley. Y por supuesto tendrás que gestionar la incidencia para contener sus efectos y adoptar medidas para que no se vuelva a repetir.

8.- Tus relaciones con terceros sobre todo si acceden a los datos que tú manejas

Es posible que seas “Juan Palomo” y te lo hagas todo tú, pero serías casi una excepción.

Desde una gestoría hasta un software de gestión o un hosting o incluso una plataforma de trabajo, implica que hay terceros que pueden acceder a los datos personales que gestionas y que son de tu responsabilidad. Incluso es posible que quien te haya hecho la web tenga acceso a los datos de tus formularios de contacto. Todos ellos son “encargados de tratamiento”, es decir terceros que te prestan un servicio y para ello tienen que acceder a datos que tu gestionas.

Es imprescindible elegir bien (a veces lo barato sale caro), a ser posible que estén en la Unión Europea o en países con un nivel de seguridad equivalente (y te ahorras los quebraderos de cabeza de las transferencias internacionales). Y esta relación tendrá que estar formalizada en un contrato (el contrato de tratamiento de datos, «Data Processing Agreement», contrato de encargo de tratamiento etc). Imprescindible el contrato: y esto es binario: o lo tienes o no lo tienes. Si tu proveedor mete la pata, el responsable eres tú (o tu empresa) por lo que en el contrato debe constar que tu proveedor también cumple con el RGPD.

9.- Pensar en privacidad

Cuando no se tiene “cultura de la privacidad” todo esto provoca “agujetas”. Con el tiempo es muy gratificante ver como cuando alguien inicia un nuevo proyecto, una nueva web o una actividad que implique recoger y tratar datos se plantea desde el minuto uno, que la privacidad importa (es lo que conocemos como “privacidad desde el diseño y por defecto”) y de esta forma se incorpora el cumplimiento al desarrollo y todo es mucho más sencillo.

Cumplir con los principios establecidos en el RGPD: responsabilidad proactiva, minimización, limitación de la finalidad, limitación de la conservación de los datos, exactitud, etc es una tarea que debe ir calando en tu forma de trabajar. Teniéndolo claro y casi sin darte cuenta, habrás incorporado la privacidad al ADN de tu actividad.

No te olvides de formar a tu equipo: a todo el mundo le suena esto de la protección de datos pero es frecuente que no se conozcan bien las implicaciones que en un día a día de una empresa tiene la privacidad.

 

10.- Déjate asesorar

Y si todo lo anterior te parece un rollo patatero, muy complejo o directamente no tienes tiempo para profundizar en exceso (la página web de la Agencia Española de Protección de Datos te ofrece cantidad de recursos, guías y herramientas), contrata a alguien que te lo cuente y que te asesore.

Al final vas a tener que cambiar algunos hábitos o estar pendiente de algunas cosas pero tener a un asesor que te oriente y a quien puedas preguntar, siempre te dará tranquilidad. Al fin y al cabo para eso estamos ¿no?

Desconfía de los que te ofrecen asesorarte gratuitamente a cambio de formación (es un fraude: una cosa es el asesoramiento y otra la formación), de los que no te dedican “horas” para escucharte, entender tu negocio y darte consejos a medida. Esto no son matemáticas, no lo sabemos todo y a veces nos lo tenemos que estudiar o incluso entre los profesionales tenemos criterios distintos.

Al fin y al cabo se trata de que vayas por el camino del buen cumplimiento y que cualquier cosa que decidas hacer con los datos personales esté fundamentada y sea legal.

Y hasta aquí los “must have” de la privacidad. ¿A que no es para tanto?

Si tienes dudas, consúltanos.

#losdetallesimportan

Paz Martin

 

Cómo analizar los riesgos para cumplir con el RGPD

Todas las empresas (también las pequeñas) deben enfocar el cumplimiento de la privacidad desde el riesgo.

 

Se ha generado una pequeña confusión entre la obligación de hacer análisis de riegos y la obligación de hacer una evaluación de impacto.

Son dos conceptos diferentes: el análisis de riesgos será obligatorio en todo caso. La evaluación de impacto sólo será necesaria en determinados casos.

La Agencia Española de Protección de Datos acaba de publicar dos guías que forman parte del paquete de “ayuda” a los Responsables y Encargados de tratamiento, es decir a empresas, profesionales e instituciones (públicas o privadas) que realizan tratamiento de datos personales y deben cumplir con el Reglamento UE 2016/679 General de Protección de Datos (RGPD).

 

Las guías ayudan, aclaran algunos conceptos y pueden servir como herramientas metodológicas muy muy simples (al menos la de análisis de riesgos) para realizar el análisis de riesgos que en principio todo Responsable de tratamiento debería hacer en cumplimiento de dos principios acuñados por el RGPD: el de accountability o responsabilidad proactiva y el de privacidad desde el diseño y por defecto. Nos ofrece algunas pistas que nos pueden resultar útiles para abordar el cumplimiento del RGPD.

 

En efecto, el RGPD se refiere en diferentes artículos de su texto al riesgo, a la adopción de medidas de seguridad teniendo en cuenta el riesgo y en definitiva a un enfoque completamente distinto al que conocíamos hasta ahora. Enfoque en el que las exigencias de seguridad nos igualaban a todos “por arriba” sin tener en cuenta las circunstancias de una pyme o de una compleja multinacional.

 

Es evidente que hoy en día ninguna actividad se entiende sin la gestión de riesgos: económicos, patrimoniales, de negocio… La protección de datos no podía abstraerse a este escenario y exige que los responsables de tratamiento sean conscientes de lo que tienen entre manos para de esta forma actuar en uno u otro sentido.

 

Para gestionar riesgos (cualesquiera) hay que seguir tres pasos diferenciados:

  • Identificar amenazas
  • Evaluar los riesgos
  • Tratar los riesgos

Digamos que este es el esquema básico de cualquier tratamiento de riesgo.

En materia de protección de Datos podríamos movernos en los dimensiones:

A) Los riesgos asociados a la protección de la información

B) Los riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

A) Riesgos asociados a la protección de la información

 

Todos los esquemas de seguridad de la información suelen identificar las amenazas en tres planos:

  • La confidencialidad
  • La integridad
  • La disponibilidad

 

Es decir, pueden existir amenazas que afecten a la confidencialidad, a la integridad y a la disponibilidad independientemente o a la vez pero en definitiva habrá que adoptar aquellas medidas necesarias para garantizarlas.

 

Un simple ejemplo: una medida que garantiza confidencialidad será, por ejemplo, un acuerdo de confidencialidad que firma un trabajador pero también una política correcta de accesos.

 

La integridad se verá protegida con esa misma política de accesos y de roles en la organización para evitar que los datos sean alterados (imaginemos lo importante que puede ser que en un historial médico no se alteren por ejemplo los miligramos de un medicamento que se le está dispensando a un paciente de un hospital). Las medidas de seguridad que se adopten deberán garantizar el mínimo privilegio, el registro de los mismos y la trazabilidad de los accesos para que se deje constancia, en cada momento, de quién accede a qué.

La disponibilidad implica que el caso de un evento que implique una destrucción imaginemos de los datos, podamos garantizar que el negocio continúa (de ahí la importancia de las copias de seguridad) en el menor tiempo posible. En algunos negocios (cada vez menos) la copia semanal puede ser suficiente pero en la mayoría la copia diaria es imprescindible. También las pruebas periódicas de restauración son importantes no sea que descubramos que las copias de seguridad no se están haciendo correctamente…

 

Y para identificar esta amenazas tenemos que:

  • Conocer el negocio: volviendo al ejemplo no es lo mismo un hospital que una pequeña clínica
  • Conocer el sector
  • Conocer las medidas de seguridad

 

Las amenazas serán esas situaciones, eventos o hechos que puedan afectar a esos tres parámetros y de ellas se derivará un riesgo (con una valoración en términos de probabilidad e impacto) que habrá que tratar. Ni más ni menos.

 

Son especialmente útiles en este sentido los estándares de seguridad de la información (Esquema Nacional de Seguridad, ISO  27001 y similares) que permiten analizar y abordar esta parte de los riesgos desde el rigor y la objetividad.

B) Existirán por otro lado, los riesgos asociados al cumplimiento de requisitos regulatorios relacionados con los derechos y libertades de los interesados.

 

La propia Agencia sugiere dos amenazas en este sentido:

  • Procedimientos de satisfacción de derechos
  • Garantías de los principios:
    • Ausencia de legitimidad para el tratamiento de los datos personales
    • Tratamiento ilícito de los datos personales

 

Pero estas dos amenazas se han de traducir en un haz de cuestiones que todo responsable de tratamiento debe analizar:

 

  • Cómo se recogen los consentimientos
  • Cuáles son las bases jurídicas del tratamiento
  • Sus relaciones con terceros
  • Cómo se informa
  • Cómo se contesta a los derechos
  • Cómo se garantizan los principios recogidos en el artículo 5 RGPD

El análisis de riesgos puede ser tan simple o complejo como se quiera pero desde luego enfocado a un negocio concreto, a unas circunstancias concretas que cada asesor, auditor, responsable o DPO debe tener en cuenta.

 

Y ojo, que el análisis de riesgos puede ser una foto fija pero el tratamiento de los mismos no. Sólo en un proceso de comprobación, verificación y evaluación continua se conseguirá minimizar los riesgos y abordarlos de la forma más adecuada a cada organización.

 

Paz Martín

 

Abogado

CDPP

9 de marzo de 2018