Icono del sitio LexGoApp Blog

Consejos legales para definir la política de privacidad de una pyme y esquivar las sanciones de la AEPD

Por Paz Martin, socia directora de Legal Things Abogados

La autora, abogada experta en privacidad, explica a lo largo de este artículo los requisitos que un startup, como empresa emergente, debe considerar para cumplir con la actual normativa de protección de datos tanto a nivel de LOPDGDD como del mismo Reglamento Europeo de Protección de Datos.” Ahora hay que ser más proactivo y demostrar en cualquier momento que estamos cumpliendo con el nuevo marco legal existente”.

Igual que definir un pacto de socios o tener clara cuál es nuestra política comercial, La protección de datos no se puede quedar atrás. Ahora es clave definirla antes de cualquier actividad, lo que los expertos señalan con el concepto de privacidad por el diseño o por defecto. 

1.- Conocer bien marco legislativo que nos concierne: (clientes, potenciales clientes, proveedores, trabajadores, usuarios, contactos, …) está sometida al cumplimiento del Reglamento UE 2016/679 General de Protección de Datos (el RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD) de obligado cumplimiento.

Según la Memoria de la AEPD, los ciudadanos plantearon 13.905 reclamaciones, un 35% más que en el 2020.  Cuestiones como a servicios de internet (16%), videovigilancia (12%), recepción de publicidad (excepto spam) (11%) e inserción indebida en ficheros de morosidad (9%).

 En cuanto a los procedimientos sancionadores, se finalizaron 585, un 49% más que en 2021. Las áreas más frecuentes en los procedimientos sancionadores son videovigilancia (25%), servicios de internet (22%), y publicidad a través de correo electrónico o teléfono móvil (9%).

2.-Gestión de los datos: Definir el Registro de Actividades de Tratamiento:

En un escenario tan proactivo como es el de la privacidad, existe la necesidad de gestionar los datos personales que se tengan, tanto de clientes, profesionales de la empresa, contactos o proveedores.  

Esto hace que se configure el Registro de Actividades de Tratamiento, un documento “vivo” que debe contener el tipo de datos que recoges, para qué son esos datos, con quién los compartes, cuánto tiempo los guardas, si basas el tratamiento en el consentimiento o en otras bases de legitimación (p.e. ejecución de contrato, obligación legal…) etc.

3.-Informar de la recogida de datos personales a terceros:  Ya sabes los datos que estás manejando o vas a manejar. Tienes que informar siempre que recojas datos: utilizarás propuestas comerciales, presupuestos, formularios, emails, cualquier fórmula para que tu nuevo cliente te facilite la información mínima para trabajar. Si estás en el mundo online lo pedirás vía formulario, pero cualquier vía será bienvenida.

En cuanto a la obligación de quién es el responsable del tratamiento (serás tú si eres autónomo o tu sociedad si la has constituido), lo que vas a hacer con los datos, en qué te basas para hacer tratamiento de datos, cuánto tiempo los conservarás, si los vas a compartir con alguien, donde se puede dirigir el titular del dato para pedir sus derechos o dónde puede reclamar. Se trata de ser muy muy transparente.

4.-Garantizar los Derechos de los titulares de los datos, en este caso interesados

Son la materialización del derecho a la protección de datos y son los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad.

Si un usuario te los pide tienes que contestar en el plazo de un mes y para ello tendrás que habilitar un medio de contacto fácil.

Para tenerlo claro cómo hacerlo y no meter la pata, lo mejor es tener un procedimiento de gestión de esos derechos para que tengas claro cómo actuar en cada caso y según cada derecho.

5.- Hay que implantar Medidas de seguridad: si vas a gestionar datos personales, la seguridad es imprescindible.

Cosas tan sencillas como trabajar con software original y actualizado, protegerse con antivirus, firewalls, utilizar VPNs, hacer copia de seguridad, cambiar las contraseñas (y evitar el 1234567) restringir los accesos, cifrar la información etc. están al alcance de cualquiera.

De esto hay mucha información en el INCIBE que tiene una línea 017 para resolver cuestiones de ciberseguridad o la herramienta Comunica-RGPD de la propia AEPD que guía al profesional en la gestión de esa brecha de seguridad

6.- Necesidad de un análisis de riesgos:

Según el RGPD la seguridad debe enfocarse siempre “desde el riesgo” lo que significa que debes analizar los riesgos que tiene tu actividad (no es lo mismo montar una web para vender ropa que una clínica estética donde seguramente vas a manejar hasta datos de salud, ni es lo mismo trabajar básicamente con empresas que por ejemplo con datos sensibles de personas “vip”).

Por eso hay que hacer un análisis de riesgos. Y a veces incluso una «Evaluación de Impacto» que es algo parecido sobre todo cuando se pone en marcha un nuevo tratamiento de datos que pueda implicar un alto riesgo.

Lo importante es identificar esos riesgos y los gestiones para que sepas dónde estás y a lo que tienes que dar prioridad. Por ejemplo: si se ha desarrollado una app, dale prioridad a la ciberseguridad pues tus vulnerabilidades te pueden venir por ejemplo de una mala configuración, del uso de otras herramientas no seguras o por ejemplo del entorno en el que desarrollas la app.

7.- Gestionar brecha de seguridad en 72 horas

Pese a todo puede haber un incidente de seguridad en la empresa. Ya sabes que no hay ninguna medida de seguridad infalible, pero si tienes un problema de seguridad que afecte a datos personales, tienes la obligación de ponerlo en conocimiento de la Agencia Española de Protección de Datos en un plazo máximo de 72 horas.

Aunque hay matices y puede ser que el fallo de seguridad esté limitado, sin embargo, hay que darse cuenta que esta es una de las obligaciones que te exige la ley. Y habrá que gestionar la incidencia para contener sus efectos y adoptar medidas para que no se vuelva a repetir.

Lo importante es contar con un protocolo para gestionar este tipo de incidentes, de tal manera que se minimice los riesgos a todos los niveles. Una mala gestión de la brecha puede dañar la reputación corporativa de la entidad afectada

Paz Martin, socia directora de Legal Things Abogados

8.- Consolidar relaciones con terceros que manejen datos nuestros:

Desde una gestoría hasta un software de gestión o un hosting o incluso una plataforma de trabajo, implica que hay terceros que pueden acceder a los datos personales que gestionas y que son de tu responsabilidad.

Incluso es posible que quien te haya hecho la web tenga acceso a los datos de tus formularios de contacto. Todos ellos son “encargados de tratamiento”, es decir terceros que te prestan un servicio y para ello tienen que acceder a datos que tu gestionas.

Esta relación tendrá que estar formalizada en un contrato (el contrato de tratamiento de datos, «Data Processing Agreement», contrato de encargo de tratamiento etc.) Imprescindible el contrato: y esto es binario: o lo tienes o no lo tienes.

 Si el proveedor se equivoca el responsable eres tú (o tu empresa) por lo que en el contrato debe constar que tu proveedor también cumple con el RGPD.

9.- Objetivo> Crear cultura de privacidad y formación en la empresa

AL final de lo que se trata es que la empresa defina su cultura de privacidad, de forma proactiva, que se vea desde fuera como valor añadido y reputacional.

 Con el tiempo es muy gratificante ver como cuando alguien inicia un nuevo proyecto, una nueva web o una actividad que implique recoger y tratar datos se plantea desde el minuto uno, que la privacidad importa (es lo que conocemos como “privacidad desde el diseño y por defecto”) y de esta forma se incorpora el cumplimiento al desarrollo y todo es mucho más sencillo.

Cumplir con los principios establecidos en el RGPD: responsabilidad proactiva, minimización, limitación de la finalidad, limitación de la conservación de los datos, exactitud, etc. es una tarea que debe ir calando en la forma de trabajar.

Uno de los primeros pasos es el de formar en materia de privacidad a los profesionales de cada empresa. Una formación que es necesaria y debería ser periódica para poder refrescar conocimientos.

La mejor manera de evitar sorpresas desagradables, en cuanto a brechas de seguridad o requerimientos de terceros, es preventivamente forma a nuestro equipo de trabajo en estos temas Que sepan lo que pueden o no pueden hacer De esa manera se minimizarán los riesgos.

10.-Crear área de privacidad o contar con apoyo externo:

En esta tesitura que la privacidad es algo estratégico para las empresas, algunas empresas optan por contar con asesoramiento legal recurrente. A este respecto no es nada desdeñable contar con profesionales de la privacidad que nos puedan ayudar en determinados asuntos.

Al mismo tiempo hay que recordar que página web de la Agencia Española de Protección de Datos te ofrece cantidad de recursos, guías y herramientas), Junto a ello contar con ese experto puede ser una inversión amortizable rápido.

A la hora de elegir nuestro experto es bueno desconfiar de los que te ofrecen asesorarte gratuitamente a cambio de formación (es un fraude: una cosa es el asesoramiento y otra la formación), de los que no te dedican “horas” para escucharte, entender tu negocio y darte consejos a medida.

En función de la complejidad del negocio cada empresa necesita un asesoramiento específico en este terreno.

Salir de la versión móvil