
Deja de soñar con unicornios… Sueña con una startup cebra
Soñar con unicornios es un concepto que ha demostrado no ser eficaz, eficiente ni sostenible. Por eso las cebras son el futuro.
En este artículo analizamos las obligaciones que tienen las startups en materia de protección de datos resumidas en 8 pasos.
El tratamiento de datos es el petróleo del siglo XXI. – Thomas Zerdick. (EDPS – Supervisor Europeo de Protección de Datos)
El RGPD define “tratamiento” como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjunto de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
En resumen, estaremos realizando un tratamiento de datos personales desde el momento de su recogida hasta su destrucción, aunque durante ese transcurso de tiempo lo único que hayamos hecho sea conservarlos.
Conclusión: toda startup, incluida la tuya, va a tratar datos de carácter personal en algún momento.
Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjunto de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Como abogados especializado en estos temas, te aconsejamos que contrates los servicios de un despacho de abogados que garantice el cumplimiento normativo en el tratamiento de datos de carácter personal de forma profesional y personalizada, para que realice los trabajos relacionados con estos 8 pasos:
Como toma de contacto, habría que analizar qué acciones relacionadas con el tratamiento de Datos Personales se llevan a cabo en el desarrollo de la actividad de tu startup. En función de esos tratamientos, se deberán adoptar unas medidas (de seguridad, técnicas y organizativas) apropiadas para garantizar un nivel de seguridad adecuado al tipo de riesgos que afronte tu startup.
La información a los interesados (clientes, proveedores, empleados, etc.) respecto a los tratamientos de sus Datos Personales que les afecten, deberá proporcionarse de forma clara, transparente, inteligible y de fácil acceso, de conformidad a lo dispuesto en el artículo 13 del RGPD y 11 de la LOPDGDD.
Por esta razón, tu startup deberá elaborar una serie de cláusulas informativas, en virtud del colectivo interesado (clientes, proveedores, empleados, etc.), en las cuales se concrete:
En función de los tratamientos de Datos Personales que se lleven a cabo en tu startup, su finalidad, destinatarios, etc. deberá elaborarse un registro de actividades con todos los tratamientos. En él deberán analizarse todas las actividades de tratamiento que realice tu startup, debiendo estar a disposición de la AEPD (Agencia Española de Protección de Datos).
Este registro debe contener, respecto de cada actividad, la información que establece el artículo 30 del RGPD y 31 LOPDGDD:
Previamente a llevar a cabo un nuevo tratamiento de datos de carácter personal se deberá elaborar un análisis inicial de riesgos, identificando las amenazas que puedan afectar al tratamiento de los Datos Personales e imponiendo una serie de medidas técnicas y organizativas adecuadas para su correcto tratamiento.
Las relaciones entre el responsable (tu startup) y el encargado del tratamiento (aquellos terceros que accedan a sus Datos Personales para prestarte un determinado servicio, por ejemplo: la asesoría laboral y fiscal, la empresa de prevención de riesgos laborales por la parte técnica, la empresa de videovigilancia, etc.) deben formalizarse en un contrato o acto jurídico que vincule al encargado respecto del responsable.
El artículo 28 del RGPD regula de forma minuciosa el contenido mínimo de los contratos de encargo, debiendo figurar aspectos como:
La EIPD en virtud del artículo 35 del RGPD, es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento, siempre y cuando esté obligado, para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas.
En la práctica, si la startup está obligada, deberá realizar una EIPD para determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.
La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), exige que la información sobre el prestador de servicios y su actividad se ponga disposición de los usuarios por medios electrónicos, de forma permanente, fácil, directa y gratuita.
Si tu startup presta servicios a través de una página web, deberá incorporar dicha información de forma accesible, debiéndose incorporar de forma permanente y visible un Aviso Legal, una Política de Privacidad y una Política de Cookies (en caso de emplearse cookies en el sitio web).
El artículo 34.1 de la LOPDGDD y 37.1 del RGPD establecen los supuestos en los que los responsables y los encargados del tratamiento deberán designar un Delegado de Protección de Datos (DPD) ante la Agencia Española de Protección de Datos (AEPD).
Las funciones del DPD serán las siguientes:
Para cumplir con el principio de responsabilidad proactiva en el tratamiento de datos de carácter personal (artículo 5.2. del RGPD), los expertos aconsejan que las startups cuenten con un servicio de asesoramiento integral y permanente, bien de forma externa por parte de un despacho especializado, o internamente por medio de su propio departamento legal, facilitando en todo momento al interesado el ejercicio de sus derechos, establecidos en el RGPD:
Además de los riesgos derivados de la mala gestión de la información de carácter personal de la que dispone tu startup y de los daños en materia de reputación, el incumplimiento de esta normativa tiene como consecuencia la imposición de sanciones económicas por parte de la AEPD.
Cuantitativamente, la mayor novedad que supone la actual normativa (RGPD) frente a la anterior, es el incremento del importe de las sanciones hasta los 20 millones de euros, poca broma.
Y tú, ¿ya has pensado cómo gestionas los datos personales en tu startup?
Soñar con unicornios es un concepto que ha demostrado no ser eficaz, eficiente ni sostenible. Por eso las cebras son el futuro.
Como persona emprendedora, debes conocer las fases de una startup: nace, crece, se reproduce… ¡Ah, no! Eso es otra cosa. Descubre cuáles son las etapas que seguirá tu idea hasta alcanzar el éxito (y qué pasa después).
Examinar con atención las tendencias del mercado te dará las pistas que necesitas para emprender un proyecto con más garantías de triunfo. ¿Cuáles son las señales que debes seguir?