8 pautas para startups sobre protección de datos

En este artículo analizamos las obligaciones que tienen las startups en materia de protección de datos resumidas en 8 pasos.

Como consumidor, ¿has oído alguna vez la frase: “Cuando un producto es gratis, el producto eres tú”? Y como emprendedor/a, ¿sabes qué obligaciones tiene tu startup en materia de protección de datos?

El tratamiento de datos es el petróleo del siglo XXI. – Thomas Zerdick. (EDPS – Supervisor Europeo de Protección de Datos)

Las startups cotidianamente manejan datos de carácter personal de clientes, proveedores y trabajadores (entre otros); por ejemplo: nombre, apellidos, DNI/NIF, imagen, firma, dirección postal, correo electrónico, número de teléfono, etc.; bien en soportes y archivos automatizados, no automatizados y mixtos.Por ello, desde el momento en el que una startup realiza un tratamiento de datos personales tiene que cumplir con la siguiente normativa:

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, (en adelante, RGPD o Reglamento).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales, (en adelante, LOPDGDD o Ley).

Ambas son de obligado cumplimiento por todas las startups que lleven a cabo un tratamiento de datos personales en el desarrollo de su actividad.

Pero… ¿qué es un tratamiento de datos personales?

El RGPD define “tratamiento” como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjunto de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

En resumen, estaremos realizando un tratamiento de datos personales desde el momento de su recogida hasta su destrucción, aunque durante ese transcurso de tiempo lo único que hayamos hecho sea conservarlos.

Conclusión: toda startup, incluida la tuya, va a tratar datos de carácter personal en algún momento.

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjunto de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

¿Cómo puedo cumplir con el RGPD y la LOPDGDD?

Como abogados especializado en estos temas, te aconsejamos que contrates los servicios de un despacho de abogados que garantice el cumplimiento normativo en el tratamiento de datos de carácter personal de forma profesional y personalizada, para que realice los trabajos relacionados con estos 8 pasos:

1. ESTUDIO INICIAL – Analiza cómo operas

Como toma de contacto, habría que analizar qué acciones relacionadas con el  tratamiento de Datos Personales se llevan a cabo en el desarrollo de la actividad de tu startup. En función de esos tratamientos, se deberán adoptar unas medidas (de seguridad, técnicas y organizativas) apropiadas para garantizar un nivel de seguridad adecuado al tipo de riesgos que afronte tu startup.

2. CLÁUSULAS INFORMATIVAS – Explica a los interesados cómo tratas sus datos

La información a los interesados (clientes, proveedores, empleados, etc.) respecto a los tratamientos de sus Datos Personales que les afecten, deberá proporcionarse de forma clara, transparente, inteligible y de fácil acceso, de conformidad a lo dispuesto en el artículo 13 del RGPD y 11 de la LOPDGDD.

Por esta razón, tu startup deberá elaborar una serie de cláusulas informativas, en virtud del colectivo interesado (clientes, proveedores, empleados, etc.), en las cuales se concrete:

1. quién es el responsable del tratamiento
2. la finalidad del mismo
3. legitimación
4. plazo de conservación
5. destinatarios de los datos y
6. derechos del interesado

3. REGISTRO DE ACTIVIDADES DE TRATAMIENTO – Explica cómo gestionas los datos de cara a la institución competente

En función de los tratamientos de Datos Personales que se lleven a cabo en tu startup, su finalidad, destinatarios, etc. deberá elaborarse un registro de actividades con todos los tratamientos. En él deberán analizarse todas las actividades de tratamiento que realice tu startup, debiendo estar a disposición de la AEPD (Agencia Española de Protección de Datos).

Este registro debe contener, respecto de cada actividad, la información que establece el artículo 30 del RGPD y 31 LOPDGDD:

• Nombre y datos de contacto del responsable, así como del Delegado de Protección de Datos (DPD) si existiese
• Fines del tratamiento
• Descripción de categorías de interesados y categorías de datos personales tratados
• Destinatarios a quienes se comunicarán los datos personales
• Transferencias internacionales de datos
• Cuando sea posible, plazos previstos para la supresión de los datos
• Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad

4. CONTRATOS DE ENCARGO DE TRATAMIENTO – Firma contratos con proveedores de servicios

Previamente a llevar a cabo un nuevo tratamiento de datos de carácter personal se deberá elaborar un análisis inicial de riesgos, identificando las amenazas que puedan afectar al tratamiento de los Datos Personales e imponiendo una serie de medidas técnicas y organizativas adecuadas para su correcto tratamiento.

5. ANÁLISIS DE RIESGOS – Estudia las posibles amenazas

Las relaciones entre el responsable (tu startup) y el encargado del tratamiento (aquellos terceros que accedan a sus Datos Personales para prestarte un determinado servicio, por ejemplo: la asesoría laboral y fiscal, la empresa de prevención de riesgos laborales por la parte técnica, la empresa de videovigilancia, etc.) deben formalizarse en un contrato o acto jurídico que vincule al encargado respecto del responsable.

El artículo 28 del RGPD regula de forma minuciosa el contenido mínimo de los contratos de encargo, debiendo figurar aspectos como:

1. objeto del tratamiento
2. duración
3. naturaleza
4. finalidad del tratamiento
5. tipos de datos personales
6. categorías de interesados, y
7. las obligaciones y derechos del responsable

6. EVALUACIÓN DE IMPACTO (EIPD) – Mide cómo vas a gestionar los riesgos

La EIPD en virtud del artículo 35 del RGPD, es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento, siempre y cuando esté obligado, para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas.

En la práctica, si la startup está obligada, deberá realizar una EIPD para determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.

7. ADAPTACIÓN DEL SITIO WEB – Ajusta tu web para contemplar la normativa

La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), exige que la información sobre el prestador de servicios y su actividad se ponga disposición de los usuarios por medios electrónicos, de forma permanente, fácil, directa y gratuita.

Si tu startup presta servicios a través de una página web, deberá incorporar dicha información de forma accesible, debiéndose incorporar de forma permanente y visible un Aviso Legal, una Política de Privacidad y una Política de Cookies (en caso de emplearse cookies en el sitio web).

8. DELEGADO DE PROTECCIÓN DE DATOS (DPD) – Quién se encarga de esto en tu startup

El artículo 34.1 de la LOPDGDD y 37.1 del RGPD establecen los supuestos en los que los responsables y los encargados del tratamiento deberán designar un Delegado de Protección de Datos (DPD) ante la Agencia Española de Protección de Datos (AEPD).

Las funciones del DPD serán las siguientes:

1. Informar y asesorar acerca del correcto tratamiento de Datos Personales que realice la startup.
2. Supervisar el cumplimiento de la normativa vigente, incluyendo la asignación de responsabilidades, concienciación y formación del personal
3. Actuar como punto de contacto en cuestiones relativas al tratamiento de los datos, incluyendo las consultas previas
4. Colaborar con la Agencia Española de Protección de Datos

Asesoramiento permanente

Para cumplir con el principio de responsabilidad proactiva en el tratamiento de datos de carácter personal (artículo 5.2. del RGPD), los expertos aconsejan que las startups cuenten con un servicio de asesoramiento integral y permanente, bien de forma externa por parte de un despacho especializado, o internamente por medio de su propio departamento legal, facilitando en todo momento al interesado el ejercicio de sus derechos, establecidos en el RGPD:

• Derecho de acceso (artículo 15)
• Derecho de rectificación (artículo 16)
• Derecho de supresión (derecho al olvido), (artículo 17)
• Derecho a la limitación del tratamiento (artículo 18)
• Derecho a la portabilidad de los datos (artículo 20)
• Derecho de oposición (artículo 21)
• Derecho a no ser objeto de una decisión individual automatizada, incluida la elaboración de perfiles, (artículo 22)

¿Qué consecuencias tiene no cumplir con el RGPD y la LOPDGDD?

Además de los riesgos derivados de la mala gestión de la información de carácter personal de la que dispone tu startup y de los daños en materia de reputación, el incumplimiento de esta normativa tiene como consecuencia la imposición de sanciones económicas por parte de la AEPD.

Cuantitativamente, la mayor novedad que supone la actual normativa (RGPD) frente a la anterior, es el incremento del importe de las sanciones hasta los 20 millones de euros, poca broma.

Y tú, ¿ya has pensado cómo gestionas los datos personales en tu startup?