PROTECCIÓN DE DATOS PARA STARTUPS

PAUTAS A SEGUIR EN MATERIA DE PROTECCIÓN DE DATOS PARA EMPRESAS Y STARTUPS

Aprovechando el post que elaboramos para el Día Europeo de la Protección de Datos para el blog de Explorer, en LEXDIGITAL ABOGADOS, despacho especializado en Protección de Datos, Derechos Digitales y Servicios de la Sociedad de la Información y Comercio Electrónico, hemos analizado las obligaciones en materia de protección de datos que tienen las Startups en ocho sencillos pasos.

¿Qué obligaciones tiene una Startup en materia de protección de datos?

Habitualmente las Startups como empresas emergentes o incipientes manejan datos de carácter personal de clientes, proveedores y trabajadores (entre otros); por ejemplo: nombre, apellidos, DNI/NIE, fotografía, firma, dirección postal, correo electrónico, número de teléfono, etc.; bien en soportes y archivos físicos o informáticos.

Por ello, desde el momento en el que una Startup realizar un tratamiento de datos personal le es de aplicación obligatoria la siguiente normativa:

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos <RGPD>).
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales <LOPDGDD>.

Tanto el RGPD como la LOPDGDD son de obligado cumplimiento para todas las Startups que lleven a cabo un tratamiento de datos personales en el desarrollo de su actividad.

¿Qué es un tratamiento de datos personales?

El RGPD en su artículo 4.2. establece la definición de tratamiento como: “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjunto de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

En resumen, estaremos realizando un tratamiento de datos personales, desde el momento de su recogida hasta su destrucción, aunque en todo ese trascurso de tiempo únicamente los hayamos conservado.

¿Cómo puedo cumplir con el RGPD y la LOPDGDD?

Llegados a la conclusión de que toda Startup va a tratar datos de carácter personal, desde LEXDIGITAL ABOGADOS garantizamos el cumplimiento normativo en el tratamiento de datos de carácter personal de forma profesional y personalizada, realizando los siguientes pasos, acompañados por sus respectivos trabajos:

0.- Estudio inicial.

1.- Elaboración de cláusulas informativas.

2.- Elaboración del Registro de actividades de tratamiento.

3.- Elaboración de los Contratos de encargo de tratamiento.

4.- Elaboración del Análisis de riesgos.

5.- Elaboración de la Evaluación de Impacto Protección de Datos (EIPD).

6.- Comunicación del Delegado de Protección de Datos (DPD).

7.- Adaptación web.

8.- Asesoramiento continuo.

Analicemos cada paso más en profundidad:

0.- ESTUDIO INICIAL.

Como toma de contacto se deberá realiza un Estudio Inicial de la Startup acerca del tratamiento de Datos Personales que lleve a cabo en el desarrollo de su actividad.

En función de los tratamientos de Datos Personales que realice, deberá adoptar una serie de medidas a implantar (de seguridad, técnicas y organizativas), apropiadas para garantizar un nivel de seguridad adecuado al tipo de riesgos que afronte la Startup en el desarrollo de su actividad.

1.- ELABORACIÓN DE CLÁUSULAS INFORMATIVAS.

De conformidad a lo dispuesto en el artículo 13 del RGPD y 11 de la LOPDGDD. La información a los interesados (clientes, proveedores, empleados, etc.) respecto a los tratamientos de sus Datos Personales que les afecten, deberá proporcionarse de forma clara, transparente, inteligible y de fácil acceso.

Por esta razón, cada Startup deberá elaborar una serie de Cláusulas Informativas, en virtud del colectivo interesado (clientes, proveedores, empleados, etc.), en las cuales se concrete:

Quién es el responsable del tratamiento.
La finalidad del mismo.
Legitimación.
Plazo de conservación.
Destinatarios de los datos.
Derechos del interesado.

2.- ELABORACIÓN DEL REGISTRO DE ACTIVIDADES DE TRATAMIENTO.

En función de los tratamientos de Datos Personales que lleve a cabo la Startup, de la finalidad de los mismos, de los destinatarios, etc. deberá establecerse un registro de actividades con todos los tratamientos, donde se documenten todas las actividades de tratamiento llevadas a cabo por la Startup, asimismo dicho documento debe estar a disposición de la AEPD.

Este registro debe contener, respecto de cada actividad, la información que establece el artículo 30 del RGPD y 31 LOPDGDD:

Nombre y datos de contacto del responsable, así como del DPD si existiese.
Fines del tratamiento.
Descripción de categorías de interesados y categorías de datos personales tratados.
Destinatarios a quienes se comunicarán los datos personales.
Transferencias internacionales de datos.
Cuando sea posible, plazos previstos para la supresión de los datos.
Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

3.- ELABORACIÓN DE LOS CONTRATOS DE ENCARGO DE TRATAMIENTO.

Las relaciones entre el responsable y el encargado del tratamiento (aquellos terceros que accedan a sus Datos Personales para prestarle un determinado servicio, por ejemplo: la asesoría laboral y fiscal, la empresa de prevención de riesgos laborales por la parte técnica, la empresa de videovigilancia, etc.) deben formalizarse en un contrato o acto jurídico que vincule al encargado respecto del responsable.

El artículo 28 del RGPD regula de forma minuciosa el contenido mínimo de los contratos de encargo, debiendo figurar aspectos como:

Objeto del tratamiento.
Duración.
Naturaleza.
Finalidad del tratamiento.
Tipos de datos personales.
Categorías de interesados.
Las obligaciones y derechos del responsable.

4.- ELABORACIÓN DEL ANÁLISIS DE RIESGOS.

Previamente a llevar a cabo un nuevo tratamiento de Datos de carácter personal se deberá elaborar un análisis inicial de riesgos, identificando las amenazas que puedan afectar al tratamiento de los Datos Personales e imponiendo una serie de medidas técnicas y organizativas adecuadas para el correcto tratamiento de los mismos.

5.- ELABORACIÓN EVALUACIÓN DE IMPACTO (EIPD).

La EIPD en virtud del artículo 35 del RGPD, es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento, siempre y cuando esté obligado, para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas.

En la práctica, si la Startup está obligada, deberá realizar una EIPD para determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.

6.- ADAPTACIÓN DEL SITIO WEB.

La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), exige que la información sobre el prestador de servicios y su actividad ha de ponerse a disposición de los usuarios por medios electrónicos, de forma permanente, fácil, directa y gratuita.

Si la Startup presta servicios a través de una página web deberá incorporar dicha información de forma accesible, debiéndose incorporar de forma permanente y visible:

Un Aviso Legal.
Una Política de Privacidad.
Una Política de Cookies (en caso de emplearse cookies).

7.- DELEGADO DE PROTECCIÓN DE DATOS.

El artículo 34.1 de la LOPDGDD y 37.1 del RGPD establecen los supuestos en los que los responsables y los encargados del tratamiento deberán designar un Delegado de Protección de Datos (DPD) ante la Agencia Española de Protección de Datos (AEPD).

Las funciones del DPD serán las siguientes:

Informar y asesorar acerca del correcto tratamiento de Datos Personales que realice la Startup.
Supervisar el cumplimiento de la normativa vigente, incluyendo la asignación de responsabilidades, concienciación y formación del personal.
Actuar como punto de contacto en cuestiones relativas al tratamiento de los datos, incluyendo las consultas previas.
Colaborar con la Agencia Española de Protección de Datos.

8.- ASESORAMIENTO PERMANENTE Y CONTINUADO.

En aras a cumplir con el principio de responsabilidad proactiva en el tratamiento de datos de carácter personal (artículo 5.2. del RGPD), se hace necesario que las Startups cuente con un servicio de asesoramiento integral y permanente, bien de forma externa por parte de un despacho especializado como nosotros, o internamente por medio de su propio departamento legal.

Facilitándose en todo momento el ejercicio de los derechos establecidos en el RGPD:

Acceso del interesado, artículo 15 del RGPD.
Rectificación, artículo 16 del RGPD.
Supresión (derecho al olvido), artículo 17 del RGPD.
Limitación del tratamiento, artículo 18 del RGPD.
Portabilidad de los datos, artículo 20 del RGPD.
Oposición, artículo 21 del RGPD.
Derecho a no ser objeto de una decisión individual automatizada, incluida la elaboración de perfiles, artículo 22 del RGPD.

¿Qué consecuencias tiene no cumplir con el RGPD y la LOPDGDD?

El incumplimiento de la anterior normativa, además de los riesgos derivados de la mala gestión de la información de carácter personal de la que dispone la Startup y de los daños reputacionales y de resultados para esta, tiene como consecuencia la imposición de sanciones económicas por parte de la AEPD.

Cuantitativamente, la mayor novedad que supone la actual normativa (RGPD) frente a la anterior normativa, la Ley Orgánica 15/1999, es el incremento del importe de las sanciones hasta los 20 millones de euros, poca broma.

La LOPDGDD no determina la cuantía de las sanciones y nos remite a lo establecido en el RGPD en su artículo 83, el cual establece dos tipos de infracciones:

Infracciones muy graves: se sancionarán con multas administrativas que pueden alcanzar los veinte millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global.
Infracciones graves: se sancionarán con multas administrativas que pueden ascender hasta los diez millones de euros o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global.

Afortunadamente, la LOPDGDD establece una serie de conductas regladas en muy graves, graves y leves.

Muy graves, artículo 72 LOPDGDD. Prescriben a los 3 años.

Conductas que supongan un incumplimiento sustancial del tratamiento y tengan que ver con:

1. Uso de los datos para una finalidad diferente a la pactada.
2. Omisión del deber de correcta información al afectado.
3. Exigencia de un pago para poder acceder a los datos.
4. Transferencias internaciones de información sin garantía.

Graves, artículo 73 LOPDGDD. Prescriben a los 2 años.

Conductas que supongan una vulneración sustancial del tratamiento y tengan que ver con:

1. Datos de un menor recabados sin consentimiento.
2. Falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos.
3. Incumplimiento en el nombramiento de responsable o encargado del tratamiento de datos.

Leves, artículo 74 LOPDGDD. Prescriben al año.

Conductas no contempladas en las anteriores:

1. Falta de transparencia de la información.
2. Incumplimiento de no informar al afectado cuando lo haya solicitado.
3. Incumplimiento por parte del encargado de sus obligaciones.
4. Otras.

Esperamos que este artículo haya sido de su interés y con cualquier duda al respecto, el equipo de LEXDIGITAL ABOGADOS os ofrecerá un servicio de calidad y acorde a las necesidades de su Startup.

+INFORMACIÓN

Cookie	Tipo	Duración	Descripción
1P_JAR	third party	1 mes	*Google* utiliza esta cookie para personalizar los anuncios según tus intereses.
ANID	third party	1 año	*Google* utiliza esta cookie con finalidad publicitaria. Contienen un valor generado aleatoriamente único que permite al sitio web distinguir navegadores y dispositivos. Esta información es utilizada para medir el rendimiento de los anuncios y proporcionar recomendaciones relativas a productos basadas en datos estadísticos.
CONSENT	third party	Permanente	*Google* lanza un mensaje al usuario visitante, para que esté al tanto de que nuestro sitio web utiliza cookies.
HSID	third party	2 años	*Google Maps*. Para el recuento, por parte de Google, del número de usuario que utilizan los mapas.
NID	third party	6 meses	*Google Maps*. Para el recuento, por parte de Google, del número de usuario que utilizan los mapas.
OTZ	third party	1 mes	*Google* emplea esta cookie para recopilar información sobre las preferencias para usarlas con fines publicitarios.
SID SAPISID APISID	third party	2 años	*Google Maps*. Son utilizadas por Google para almacenar las preferencias del usuario y la información durante la visualización de las páginas con mapas de Google.
SIDCC	third party	3 meses	*Google* utilizada esta cookie para proveer servicios y extraer información anónima sobre la navegación.
SSID	third party	2 años	*Google Maps*. Para el recuento, por parte de Google, del número de usuario que utilizan los mapas.