Para moitas pequenas empresas, a protección de datos é un pesadelo que non saben como acometer: algunhas optan por contratar unha empresa 'especializada' para que lles prepare uns documentos que non se volven revisar, e outras cren que, polo seu reducido tamaño, o tema non vai con elas.
Pero a lexislación en protección de datos aplica a todas as empresas, independentemente do tamaño, e dependendo máis, en moitos casos, da cantidade e do tipo de datos tratados.
De que vai isto da protección de datos? Protéxese un dereito fundamental de todas as persoas. E é unha faceta do dereito á intimidade cuxa lexislación, máis aló do Regulamento Europeo ou da nova LOPD y GDD (Ley de Protección de Datos Personais e garantía dos dereitos dixitais) conta con condicionantes específicos respecto a saúde, seguridade, educación, etc.
Neste contexto, como empresa debedes ter en conta tres cuestións básicas:
- O dono dos datos é sempre a persoa á que identifican, aínda que sexan datos xerados nos vosos sistemas empresariais, polo que a empresa ten a obrigación de usar estes datos evitando riscos para os seus dereitos e liberdades.
- Toda a lexislación en protección de datos está orientada á xestión do risco, de tal forma que tedes que avaliar que riscos aparecerán para as persoas e poñer as medidas para reducilos a niveis aceptables atendendo a múltiples factores.
- O cumprimento en materia de protección de datos é un proceso, non un proxecto. Do mesmo xeito que o voso negocio evoluciona, tamén cambian os riscos en ciberseguridade e debedes ir adaptando as medidas de cumprimento implantadas.
Aplicar todas estas cuestións non é tarefa fácil, especialmente nunha pequena empresa. Por onde empezamos?
O primeiro que tedes que facer é determinar que datos utilizades para identificarpersoas físicas, xa sexan clientes, empregados ou provedores. Non sempre son necesariamente nome, DNI ou correo electrónico; por exemplo, nunha empresa industrial os datos de produtividade dunha determinada máquina por quendas de traballo poden servir para identificar o operario que a estaba manexando, de tal modo que se converten en datos persoais do traballador e así deben ser tratados.
Un bo punto de partida é tamén realizar o Rexistro de Actividades do Tratamento que esixe o RGPD a empresas de máis de 250 traballadores, aínda que non sexa o voso caso, xa que conterá moita información útil para o conxunto do proceso de cumprimento.
Como segundo paso, cómpre identificar que riscos pode haber para as persoas en cada un dos tratamentos, ou naqueles procesos cunha finalidade común na que se usan datos persoais, e en función destes riscos implantar medidas concretas para reducilos ou eliminalos.
Pódevos axudar “Facilita”, a ferramenta gratuíta en liña habilitada pola Axencia Española de Protección de Datos, que dispón dunha versión específica para startups e emprendedores. Se cumprimentades o cuestionario en liña, o propio sistema facilitaravos un documento con medidas a implantar e que ademais vos servirá de base para documentar todo o que fagades.
Informaravos tamén de certas medidas máis legais:
• Textos informativos en protección de datos que debedes incluír na vosa web, contratos ou formularios explicándolles aos interesados que ides facer cos seus datos e como exercitar os seus dereitos dunha forma sinxela e transparente.
• Contratos de encarga do tratamento con aqueles provedores que traten os datos para prestarvos servizos.
Doutra banda, dende a Asociación Española para o Fomento da Seguridade da Información, ISMS Forum, estase a traballar actualmente nun proxecto destinado a 'Pymes de Cibersecurity in a Box' para axudarvos ás pemes a coñecer o voso nivel de ciberseguridade.
Así mesmo, podedes localizar profesionais da privacidade no directorio da Asociación Profesional Española de Privacidade (www.apep.es).
Por último, non esquezamos que sen ciberseguridade non hai privacidade. É fundamental que contedes con provedores tecnolóxicos que vos poidan facilitar medidas técnicas axeitadas, que as plasmen como compromisos nos seus contratos e que realmente estean dispostos a adaptarse ao voso negocio.
Se queres saber máis sobre as nosas solucións tecnolóxicas para empresas, subscríbete ao noso boletín ou contacta co equipo da área comercial Empresas.