Para muchas pequeñas empresas, la protección de datos es una pesadilla que no saben cómo acometer: algunas optan por contratar una empresa 'especializada' para que prepare unos documentos que no se vuelven a revisar, y otras creen que, por su reducido tamaño, el tema no va con ellas.
Pero la legislación en protección de datos aplica a todas las empresas, independientemente del tamaño, y dependiendo más, en muchos casos, de la cantidad y del tipo de datos tratados.
¿De qué va esto de la protección de datos? Se protege un derecho fundamental de todas las personas. Y es una faceta del derecho a la intimidad cuya legislación, más allá del Reglamento Europeo o de la nueva LOPD y GDD (Ley de Protección de Datos Personales y garantía de los derechos digitales) cuenta con condicionantes específicos respecto a salud, seguridad, educación, etc.
En este contexto, como empresa debéis tener en cuenta tres cuestiones básicas:
- El dueño de los datos es siempre la persona a la que identifican, aunque sean datos generados en vuestros sistemas empresariales, por lo que la empresa tiene la obligación de usar estos datos evitando riesgos para sus derechos y libertades.
- Toda la legislación en protección de datos está orientada a la gestión del riesgo, de tal forma que tenéis que evaluar qué riesgos aparecerán para las personas y poner las medidas para reducirlos a niveles aceptables atendiendo a múltiples factores.
- El cumplimiento en materia de protección de datos es un proceso, no un proyecto. Al igual que vuestro negocio evoluciona, también cambian los riesgos en ciberseguridad y debéis ir adaptando las medidas de cumplimiento implantadas.
Aplicar todas estas cuestiones no es tarea fácil, especialmente en una pequeña empresa. ¿Por dónde empezamos?
Lo primero que tenéis que hacer es determinar qué datos utilizáis para identificar a personas físicas, ya sean clientes, empleados o proveedores. No siempre son necesariamente nombre, DNI o correo electrónico; por ejemplo, en una empresa industrial los datos de productividad de una determinada máquina por turnos de trabajo pueden servir para identificar al operario que la estaba manejando, de tal modo que se convierten en datos personales del trabajador y así deben ser tratados.
Un buen punto de partida es también realizar el Registro de Actividades del Tratamiento que exige el RGPD a empresas de más de 250 trabajadores, aunque no sea vuestro caso, ya que contendrá mucha información útil para el conjunto del proceso de cumplimiento.
Como segundo paso, hay que identificar qué riesgos puede haber para las personas en cada uno de los tratamientos, o en aquellos procesos con una finalidad común en la que se usan datos personales, y en función de estos riesgos implantar medidas concretas para reducirlos o eliminarlos.
Os puede ayudar “Facilita”, la herramienta gratuita online habilitada por la Agencia Española de Protección de Datos, que dispone de una versión específica para startups y emprendedores. Si cumplimentáis el cuestionario online, el propio sistema os facilitará un documento con medidas a implantar y que además os servirá de base para documentar todo lo que hagáis.
Os informará también de ciertas medidas más legales:
• Textos informativos en protección de datos que debéis incluir en vuestra web, contratos o formularios para explicar a los interesados qué vais a hacer con sus datos y cómo ejercitar sus derechos de una forma sencilla y transparente.
• Contratos de encargo del tratamiento con aquellos proveedores que traten los datos para prestaros servicios.
Por otro lado, desde la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum, se está trabajando actualmente en un proyecto destinado a 'Pymes de Cibersecurity in a Box', para ayudaros a las pymes a conocer vuestro nivel de ciberseguridad.
Asimismo, podéis localizar profesionales de la privacidad en el directorio de la Asociación Profesional Española de Privacidad (www.apep.es).
Por último, no olvidemos que sin ciberseguridad no hay privacidad. Es fundamental que contéis con proveedores tecnológicos que os puedan facilitar medidas técnicas adecuadas, que las plasmen como compromisos en sus contratos y que realmente estén dispuestos a adaptarse a vuestro negocio.
Si quieres saber más sobre nuestras soluciones tecnológicas para empresas, suscríbete a nuestro boletín o contacta con el equipo del área comercial Empresas.