6 pasos para sobrevivir al RGPD si eres autónomo o microempresa
Seguramente que durante el mes de mayo hayas sufrido una auténtica avalancha de correos pidiéndote el consentimiento para tratar tus datos personales o informándote de cambios en la política de privacidad de la empresa de turno. Lo más probable es que, harto de recibir correos parecidos o de que cada vez que entraras en una web se abriese un mensaje haciendo referencia a la nueva regulación de la protección de datos, hayas acabado borrando los correos sin siquiera leerlos. Por unos días, la cosa parecía habérsenos ido de las manos. El lado positivo de este fenómeno puede que haya sido que nos haya empezado a preocupar esto de la privacidad y la protección de nuestros datos personales.
Ahora ha pasado el chaparrón (Más bien el diluvio universal) y ya es de aplicación el Reglamento General de protección de Datos (Entró en vigor en el mes de mayo de 2016, por más que muchos, en sus correos, se empeñasen convencernos de que entraba en vigor el 25 de mayo de este año). Hemos sobrevivido al anunciado Apocalípsis y es el momento de reflexionar y no pasar página como si este asunto solo fuese con las grandes empresas o se tratase de una moda pasajera. Puede que no llegases a tiempo a tener tus cosas en orden antes de esa fecha, cosa comprensible si eres una microempresa o un autónomo, teniendo en cuenta que ni nuestro Legislador aún no ha logrado redactar el texto definitivo de una ley que desarrolle el RGPD en España. Si ese es tu caso, habrá que ponerse manos a la obra para cumplir.
Los datos personales son un activo importante para cualquier empresa. Pero su tratamiento tiene una repercusión y genera unos riesgos para los titulares de tales datos hasta el punto de que el acceso ilegítimo a los mismos, en los casos más graves, puede incluso ser constitutivo delito. Por ello, su control por parte de los interesados y su protección por parte de quien los trata, son cada vez más importantes y necesarios.
Voy a tratar de marcar un punto de partida para que un autónomo o una microempresa pueda dibujar un mapa mental que le ayude a hacer sus deberes en esto del cumplimiento en materia de protección de datos, sin obviar la complejidad técnica que ello conlleva y que hace imposible tratar más en profundidad el tema en este artículo.
Más del 80% del tejido empresarial en España son microempresas (De 1 a 9 trabajadores) y autónomos. Este sector es el que más dificultad está teniendo para adaptarse a la nueva legislación y sin embargo, no podemos obviar el hecho de que está tratando una importante cantidad de datos en su conjunto. Este hecho es preocupante porque, como ciudadanos, todos somos cada vez más conscientes de nuestros derechos, nos importa nuestra privacidad, empezamos a interesarnos por lo que se hace con nuestros datos y a exigir que se garanticen nuestros derechos.
Lo primero que debemos hacer es cambiar nuestra mentalidad, porque el nuevo reglamento pretende crear una cultura de cumplimiento y ya no valdrá con adoptar unas cuantas medidas que la ley nos marca, tener inscritos unos ficheros y contar con unos cuantos formularios para cubrirnos las espaladas frente a una posible reclamación. Seremos nosotros, los responsables del tratamiento, quienes tendremos que estudiar nuestra empresa, definir y diseñar las actividades que suponen un tratamiento de datos personales, analizar los riesgos, implementar las medidas que consideremos necesarias para garantizar la seguridad de los datos y el ejercicio de los derechos de los interesados, comprobar que funcionan y evaluar periódicamente que todo va bien.
Probablemente hayas consultado en Google la información publicada por la AEPD para orientarnos en la adaptación al RGPD, foros profesionales o blogs de expertos y puede que hasta hayas acabado teniendo más dudas que al principio de tu búsqueda. El RGPD, también conocido como GDPR, por sus siglas en inglés (General Datta Protection Regulation), es una norma extensa y compleja, no nos vamos a engañar, por lo que puede que aún te estés preguntando por dónde empezar.
Vamos a tratar de ir al grano y, pensando en una empresa pequeña, recorreremos el camino para cumplir con la GDPR en seis pasos fundamentales.
1.- DEFINIR Y DISEÑAR LOS TRATAMIENTOS
¿Y esto, qué es? Hay que empezar por echar un vistazo a nuestra actividad e identificar los tratamientos de datos personales que llevamos o pretendemos llevar a cabo. Si teníamos inscritos previamente ficheros en la AEPD, revisarlos puede ser un buen punto de partida.
¿Qué es dato personal?: “Toda la información sobre una persona física identificada o identificable” (art. 4.1 GDPR). Por tanto pueden ser datos personales el nombre, el domicilio, el número de teléfono, una dirección IP, la fotografía de una persona, su número de cuenta bancaria, etc. Mucho cuidado con el término identificable, porque son muchos los datos que pueden hacer identificable a una persona, y más si se relacionan con otros.
El artículo 25 de la RGDP obliga a que la privacidad se garantice desde el diseño (privacy by desing) y por defecto. Todo tratamiento, desde la recogida de los datos, hasta su destrucción, pasando por sus diversos tratamientos y la implantación de medidas técnicas,
jurídicas y administrativas, debe concebirse, a la luz de los principios del tratamiento que se indican en el artículo 5 de la norma: Licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad.
Esto significa que tendremos que plantearnos cómo obtenemos los datos, cómo y dónde los clasificamos y almacenamos, el uso que hacemos de ellos, si los cedemos a terceros o los trasferimos fuera de la UE y cómo y cuándo los destruimos.
Es importante dedicar tiempo al primer paso porque podemos olvidar alguna actividad que suponga el tratamiento de datos personales y ese despiste puede tener graves consecuencias para los interesados y para nosotros.
2.-REGISTRO DE ACTIVIDADES DE TRATAMIENTO
Ya sabemos los tratamientos de datos personales que hace nuestra empresa. Ahora tenemos que confeccionar un registro de actividades de tratamiento. Se trata de un documento que puede tener el formato que se prefiera y en el que se deberá registrar cada una de las actividades de tratamiento que se llevan a cabo. Como ejemplo, se podría hacer una clasificación de los tratamientos de datos por categorías: Clientes, proveedores, trabajadores, colaboradores y gestión comercial.
Para los tratamientos de cada categoría debemos determinar su finalidad, indicar la base jurídica o legitimación para llevar a cabo el tratamiento y determinar las categorías de afectados.
Este registro no es un documento que podamos dejar guardado y olvidado en una carpeta. Es un documento que debe permanecer vivo y actualizado con cada cambio que sufran los tratamientos que haga la empresa.
Es muy importante, llegados a este punto, comprobar si tratamos datos de lo que la RGPD denomina categorías especiales, ya que estos datos deberemos protegerlos casi con nuestra vida. Estos datos serán los que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud, datos relativos a la vida y orientación sexuales, derivados de actos de violencia de género y sobre infracciones y condenas penales.
El tratamiento de este tipo de datos nos obligará a extremar las medidas de protección, condicionará en gran medida la base legal que nos faculta para su tratamiento y, en la mayoría de los casos, nos obligará a llevar a cabo una evaluación de impacto para calibrar las consecuencias que tendría cualquier incidencia referida a ellos. Además, si la base legal para el tratamiento de estos datos es el consentimiento, debe recabarse de forma específica para cada una de estas categorías.
No obstante, a pesar de tratar este tipo de datos, podemos llegar a la conclusión de no que no hay un riesgo importante y no necesitamos hacer esta evaluación. En tal caso debemos redactar un informe indicando porqué llegamos a esta conclusión y justificar no llevarla a cabo.
Es posible que a estas alturas del artículo haya empezado a hacérsete bola esto de la protección de datos. Tranquilo, el primer paso siempre cuesta pero una vez dado, tenemos que ir por los demás.
3.- ANÁLISIS DE RIESGOS
Es hora de identificar las amenazas que pueden poner en peligro la confidencialidad, la integridad y la disponibilidad de los datos que tratamos. Debe evitarse cualquier acceso a datos personales por parte de persona no autorizada. Debe garantizarse que los datos que tratamos permanecen completos e inmutables. Además, debemos tener siempre disponibles los datos que tratamos porque el interesado puede solicitarnos acceso a los mismos y además pedirnos copia documental de ellos.
Una amenaza puede ser, desde la pérdida de los datos a causa de un borrado o modificación accidental, a un acceso no autorizado de un empleado o de alguien de fuera de la empresa, pasando por la propia pérdida por extravío de un móvil o un ordenador portátil.
Identificadas las amenazas tendremos que valorar la probabilidad de que ocurra un incidente. Habrá amenazas que sea poco probable que se materialicen y otras cuya probabilidad de que nos afecten sea mayor. La probabilidad podemos clasificarla en máxima, significativa, limitada o despreciable. Las medidas de seguridad que adoptemos dependerán de este análisis. Aquí debemos tener de nuevo en cuenta si estamos tratando datos personales de categorías especiales.
Si nos hemos tomado el tiempo necesario para identificar los tratamientos que llevamos a cabo, nos será más fácil identificar las amenazas y valorar el riesgo de que produzca una incidencia.
Si teníamos un documento se seguridad, tendremos que revisarlo puesto que ahora ya no hablamos de niveles de seguridad ni de medidas concretas que la Ley nos obliga a adoptar. La nueva regulación nos considera mayores y responsables y nos encarga elegir los protocolos de actuación y las medidas que consideremos adecuadas y suficientes para garantizar los derechos de los interesados y poder probar que lo hacemos (Ahí es nada la cosa).
Evaluados los riesgos, podemos ponernos manos a la obra con el diseño e implantación de las medidas organizativas y de seguridad que resulten necesarias.
Las medidas pueden ser muy diversas y dependerán de la estructura y funcionamiento de cada empresa o negocio pero algunas pueden ser válidas para la mayoría. Por aquello de que para muestra basta un botón, vamos a indicar algunas de ellas:
– Protocolos para recabar el consentimiento de los interesados, cuando sea esta la base legal para el tratamiento. La GDPR entiende por consentimiento “la voluntad libre, específica informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. (El origen del diluvio de correos que hemos recibido los días previos al 25 de mayo pidiendo nuestro consentimiento). Esto conlleva examinar cómo recabamos en el pasado el consentimiento para valorar si es necesario, o no, volver a solicitarlo en la forma que ahora se exige y hacer la correspondiente criba. Por favor, no sigas tratando datos cuyos interesados no te hayan dado su consentimiento según exige la GDPR.
Habrá que revisar nuestros contratos, los boletines de contacto y suscripción de nuestra web o blog y cualquier otro punto de recogida de datos personales para conseguir que el consentimiento no ofrezca duda y que los interesados estén correcta y completamente informados de la necesidad, finalidad y temporalidad del tratamiento así como de quien es el responsable del mismo.
Seguramente necesitarás la ayuda de profesionales en la implantación de este tipo de medidas, un jurista especialista en la materia y un informático que haga los cambios correspondientes en tu web.
Si tienes tu web en Word Press, hay varios plugins para adaptar su web a la GDPR que pueden ser de utilidad: GDPR, WP GDPR Compliance, GDPR V Check, etc. En cualquier caso, los textos nunca deben aplicarse a nuestro caso sin estudiarlos previamente y comprobar que se adaptan a los tratamientos que hemos diseñado en nuestra empresa o negocio. El prêt-à-porter en cumplimiento de la GDPR no sirve y compensa invertir en un trabajo profesional que nos evitará multas y reclamaciones de perjudicados.
– Control de acceso del personal a archivos y dispositivos que contienen archivos con datos personales, adjudicación de contraseñas, huella digital en teléfonos móviles, etc.
- Pseudonimizar y cifrar los datos en nuestros equipos (cifrado de disco duro o carpetas correspondientes, cifrado de memorias de almacenamiento externo, cifrado de correo…). El sistema Windows 10, no incorpora la opción de cifrado en todas sus versiones, sólo en Enterprise y Pro, por lo que antes de elegir un equipo o un software debemos tener en cuenta estos aspectos. Si tenemos equipos que no lo incorporan, necesitaremos software externo que nos permita el cifrado.
El cifrado será también necesario en nuestra web, que requerirá de un certificado SSL para que los datos que se recojan a través de boletines de contacto o suscripción, por ejemplo, circulen cifrados y de forma segura. La mayor parte de los hosting ofrecen certificados SSL muy económicos o gratuitos. Let´s Scrypt ofrece también de forma gratuita este certificado.
- Realizar un inventario de los soportes (Memorias externas, portátiles, smartphones…) o documentos físicos (que aún los hay) que contienen datos personales, e implantar medidas que garanticen el traslado seguro de los mismos, sin olvidar que también debemos llevar a cabo su borrado de forma segura. Para dispositivos electrónicos hay herramientas como Eraser o Hardwipe que pueden sernos de utilidad. Activar un sistema de borrado remoto para teléfonos móviles también nos ayudará a preservar los datos almacenados en caso de pérdida o sustracción de los mismos. No olvidemos borrar periódicamente los archivos que contienen datos personales almacenados en las aplicaciones de escaneo de los teléfonos móviles.
- Cada vez es más frecuente trabajar fuera de las instalaciones de la empresa, en tales casos debe hacerse uso de una VPN.
- Dado que la GDPR otorga a los interesados el derecho a solicitarnos copia documental de los datos que estamos tratando, se hace imprescindible contar con copias de seguridad de los archivos que contienen datos personales. Lo más recomendable es tener copia en una memoria de almacenamiento externa y en cloud.
- Teniendo en cuenta que solemos recoger, almacenar, tratar o destruir datos personales por medios tecnológicos, tendremos que adoptar medidas de seguridad informática. Si no estamos muy duchos en el tema, nos tocará contratar los servicios de un profesional pero no podemos ver este gasto como un coste sino como una inversión rentable.
Contar con un antivirus, un firewall correctamente parametrizado, unas normas sobre uso de dispositivos electrónicos en la empresa o una configuración adecuada de las cuentas de usuario en redes sociales o aplicaciones, entre otras, son medidas básicas que tenderemos que adoptar si no lo hemos hecho hasta ahora.
En ese documento deberíamos prever un plan de actuación en caso de producirse una brecha de seguridad a fin de minimizar el impacto de la incidencia. Además el RGPD nos obliga a comunicar a comunicar a la AEPD dicha brecha “cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas” y tenemos 72 horas para hacerlo.
Todos los protocolos y medidas que implantemos en la empresa debemos recogerlos en un documento. Pero, sobre todo, las medidas deben ponerse en práctica y no relajarnos una vez llegados a este punto.
4.- FIRMAR CONTRATOS DE CONFIDENCIALIDAD CON PROVEEDORES Y COLABORADORES
También estamos obligados a garantizar que quienes trabajan con nosotros y tienen de algún modo acceso a datos que tratamos, cumplan con la normativa de protección de datos. Para ello deberemos exigirles que adopten las medidas adecuadas para garantizar los derechos de los interesados mediante contratos o pactos de confidencialidad que firmemos con ellos.
Ejemplos: La asesoría que confecciona las nóminas de nuestros empleados, el compañero con el que colaboramos en un proyecto o la empresa encargada del mantenimiento de nuestros sistemas informáticos.
5.- FORMAR AL PERSONAL DE LA EMPRESA
De nada sirve llegar hasta aquí si no se da la adecuada formación al personal de la empresa. Los trabajadores deben adquirir esa cultura de cumplimiento de la que hablábamos al principio y conocer las medidas implantadas. Muchos de ellos serán encargados del tratamiento, por lo que si no afianzamos este eslabón, la cadena puede romperse en cualquier momento. No solo se les debe explicar la política de la empresa a este respecto y sus concretas obligaciones, sino que se les debe facilitar esta información de la forma más gráfica y sencilla posible para que no se les haga bola.
6.- LLEVAR A CABO EVALUACIONES PERIÓDICAS
El modelo de cumplimiento que adoptemos no es algo estático. No solo debe ir adaptándose a la transformación de nuestro negocio, sino que debe revisarse periódicamente para comprobar que funciona y, en su caso, modificar lo que sea necesario.
Es la consecuencia de esa responsabilidad que la normativa nos ha atribuido. Debemos cumplir y poder probar que lo hacemos, y ello requiere una constante revisión de nuestras medidas y procesos.
Como dije al principio, son muchos los aspectos que quedan fuera de este breve análisis. La figura del DPO o la evaluación de impacto, son parte de la regulación que me dejo en el tintero. Este artículo solo pretende orientar a autónomos y microempresas para llevar a cabo su adaptación a la nueva normativa y, en su mayor parte no estarán obligados a contar con un DPO ni a llevar a cabo la evaluación de impacto, aunque habrá quien si lo requiera. Hay despachos de abogados cuya principal actividad de tratamiento se refiere a datos personales relacionados con delitos o condenas. Atendiendo a la literalidad de la norma, necesitarían un DPO. En mi opinión, esta obligación para un despacho penalista unipersonal, supondría un coste probablemente difícil de asumir. Quizás la única opción que tenga el profesional sea poder acreditar ante la AEPD que él mismo tiene los conocimientos técnicos y la capacidad para actuar como DPO, lo que, en cualquier caso, le exigirá un trabajo y esfuerzo extraordinario.
Ya solo nos queda hacer el camino pensando que no sólo estamos protegiendo datos, sino derechos de personas que merecen como mínimo, el respeto que la GDPR les otorga.
María Inmaculada López González
BUFETE LÓPEZ GONZÁLEZ
Asociada de ENATIC
Trackbacks y pingbacks
[…] un artículo que escribí hace unos meses para el blog de ENATIC (Asociación de Expertos en Abogacía TIC), en el que analizo más en detalle los pasos que debemos […]
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!