Diez cuestiones sobre protección de datos que toda empresa de nueva creación debe considerar para cumplir la legalidad
Paz Martín, abogada y socia directora de Legal Thing Abogados, analiza esta cuestión para Confilegal.

Diez cuestiones sobre protección de datos que toda empresa de nueva creación debe considerar para cumplir la legalidad

|
27/8/2021 06:48
|
Actualizado: 27/8/2021 06:48
|

La creación de nuevas empresas aumentó en julio un 11,4% respecto al mismo periodo de 2020 y un 7,6% frente al mismo periodo de 2019, último periodo equivalente anterior a la pandemia del Covid-19, según un estudio realizado por el Colegio de los Registradores de la Propiedad.

En total, en España se han creado 8.535 nuevas sociedades durante el séptimo mes del año. Respecto al mismo periodo del año pasado, destaca el aumento en La Rioja (45,7%) y Castilla y León (38,7%) solo desciende la creación de nuevas sociedades en Navarra (-35,5%) y Cantabria (-32,0%).

De ese total, en 2020, concretamente, el 60% de constituciones fue online y el 40% offline. En 2019, año anterior a la pandemia, la proporción fue 55% «online» y 45% «offline». Lo que refleja que la pandemia ha influido en el aumento de constituciones «online», pero no extraordinariamente.

Son muchos los aspectos legales, fiscales y administrativos que una nueva empresa debe tener en cuenta. A menudo, sobre todo para empresas muy pequeñas, son aspectos que se postergan: la protección de datos, la propiedad industrial e intelectual, sin saber que tal vez estén poniendo en riesgo la propia supervivencia de su negocio.

Paz Martín, abogada y socia directora de Legal Thing Abogados, recuerda que “cualquier nuevo negocio maneja datos personales de sus clientes (sin clientes difícilmente habrá negocio), de sus proveedores, de sus contactos, de sus trabajadores, de sus usuarios si está desarrollando un negocio online… En definitiva, que rara sería la ausencia total de datos personales».

Paz Martín, socia directora de Legal Things Abogados.

En conversación con Confilegal aclara los aspectos claves en materia de protección de datos que estos nuevos negocios deben tener en cuenta.

Esta experta lo primero que constata es que “hay un cambio de filosofía en materia de privacidad. El mensaje que hay que transmitir es que cualquier empresa que maneje datos personales puede estar en riesgo”

A su juicio, «hay que tomárselo en serio para evitar las multas de la Agencia Española de Protección de Datos (AEPD). No es difícil de cumplir dichas obligaciones. Se puede acudir a las herramientas de la AEPD tiene en su web o acudir a un profesional en materia de privacidad como gestor de la misma”.

1. TRATAR DATOS PERSONALES COMO DERECHOS FUNDAMENTALES

El derecho a la protección de datos es un derecho fundamental y tiene garantías. Tenerlo en cuenta es fundamental para entender el porqué de las obligaciones a las que nos referiremos a continuación y el por qué de su importancia.

“Reflexionar sobre esto obligará a establecer un pequeño plan de acción para cumplir con la normativa que regula la materia, esto es, el Reglamento UE 2016/679 General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y de garantía de Derechos Digitales”.

Esta jurista recuerda que en ese cambio de paradigma en materia de privacidad “dos de los principios del RGPD: la privacidad desde el diseño y por defecto y el principio de responsabilidad proactiva deberán presidir la vida del dato gestionado por la empresa”

2. INFORMAR EN LA RECOGIDA DE LOS DATOS

El RGPD establece la obligación de informar con transparencia de una serie de cuestiones básicas, entre ellas quién recoge los datos y si ha designado un delegado de Protección de Datos, qué tipo de datos recoge, para qué se utilizarán, si se comunicarán a terceros y dónde estarán estos datos (en la Unión Europea o fuera).

También si el tratamiento de los datos se basa en el consentimiento o en otras bases de legitimación, qué derechos tiene la persona y donde puede ejercerlos y dónde puede acudir en caso de reclamación.

“Esta obligación se cumplirá a través de políticas de privacidad, contratos, formularios, etcétera”, aclara  Martín.

“Se trata de que cuando una persona facilite sus datos a la empresa, sepa, desde el principio, cómo se van a tratar dichos datos”, explica.

3. SOLICITAR EL CONSENTIMIENTO

Se debe solicitar el consentimiento cuando se recojan datos o analizar qué nos legitima para recoger esos datos (por ejemplo, un contrato o una obligación legal).

La recogida de datos “porque sí no es legal”, comenta esta jurista. “Tiene que existir un motivo, una base de legitimación, que permita hacer ese tratamiento”, comenta.

“Esas bases son: el consentimiento de la persona, la existencia de un contrato (por ejemplo, para una compraventa es imprescindible el intercambio de datos personales), una obligación legal (como recoger determinados datos de trabajadores para cumplir con las obligaciones fiscales y sociales a las que viene obligada tanto la empresa como el trabajador), un interés vital de la persona, interés público o interés legítimo de la empresa», indica esta jurista.

4. IDENTIFICAR PERFECTAMENTE QUÉ TIPO DE DATOS VAMOS A GESTIONAR

Es muy importante dicha identificación “así como sus finalidades, bases de legitimación, tiempos de conservación, existencia de terceros que accedan a datos… todo ello deberá recogerse en un documento que denominamos ‘Registro de actividades de tratamiento‘”.

“Es interno y no hay obligación de inscribirlo ni de comunicarlo a ninguna autoridad. Solo entidades públicas están obligadas a publicarlo», indica.

5. DOTAR A ESOS DATOS DE LA SEGURIDAD NECESARIA

Paz Martín destaca que «una empresa que adquiere equipos informáticos, a lo mejor cuenta con una oficina o sede física con armarios, cajones que tiene que dotar de seguridad, desde cerrar con llave los armarios, mantener las mesas limpias, custodiar debidamente la información confidencial hasta contar con una seguridad informática suficiente en función de la estructura que incluya limitación de accesos, cortafuegos, antivirus, cifrado de la información, copias de seguridad entre otros».

Esto, agrega, «incluye, además, la formación de las personas que vayan a gestionar estos datos (trabajadores, colaboradores, becarios, etc.). Muchas brechas de seguridad tienen su origen en errores humanos que probablemente se hubieran evitado con una formación en seguridad adecuada».

6. ANALIZAR LOS RIESGOS DE CADA COMPAÑÍA, CUIDADO CON EL TELETRABAJO

“Afortunadamente todas las empresas son distintas y por lo tanto, sus riesgos son también diferentes. Cambia mucho el plan de cumplimiento si la nueva empresa se dedicará a negocios físicos, por ejemplo, una tienda, un almacén o un servicio presencial en el que haya poca tecnología o si se trata de un negocio virtual.

Los riesgos para los datos que manejan unas y otras serán diferentes».

Esta experta señala que “el análisis de riesgos debe documentarse y sirve para adoptar las medidas de seguridad y cumplimiento acordes con esos riesgos concretos detectados”.

“En determinadas ocasiones, si el riesgo de gestionar datos personales es muy elevado, quizá sea necesario realizar una ‘Evaluación de Impacto en Protección de Datos’: un análisis exhaustivo y pormenorizado del tratamiento concreto que se pretende hacer”.

Para Martín, con el teletrabajo “se han incrementado los riesgos al trabajar con riesgos inseguros o dispositivos propios. De hecho, hubo empresas que compraron ordenadores para sus profesionales.

En este sentido, es fundamental minimizar los riesgos a este respecto y trabajar con políticas de teletrabajo seguras”.

7. TENER CAPACIDAD PARA ATENDER LOS DERECHOS DE LAS PERSONAS

“Estos derechos son: acceso, rectificación, supresión, oposición, limitación y portabilidad. También el derecho a retirar el consentimiento cuando éste sea la base de legitimación”, comenta esta jurista.

“La empresa deberá facilitar un medio sencillo para solicitar estos derechos, por ejemplo, una dirección de email, y deberá atenderlos en los plazos legales establecidos: un mes, excepcionalmente dos adicionales».

“También debe indicarse que la persona tiene derecho a acudir a la autoridad de protección de datos correspondiente (en España, la Agencia Española de Protección de Datos)», recuerda.

8. ESTAR PREPARADOS PARA GESTIONAR POSIBLES INCIDENTES DE SEGURIDAD

A juicio de Martín es fundamental estar preparados para gestionar posibles incidencias de seguridad y darles respuesta.

Si afectan a datos personales deben ponerse en conocimiento de la Agencia Española de Protección de Datos en el plazo de 72 horas.

«Y en determinados casos, informar también a las personas afectadas. Un procedimiento sencillo de qué hacer en estos casos, evita muchos quebraderos de cabeza cuando las cosas suceden”, comenta.

9. REGULAR LAS RELACIONES CON PROVEEDORES

También es clave regular las relaciones con proveedores que al prestar servicios, acceden a los datos (por ejemplo, un gestor externo, un servicio de ‘hosting’, una herramienta de productividad o de envío de ‘mailing’).

“Esos terceros son encargados de tratamiento. Acceden a los datos pero sólo los pueden emplear para prestar el servicio contratado por la empresa. Con dichos terceros debe formalizarse el llamado “contrato de tratamiento de datos” o de “encargo de tratamiento” que deberá contener unos mínimos”, destaca.

10. ANALIZAR SI ES NECESARIO DESIGNAR A UN DELEGADO DE PROTECCIÓN DE DATOS

Esto dependerá del tipo de negocio y del tipo de datos que se van a recoger. No toda entidad necesita uno.

“Hay unos casos concretos en los que es obligatorio y otros en los que puede ser una buena práctica. En todo caso, el delegado de Protección de Datos es una figura importante que ayudará a la empresa en su cumplimiento», aclara.

Paz Martín ve necesario trabajar en estas direcciones apuntadas, “revisando y actualizando periódicamente, la empresa seguramente nunca tendrá ningún problema. Y si lo tiene, con toda probabilidad estará bien preparada para afrontarlos sin mayores consecuencias”.

Noticias Relacionadas:
Lo último en Áreas y sectores