En el momento de la creación de una nueva empresa o entidad hay muchos aspectos legales, fiscales y administrativos que se deben tener en cuenta.
No menos importante es la protección de datos, ya que cualquier nuevo negocio tratará datos de clientes, proveedores, contactos, trabajadores, usuarios…, sería raro la ausencia total de datos personales. Por este motivo es esencial velar por el cumplimento de las normativas vigentes de Protección de Datos, el RGPD (Reglamento General de Protección de Datos) y la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales).
Cualquier empresa que trate datos personales puede estar en riesgo.
A continuación detallamos diez aspectos clave en materia de protección de datos que estos nuevos negocios deben tener en cuenta:
- La privacidad de los datos es un derecho fundamental.
El derecho a la privacidad está recogido en la Declaración Universal de los Derechos Humanos. Por tanto, se trata de un derecho fundamental, inherente al ser humano, independiente, intransferible e irrenunciable.
Este derecho lo podemos relacionarlo directamente con la obligatoriedad del cumplimiento de dos principios del RGPD (Reglamento General de Protección de Datos): “la privacidad des del diseño y por defecto” y “el principio de responsabilidad proactiva”.
- Cumplir con el deber de informar.
El RGPD establece la obligación de informar con transparencia de: quien es el responsable del tratamiento de los datos, para que se utilizaran, a quien se comunicaran y cuánto tiempo se guardaran. También si el tratamiento de los datos se basa en alguna de las bases legitimadoras mencionadas en el RGPD, los derechos que tienen las personas y como y donde pueden ejercerlos.
Es decir, cuando una persona facilite sus datos a la empresa, sepa, des del inicio, quien y como se van a tratar sus datos.
- El consentimiento.
Cuando se recojan datos se debe solicitar el consentimiento. También se debe analizar que legitima su tratamiento, ya que tratarlos “porque sí” no es legal.
Las bases del tratamiento a la que se refiere el RGPD son: el consentimiento del interesado/a, la existencia de un contrato, una obligación legal, un interés vital de la persona, interés público o interés legítimo de la empresa.
- Llevar a cabo un Registro de Actividades de Tratamiento.
Es muy importante identificar qué tipo de datos se van a gestionar, sus finalidades, bases de legitimación, tiempos de conservación, los terceros que acceden a datos, etc. todo ello se deberá recogerse en un documento denominado Registro de Actividades de Tratamiento (RAT).
- Velar la seguridad de los datos y la formación de las personas empleadas.
Custodiar los datos personales de forma física mediante cajones/armarios con llave, manteniendo las mesas limpias, etc. o contar con una seguridad informática suficiente para la limitación de accesos, cortafuegos, antivirus, cifrado de la información, copias de seguridad, etc.
Es muy importante la formación de las personas que vayan a gestionar los datos, esto reduce mucho las brechas de seguridad, ya que muchas provienen de errores humanos.
- Analizar los riesgos.
Todas las empresas son distintas y por lo tanto sus riesgos también son diferentes. Por este motivo el análisis de riesgos debe documentarse y sirve para adoptar las medidas de seguridad y cumplimento con esos riesgos. Si el riesgo de los datos a gestionar es muy elevado, quizás será necesario realizar una Evaluación de impacto.
- Atender los derechos de las personas.
La empresa deberá facilitar un medio sencillo para solicitar los derechos, por ejemplo, una dirección de email, y deberá atenderlos en los plazos legales. Los derechos son: acceso, rectificación, supresión, oposición, limitación y portabilidad.
- Gestionar posibles incidentes de seguridad.
Es fundamental estar preparados para gestionar posibles incidencias de seguridad y darles respuesta.
Si afectan a datos personales, en algunos casos, deben comunicarse a la Agencia Española de Protección de datos en el plazo de 72 horas.
- Los encargados de tratamiento.
Regular las relaciones con proveedores que al presar servicios acceden a datos. Estos terceros son encargados de tratamiento y deben formalizarse los contratos de encargados de tratamiento, este contrato deberá contener unos mínimos.
- Analizar la necesidad de designar un DPD.
Existen algunos casos concretos en los que es obligatorio designar un Delegado de Protección de Datos (DPD). El DPD es una figura importante que ayudará a la empresa al cumplimento de las normativas de protección de datos. Marcando en “¿Quién debe designar un DPD?” pueden ver los casos en que es necesario esta figura.
En definitiva, es importante conocer las obligaciones de las normativas, así como sus implicaciones legales. Esto requiere dedicación y constancia. En ASSplus nos sumamos al equipo de nuestros Clientes para ayudarlos en este proceso y trabajamos para acompañarles en todo el proceso de adaptación al cumplimiento normativo a través de un servicio de asesoramiento personalizado, constante. Aplicamos una metodología de seguimiento que nos permite garantizar una adaptación completa y permanente.