La mayoría de las empresas odian tener que lidiar con el GDPR, y podemos entender por qué. Las normas pueden ser confusas, especialmente para las pequeñas empresas que no cuentan con personal jurídico interno.
La autoridad danesa de protección de datos ha publicado recientemente una bonita lista de comprobación del RGPD para pequeñas empresas.
No pretende ser una lista exhaustiva, sino más bien un punto de partida para evaluar el cumplimiento de su empresa. Aun así, la lista contiene algunos buenos consejos y merece la pena echarle un vistazo.
Entremos en materia.
- Tener las ideas claras
- Pregúntese: ¿por qué tengo estos datos?
- Elimine sus datos
- Facilite información sobre los datos que trata
- Disponga de procedimientos sólidos y claros para gestionar las solicitudes
- Cuide la seguridad informática
- Usted es responsable de compartir datos personales
- Conclusiones
Tener las ideas claras
El primer paso para cumplir con el GDPR es saber qué haces con tus datos. Por eso, la DPA recomienda empezar por hacerse preguntas cruciales:
- ¿Qué datos personales controlo y proceso?
- ¿De quién son los datos? ¿Son sus empleados/clientes/usuarios?
- ¿Dónde se almacenan estos datos?
Estas preguntas pueden parecer triviales, pero no lo son. Muchas empresas sólo tienen una idea muy vaga de qué datos manejan y cómo, incluidas las más grandes (te estoy mirando a ti, Meta).
Comprender su tratamiento de datos es un primer paso indispensable hacia el cumplimiento y un requisito básico para una buena gobernanza de los datos. Esta es la razón por la que mantener un registro de las actividades de procesamiento es un requisito legal para las empresas más grandes en virtud del GDPR (así como para las empresas más pequeñas que participan en el procesamiento de datos de algo mayor riesgo).
Ya sea que no esté obligado a mantener un ROPA o no, debe tener una visión clara de su procesamiento de datos. Una imagen clara y precisa pone de relieve posibles problemas de cumplimiento y oportunidades para mejorar y racionalizar su tratamiento de datos. También ayuda a responder a las solicitudes de acceso en virtud del GDPR porque ya sabe dónde se almacenan los datos dentro de sus sistemas y cómo recuperarlos.
Si quiere ir un paso más allá, puede mapear sus flujos de datos. Hace un tiempo hablamos de la cartografía de datos para dar a nuestros lectores una idea muy general de cómo son los mapas de datos y por qué son útiles tanto para el cumplimiento como para la gobernanza de datos.
Pregúntese: ¿por qué tengo estos datos?
Siempre que controle datos personales, debería preguntarse: ¿Por qué tengo estos datos? Si encuentra una buena respuesta a la pregunta, probablemente tenga una base legal en virtud del GDPR.
Las bases legales son una noción crucial de la que ya hablamos hace un tiempo. El RGPD exige que todo tratamiento de datos personales tenga una base jurídica, es decir, una especie de justificación legal. El RGPD ofrece seis bases jurídicas entre las que elegir, como el consentimiento, un contrato o una obligación legal.
La DPA resumió las bases jurídicas disponibles en forma de preguntas sencillas que debe plantearse:
- ¿Tengo el consentimiento de la persona a la que se refieren los datos, el llamado interesado? (consentimiento)
- ¿Necesito los datos para cumplir un contrato con el interesado? (cumplimiento de un contrato)
- ¿Necesito los datos para ejercer una autoridad pública o llevar a cabo una tarea de interés público? (interés público o autoridad pública)
- ¿Estoy obligado por ley a almacenar estos datos? (obligación legal)
- ¿Tengo alguna otra razón de peso para tratar los datos? En caso afirmativo, ¿puede el tratamiento causar daños o problemas al interesado? (interés legítimo)
(Sí, son cinco preguntas; la base jurídica del interés vital se ha dejado de lado porque su uso es muy excepcional).
Ni que decir tiene que las cosas son más complejas. Cada base jurídica tiene sus propias limitaciones y requisitos. Por ejemplo, el consentimiento debe otorgarse libremente, lo que excluye la confianza en el consentimiento en algunos casos, como el tratamiento de datos de empleados. Equilibrar el interés legítimo también es más complicado que preguntarse si se puede perjudicar a alguien tratando sus datos (puede consultar la ICO del Reino Unido para obtener más información al respecto).
Dicho esto, el cumplimiento de la normativa empieza por hacerse las preguntas adecuadas, y las anteriores son un buen punto de partida.
También debe saber si está tratando datos sensibles o no. Los datos sensibles son tipos de datos muy sensibles, como los datos sanitarios, el origen étnico, las convicciones políticas y los datos sobre la vida y la orientación sexual de una persona (la lista completa se encuentra en el artículo 9 del RGPD).
Los datos sensibles reciben una protección especial en virtud del GDPR. Tener una base jurídica no es suficiente para procesarlos legalmente porque se aplican normas más estrictas en comparación con los datos personales comunes. Si procesa datos sensibles, es posible que necesite asesoramiento profesional sobre cómo cumplir las leyes de privacidad.
Elimine sus datos
Debe eliminar los datos personales en cuanto dejen de ser necesarios. Este es el principio de limitación del almacenamiento en pocas palabras.
Eliminar datos innecesarios (y no recopilarlos en primer lugar) es tanto un requisito en virtud del GDPR como una buena idea en general. Borrar datos innecesarios le permite liberar espacio de almacenamiento. Además, los archivos se mantienen más pequeños y ordenados, lo que facilita su localización en caso necesario.
El GDPR no permite conservar datos porque puedan ser útiles algún día. Solo recopile y almacene los datos que necesite ahora o en un escenario futuro específico y probable. Su DPA no le permitirá almacenar datos personales durante décadas hasta que tengamos alguna IA futura increíblemente genial con la que hacer cosas increíblemente geniales.
Datatilsynet explica que no hay un período fijo de retención de datos bajo el GDPR. La decisión depende de usted porque sabe qué datos necesita.
Esto no significa que pueda hacer lo que quiera. Si sus periodos de conservación de datos no son razonables, viola el principio de limitación de almacenamiento y podría ser considerado responsable por una autoridad de privacidad o un tribunal.
Facilite información sobre los datos que trata
Si controlas los datos de alguien, debes informarle de que los estás tratando. Este también es el caso cuando solo mantiene los datos almacenados, ya que el almacenamiento de datos es un tipo de procesamiento de datos en virtud del GDPR.
Según el GDPR, debe proporcionar cierta información:
- Nombre de la empresa e información de contacto (incluida la información de contacto de su oficial de protección de datos, si tiene uno)
- Qué datos está procesando
- Por qué procesa los datos y con qué fundamento jurídico
- Con quién comparte la información
- Cuánto tiempo almacenará la información
- Qué derechos tiene el lector y cómo puede ejercerlos.
La lista de Datailsynet es un resumen agradable y legible de lo que exigen los artículos 13 y 14 del RGPD. Esta información es su aviso de privacidad (a menudo denominado política de privacidad, aunque no son exactamente lo mismo).
Debe proporcionar su aviso de privacidad en un lenguaje claro y accesible. Deje a un lado la jerga jurídica y explique al lector qué hace con sus datos, qué derechos tiene y cómo puede ejercerlos. Esto es más complicado de lo que parece, pero es un requisito legal.
Un enfoque est ratificado puede ayudar. Un aviso de privacidad por capas presenta una primera capa que contiene la información más esencial de forma muy sencilla y legible. Esta capa enlaza con otras páginas o capas que contienen información más detallada sobre temas específicos, por ejemplo, qué salvaguardias está aplicando para las transferencias de datos y qué significan en la práctica los derechos del interesado.
Tratar de meter toda esta información en una sola capa haría que el aviso de privacidad fuera largo y difícil de leer, por lo que un aviso por capas puede lograr un buen equilibrio entre detalle y accesibilidad, siempre que se mantenga toda la información crucial en la primera capa.
Los avisos de privacidad por capas son relativamente fáciles de implementar cuando se ofrecen en línea: piense en los avisos de privacidad de los sitios web. En un contexto diferente, a veces se puede proporcionar un aviso breve por otros medios y remitir al lector a una página web para obtener más información.
Si tiene curiosidad, nuestro ejemplo de aviso de cookies para Google Analytics puede darle una idea de cómo es un aviso de privacidad por niveles.
Disponga de procedimientos sólidos y claros para gestionar las solicitudes
Si tratas los datos de una persona, ésta puede ejercer determinados derechos enviándote una solicitud. Por ejemplo, pueden pedirle que acceda a sus datos o que los corrija o suprima.
Losprocedimientos son muy importantes para gestionar las solicitudes tanto en organizaciones grandes como pequeñas. En una organización más pequeña, las solicitudes no suelen ser gestionadas por expertos jurídicos. Contar con un procedimiento claro para gestionar las solicitudes puede aclarar lo que se supone que debe hacer la persona responsable de gestionarlas.
(Por otra parte, las empresas más pequeñas pueden confiar la tramitación de las solicitudes a una sola persona, ya que así es más fácil hacer un seguimiento de las mismas).
Las grandes organizaciones se enfrentan a retos diferentes. Por un lado, suelen contar con personal jurídico formado que sabe cómo deben gestionarse las solicitudes. Por otro lado, los mismos datos personales suelen ser procesados por diferentes equipos y almacenados en diferentes sistemas. Así que los distintos equipos tienen que trabajar juntos para recuperar o borrar datos, y un procedimiento claro es crucial para garantizar la coordinación.
La Datatilsynet ofrece otros buenos consejos para gestionar las solicitudes. Por ejemplo, hay que tener una buena política de identificación para las solicitudes de acceso, para no caer en la trampa de los suplantadores de identidad.
Esto es más fácil de decir que de hacer, pero como regla general, debes aprovechar los datos personales que ya tienes siempre que sea posible. Por ejemplo, si la solicitud procede de un usuario de tu sitio web, puedes pedirle que te facilite sus datos de acceso y, si te ha dado su número de teléfono de antemano, puedes enviarle un código de autenticación a su teléfono. No pida otros datos personales (como el DNI) a menos que sea estrictamente necesario.
El sitio web de Datatilsynet contiene más información útil sobre cómo gestionar las solicitudes. Si su danés no es muy bueno, puede consultar también la web del ICO británico.
Las autoridades se ocupan de muchos casos relacionados con este tipo de solicitudes, por lo que no nos sorprende verlas en la lista de control de Datatilsynet. Son una fuente habitual de multas y problemas legales para las organizaciones, así que asegúrese de gestionarlas correctamente.
Cuide la seguridad informática
Debes procesar los datos de otras personas de forma segura. Para garantizarlo, debes preocuparte por la seguridad técnica y organizativa.
Laseguridad técnica es lo que viene a la mente cuando se habla de seguridad informática: cortafuegos, cifrado, copias de seguridad, etc. Para las pequeñas empresas, esto puede ser muy sencillo. En el caso de las pequeñas empresas, puede tratarse de cosas sencillas pero importantes, como mantener todo el software actualizado, asegurarse de que funcionan un buen antivirus y un cortafuegos, enseñar al personal a reconocer los correos electrónicos de phishing y hacer copias de seguridad de los sistemas con regularidad.
Por otro lado, la seguridad organizativa consiste en regular el acceso a los datos dentro de la organización y garantizar que sólo puedan consultarlos los miembros del personal que realmente los necesitan. Las pequeñas empresas probablemente no necesiten un sistema de autorización complicado.
Sin embargo, puede ser una buena idea proteger algunos datos con una contraseña o crear diferentes cuentas con distintos privilegios en el mismo ordenador. La Datatilsynet sugiere otras precauciones importantes, como bloquear la pantalla al dejar el ordenador y asegurarse de que se borran todos los datos de los dispositivos antes de deshacerse de ellos.
Las obligaciones deseguridad son proporcionales a los riesgos. No necesitarás un cifrado de datos de última generación si sólo procesas la información de facturación de tus clientes y los datos de los empleados para sus nóminas. En cambio, a las organizaciones que procesan datos sensibles, como datos médicos o de localización, se les pueden exigir normas de seguridad más estrictas, independientemente de su tamaño y recursos.
Usted es responsable de compartir datos personales
Es posible que quiera compartir datos personales por muchas razones. Tal vez confíe en un procesador de datos para su correo electrónico, software de RRHH o análisis web. O tal vez quiera compartir los datos con alguien que los utilizará para sus propios fines, por ejemplo, la forma en que los hospitales revelan datos a instituciones de investigación.
En cualquier caso, usted es responsable de la decisión de compartir datos personales. Debe asegurarse de que los datos se tratarán correctamente tras la divulgación e informar a las personas cuyos datos va a compartir.
También debe asegurarse de que se le permite divulgar los datos en primer lugar. Vuelve al punto número dos y pregúntate: ¿tengo una buena razón para divulgar los datos?
Conclusiones
Parece mucho que tener en cuenta. Por eso los detractores del RGPD dicen que impone una carga demasiado pesada a las organizaciones, especialmente a las más pequeñas.
Hay algo de verdad en esta crítica. El RGPD intenta mitigar las cargas de cumplimiento limitando algunas obligaciones de cumplimiento a las empresas más grandes o a los casos en que son absolutamente necesarias. Aun así, las normas distan mucho de ser sencillas y su cumplimiento puede resultar complicado.
Pero algunas normas son necesarias. El tratamiento de datos personales es intrínsecamente arriesgado. Una empresa no debe almacenar y transportar combustible sin ninguna norma de seguridad. Por eso hay normas de seguridad para estas actividades en todas partes. Lo mismo ocurre con el tratamiento de datos: En estos momentos, cada vez más gobiernos de todo el mundo se están dando cuenta de los riesgos de manejar datos personales y están estableciendo normas de privacidad.
La mejor manera de cumplir estas normas es no procesar ningún dato personal. Pero en la mayoría de los casos, esto es sencillamente inviable.
La segunda mejor opción es tener en cuenta la minimización de los datos. Ya hemos escrito sobre esto y, en pocas palabras, la minimización de datos significa recopilar sólo los datos que realmente necesita. Cuantos menos datos controles, menos tendrás que preocuparte por el cumplimiento de la normativa.
En Simple Analytics nos gusta mucho la minimización de datos. Construimos Simple Analytics para proporcionar a nuestros clientes grandes análisis y conocimientos sin recopilar datos personales. Esto permite a las empresas prosperar mientras realizan análisis de una manera ética y respetuosa con la privacidad. Si esto le parece bien, no dude en probarnos.