Protección de datos personales: decálogo para emprendedores

Por Francisco Ramón González-Calero Manzanares

A la hora de diseñar un producto o servicio nos planteamos muchas cuestiones y analizamos muchas variables, pero en pocas ocasiones valoramos si vamos a cumplir o cómo podemos cumplir con la normativa vigente en protección de datos de carácter personal. Esto provoca que cuando nos ponemos en contacto con el experto en la materia en una fase muy avanzada del proyecto o con el mismo finalizado y emite sus advertencias, mejoras y recomendaciones, nos veamos en la disyuntiva de o bien arriesgarnos a que nos impongan una sanción (desde 900 hasta 600.000 €) por parte de la Agencia Española de Protección de Datos y sufrir además un daño reputacional, puesto que las mismas se publican en la página web de la AEPD o bien alargar los plazos de puesta en funcionamiento del producto o servicio y el aumento de los costes al tener que rediseñarlo en muchas ocasiones.

La futura regulación europea de protección de datos, actualmente en fase de aprobación final y con una expectativa de entrada en vigor a lo largo del 2018 recoge un principio conocido como privacy by design o privacidad desde el diseño, que obliga a tener en cuenta a la privacidad durante todo el ciclo de vida del dato, desde su obtención hasta su destrucción, pasando por todas las fases del tratamiento. Obliga igualmente a establecer controles y revisiones periódicas de cumplimiento y revisar aquellos aspectos en lo que se detecten no conformidades o sean susceptibles de mejorar.

Es por ello que en base a este principio, vamos a lanzar un decálogo de recomendaciones a tener en cuenta en la fase de diseño de nuestro producto o servicio y su posterior control, auditoría y mejora. Debemos ser conscientes que NO somos los propietarios de esos datos, sino meros gestores de los mismos, puesto que la titularidad siempre pertenecerá a la persona física cuyo dato personal facilita y posteriormente es tratado.

#1. Finalidad del tratamiento:

Es quizás la pregunta más transcendental que nos debemos plantear. La finalidad no puede ser contraria a la LOPD ni a sus principios, es la que nos indica qué datos podemos tratar, durante cuánto tiempo los podemos tratar, si va a ser necesario cederlos a terceros y para qué vamos a solicitar autorización para el tratamiento a los titulares de esos datos. Por ello si por ejemplo vamos a desarrollar una app para pedir pizza a domicilio, no debería extrañarnos que entre los permisos de acceso se solicitara el de geolocalización, ya que no siempre pediremos con destino a nuestro domicilio e incluso en nuestra localidad. Estaría justificado conforme a la finalidad perseguida que es la de reparto en el domicilio en el que se encuentre el cliente en ese momento. Pero si el permiso que se solicita lo es para acceder a la galería de imágenes, no queda clara la necesidad del acceso para el cumplimiento de la finalidad de entrega de pizza a domicilio, ni siquiera sería justificable para que el repartidor le reconozca en el momento de la entrega o que en la ficha de cliente exista la funcionalidad de incorporar la foto de perfil, que en este supuesto en mi opinión ningún valor añadido aporta.

#2. Datos a tratar

Debemos preguntarnos qué datos vamos a tratar, cuales son los necesarios e imprescindibles y cuáles pueden ser excesivos para la finalidad del tratamiento. La LOPD no pone problemas a la hora de tratar datos siempre que sean adecuados, pertinentes y no excesivos con la finalidad del tratamiento. También hay que prestar detenida atención a los datos especialmente protegidos, como son los de salud, afiliación sindical, origen racial o étnico, religión o creencias, puesto que para estos existen garantías y cautelas adicionales. A la hora de suscribir un seguro de vida es lógico que se solicite información de salud, pero no así a la hora de captar a un potencial comprador o arrendatario de un inmueble a través de una app o website. Si es minusválido o anciano podemos indicar en las características de búsqueda que tiene que ser una finca con ascensor o en caso contrario un bajo y que es necesario que el portal disponga de rampa o plataforma, evitando así el tratamiento del dato de salud.

#3. Información a los titulares de los datos

Antes de obtener el dato debemos informar sobre determinados aspectos como quién es el responsable del tratamiento, cual es la finalidad del mismo, las cesiones de datos a terceros previstas y cómo podemos controlar el uso que se hace de los datos a través del ejercicio de los conocidos derechos ARCO (acceso, rectificación, cancelación y oposición). Debe tenerse en cuenta que no sólo es necesario informar previamente y obtener el consentimiento expreso en los casos preceptivos (tratamiento de datos especialmente protegidos y cesiones de datos no previstas en una Ley), sino que debemos ser capaces de probar que lo hemos hecho conservando prueba de la casilla marcada electrónicamente o del formulario en papel donde se obtuvieron los datos. También es necesario reflexionar sobre la obtención de futuros consentimientos ante por ejemplo, cesiones de datos no contempladas en la actualidad o ampliaciones en las finalidades del tratamiento.

#4. Seguridad de los datos

Otro de los aspectos a tener en cuenta es que existen tres niveles de seguridad dependiendo del tipo de datos tratados. Existen tanto medidas de seguridad de tipo organizativo como de carácter técnico. Es importante conocerlas de antemano puesto que en el diseño originario de los aplicativos siempre es más fácil su implementación que cuando ya están acabados. También es necesario establecer protocolos de actuación ante quiebras de seguridad que afecten a la seguridad e integridad de los datos, incluyendo desde el modo de notificación, cargo o departamento al que se le tiene que notificar o las medidas técnicas y organizativas a adoptar.

#5. Duración del tratamiento

Los datos deben destruirse cuando acaba la finalidad para la que fueron obtenidos o devienen obsoletos. Debemos reflexionar durante cuánto tiempo necesitamos tratar esa información, incluyendo los plazos legales en los que estamos obligados a mantenerla (normativa fiscal, plazo de prescripción de acciones judiciales, etc). Esto no quiere decir que se tenga que destruir toda la información de un titular, sino que se debe destruir aquella que es obsoleta o que no es relevante para la finalidad actual del tratamiento. Siempre que seamos capaces de encontrar una justificación apropiada y razonable podremos ampliar los plazos de mantenimiento de la misma, como que sea habitual la petición de duplicados por extravío o deterioro.

#6. Destrucción de los datos

Aun pudiendo estar contemplada dentro del apartado relativo a la seguridad de los datos, entendemos que es prioritario establecer una política de destrucción segura de la información que ya no es útil tanto si se encuentra en soporte informático como si se encuentra en soporte papel. Ser capaces de demostrar que una empresa elimina por completo esa información o que contamos nosotros con los medios para ello nos puede eliminar más de un dolor de cabeza.

#7. Ejercicio de derechos ARCO

Todo el personal interviniente en el proceso de tratamiento de datos como aquel que por sus funciones esté en contacto directo con personas, ya sea de manera física (recepción, seguridad, atención al público, comercial…) o virtual (departamento de atención telefónica, departamento de redes sociales, departamento de envíos y correspondencia…) debe conocer el protocolo a seguir en el supuesto que una persona ejercite su derecho de acceso, rectificación, cancelación u oposición. Deben ser conscientes que la falta de respuesta en los plazos legalmente establecidos equivale a denegación del derecho, lo que habilitaría al afectado a iniciar un procedimiento de tutela de derechos ante la Agencia Española de Protección de Datos con el consiguiente daño reputacional ya que estas resoluciones se publican también en la página Web de la AEPD.

#8. Formación y concienciación

De nada sirve poner en práctica estas recomendaciones si no atendemos al eslabón más débil en seguridad de la información que son nuestros propios empleados. Teniendo en cuenta que las medidas organizativas y técnicas recogidas en el Documento de Seguridad son de obligado conocimiento cumplimiento por parte de todo el personal que trata datos personales, por poner algunos ejemplo, son comunes las sanciones por enviar correos electrónicos a múltiples destinatarios sin utilizar la copia oculta. También es conveniente que conozcan y utilicen las destructoras de papel o los contenedores de recogida de papel, que no desechen sin más smartphones, tablets, portátiles o USB. Deben saber que si reenvían documentos a sus equipos en su domicilio deben tener previamente implantadas medidas de seguridad en los mismos y también en el transporte o la transmisión y que al reenviar de nuevo esa información a su puesto de trabajo o al introducirla mediante CD o USB deben previamente haberse cerciorado que no contiene ningún tipo de malware como virus o troyanos. Y lo más importante es que seamos capaces de demostrar que les habíamos formado e informado en estos términos.

#9. Prestadores de servicios

En el supuesto que terceros en cumplimiento de un contrato de prestación de servicios tengan necesidad de acceder a los datos que gestionamos (mantenimiento o desarrollo informático, cloud computing, campañas de mailing, segmentación de perfiles o profiling, etc) debemos firmar con ellos un contrato de acceso a datos, en el que se fije, entre otros, el objeto del acceso a datos, se prohíban otros usos, se obligue al prestador a implantar medidas de seguridad y se establezcan las reglas de devolución o destrucción de la información al finalizar la prestación del servicio. Especial cuidado hay que tener en los servicios de cloud computing en relación con la portabilidad de la información y su entrega en un formato legible para el caso que decidamos cambiar de proveedor y con todo lo relacionado con la integridad, seguridad y disponibilidad de la información alojada.

#10. Transferencias internacionales de datos

Para transferir datos fuera del territorio de la Unión Europea se necesita una autorización previa de la Agencia Española de Protección de Datos salvo que la transferencia se pueda amparar en alguno de los supuestos que eximen del deber de solicitarla. Tampoco es necesario solicitarla cuando el país de destino tiene reconocido por parte de la Unión Europea un “nivel adecuado de protección”. Realizar una transferencia internacional de datos es más habitual de lo que se piensa, puesto que se produce en el momento en el que se utiliza un servicio de cloud computing o de correo electrónico cuyos servidores están ubicados en el extranjero o estando ubicados en el territorio de la Unión Europea, replican copias de seguridad a servidores fuera del territorio de la Unión Europea.