Toda la información referente a la nueva ley GDPR es difusa, compleja, llena de formalismos, y en algunos casos ambigua. Todo ello unido a la fecha tope del 25 de Mayo del 2018 y el anuncio de grandes multas está generando un revuelo de incertidumbre y relativo pánico en el ecosistema emprendedor y de startups. Si bien es verdad que hemos tenido mucho tiempo para prepararnos, todos dejamos este tipo de cosas para el último momento. La falta de claridad en la definición de la misma ha generado una situación de «wait & see» y esperar a ver qué hacen los demás o empresas grandes como Facebook o Google.
Dicha situación me ha llevado a investigar por mi cuenta y a preguntar algún experto que otro. En este artículo he intentado sintetizar lo más importante que pueda afectar a las startups adaptando el lenguaje y aterrizando a la práctica algún que otro concepto. Espero os pueda servir de ayuda al menos eliminar la incertidumbre que esta ley os pueda estar generando.
Nota: no soy ningún experto en la materia ni abogado. La ley tiene muchos matices y aristas, y todo el contenido aquí expuesto se basa en aprendizaje, preguntas y lecturas; por lo que por favor no toméis todo al pie de la letra y en caso de duda, siempre es mejor consultar con un abogado.
Lo primero de todo, no «paniqueemos». Si cumples con la actual LOPD, o ley de protección de datos de tu país dentro de la UE, simplemente tendrás que tener en cuenta ciertos nuevos matices. Otro temor es la famosa sanción que podría ascender hasta un 4% del volumen de negocio del año anterior o 20 millones de euros, cualquiera de las dos sea mayor. Lo que no queda claro es que el matiz de los «20 millones de euros; cualquiera de las dos que sea mayor» sólo es aplicable a instituciones públicas ya que sino carecería de sentido para según qué empresa.
Ámbito geográfico de GDPR
La LOPD, o ley de protección de datos que tengas en tu país, sigue en vigor. La nueva ley GDPR sólo aplica para empresas que ofrecen productos y servicios dentro de la Unión Europea y/o recopilan datos de ciudadanos europeos. Aquí existen ciertos flecos: por ejemplo; si eres una empresa europea no tendrás que aplicar la ley de GDPR para usuarios que tengas fueras de la UE.
Nuevos derechos de GDPR
Además de los derechos actuales de la LOPD de información, acceso, rectificación, cancelación y oposición, se agregan los siguientes nuevos derechos para el ciudadano europeo:
Olvido – derecho de, por ejemplo, desindexar contenido de datos personales por parte de la fuente.
Portabilidad – derecho de pedir la exportación del perfil de usuario y configuraciones en un formato legible. Por ejemplo, pedir a Spotify que nos exporte un fichero el cual incluya nuestra estructura de listas de reproducción.
Limitación – derecho de poder escoger qué tratamientos se pueden aplicar o no. Por ejemplo, quiero poder usar el servicio pero no quiero que me envíen comunicaciones comerciales.
Además, el tiempo de respuesta ante la ejecución de un derecho se reduce a un mes.
Nuevos datos sensibles de GDPR
Los antes conocidos como datos de alto riesgo (raza, política, religión, salud, orientación sexual y condenas) se llamarán datos sensibles, y a éstos se añadirán los siguientes:
Biométricos – cualquier dato biométrico que identifique a la persona (huellas dactilares, reconocimiento facial, etc.).
Genéticos
Geolocalización – entendido como dato de GPS o que permita ubicar al individuo de forma precisa.
Nuevos consentimientos de GDPR
Si bien este concepto siempre ha sido polémico, como por ejemplo, con el caso del consentimiento de las cookies en la navegación de páginas web, la nueva ley GDPR especifica los consentimientos de tal forma:
No pueden ser tácitos o por omisión. Es decir, no se permite por ejemplo algo como “si en 30 días no respondes, daremos por hecho que aceptas los términos”.
Han de ser inequívocos. Deben ser claros y no pueden dar lugar a confusión.
Han de ser explícitos (el ciudadano debe aceptar) cuando:
- Se van a tratar datos sensibles (definidos anteriormente).
- Se van a realizar tratamientos automatizados o elaboración de perfiles. Esto aplica a las empresas de Big Data o empresas que realizan segmentación sofisticada de sus usuarios basadas en comportamiento. Por ejemplo, segmentación de un grupo de usuarios que sean de Alemania, tengan entre 20 y 25 años, y hayan realizado 5 compras en nuestra base de datos.
- Se van a realizar transferencias de datos fuera de la unión europea. Por ejemplo, tener nuestra base de datos en un hosting fuera de la UE, usar servicios en la nube cuyos servidores estén fuera de la UE, o incluso un contrato de un servicio que tengamos con una empresa fuera de la UE y tengan datos personales de empleados, clientes o proveedores.
Serán implícitos para el resto de casos siempre y cuando se produzca de una acción inequívoca. Por ejemplo, no aceptar la política de cookies pero seguir navegando.
Nueva figura de DPO
El papel del nuevo DPO (Data Privacy Officer – Delegado de Protección de Datos) puede ser parecido al de Compliance y sus responsabilidades son de informar, asesorar y supervisar todo lo referente a la protección de datos y legislación además de ser el punto de contacto. Puede ser alguien de la plantilla o externo, pero nunca podrá ser alguien que pueda suponer un posible conflicto de interés como el Consejero Delegado o Administrador Único. Para ser DPO no es necesario ser abogado ni poseer ningún título, pero se han de demostrar conocimientos básicos jurídicos y técnicos suficientes para ejercer el cargo.
¿Cuáles son los pasos a seguir y cómo sé si necesito un DPO?
Paso 1. Realizar un análisis de riesgos mediante Facilita (herramienta de la AGPD). Si te permite seguir adelante, estás de suerte. Siguiendo los pasos se te generarán los documentos que necesitas, con las medidas que debes tomar y cómo has de adaptarlo. De lo contrario necesitarás realizar una evaluación de impacto para cada tratamiento y además de la figura del DPO.
En definitiva, necesitarás un DPO y una evaluación de impacto si:
- Tratas datos sensibles.
- Realizas tratamientos de big data, elaboración de perfiles y segmentación basada en comportamiento.
Paso 2. Si necesitas un DPO has de realizar una evaluación de impacto (EIPD – Evaluación de Impacto de Protección de Datos. Si bien la ley permite que las empresas elaboren dicha evaluación a su criterio, la AGPD ha propuesto una guía para su elaboración con los siguientes puntos:
- Análisis de la necesidad. Describir el proyecto y las áreas de negocio afectadas.
- Descripción y definición del proyecto. Describir el flujo de información de datos personales (entrada, finalidad, resultados, quién/cómo, tecnologías, etc.)
- Análisis de posibles riesgos. Fuga de información, pérdida de ordenador o robo, base de datos, claves de correo, etc.
- Minimización de riesgos. Cómo mitigar los riesgos anteriormente definidos. Mediante un documento de seguridad como el de la LOPD; copias de seguridad, quién tiene acceso, frecuencia, encriptación, cerrar oficinas con llave, etc. Controles de seguimiento y auditoría.
- Análisis del cumplimiento normativo. Habiendo hecho lo anterior, hacer declaración jurídica de ello.
- Resumen e informe final. Lista de riesgos identificados y recomendaciones.
- Implantación. Definir plan de acción, recursos, tiempos, etc.
- Revisión del plan una vez implementado.
Paso 3. Actualizar los consentimientos y términos y condiciones acorde a lo descrito anteriormente y a la evaluación de impacto. Se han de identificar, para cada tratamiento en vigor, el responsable, la finalidad, plazo de conservación de los datos, legitimación, cesión a terceros si la hubiera e información de cómo ejercer los derechos con un lenguaje claro y conciso. Dichos consentimientos deben estar guardados, no pueden ser modificables y tienen que ser demostrables. Es decir, si un usuario acepta un tratamiento de datos, dicho consentimiento ha de ser guardado en fecha de forma explícita.
Algunas recomendaciones para GDPR
- Si en tu Startup ya trabajas con un abogado, mira a ver si pueden ser ellos vuestros representantes DPO en el caso de necesitarlo.
- Si tienes un formulario de registro, pide consentimiento explícito y apunta a unos términos y condiciones claros, que definan muy bien con lenguaje entendible la finalidad de los datos a tratar.
- Para cada nuevo registro (usuario; cliente; etc.) que acepte tus condiciones, guarda en la base de datos dicho consentimiento y que no pueda ser modificable por nadie de la empresa.
- Si trabajas con algún hosting tipo AWS, mira a ver si puedes migrar los datos a los servidores de Irlanda o servidores que tengan en Europa. Te ahorrán un quebradero de cabeza.
- Si usas Google Docs (o similar), y en ellos guardas datos personales tanto de usuarios, clientes o empleados, tienes dos opciones : i) seguir igual y comunicar tanto a la agencia como a los afectados que sus datos son transferidos fuera de la UE con tal propósito; ii) seguir igual pero asegurarse que en los documentos que tengas de Google Docs (o similar) no existe ningún dato personal y todo está seudoanonimizado. (Creo que Dropbox tiene servidores en Europa).
- Revisa todos los acuerdos y proveedores de servicios que utilices y que puedan tener datos personales (seguros, reconocimiento médico, herramientas de analítica, herramientas de email-marketing, etc.) y pídeles un addendum al contrato o verificación de que cumplen con GDPR.
- Iré agregando más a medida que vayan saliendo.
Espero que os haya podido servir de ayuda esta pequeña guía sobre GDPR para startups y que ahora veais con más claridad cuáles son las medidas a tomar para cada caso.
Una respuesta a «GDPR para startups»