Cada vez que los usuarios navegan por Internet, sus datos son compartidos. A veces esto no se realiza completamente. Por ejemplo, desde el momento en que acepta una cookie del sitio web de una empresa, le está informando a esa organización sobre sus hábitos de navegación. Cuando te registras en una página, estás cediendo datos de tu dominio personal, como tu número de teléfono o tu correo electrónico, y muchas veces no es fácil saber cómo los usan las empresas.
Esta información es crucial para que las empresas puedan desarrollar sus actividades, explicó Luis A. García, codirector del Máster Universitario en Protección y Seguridad de Datos de la Universidad Nebrija de Madrid. Lo procesan y almacenan para proporcionar sus bienes y servicios. “Los centros educativos requieren que los estudiantes proporcionen ciertos datos personales para impartir sus cursos”, explicó el experto. Al igual que una pequeña empresa, necesita el número de teléfono de un cliente para realizar un pedido a través de WhatsApp o enviarle un boletín con ofertas. Además, las empresas y los autónomos pueden utilizar la información para realizar investigaciones y mejorar las operaciones, e incluso realizar campañas publicitarias. Uso lícito, dijo García, siempre y cuando se informe de manera transparente a los usuarios qué datos se utilizarán, con qué finalidad y, lo más importante, su consentimiento.
Pero las empresas y autónomos deben tener claro que todos estos datos no les pertenecen a ellos sino a quienes los facilitan, ya sean usuarios, clientes, empleados o proveedores, afirma el profesor de la OBS Ramón Miralles de la Escuela de Negocios, Información y Comunicación Experto en derecho de las tecnologías (TIC). Por ello, la obligación primordial de las organizaciones y autónomos será protegerlos, ya que una mala custodia puede llevar a que la información se vea comprometida. Para evitarlo, deben conocer la ley y contar con los medios físicos y digitales para garantizar esta protección.
La gestión y custodia de los datos personales se rige por la Ley Orgánica de Protección de Datos Personales y Salvaguarda de los Derechos Digitales (LOPD GDD), en vigor desde 2018. Esta ley forma parte del Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE). Francisco Torres, Delegado de Protección de Datos, Grupo Banco Sabadell, participará en el webinar Securizando los Datos de los Clientes: ¿Está Tu Empresa Preparada para el Cumplimiento, organizado a través del HUB Empresa de Banco Sabadell? Los datos en el centro de la toma de decisiones y exigen que las empresas y los autónomos cumplan con su responsabilidad de proteger la privacidad. Jaume Feliu, ingeniero y director ejecutivo de PymeLegal Consulting y Delegado de Protección de Datos, que también participará en el webinar, ha explicado que las infracciones pueden ser sancionadas con sanciones de hasta el 4% de la facturación del año anterior o 20 millones de euros, los casos más graves. .
Regístrese para el seminario web
¿Qué tipo de datos deben proteger las empresas?
En función del impacto de las violaciones de datos en los derechos de privacidad de los usuarios, la legislación española distingue entre datos básicos y datos especiales.
● Los datos básicos son los más básicos: nombre, sexo, Número de Identificación Nacional (DNI) o lengua materna, etc. También existen factores relacionados con el entorno social y el estilo de vida, como el estado civil, el nivel educativo y las características de la vivienda en la que vives, tu salario o las subvenciones que recibes. Esta categoría también incluye información de carácter multimedia, como firmas o imágenes captadas con cámaras de videovigilancia.
● Los datos especiales abarcan todos los documentos que, en caso de filtración o mal uso, puedan afectar los derechos y libertades fundamentales de los titulares. Incluyen los relacionados con el origen nacional y racial, las creencias religiosas, la genética, la biometría como el reconocimiento facial o el análisis de la retina, y los relacionados con la orientación sexual y la salud física y mental. «Este es el caso de un centro médico privado que necesita información sobre la salud de sus pacientes para poder brindarles atención. Si se filtra esta información, se dañará más la reputación del usuario que si se filtra su dirección de correo electrónico» , ha señalado Atico34 Carmen Aguilera, responsable del Departamento Jurídico del Grupo y especialista en protección de datos.
¿Cómo deben las empresas proteger los datos de las personas con las que interactúan?
La ley obliga a las empresas y autónomos a implantar medidas de seguridad para garantizar la protección de los datos tanto en formato físico como digital. Pero no tiene la obligación de tomar medidas específicas, porque Aguilera señaló que no todas las empresas tienen el mismo poder económico ni procesan la misma cantidad de información. La Agencia Española de Protección de Datos (AEPD), organismo público encargado de velar por el cumplimiento de la ley, ofrece una serie de recomendaciones.
La información puede almacenarse en soportes físicos o digitales, requiriendo cada uno sus propias medidas. Los datos almacenados en medios tradicionales, como el papel, deben almacenarse de manera que se evite el acceso no autorizado. Aguilera señaló el enfoque habitual: cerrar con llave los gabinetes y cajones de la oficina y restringir el acceso. «Debe complementarse con un sistema de alarma», señaló.
Con respecto a la información digitalizada, Aguilera señaló que es principalmente a través de la protección con contraseña de los documentos almacenados en los dispositivos informáticos y las cuentas de los usuarios. “El consejo del experto es que sea alfanumérico y contenga al menos ocho dígitos. Además, hay que cambiarlo cada tres o seis meses”, subraya el experto.
Las copias de seguridad aseguran que la información esté siempre disponible. Aguilera señaló que lo más adecuado sería mantenerlo en al menos dos soportes: una copia física, en un disco duro, y otra en un servidor en la nube. Los discos duros también deben protegerse de la misma manera que otros medios físicos.
Dentro de la empresa, los datos pueden ser utilizados sin revelar la identidad de su titular. Esta es una técnica conocida como separación de datos o seudonimización, que consiste en utilizar información personal sin asignarle atributos que identifiquen a su titular. “Para desarrollar un plan de igualdad solo se necesitan unos pocos datos, como el sexo del empleado y su formación. De esta forma, puedes limitar el uso a lo imprescindible”, describe Aguilera.
¿Con qué fines puede la empresa utilizar estos datos?
Miralles señaló que es legal que las empresas utilicen los datos personales de los clientes para sus actividades comerciales. “Pero tienen que tener claro para qué lo hacen”, advirtió. Por ejemplo, cada vez que un usuario facilite unos datos a través de una página web, la empresa deberá indicar la finalidad y solicitar su consentimiento. Aguilera explicó que si la comunicación es a través de la web, la empresa le pedirá al usuario que haga clic en una casilla para dar su consentimiento. Junto a este recuadro, las empresas deben mostrar un texto con un enlace que lleve a los usuarios a la sección de la página web que contiene la política de privacidad. “Esto está relacionado con la famosa frase ‘He leído y acepto la política de privacidad’”, explicó el experto.
La sección dedicada a la privacidad debe incluir una descripción de todos los procedimientos mediante los cuales la empresa adquiere datos personales, así como una lista detallada de los derechos de los usuarios y los usos que se les otorgarán. Por ejemplo, seguimiento de solicitudes de información, gestión de datos facilitados por solicitantes de empleo o envío de comunicaciones comerciales por correo electrónico.
La empresa también procesa datos internos de sus empleados. En este caso, deberá aceptar su compromiso de confidencialidad y cesión de datos. Para los proveedores de acceso a la información personal, como cámaras de seguridad o asesores fiscales, también se deben establecer contratos especiales para garantizar la privacidad de dicha información filtrada.
¿Qué derechos tienen los usuarios con respecto a los datos que transmiten a la empresa?
Las empresas y los autónomos no sólo deben proteger la privacidad de la información de las personas físicas. Además debe estar siempre disponible para los usuarios que decidan solicitarlo, y lo más importante, su integridad garantizada. En este caso, explicó Miralles, se debe entregar una copia al usuario, quien puede exigir la corrección si contiene errores.
García explicó que si los usuarios solicitan que se retiren sus datos, las empresas deben atender su solicitud, aunque no siempre pueden borrar todos los datos. Aguilera agregó que están obligados por ley a conservar cierta información, como los registros de nómina de los empleados o los recibos para verificar los pagos de los estudiantes en los centros educativos. «En el futuro, las entidades públicas podrán solicitar estos documentos a la empresa. Por ley, tiene menos de un mes para responder indicando qué información se ha eliminado y qué información no se puede eliminar». Más comúnmente, señaló Aguilera, los usuarios solicitan que sus datos desaparezcan de las listas de comunicaciones comerciales, como anuncios telefónicos o por correo electrónico.
Las empresas con grandes cantidades de datos (más de 50.000 registros) y las empresas de cualquier tamaño que aborden brechas, como escuelas, centros médicos y empresas de marketing, deben contar con un Delegado de Protección de Datos. El profesional debe tener la condición de AEPD, ya sea por examen o acreditando conocimientos en la materia por ser titular de un título universitario en derecho o por haber trabajado en el ámbito del derecho. Protección de datos, dijo Aguilera.
¿Dónde pueden las PYMES aprender sobre protección de datos?
Según Luis A. García, codirector del máster en protección y seguridad de datos de la Universidad Nebrija de Madrid, cualquier emprendedor debe integrar la gestión de datos en su plan de negocio desde el principio. La Agencia Española de Protección de Datos (AEPD) dispone de directrices digitales y ofrece asesoramiento a las empresas para adaptar su actividad a la legislación. Además, hay consultores disponibles para ayudar a cualquier organización a administrar y proteger sus datos y resolver cualquier incidente.
Acudir a una consultora puede ser especialmente útil para organizaciones que manejan datos sensibles, explica Jaume Feliu, ingeniero, director ejecutivo y responsable de protección de datos de la consultora PymeLegal. De esta forma, podrán realizar un análisis detallado de los riesgos de la manipulación de este documento para poder gestionarlo de forma más segura y eficiente. En esta materia, también será útil obtener el asesoramiento profesional de un gerente bancario experto.
agenda de cinco dias
Las citas económicas más importantes del día, y las claves y antecedentes para entender su alcance.
recibe en tu correo