A la hora de meterse en el mundo de la protección de datos y de la ciberseguridad (que puede parecer un poco intimidante si el asunto nos es totalmente ajeno), es conveniente que cada negocio haga una primera evaluación para ver en qué situación está. Es decir, hay que valorar si se va a tratar la información personal de mucha o poca gente, con quién compartiremos estos datos (y por qué será necesario hacerlo) y qué dispositivos electrónicos usaremos en nuestro día a día.
Acudir a las guías de la AEPD es el primer paso imprescindible
Para centrar estos primeros pasos, Sergio Carrasco, abogado experto en privacidad y asuntos digitales e ingeniero informático, recomienda que toda pequeña y mediana empresa (pyme) eche un vistazo a la web de la Agencia Española de Protección de Datos (AEPD), y más concretamente a la información relacionada con el registro de actividades de tratamiento de datos.
Lo esencial, según el experto, es identificar “qué datos se tratan, para qué, usando qué bases de las permitidas por el Reglamento General de Protección de Datos europeo y el tiempo de conservación”. “Y de ahí ir trabajando”, añade. Cuando hablamos de “bases permitidas”, nos referimos a los supuestos en los que las empresas pueden ampararse para recoger y tratar nuestros datos.
La ‘biblia’ a la que acudir cuando hablamos de protección de datos es, naturalmente, la ley que regula el asunto. En España lo hace la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), una normativa que vino marcada desde Bruselas con el Reglamento General de Protección de Datos (RGPD). Llevan operando en nuestro país desde 2018.
Ángel Benito Rodero, abogado experto en protección de datos, anima a todos aquellos responsables de una pyme a acudir a este portal de la AEPD en el que se detallan las actuaciones necesarias para adecuarse a la ley.
“Igualmente, si la empresa efectúa tratamientos de datos muy sencillos o básicos, puede utilizar la herramienta de la propia AEPD llamada ‘Facilita RGPD’. Dicha herramienta le facilitará, previa introducción de unos datos básicos y contestación de unas preguntas, unos documentos de adecuación al RGPD: documentos muy básicos, eso sí, pero al fin y al cabo validados por la propia agencia”, añade el abogado.
En el caso de que la actividad diaria de la empresa incluya un tratamiento un poco más complejo de los datos personales de los clientes (y por tanto no puedas utilizar esta herramienta), desde la agencia subrayan la necesidad de revisar de forma periódica las medidas de seguridad en torno a esta gestión de los datos, ofrecer garantías a los clientes para que estos puedan acceder a la información personal que guardamos sobre ellos y plantear mecanismos de emergencia para activar en caso de que haya alguna brecha de seguridad en las bases de datos.
¿Necesitarás un delegado de protección de datos?
Una de las figuras que incluye la ley (y que puede resultar más confusa para el pequeño empresario) es la del delegado de protección de datos. ¿Es necesario nombrar a uno? ¿Qué criterios marcan que deba o no hacerlo? Volvemos a la AEPD, que contempla una lista de supuestos en las que sería necesario nombrar a una persona que se dedique específicamente a velar por el cumplimiento de la normativa. En este artículo de Maldita Tecnología también te explicamos para qué sirve esa figura y cuándo tiene que tenerla una empresa obligatoriamente.
Hay múltiples supuestos que te obligarían legalmente a nombrar uno. Por ejemplo, es obligatorio si te dedicas a la seguridad privada, a la concesión de créditos o si el negocio realiza un “tratamiento a gran escala de categorías especiales de datos personales”.
Los dos abogados consultados por Maldita Tecnología aconsejan acudir a un experto en caso de que no se tengan del todo claro las obligaciones de la pyme: más vale mirarlo con un profesional antes de enfrentarse a un posible multa por tratar de forma irresponsable los datos de los clientes.
Forma a tus empleados con nociones básicas de ciberseguridad
En cuanto a la ciberseguridad, Ángel Benito explica que para todos aquellos que gestionen una pyme que “no presta ningún servicio esencial o estratégico, no hay más obligaciones que las que derivan propiamente de la normativa de protección de datos”.
En el ámbito profesional siempre es recomendable extremar precauciones y no hacer nada que no harías con tu ordenador en el ámbito privado. En esta completa guía del Instituto Nacional de Ciberseguridad (INCIBE) se dan varias claves sobre imagen online, comercio electrónico o responsabilidades respecto al cliente.
Entre las recomendaciones básicas encontramos cosas como “mantener los sistemas actualizados libres de vulnerabilidades”, “concienciar a los empleados de la correcta utilización de los sistemas corporativos” o “utilizar redes seguras para comunicar con los clientes cifrando la información cuando sea necesario”, entre otras.
Y si quieres hilar más fino, el propio INCIBE te ofrece en este enlace una herramienta de autodiagnóstico para negocios en el que podrás identificar amenazas que igual no tenías en el radar.