Cada vez que un usuario navega por Internet comparte sus datos. En ocasiones, sin plena consciencia de ello. Desde el instante en el que admite las cookies de el sitio web de una compañía, por servirnos de un ejemplo, esta notificando a esta organización sobre sus hábitos de navegación. Cuando se registra en una página, está cediendo datos de su esfera personal como su teléfono o su mail sin que muy frecuentemente sea simple conocer el uso que la compañía puede hacer de ellos.
Esta información, explica Luis A. García, codirector del Máster de Protección de Datos y Seguridad de la Universidad Nebrija, en Madrid, resulta esencial a fin de que las compañías desarrollen su actividad. La manejan y la guardan para ofrecer sus recursos y servicios. “Un centro educativo necesita que los alumnos proporcionen ciertos datos personales para impartirles el curso”, explica este especialista. Al igual que un pequeño comercio precisa los números telefónicos de sus clientes del servicio para despachar sus pedidos por medio de WhatsApp o para mandarles una newsletter con ofertas. Además, las compañías y los autónomos pueden aprovechar esta información para efectuar estudios y progresar su funcionamiento, aun para lanzar campañas de publicidad. Un uso lícito, señala García, siempre y cuando se informe con trasparencia al usuario sobre qué datos se van a emplear, cuál va a ser propósito de uso y, sobre todo, dé su permiso.
Pero las compañías y los autónomos deben tener claro que todos estos datos no les pertenecen, sino son propiedad de las personas que los ceden así sean usuarios, clientes del servicio, empleados o distribuidores, apunta Ramón Miralles, maestro de OBS Business School, especialista en Derecho de las Tecnologías de la Información y la Comunicación (TIC). Por eso, la primordial obligación de las organizaciones y los trabajadores por cuenta propia va a ser resguardarlos, por el hecho de que una mala custodia puede provocar la filtración de información comprometida. Y para evitarlo, deben conocer la ley y contar con de los medios físicos y digitales que garanticen esa protección.
La administración y la custodia de los datos personales se rige por la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD GDD), en vigor desde dos mil dieciocho. Esta ley se enmarca en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE). Francisco Torres, encargado de protección de datos de las sociedades del Grupo Banco Sabadell, que participará en el webinar Protección de datos de tus clientes: ¿está preparada tu empresa para cumplir con la normativa?, organizado por medio de HUB Empresa de Banco Sabadell, señala que esta ley ubica al titular de los datos en el centro de resolución y demanda que las compañías y los autónomos ejerciten la responsabilidad para asegurar la privacidad. Jaume Feliu, ingeniero y director de la asesora PymeLegal y encargado de protección de datos, que asimismo participará en el webinar, explica que su incumplimiento acarrea sanciones de hasta el cuatro% de la facturación del año precedente o veinte millones de euros, en el caso de las más graves.
Apúntese al ‘webinar’
¿Qué género de datos han de resguardar las compañías?
A partir del impacto que la filtración de datos tendría en el derecho a la amedrentad del usuario, la ley de España distingue entre datos básicos y datos singulares.
● Los datos básicos son los más elementales: el nombre, el sexo, el número de DNI (DNI) o la lengua materna, entre otros muchos. También aquellos que hacen referencia a circunstancias sociales y de modo de vida, como el estado civil, el nivel educativo, como a las peculiaridades de la residencia en la que radica, su sueldo o las subvenciones que recibe. Esta clasificación entiende además de esto información de carácter multimedia, como la firma o las imágenes captadas con una cámara de seguridad.
● Los datos singulares abarcan toda aquella documentación que en el caso de filtrarse o de un uso incorrecto puede afectar a los derechos esenciales y las libertades de los titulares. Comprenden los relativos al origen étnico y racial, a las convicciones religiosas, a la genética, a la biometría (como el reconocimiento facial o el análisis de retina), como los referentes a la orientación sexual y la salud, tanto física como mental. “Es el caso de un centro sanitario privado que necesita información sobre el estado de salud de sus pacientes para poder atenderlos. Si se revelara esta información, el daño a la reputación del usuario sería mayor que si se filtrara su dirección de correo electrónico”, resalta Carmen Aguilera, responsable del departamento jurídico del conjunto Atico34, asesora experta en protección de datos.
¿De qué forma debe resguardar una compañía los datos de las personas con las que se relaciona?
La ley demanda a las compañías y a los autónomos que sostengan medidas de seguridad para asegurar la protección de los datos, tanto en formato físico como en digital. Pero no fuerza a tomar acciones específicas, ya que no todas y cada una de las compañías, apunta Aguilera, tienen exactamente la misma capacidad económica ni manejan exactamente el mismo volumen de información. La Agencia Española de Protección de Datos (AEPD), el organismo público encargado de velar por el cumplimiento de la ley, ofrece una serie de recomendaciones.
La información puede estar guardada en aguantes físicos o en digitales y cada uno de ellos precisa de sus medidas. Los datos preservados en aguantes tradicionales, como el papel, van a deber guardarse de forma que se impida la entrada a personas no autorizadas. Aguilera apunta los métodos habituales: guardarropas y cajones bajo llave en despachos con acceso limitado. “Conviene complementarlo con sistemas de alarma”, apostilla.
En el caso de la información digitalizada, Aguilera apunta que lo fundamental es resguardar a través de claves de acceso la documentación guardada en los equipos informáticos y en las cuentas de los usuarios. “La recomendación de los expertos es que sea alfanumérica y contenga, al menos, ocho dígitos. Además, habrá que cambiarla cada tres meses o seis meses”, resalta esta especialista.
Las copias de respaldo garantizan que la información esté siempre y en toda circunstancia libre. Aguilera detalla que lo más conveniente es que por lo menos se conserve en dos soportes: una copia física, en discos duros, y otra en un servidor en la nube. Los discos duros, además de esto, han de resguardarse de exactamente la misma manera que el resto aguantes físicos.
Dentro de la compañía, los datos pueden usarse sin que se desvele la identidad de sus dueños. Es una técnica llamada disociación o seudonimización de datos, consistente en emplear información personal sin asignarle atributos que identifiquen a sus titulares. “Para desarrollar un programa de igualdad, solo se necesitan unos pocos datos, como el sexo de los empleados y su formación, por ejemplo. Así limitas el uso a lo más esencial”, describe Aguilera.
¿Con qué fines puede una compañía usar los datos?
Miralles apunta que es lícito que las compañías empleen los datos personales de sus clientes del servicio para sus actividades de negocio. “Pero han de dejar claro con qué objeto van a hacerlo”, informa. Cada vez que un usuario da algún dato por medio de el sitio web, por servirnos de un ejemplo, la compañía ha de señalarle el fin y solicitarle su permiso. En el caso de una comunicación vía web, explica Aguilera, la compañía pedirá al usuario que haga click en una casilla para conceder su permiso. Junto a esta caja, la compañía debe enseñar un texto con un link que lleve al usuario al apartado de el sitio web que recoge la política de privacidad. “Se trata de la famosa frase de ‘He leído y acepto la política de privacidad”, explica esta especialista.
La sección dedicada a la privacidad debe incluir una descripción de todos y cada uno de los procedimientos por medio de los que la compañía consigue los datos personales, aparte de los derechos de los usuarios al detalle y un inventario de los usos que se les va a dar. Por ejemplo, atención a las solicitudes de información, administración de los datos aportados por los aspirantes a un puesto o remisión de comunicaciones comerciales vía mail.
Las empresas asimismo manejan datos internos de sus empleados. En este caso deben convenir con ellos un compromiso de confidencialidad y de cesión de datos. Con los distribuidores que acceden a información personal, como los de cámaras de vigilancia o las asesorías fiscales, asimismo va a haber que establecer contratos singulares para asegurar la privacidad de esta información comprometida.
¿Qué derechos tiene el usuario sobre los datos que cede a las compañías?
Las empresas y los autónomos no solo deben asegurar la privacidad de la información sobre personas físicas. También esta ha de estar libre en todo instante para el usuario que decida pedirla y, sobre todo, asegurar su integridad. En este caso, explica Miralles, va a haber que entregarle una copia al usuario, que va a poder demandar su rectificación en el caso de que contenga fallos.
Si el usuario demanda que se retiren sus datos, la compañía debe atender su solicitud, si bien no siempre y en toda circunstancia va a poder borrarlos todos, explica García. Aguilera agrega que, por ley, tienen la obligación de guardar cierta información, como el registro de nóminas de un empleado o los recibos que comprueban los pagos de un estudiante en un centro de educación. “En el futuro, las entidades públicas pueden solicitarle a la empresa esta documentación”. De pacto con la legislación, va a haber que responderle en menos de un mes explicándole qué información ha sido borrada y cuál no se puede eliminar. Lo más frecuente, apunta Aguilera, es que los usuarios demanden que sus datos desaparezcan de las listas de comunicaciones comerciales, como la publicidad telefónica o por e-mail.
Las empresas con un enorme volumen de datos —más de cincuenta registros— y aquellas de cualquier tamaño que manejen información comprometida, como los centros enseñantes, los sanitarios y las compañías de marketing, han de contar con un responsable de protección de datos. Este profesional debe contar con la cualificación de la AEPD, un título que consigue por medio de un examen o a través de la demostración de sus conocimientos en el ámbito, al ser poseedor, por servirnos de un ejemplo, del título universitario de Derecho o haber trabajado en el campo de la protección de datos, señala Aguilera.
¿Dónde pueden informarse las pequeñas y medianas empresas sobre protección de datos?
Luis A. García, codirector del máster de Protección de Datos y Seguridad de la Universidad Nebrija, en Madrid, señala que cualquier emprendedor debe integrar la administración de los datos en su plan de negocio desde el primer instante. La Agencia Española de Protección de Datos (AEPD) dispone de guías digitales y presta asesoramiento a fin de que las compañías amolden su actividad a la legislación. Además, existen consultoras que asisten a cualquier organización a administrar y resguardar sus datos y a solucionar cualquier incidencia.
Recurrir a una asesora, explica Jaume Feliu, ingeniero, director de la asesora PymeLegal y encargado de protección de datos, es en especial útil para las organizaciones que manejan datos sensibles. De esta forma, van a ser capaces de ejecutar un análisis detallado de los peligros del tratamiento de esta documentación para administrarla de forma más segura y eficiente. También resultará útil contar con el asesoramiento profesional de un gestor del banco especialista en esta materia.
