La entrada y uso de las nuevas tecnologías ha supuesto grandes beneficios para los emprendedores, los autónomos, la creación de compañías Startup, así como para las empresas. Sin embargo, su presencia en el día a día de las compañías y emprendedores puede traer consigo algunos riesgos legales si no se cumple con la normativa que afectan a la actividad digital.
En lo que respecta a nuestra especialidad en la Protección de datos LOPD y la Ley De Servicios De La Sociedad De La Información Y De Comercio Electrónico, LSSI ley 34/2002, el no adaptarnos a estas leyes nos puede acarrear alguna infracción. Por ello te indicamos que tendría que realizar un emprendedor, los autónomos, las empresas y las nuevas compañías startup para cumplir con estas normativas:
CON RESPECTO A LA PROTECCION DE DATOS
è Se debe realizar un análisis de los datos que la empresa recaba, trata y/o almacena, teniendo en cuenta que los ficheros se deben agrupar en cuanto a la finalidad de los mismos, siendo independiente el soporte o formato en el cual los almacenamos.
è Para legalizar los ficheros los tenemos que inscribir en la Agencia Española de Protección de datos que a diferencia de lo que se cree, solo hay que comunicar el tipo de información que trata la empresa, a que colectivo pertenece, que origen tiene y su finalidad. En esta fase también tenemos que analizar qué tipo de datos se tratan o van a tratar ya que existen 3 niveles según el tipo de dato que se recabe: Básico, Medio, o Alto.
è Debemos elaborar el Documento de Seguridad con el contenido exigido por el RD1720/2007 y que puntualizamos a continuación:
a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido.
c) Funciones y obligaciones del personal.
d) Estructura de los ficheros.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de realización de copias de respaldo y de recuperación en los ficheros automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes.
h) La identificación del responsable o responsables de seguridad en el caso de los ficheros de nivel medio o alto.
i) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información.
è Se deben elaborar e implementar las cláusulas informativas que nos indica la ley en los cuestionarios o formularios que la empresa utilice para la recogida de los datos personales. También se deben redactar clausulas legales de consentimiento en el caso que los datos sean cedidos.
è Firmar el Compromiso de confidencialidad y secreto con los trabajadores ya que el artículo 10 de la LOPD establece que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero.
è Firmar los contratos de acceso a datos (Encargado del Tratamiento) Toda empresa externa que nos preste un servicio y que acceda a datos personales de los cuáles nosotros somos responsables por ejemplo: Asesoría fiscal, empresa de prevención de riesgos laborales, etc) es considerada un Encargado del Tratamiento y es preciso firmar un contrato de acceso a datos dicha empresa que regule la prestación de los servicios que nos presta.
è En función de los datos personales tratados se deberán implantar medidas de seguridad de nivel básico, medio y/o alto a los ficheros que contienen dichos datos. Estas medidas son las, Medidas técnicas: son las destinadas a conservar la confidencialidad, integridad y disponibilidad de la información, su no alteración, pérdida o robo de los datos personales a través de medios o dispositivos técnicos. Medidas organizativas: son aquellas medidas destinadas a establecer procedimientos, medidas, normas, reglas y estándares de seguridad, cuyos destinatarios son los usuarios que tratan los datos de los ficheros.
è Disponer de plantillas para el ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición. También llamados derechos ARCO que le permitan una rápida y eficaz respuesta a los afectados que quieran ejercer sus derechos.
CON RESPECTO A LAS PAGINAS WEB (LSSI)
è Generar la Política de Privacidad: en la cual incluiremos, quién es el Responsable de los Datos, con que finalidad se recogen, si van a ser cedidos, qué datos es obligatorio que facilite el usuario, las medidas de seguridad que se han implantado para evitar accesos no autorizados a esos datos o para evitar pérdidas de información, la posibilidad de que los usuarios puedan ejercitar los derechos ARCO (acceso, rectificación, cancelación y oposición) y la forma en que éstos pueden ejercerlos.
è Generar un Aviso legal: el artículo 10 establece las menciones obligatorias sobre el nombre o denominación social y datos de contacto, los datos de inscripción en el Registro Mercantil u otros registros públicos, NIF, información sobre el precio de los productos, sobre las autorizaciones administrativas necesarias en su caso, datos del Colegio profesional y códigos de conducta a los que esté adherido.
è Generar unas condiciones generales y particulares de contratación: se deberá informar sobre los pasos a seguir para celebrar el contrato, el archivo y accesibilidad del documento electrónico en el que se realiza el contrato, lenguaje en que puede formalizarse contrato. Proceso de registro de clientes, proceso de compra, precios y condiciones, plazos de entrega, envíos y devoluciones etc. Una vez celebrado el contrato, el prestador debe confirmar la recepción de la aceptación mediante correo electrónico u otro medio de comunicación.
è Generar la política de Cookies: Se debe informar a los destinatarios sobre el uso que se realiza en la página web de cookies, si son propias o de terceros e indicando su definición, función y finalidad, ofreciendo la posibilidad de revocarlas de una forma sencilla e informada.