Las startups son empresas de nueva creación que normalmente son fundadas por varios emprendedores y que su negocio tiene una base tecnológica que desarrollan ideas innovadoras, relacionadas con el mundo digital y tecnológico y con capacidad de crecimiento a largo plazo. Muchas son las empresas privadas, así como fondos de inversión, business angels, capital semilla, micromecenazgo las que financian y apoyan a estas nuevas startups.
Estas startups normalmente desconocen mucho cuales son sus obligaciones en materia de protección de datos, desde www.datusmas.com le informamos y asesoramos de
¿Cuáles son las principales obligaciones para cumplir en materia de protección de datos en las startups?
Se debe cumplir con el principio de Transparencia
El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
Se debe cumplir con el deber de informar de cuáles son los derechos de los ciudadanos y facilitar la forma de ejercer esos derechos:
Derecho de acceso: El interesado tendrá derecho a obtener confirmación de si se están tratando o no datos personales que le conciernen. Derecho de rectificación: El interesado tendrá derecho a obtener la rectificación de los datos personales inexactos que le conciernan o incompletos.
Derecho de supresión: El interesado tendrá derecho a obtener la supresión de los datos personales que le conciernan cuando los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo. Derecho de limitación: Podrá solicitar la limitación del tratamiento de sus datos personales, en cuyo caso únicamente los conservaría para el ejercicio o la defensa de reclamaciones. Derecho a la portabilidad de sus datos: Por lo que puede solicitarnos que sus datos personales automatizados sean cedidos o transferidos a cualquier otra empresa que nos indique en un formato estructurado, inteligible y automatizado. Derecho de retirar el consentimiento: Usted tendrá derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento antes de su retirada. Derecho de oposición: El interesado tendrá derecho a oponerse al tratamiento de sus datos. Derecho de supresión (derecho al olvido) El nuevo RGPD establece que cualquier persona tendrá derecho a que su información personal sea eliminada de los proveedores de servicios de Internet cuando lo desee, siempre y cuando quien posea esos datos no tenga razones legítimas para retenerlos.
Ampliación del deber de información
El nuevo Reglamento exige la obligación de informar sobre nuevos aspectos:
-Se debe de informar cual es la finalidad del tratamiento
-se debe informar cual es la base legal para el tratamiento de los datos
-se debe informar del periodo de conservación de los datos
-se debe informar la posibilidad de ejercer los derechos de los interesados.
Realizar el registro de actividades de tratamiento
Este registro se llevará a cabo de forma interna y contendrá, entre otros, los siguientes datos:
nombre y datos de contacto del responsable del tratamiento, nombre y datos del delegado de Protección de Datos, finalidad del tratamiento, descripción de categorías del interesado, descripción de categorías de datos tratados, las transferencias internacionales de datos.
Establecer medidas de seguridad
El nuevo Reglamento europeo de protección de datos RGPD habla de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El responsable del tratamiento debe aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
Realización de un análisis de riesgos
Es un proceso que se realiza para estimar la magnitud de los riesgos a que está expuesta una organización. Proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo. Identificación de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con el sistema de información para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede tener para la organización, obteniendo cierto conocimiento del riesgo que se corre.
Comunicación de brechas de seguridad a la Agencia Española de protección de datos
Una de las novedades más importantes del Reglamento europeo de protección de datos se trata de notificar las violaciones de seguridad de los datos. Es decir, el responsable del tratamiento de los datos deberá notificar a la autoridad competente (AEPD en España) cualquier brecha de seguridad que se haya producido en el plazo de 72 horas desde que ocurra. Además, si la brecha implica un riesgo para los interesados, también se les deberá informar a los mismos.
La Figura del Delegado de Protección de Datos
Se deberá designar a la figura del Delegado de Protección de Datos (Data Protection Officer). Esta figura no es obligatoria para todas las organizaciones: solo tendrán que contar con un delegado las empresas públicas, las que tengan un tratamiento a gran escala o las que recojan datos especialmente sensibles o relativos a condenas o infracciones penales. Esta figura tiene como función informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones en materia de protección de datos. Supervisar el cumplimiento de lo dispuesto en el reglamento de protección de datos personales. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento de datos. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.