Ha transcurrido ya medio año desde que fuese de aplicación el famoso RGPD. Nuestros oídos pitan cada vez que suena esa palabra. Pero aún nadie te ha dejado claro cómo implementar la protección de datos en empresas. Protección de datos por defecto, desde el diseño, medidas de seguridad, documento de seguridad, 保護個人數據, الإخطار من مخالفات, etc. Si eres de carne y hueso y tienes un negocio que legalizar, este artículo te va a interesar.
Índice de contenidos
¿Por qué es importante la protección de datos para empresas?
Cuida tu aspecto legal porque de ello dependerá no solo librarte de sanciones –que cada día son mayores y suponen una importante fuente de ingresos para el Estado-. Es más, si este fuese el motivo, importantes empresas probablemente hubiesen prescindido de ello. Simplemente, hubiese sido un juego de probabilidades en el que el empresario baraja solo dos opciones: gastar dinero en protección de datos para empresas para prevenir sanciones o que te llegue el inspector con la vara.
Pero no. No todo es tan sencillo como sanción – no sanción. Implementar unas medidas de protección de datos para empresas supone una fuente de confianza para captar nuevos clientes y protegerte de aquellos que desean ver fracasar tu negocio. Como ocurre desde hace años con los programas de Corporate Compliance, terminará ocurriendo también con protección de datos. Y es que ser una garantía de que los datos de los interesados permanecen seguros en nuestra entidad terminará convirtiendose en un requisito para la contratación pública o para contratar con determinadas empresas relevantes.
Ten en cuenta que cada negocio es un mundo y no es lo mismo proteger legalmente una frutería que una clínica dental o un hotel. Algunos necesitaréis de un Delegado de Protección de Datos, otros necesitaréis llevar un registro de actividad, etc. Consúltame. ¡Invierte en tranquilidad!
Tu web corporativa legal
Esta es una parte muy importante de mi actividad diaria. Y creo que el mercado exige que tu empresa tenga una página web corporativa legal. ¿En qué debes fijarte? A continuación te desgloso todos los aspectos que debes cuidar si tienes una página web corporativa legal. Es decir, una web que utilizas de escaparate de tus productos y servicios.
Textos legales
Los tres textos esenciales para la protección de datos de empresas en cualquier página web corporativa son el aviso legal, la política de privacidad y el aviso de Cookies. Puedes llamarlos como quieras y los encontrarás juntos en un solo texto, separados en tres, en dos, con un nombre, otro, etc. Pero al fin y al cabo tu web debe informar sobre lo siguiente:
- Quién eres, a qué te dedicas y cómo pueden dirigirse a ti.
- Qué datos personales recoges y tratas, cómo lo haces y con qué finalidad, si haces cesiones de datos, la duración de almacenamiento, etc. Y también la identificación del responsable del tratamiento. Y hago mención expresa a esta identificación porque el 99% de la protección de datos de empresas en lo que a la identificación respecta flaquea. Si eres una persona jurídica, identifica a la persona física que tratará los datos.
- Qué Cookies utiliza tu sitio web exactamente y cómo pueden desactivar su instalación. Puedes tener acceso a más información sobre la lista de Cookies en este enlace.
De forma complementaria –no exigida por ley- pero sí de forma recomendada para la protección de datos en empresas, deberás informar al usuario en tus textos de qué ocurre en determinadas ocasiones, como puedan ser en las siguientes:
- La propiedad intelectual e industrial: Las licencias de uso y qué contenidos son tuyos y cuales de otros autores. Ello te permitirá proteger tu contenido, y también el de terceros.
- Los enlaces que vinculan tu sitio web con otros sitios o documentos. De este modo evitarás problemas con los destinos de tus enlaces y también informarás sobre qué reglas deben de seguir los enlaces de terceros a tu sitio.
- La responsabilidad del comportamiento del usuario en la web y el uso que debe hacerse de la web. Obviamente, muy recomendable informar al usuario qué uso debe hacer de tu web el Usuario.
Formularios de contacto
Si yo fuese inspector de la AEPD, antes de ir a los textos legales –que requiere un estudio mas pormenorizado- iría a los formularios de contacto. En un solo golpe de vista podemos ver si el propietario del dominio ha puesto interés en protección de datos de su web. Y en función de lo que veamos, veremos con unos ojos u otros los textos legales. Fíjate specialmente en:
- La existencia de una casilla de verificación para aceptar politica de privacidad con un enlace hacia el texto de la política de privacidad. Y ojo con la finalidad de tu tratamiento. Es técnicamente incorrecto que figure una sola casilla de verificación cuando existe más de una finalidad del tratamiento. Estarías obligando al usuario a aceptar, por ejemplo, que está de acuerdo con que uses sus datos para responderle a la consulta y, además, para publicar su mensaje en redes sociales. Os dejo un link para agregar una casilla de verificación en wordpress por si no sabéis como hacerlo. ¡Pero hacedlo!
- Debes insertar una primera capa de información que informe de lo esencial de tu política de privacidad sin tener que pinchar en el enlace.
- Inserta un reCaptcha. Muchas vulneraciones de seguridad vienen por mails remitidos de forma automática por bots a través de tu formulario. Instalar esta medida de seguridad de Google es un punto a tu favor para demostrar la utilización de medidas de seuridad.
Comentarios del blog
El gran olvidado. Debe sentirse como Marco en el día del padre, pero la vida es dura y hay que superarlo. Echa un vistazo a tu blog y observa si tienes sección para que la gente comente las entradas. Si no permites comentarios no te preocupes, pero si los permites debes informar al usuario de que sus datos personales serán tratados.
- Cuando alguien publica, queda almacenado su dirección de correo electrónico, su nombre y todos aquellos datos que aporte en el comentario. Tus proveedores de CSM y hosting podrían llegar a tener acceso a ellos.
- Cuando alguien publica un comentario, puede infringir numerosos preceptos legales (que debes advertir en tu aviso legal). Puede cometer un delito informático insertando un enlace tóxico, puede cometer un acto de publicidad ilícita, puede infringir derechos de autor, puede vulnerar tu política de enlaces, etc.
Medidas de seguridad
Podría decirte que utilices una contraseña con números, letras mayúsculas, minúsculas y símbolos. Sinceramente, algo mejorará tu seguridad pero no lo es todo ni mucho menos. Al menos a ojos de los Hackers y del Organismo Supervisor. A continuación te brindo unos pocos consejos en materia de seguridad de tu web.
- Muchos no usáis certificados SSL. Lo veo en vuestros http y no solo a Google no le gusta. A la AEPD tampoco.
- Actualiza tu sitio web, tu CSM y tu tema. Estas actualizaciones suelen incluir mejoras para luchar contra nuevos ataques informáticos.
- Limita el número de Login como administrador a tu sitio web.
- Elimina cualquier referencia a los archivos WP, ya sea en el archivo Robot.txt, en tus archivos FTP o incluso en tu URL de acceso.
- Copias de seguridad. Existe un buen plugin en WordPress que se denomina BackWPup. Utilizalo para hacer copias periodicas de seguridad.
El deber de información
Creo que ha quedado bien claro cómo comportarte en tu página web corporativa. Es el único medio que podemos controlar 100% de forma previa, con cierta previsión y automatizada. Pero no todo es una web. Llamadas telefónicas, correos electrónicos, visitas presenciales, cámaras de seguridad, etc. Muchas ocasiones nos enfrentamos a situaciones en las que se debemos proteger los datos y actuar para que estos queden salvaguardados.
Por ello, tu primer deber es informar al cliente que se presenta en tu oficina, te llama por teléfono o te envía un mail. ¿Y cómo lo hacemos?
- En papel: En el momento en el que vayas a recoger datos de él (porque, por ejemplo, va a rellenar una ficha con sus datos) adjuntale otra en la que figure la siguiente información: responsable del tratamiento, finalidad, destinatarios, duración y derechos.
- En mail: Crea una firma en la que figuren los datos de antes, y usala siempre para responder correos.
- Telefónicamente: solicítale el correo electrónico para remitirle la información en materia de protección de datos o dile que te escriba a través del formulario de tu web, marcando la casilla de verificación y en el cuerpo mensaje ‘consiento el uso de mis datos cedidos telefónicamente’.
Contratos con proveedores
Seguramente termines cediendo datos. Hace no mucho escribí en un periodico juríduco digital sobre la protección de datos entre hoteles y agencias de viajes online. Cada vez que Booking remite los datos de un cliente a un hotel, existe una cesión de datos. Pero es que cada vez que remites un contrato de un empleao a la gestoría, hay también una cesión de datos a un tercero. Y situaciones como estas, las que queráis.
Utilizad contratos para regular vuestra relación e incluid un anexo de protección de datos donde se refleje cada extremo sobre cómo se usarán los datos. Hace unas semanas redacté un modelo de cláusula de protección de datos en contratos mercantiles que puede seros de utilidad. Tened en cuenta que, normalmente, vuestra gestoría no os haya informado de esta obligatoriedad pero es fundamental que tengáis vuestros papeles en regla.
La seguridad de los datos en tu oficina
Es muy importante las medidas de seguridad en tu sitio web. Pero también son muy importantes en tus equipos informáticos. Vigila las contraseñas de todos los equipos y procura que sean complejas. También procura cambiarlas pasado cierto tiempo.
Para la protección de datos, en mi caso, no conservo ningún dato personal en el ordenador. Utilizo un disco duro externo y solo cuando necesito tratarlos (redactar una demanda, una reclamación, acceder a la base de datos de clientes, etc) lo conecto al ordenador. Informáticamente hablando, es un poco más seguro en tanto en cuanto están menos tiempo expuestos. Pero físicamente, poder guardar el disco duro más fácilmente y bajo llave es más seguro.
Conozco muchos profesionales del sector de la informática que, bajo mi asesoramiento, pueden implementar medidas de seguridad en función de tus necesidades. Contáctame para remitirte a ellos y mejorar la protección de datos en empresas como la tuya.
Muy interesante, gracias por compartir tu conocimiento!
A ti elena por comentar!