Loading...
  • Susana Gonzalez Derecho Digital y Tecnológico

    Susana Gonzalez

Privacy by design: refuerza tu proyecto emprendedor.

Privacy by design: refuerza tu proyecto emprendedor.

¿Eres emprendedor? Te interesa asesorarte en la aplicación del privacy by desing.

 

privacy by desing

Me alegra comprobar que cada vez es más frecuente que los CEO de proyectos emprendedores tecnológicos se planteen como prioridad el nacimiento al mundo de su proyecto cumpliendo desde la fase más embrionaria.

Hasta hace nada esto no era así. El trabajo del abogado digital seguía siendo reactivo, en un entorno en que tenemos un margen muy acotado de reacción, dada su escasa y dispersa regulación a nivel mundial y su constante cambio.

Siempre pregunto a mis clientes qué les ha llevado a acometer el estudio de la parte legal de su proyecto como prioridad inicial, en lugar de reñir a quienes vienen a nosotros para solventar lo que quizás debía haberse previsto desde el inicio. También es válido, ya que suele servir de experiencia para concienciar que, también en Derecho, tiene  más valor prevenir que rediseñar, y que esto último sale infinitamente más caro.

Las respuestas que, hasta hace poco, eran “evitar sanciones administrativas” o, “estar informado de qué respuestas tengo que dar al cliente online”, empiezan a tener otro cariz, desde mi punto de vista mucho más esperanzador y responsable, del tipo “sé que si la aplicación sale cumpliendo refuerzo la reputación y marca” o, “quiero dormir tranquilo sabiendo que todo lo tengo en orden y supervisado” o, no tan infrecuente “ya tengo la experiencia de tener que invertir más en rediseñar que en prevenir diseñando todo de forma integral desde el principio”.

Previamente a comenzar a destinar nuestro proyecto a los usuarios, debemos asesorarnos y plantearnos seriamente que, sobre todos aquellos datos que recabemos, tratemos y/o cedamos, debemos proporcionar una clara información. Deberemos informar qué datos recabamos, para qué concretamente, quién es el responsable del tratamiento y, en muchos casos, quién es el encargado del tratamiento, qué derechos (acceso, rectificación, cancelación u oposición) tiene el usuario y cómo vamos a darles respuesta.

Recordemos que no siempre debemos actuar bajo la presión o temor de que la Agencia Española de Protección de Datos abra expedientes de inspección o sanción “de oficio”, sino que lo realmente importante es que los usuarios tenemos el derecho a la tutela de nuestros derechos en materia de protección de datos, pudiendo iniciar dicho procedimiento de tutela ante la Agencia, lo que además del posible efecto sancionador, acarrea un daño reputacional importante dada la publicidad de sus resoluciones.

Privacy by design.

Nos encontramos pendientes de la aprobación del Reglamento Europeo de Protección de Datos que será de directa aplicación en los estados miembros de la Unión, y que recoge este principio de privacidad desde el diseño, en el sentido de establecer la obligación de plantearnos el derecho a la protección de datos de los usuarios desde el momento de la recogida de datos, pasando por su tratamiento y hasta su destrucción, así como establecer controles y medidas técnicas y organizativas de garantía del cumplimiento en aras de prever, evitar y minimizar incidencias.

Esto que sabemos que va a ser así, está siendo ya aplicado por quienes proyectan sus negocios en la red con cierta visión de futuro. Y es ahí donde se estructura un buen cimiento emprendedor, en completar su estrategia empresarial con el ánimo de permanecer y crecer.

Tres preguntas clave a plantearnos en torno a la privacidad cuando estamos diseñando un proyecto emprendedor tecnológico:

1. ¿Cuáles?. Qué datos vamos a tratar.

privacy by designNos preguntaremos qué datos son los que necesitamos tratar como imprescindibles para el desarrollo de la finalidad y cuáles puedan ser excesivos.

En este punto el asesoramiento cobra especial sentido en la determinación de datos de nivel alto y sus medidas de seguridad, toda vez que si, por ejemplo estamos asesorando un proyecto que vaya a tener aplicación a temas de salud, debemos conocer que se tratará seguramente de datos sensibles que exijan determinadas garantías adicionales frente a los datos de nivel básico.

¿Tiene sentido por ejemplo que una aplicación destinada la entrega de ropa para su lavado y posterior devolución limpia impoluta en casa nos solicite información sobre alergias? Seguramente sí en aras a prevenir el uso de detergentes industriales que puedan resultar dañinos o no aptos para todos los usuarios. Luego en este caso estaríamos tratando un dato de salud del usuario que nos exigirá la implementación de medidas de seguridad de los datos superiores a que si tratáramos sólo el nombre y apellidos del usuario.

2. ¿Para qué?. Finalidad del tratamiento.

Menos es más, seamos minimalistas.

privacy by design

Partiendo de no olvidar nunca que el titular del dato es la persona física que nos lo facilita para su tratamiento, lo primero que debemos determinar (y además buscando nuestro punto más minimalista en el sentido de su gestión estrictamente necesaria) es qué finalidad le vamos a dar al tratamiento de los datos que vamos a recoger.

Es este un punto crucial en el que determinamos, conforme a la normativa de protección de datos, qué datos necesitamos tratar, cuáles podemos tratar legalmente, durante cuánto tiempo, si vamos a precisar o no cederlos a terceros que se encarguen de su tratamiento, etc.

¿Creéis que es necesario que la aplicación de la linterna del móvil nos pida autorizar (en realidad nos pide autorización para acceder a todos los datos de nuestro dispositivo, a todos!!) nuestra geolocalización o acceder a las imágenes de nuestra galería de fotos? Digo yo que para “iluminarnos” un ratito no hace mucha falta saber dónde diablos estamos, ni con quién nos hemos tomado fotos, no? Luego, éste sería un claro ejemplo de exceso injustificado en la recabación de datos para el cumplimiento de la finalidad de la aplicación.

3. ¿Durante cuánto tiempo?

privacidad protección datos personalesEs importante que nos planteemos qué datos vamos realmente no sólo a tratar sino a almacenar y durante cuánto tiempo, para poder determinar en nuestro documento de seguridad los plazos de destrucción de datos que ya no sean necesarios para la finalidad prevista, sin perjuicio de cumplir los plazos legales de conservación de determinados datos; y el sistema de destrucción o eliminación de los datos elegido que nos permita, en su caso, poder demostrar el proceso de eliminación real y completo.

A partir de ahí, comenzaremos un trabajo que no deberías realizar tú, básicamente porque tú eres el de la brillante idea, el que debe presentarla, comercializarla, y elevarla al éxito. Si el asesoramiento es clave, el tiempo lo es más. Por eso, quienes podemos asesorar buscamos ponértelo más fácil y que tu tiempo sea eficaz para tu negocio.

¿Te has planteado estas tres preguntas claves antes de empezar a recabar datos de usuarios en tu negocio online?

 

 

By |2017-04-17T20:26:35+00:00abril 3rd, 2016|Blog, Derecho Digital|0 Comments

About the Author:

Abogado especialista en Derecho Digital y Tecnológico, seguridad de la información, Auditora jefe ISO 27000, protección de datos y Ciberseguridad, innovación, estrategia digital, marketing y comunicación #AlwaysON©

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.