Protección de datos personales: una asignatura pendiente para pymes y autónomos

Artículo
Autor
Fraternidad-Muprespa

Aún hay pequeñas empresas y autónomos que pasan por alto el cumplimiento de las obligaciones recogidas en la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales. Una circunstancia que se da más por desconocimiento de los potenciales obligados que por una negativa consciente a acatar la ley.

nube_proteccion_datos

Nuestra Constitución, en el artículo 18. 4, ya reconocía este derecho: «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos», plenamente desarrollado en la norma anteriormente citada.

El componente tecnológico de muchas empresas y la forma de relacionarse o comunicarse con sus propios trabajadores, clientes y proveedores dibuja un escenario por el que circulan millones de datos personales, que podrían quedar comprometidos si no se lleva a cabo el debido tratamiento de los mismos. Se compran productos, se contratan servicios y se rellenan formularios vía online y son las organizaciones destinatarias de todos esos datos las encargadas de proteger la información personal de sus interlocutores.

Ciertamente, muchas pymes y autónomos encuentran serias dificultades para gestionar debidamente la numerosa información que pasa por sus manos, especialmente por los cada vez más numerosos ciberataques, de los que suelen ser víctimas aquellas entidades que menos han invertido en su protección, aunque leemos a diario en los medios de comunicación que grandes organizaciones, que si han destinado importantes sumas de dinero para su prevención, han sufrido también este tipo de contratiempos. No se salvan ni los organismos oficiales. Recordemos que el 40% de las empresas se han visto afectadas por ciberataques en el último año. Prevenir estas situaciones conlleva unos costes económicos a los que algunas empresas de pequeñas dimensiones estiman que apenas pueden hacer frente.

La realidad es que adaptarse a la normativa en este delicado ámbito por parte de las empresas de menor tamaño no resulta excesivamente caro, pero como comentan muchos autónomos y pequeños empresarios: “es un gasto más que sumar a otros ya existentes”. Cierta razón no les falta, a la vista del precario estado financiero en el que se encuentran muchos de ellos.  Pero no se debe olvidar que, en el caso de sufrir una incidencia que deje al descubierto datos sensibles, las sanciones pueden ser cuantiosas. El artículo 73, f) de la referida ley orgánica considera como infracción grave «La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento». Por ello resulta más recomendable poner y pagar los medios necesarios para evitar problemas legales que tener que hacer frente a elevadas sanciones económicas. Además, contar con un nivel mínimo de protección será un valor añadido para la empresa. La certificación ISO 27001 del Sistema de Gestión de Seguridad de la Información y la ISO 27701 de Privacidad de la Información son algunos medios de garantizar una gestión adecuada de los datos y su confidencialidad, implementando procedimientos de control que minimicen los riesgos.

seguridad_información_1

La Agencia Española de Protección de Datos (AEPD), en el último año, ha impuesto sanciones económicas por este motivo que rondan los 14 millones de euros. Una cifra nada desdeñable.

Pero la informática o software solo es el medio. Se hace necesario también conocer la norma y las obligaciones tácitas contraídas cuando se tratan datos de carácter personal.  Como expresaba ya en 2007 nuestro subdirector general de Sistemas de Información, Pedro Serrera, en su libro Buenas prácticas en protección de datos: «Cuando se habla de protección de datos en la mayor parte de las organizaciones, venimos observando la costumbre de que tanto los directivos como la mayor parte del personal vuelven su mirada de manera automática a los departamentos de sistemas de información o informática; ¿no sería más razonable pensar en las unidades de asesoría jurídica, habida cuenta de que se trata de una materia en la que se requiere de un profundo conocimiento de la legislación sobre protección de datos?».

Al hilo de lo que estamos comentando, la AEPD pone a disposición de los usuarios que lo requieran la herramienta gratuita Facilita EMPRENDE que, como indican en su web, está destinada a aquellas empresas que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgos como por ejemplo: tratamientos de datos de contacto y facturación de los clientes o proveedores de una pequeña empresa, o el tratamiento de los datos de sus empleados con la finalidad del mantenimiento de una relación laboral.

Y acabamos como empezamos. En la “Radiografía de las pequeñas empresas y autónomos españoles”, un estudio realizado por GoDaddy, observamos que prácticamente la mitad de las pymes no cumple con la legislación vigente en esta materia y que más de un 90% de ellas no dispone de conexión segura mediante certificado SSL en su página web.


Portal del Emprendedor de Fraternidad-Muprespa