startup

Entre las muchas alegaciones al margen de lo jurídico que se plantean ante un procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD), recientemente ha aparecido una nueva: “somos una startup”, y no, tampoco sirve. De hecho tratándose de una empresa tecnológica, más bien al contrario sus conocimientos deberían bastar para no haber cometido la serie de errores que les llevaron a ser sancionados. Si bien es fundamental aprender todos los secretos del blogging, no por eso podemos dejar caer en el olvido el cumplimiento legal.

¿Qué es una Startup?

Una compañía nueva o compañía emergente es un término usado actualmente en el mundo empresarial el cual busca iniciar, emprender o montar un nuevo negocio y se refiere a ideas de negocios que están empezando o están en construcción, es decir son empresas emergentes basadas en la tecnología. Son ideas que innovan el mercado y buscan hacer que los procesos complejos sean más sencillos de realizar, estas van dirigidas a diferentes temas y usos. Generalmente son empresas relativas a la innovación, al desarrollo tecnológico, al diseño web o desarrollo web; son empresas de capital-riesgo.

Se trata de una organización humana con gran capacidad de cambio, que desarrolla productos o servicios, de gran innovación, muy deseados o solicitados por el mercado, donde su diseño y comercialización están orientados completamente al cliente. Esta estructura generalmente actúa con costos mínimos, pero obtiene ganancias que crecen exponencialmente, mantiene una comunicación constante y clara con los clientes, y se orienta a la masificación de las ventas, beneficiándose de la comunicación que nos ofrece Internet y sus diversas plataformas.

¿Por qué deben cumplir la LOPD?

Todas las organizaciones, instituciones, empresas, profesionales y autónomos que en mayor o menor medida tratan o manejan datos de carácter personal de personas físicas están obligados a adaptarse a la normativa de Protección de Datos.

Cualquier soporte (listas, archivo, fichero informático), que reúna datos de carácter personal (listado de clientes, teléfonos, proveedores, nóminas, etc.) se incluye dentro del objeto de la LOPD, y por tanto, obliga a la empresa que lo guarde, trate o manipule a su adaptación y cumplimiento. La LOPD no se aplica sólo en relación con los soportes informáticos, sino también a los soportes físicos convencionales.

¿Cómo adaptarse a la LOPD?

La adaptación a la LOPD conlleva diferentes acciones:

  • Proteger los derechos de los afectados

Establecer los mecanismos para que los titulares puedan hacer valer sus derechos de acceso, rectificación, cancelación y oposición.

  • Inscripción de ficheros

Comunicar la presencia, creación y modificación de los ficheros que incluyan datos de carácter personal en el Registro General de Protección de Datos de la AEPD.

  • Documento de seguridad

Elaborar, conservar y aplicar un documento de seguridad de los datos de carácter personal en el que debemos incluir todas las disposiciones técnicas de de organización precisas para una correcta protección de esos datos personales.

  • Responsable de seguridad

Nombramiento de un Responsable de Seguridad que organice la observancia de las medidas de seguridad y compromisos legales que exige la LOPD y su Reglamento de Desarrollo.

  • Derechos

Permitir a los titulares de esos datos poder ejercer determinados derechos. Reglamentar el tratamiento de datos por parte de terceras empresas. (Ejemplo: asesoría laboral responsables de confeccionar las nóminas de los trabajadores)

  • Auditoría bienal

Realizar una auditoría de protección de datos cada dos años, en los supuestos de tratamientos de datos considerados de nivel medio o alto (datos de salud, de afiliación sindical, infracciones administrativas, etc.).

Beneficios de estar adaptado a la LOPD

El servicio de adaptación de la LOPD conlleva importantes ventajas para las empresas y organizaciones:

  • Cuida la imagen de la empresa respaldando su seguridad jurídica, sobre todo frente a denuncias de terceros.
  • Previene el riesgo económico que implica su régimen sancionador
  • Define procedimientos para salvaguardar la confidencialidad de la información.

La LOPD regula una serie de sanciones económicas aplicables a los titulares de los ficheros en los casos en que los responsables de estos y los encargados de su tratamiento cometan infracciones.

El importe de las sanciones se ajustará atendiendo a distintos criterios como por ejemplo la demostración de que anteriormente a los hechos que constituyen la infracción, la entidad tenía instaurados procedimientos adecuados de actuación en la recopilación y tratamiento de los datos de carácter personal, produciéndose la infracción debido a una anomalía en el funcionamiento de esos procedimientos no ocasionada por una falta de diligencia exigible al infractor.

Un ejemplo real

El Procedimiento Nº PS/00568/2013 se inicia cuando tiene entrada en la AEPD un escrito del denunciante en el que manifiesta que recibió un correo electrónico de XXX sin que hubiese autorizado el envío de publicidad. Tras solicitar la baja de su base de datos y recibir supuesta confirmación de la misma, le volvió a llegar dos meses después otro email promocional. De nuevo solicitó la baja (con el asunto “SEGUNDA RECALMACION: A la atención del departamento jurídico”), de nuevo se le aseguró que así se había realizado… y un mes después le llegó un tercer correo, momento en el que se presentó en la AEPD.

La empresa alegó que aunque ellos habían tramitado la baja correctamente:

un cliente de la entidad usó su herramienta para recomendar a los amigos la página y debido a que la empresa es una “start-up” con sistemas informáticos en constante evolución, esa variante no estaba contemplada.

La AEPD responde que la empresa debería haber instaurado un sistema para evitar que aquellas personas que se han opuesto a la recepción de comunicaciones comerciales por medios electrónicos pudieran ser objeto de cualquier envío, aunque éste fuera preparado por un tercero, y que no puede eludir esa responsabilidad puesto que todas las comuncaciones fueron enviadas desde una misma IP.

Recuerda además que en ninguna de las ocasiones en que la empresa se ha dirigido al denunciante ha informado del origen de la dirección de correo ni ha hecho acción alguna tendente a demostrar que contaba con su autorización, limitándose a comunicar que procederían a su baja tras cada reclamación, pero sin conseguir un resultado que satisfaga su derecho.

Y por tanto el Director de la AEPD RESUELVE:

PRIMERO: IMPONER a la entidad XXX, S.L., por una infracción del artículo 21 de la LSSI, tipificada como LEVE en el artículo 38.4 d) de la LSSI, una multa de 1.800 € (mil ochocientos euros), de conformidad con lo establecido en el artículo 40 de la citada LSSI.

Ser una startup no es excusa para no cumplir la LSSI
4.4 (88%) 5 votos
  1. Como no lo es tampoco para mantener datos mas allá de lo razonable.
    Son las nuevas situaciones que se viven por le desarrollo de las nuevas tecnologías y que debemos aprender poco a poco a implantar en las empresas.

  2. Si programo una web a un amigo y no quiere introducir la información para LSSI, yo incumplo algo? tengo alguna responsabilidad jurídica?
    Gracias!

  3. María: no, salvo que en exista un contrato de prestación de servicios donde se exija tal condición.
    El responsable siempre será el dueño de la web, no quien diseña o programa.


Comments are closed.