Política de privacitat: l'ABC

Sovint acudeixen al nostre despatx emprenedors i empresaris que volen saber què ha d’incloure la política de privacitat de la seva empresa. Tot això sempre que no hagin tingut l’ocurrència de copiar-la de qualsevol web que els sembli de fiar. En aquest article m’agradaria aportar alguna llum sobre el que és, en què consisteix i què has de preguntar-te per fer la teva política de privacitat.

Què és la política de privacitat?

Resulta necessari comentar d’inici que la política de privacitat no és el que posem a la web. En aquest punt ajuda la distinció que fan als EUA i a la tradició anglosaxona, diferenciant entre privacy notice (els texts legals que es posen a la web) i la privacy policy (les polítiques de privadesa que se segueixen internament i que afecten, essencialment a empleats i proveïdors). La política de privacitat doncs, son els protocols interns que l’empresa hauria d’elaborar a l’efecte de conèixer les dades que tracta, qui accedeix a les mateixes i quins riscos estan associats als usos previstos.

El primer: has de saber quines dades tractes

Sembla una cosa lògica però no ho és tant, abans de realitzar una bona política de privacitat has de saber quines dades tractes. A Espanya únicament les dades de persones físiques estan afectades per la normativa, així que, d’entrada centra’t en aquestes dades i oblida’t de dades d’empreses. Encara que et sembli molt obvi les dades que a priori tractes (clients, treballadors, etc…) pregunta als teus empleats, te’n portaràs sorpreses…pot ser que surti alguna base de dades o llistat, d’origen desconegut i que ningú sabia de la seva existència.

Privacidad
Privacidad


Què inclou? Quines preguntes he de fer-me?

Aquí va l’ABC del que has de preguntar-te per fer una política de privacitat adequada a la teva empresa. Fes-te aquestes preguntes, resol-les i tindràs una bona política de privacitat:

  • Definicions: una bona manera de començar una política de privacitat és definint què són per a la teva organització conceptes com: dada personal, dades sensibles, usuaris del sistema, administrador, proveïdors externs. La llei inclou moltes definicions sobre aquests conceptes, però són generals, tingues present el que diu la llei però en les definicions parla de com afecta a la teva empresa. Exemple: si parles de dades sensibles, indica quines dades d’aquest tipus tens en la teva empresa.
  • Aplica sistemes per determinar responsabilitats: has de ser capaç, en cas de tragèdia, de saber qui és responsable de què. Assigna rols i perfils per accedir a les dades, fes a la gent responsable de custodiar les seves claus d’accés.
  • Sigues transparent: quan diguis als clients i/o empleats què faràs amb les seves dades, evita legalismes i sobretot evita copiar texts d’uns altres que t’agradin, segurament no encaixen en el teu cas. Digues clarament que faràs amb les dades.
  • Garanteix al titular de les dades els seus drets.
  • Demana el consentiment, controla si en funció de les dades que demanes és necessari el consentiment del seu titular, i si és així, si ha de ser exprés o amb un consentiment tàcit és suficient.
  • Demana aquelles dades que necessites per aconseguir la finalitat, i només aquests. Demana dades proporcionals al que vols fer amb elles.
  • No guardis les dades, excepte obligacions legals, més enllà del temps necessari per cobrir la finalitat que vas anunciar quan vas recollir les dades.
  • Analitza si algun tercer (empreses) té accés a les dades per a les seves pròpies finalitats. Controla les cessions de dades i si existeixen, demana consentiment.
  • Controla quins proveïdors accedeixen a les dades per prestar-te algun servei. Atenció amb serveis com el cloud que generen problemes com la subcontractació o la transferència internacional de dades.
  • Analitza les dades que tens i aplica mesures de seguretat adequades per a la seva salvaguarda.
  • Forma al teu equip.

Elaborar una correcta política de privacitat, és essencial i més enllà de per el mer compliment de la LOPD, per conèixer quines dades tractes i quins fluxos d’informació es produeixen dins de la teva empresa i cap a l’exterior.